コンテンツにスキップ

SD-WAN プロファイル

Sophos Central で、SD-WAN 接続グループ内のファイアウォールに SD-WAN プロファイルを作成できます。

SD-WAN プロファイルを使用して、SD-WAN ネットワーク内のゲートウェイ間の SD-WAN ルーティング方法を定義できます。ゲートウェイの可用性またはパフォーマンスに基づいてトラフィックをルーティングできます。これによって、SD-WAN ネットワークのパフォーマンスが最適化され、ISP の中断に対する回復性が向上します。

Sophos Central は、Sophos Firewall 19.0 以降で SD-WAN プロファイルに対応しています。

XFRM インターフェースの IP アドレスが /30 サブネットにない場合、SD-WAN プロファイルは機能しません。ない場合、ファイアウォールの横に「移行」オプションが表示されます。トンネルのすべての IP アドレスを /30 サブネットに移行するには、これをクリックします。IP アドレスは、IP アドレスプール 10.252.0.0/15 および 10.254.0.0/16 から割り当てられます。移行が完了すると、移行が完了したことを示すメッセージが表示されます。

サービスレベル契約

サービスレベル契約 (SLA) を使用すると、ゲートウェイのパフォーマンスに基づいてトラフィックをルーティングできます。SLA には、パフォーマンスを監視するための指標があります。SLA で定義されている指標に基いてゲートウェイの正常性チェックが行われ、パフォーマンスが最良のゲートウェイが選択されます。次のいずれかの SLA を使用できます。

  • 最も高品質: レイテンシ、ジッタ、パケット損失のいずれかのパフォーマンス指標に基づいて、最良のゲートウェイを選択します。たとえば、パフォーマンス指標として「レイテンシ」を選択した場合、レイテンシが最小のゲートウェイが選択されます。この SLA は、重要度の低いトラフィックに適しています。これはデフォルトの SLA 方法で、VPN トンネルを確立するすべてのファイアウォールに適用されます。

  • カスタム SLA: レイテンシ、ジッタ、パケット損失の最大許容値に基づき、パフォーマンスが最良のゲートウェイを選択します。デフォルトの SLA 方法を上書きするには、この方法を使用します。この SLA は、VPN トンネルを確立する特定のファイアウォールに適用されます。

最も高品質」では、1つの基準のみに基づいて、ゲートウェイが選択されます。「カスタム SLA」では、すべての指標に対して、指定されたパフォーマンスレベルを満たすゲートウェイが選択されます。

SLA を満たすゲートウェイがない場合、ファイアウォールは最初に使用可能なゲートウェイを経由してトラフィックをルーティングします。

SD-WAN プロファイルの作成

SD-WAN プロファイルを作成するには、次の手順を実行します。

  1. ファイアウォール管理 > SD-WAN 接続グループ」に移動し、SD-WAN プロファイルを作成する接続グループをクリックします。
  2. SD-WAN 接続グループの作成」アシスタントを使用して、「ネットワークの設定」に移動します。
  3. SD-WAN プロファイルを作成するファイアウォールの「詳細/編集」をクリックします。
  4. ファイアウォールページで、「SD-WAN プロファイル」を選択します。
  5. バックアップゲートウェイを選択します。

    Sophos Central は、VPN トンネルを確立するためのゲートウェイを自動的に作成します。バックアップゲートウェイには、ファイアウォールに存在するゲートウェイを選択します。ファイアウォールはその後、最初に使用可能な、または最もパフォーマンスの高いゲートウェイを経由してトラフィックをルーティングします。

  6. 次のいずれかのルーティング方法を選択します。

    制限事項

    このオプションは、Sophos Firewall 19.5 以降で表示されます。

    • 使用可能な最初のゲートウェイ: ゲートウェイの可用性に基づいてトラフィックをルーティングできます。追加したすべてのゲートウェイの正常性が、指定した順にチェックされ、最初に使用可能なゲートウェイが選択されます。

    • 負荷分散: 追加されたすべてのゲートウェイ、または SLA を満たすゲートウェイ間でトラフィックを負荷分散できます。負荷分散の方法を選択してください。

      • ラウンドロビン: 指定した順に、すべてのゲートウェイ間でトラフィックを負荷分散します。たとえば、ゲートウェイが 3つある場合、ファイアウォールは、1つ目の要求を 1つ目のゲートウェイに送信し、2つ目の要求を 2つ目のゲートウェイに送信し、3つ目の要求を 3つ目のゲートウェイに送信し、4つ目の要求は再び 1つ目のゲートウェイに送信します。
      • セッションの永続性の種類: 選択した永続性の種類 (送信元 IP アドレス、宛先 IP アドレス、送信元と宛先 IP アドレス、または接続) に基づいて、各セッション中、同じゲートウェイを維持できます。
  7. サービスレベル契約 (SLA)」をオンにして、次のパフォーマンス監視の指標のいずれか 1つを選択します。

    • レイテンシ: レイテンシが最小のゲートウェイを選択します。
    • ジッタ: ジッタが最小のゲートウェイを選択します。
    • パケット損失: パケット損失が最小のゲートウェイを選択します。

    サービスレベル契約 (SLA)」をオンにしない場合、ファイアウォールは最初に使用可能なゲートウェイを経由してトラフィックをルーティングします。

    SLA の設定

  8. デフォルト (任意のファイアウォール)」の「正常性チェック」設定を次のように指定します。

    1. プロトコル: ゲートウェイのステータスの確認に使用するプロトコル。「Ping」または「TCP」を選択します。
    2. プローブの対象の IP アドレス: ゲートウェイの背後にあるホストデバイス (プローブの対象) の IP アドレス。2つのプローブの対象を追加することができます。

      Sophos Firewall は、ゲートウェイの背後にあるホスト IP アドレスにリクエストを送信します。ホストがこのプローブに応答すると、ゲートウェイは有効であると見なされます。

      プローブの対象の IP アドレスがパブリック IP アドレスの場合は、VPN ゾーンから宛先ファイアウォールの WAN ゾーンへのトラフィックを許可する、ファイアウォールルールを作成する必要があります。

    3. ポート: 正常性チェックのプローブの送信先のポート番号。

    4. (任意) カスタム SLA: オンにすると、次のカスタム定義値に基づいて、パフォーマンスが最良のゲートウェイにトラフィックがルーティングされます。

      • レイテンシ: 許容可能な最大レイテンシ (ミリ秒)。
      • ジッタ: 許容可能な最大ジッタ (ミリ秒)。
      • パケット損失: 許容可能な最大パケット損失 (%)。

      カスタム SLA」をオンにすると、ファイアウォールは、SLA 方法「最も高品質」を上書きします。

  9. (任意)「プローブの対象の追加」をクリックして、特定のファイアウォールの正常性チェックを設定します。次の手順を実行します。

    1. 宛先ファイアウォール」で、ファイアウォールを選択します。
    2. ステップ 8 を繰り返します。

    次に例を示します。

    ファイアウォールの正常性チェックの設定

  10. 次の正常性チェックのオプションを設定します。

    1. チェック間隔: プローブの実行間隔。
    2. 応答のタイムアウト: この時間内に応答しないゲートウェイは、無効であると見なされます。
    3. ゲートウェイを無効化するタイミング: ゲートウェイの正常性を連続してプローブしようとする回数。ゲートウェイがこれらの試行に応答しない場合、ゲートウェイに到達できないと見なされます。
    4. ゲートウェイを有効化するタイミング: リンクが有効であると見なされる連続応答の数。
    5. SLA のサンプルサイズ: ゲートウェイの平均パフォーマンスを調べるために収集するプローブサンプルの数。
  11. 保存」をクリックし、「完了」をクリックします。