Pular para o conteúdo

Perfis de SD-WAN

Você pode criar perfis de SD-WAN nos firewalls em seus grupos de conexão SD-WAN no Sophos Central.

Você pode usar perfis de SD-WAN para definir uma estratégia de roteamento SD-WAN entre gateways em sua rede SD-WAN. Você pode rotear o tráfego com base na disponibilidade ou no desempenho dos gateways. Isso otimiza o desempenho da sua rede SD-WAN e aumenta a resiliência contra interrupções do ISP.

Nota

O Sophos Central oferece suporte a perfis de SD-WAN no Sophos Firewall 19.0 e posterior.

Nota

Os perfis de SD-WAN não funcionam se o endereço IP da interface XFRM não estiver na sub-rede /30. Se não estiver, a opção Migrar será exibida ao lado do firewall. Clique nela para migrar todos os endereços IP do túnel para a sub-rede /30. Os endereços IP são atribuídos a partir dos pools de endereços IP 10.252.0.0/15 e 10.254.0.0/16. Quando a migração termina, uma mensagem é exibida indicando que a migração foi concluída.

Acordo de nível de serviço

Um Acordo de nível de serviço (SLA) permite rotear o tráfego com base no desempenho dos gateways. Um SLA inclui critérios de monitoramento de desempenho. O firewall faz uma verificação de integridade e seleciona o gateway de melhor desempenho com base nos critérios definidos no SLA. Você pode usar um destes SLAs:

  • Melhor qualidade: Seleciona o gateway de melhor desempenho com base nos critérios de monitoramento de desempenho selecionados (latência, instabilidade ou perda de pacote). Por exemplo, se você selecionar latência como critério de monitoramento de desempenho, o firewall selecionará o gateway com a latência mínima. Você pode usar este SLA para o tráfego não crítico. Essa é a estratégia padrão do SLA e se aplica a qualquer firewall com o qual você estabelece um túnel VPN.

  • SLA personalizado: Seleciona o gateway de melhor desempenho com base nos valores máximos aceitáveis definidos para latência, instabilidade e perda de pacotes. Use essa estratégia para substituir a estratégia padrão do SLA. Este SLA se aplica a um firewall específico com o qual você deseja estabelecer um túnel VPN.

Com o SLA Melhor qualidade, o firewall procura apenas o gateway de melhor desempenho com base em um único critério. O SLA personalizado garante que o firewall selecione o gateway que atende aos níveis de desempenho especificados para todos os critérios.

Se nenhum gateway atender ao SLA, o firewall roteará o tráfego pelo primeiro gateway disponível.

Criar um perfil de SD-WAN

Para adicionar um perfil de SD-WAN, siga este procedimento:

  1. Vá para Gerenciamento de Firewall > Grupos de conexão SD-WAN e clique no grupo de conexão no qual você deseja criar um perfil de SD-WAN.
  2. No assistente de Criação do Grupo de conexão SD-WAN, vá para Configurar redes.
  3. Clique em Detalhes/Editar do firewall em que deseja criar um perfil de SD-WAN.
  4. Na página do firewall, selecione Perfil de SD-WAN.
  5. Selecione um gateway de backup.

    O Sophos Central cria automaticamente um gateway para estabelecer um túnel VPN. Para o gateway de backup, selecione um gateway existente no firewall. O firewall encaminha o tráfego pelo primeiro gateway disponível ou com o melhor desempenho.

  6. Selecione uma das seguintes estratégias de roteamento:

    Restrição

    Essa opção aparece no Sophos Firewall 19.5 e posterior.

    • Primeiro gateway disponível: Use para rotear o tráfego com base na disponibilidade dos gateways. O firewall faz uma verificação de integridade em todos os gateways adicionados na ordem listada e seleciona o primeiro gateway disponível.

    • Balanceamento de carga: Use para balancear a carga do tráfego entre todos os gateways ou gateways adicionados que atendem ao SLA. Selecione um método de balanceamento de carga:

      • Round robin: Use para balancear a carga do tráfego entre todos os gateways na ordem listada. Por exemplo, se você tiver três gateways, o firewall envia a primeira solicitação para o primeiro gateway, a segunda solicitação para o segundo gateway, a terceira solicitação para o terceiro gateway e a quarta solicitação novamente para o primeiro gateway.
      • Tipo de persistência de sessão: Use para manter o mesmo gateway durante uma sessão com base no tipo de persistência selecionado (Endereço IP de origem, Endereço IP de destino, Endereços IP de origem e destino ou Conexão).
  7. Ative o Acordo de Nível de Serviço (SLA) e selecione um dos seguintes critérios de monitoramento de desempenho:

    • Latência: Seleciona o gateway com latência mínima.
    • Instabilidade: Seleciona o gateway com instabilidade mínima.
    • Perda de pacote: Seleciona o gateway com perda mínima de pacote.

    Se você não ativar o Acordo de Nível de Serviço (SLA), o firewall roteará o tráfego pelo primeiro gateway disponível.

    Ajustes de SLA

  8. Especifique as configurações da Verificação de integridade como Default (qualquer firewall) da seguinte maneira:

    1. Protocolo: Protocolo para verificar o status do gateway. Você pode selecionar Ping ou TCP.
    2. Endereço IP do destino de sondagem: Endereço IP de um dispositivo host (destino de sondagem) atrás do gateway. Você pode adicionar dois destinos de sondagem.

      O Sophos Firewall envia solicitações para hospedar endereços IP atrás do gateway. Ele considera o gateway ativo se os hosts responderem a sondagens de verificação de integridade.

      Nota

      Se o endereço IP do destino de sondagem for um endereço IP público, você deverá criar uma regra de firewall que permita o tráfego da zona VPN para a zona WAN no firewall de destino.

    3. Porta: Número da porta na qual você deseja enviar as sondagens de verificação de integridade.

    4. (Opcional) SLA personalizado: Ative para rotear o tráfego pelo gateway de melhor desempenho com base nos valores personalizados definidos para o seguinte:

      • Latência: Latência máxima aceitável em milissegundos.
      • Instabilidade: Instabilidade máxima aceitável em milissegundos.
      • Perda de pacote: Perda máxima aceitável de pacotes em pontos percentuais.

      Nota

      Se você ativar SLA personalizado, o firewall substituirá a estratégia de SLA Melhor qualidade.

  9. (Opcional) Clique em Adicionar destino de sondagem para especificar as configurações de verificação de integridade de um firewall específico. Siga este procedimento:

    1. Em Firewall de destino, selecione o firewall.
    2. Repita a etapa 8.

    Veja um exemplo:

    Configurações de verificação de integridade de um firewall

  10. Especifique as seguintes configurações de verificação de integridade:

    1. Intervalo entre verificações: Intervalo de tempo entre as sondagens de verificação de integridade.
    2. Limite de tempo de resposta: O gateway deve responder dentro desse período para ser considerado ativo.
    3. Desativar gateway após: Número de tentativas consecutivas para sondar a integridade do gateway. O Sophos Firewall considera o gateway inacessível se o gateway não responder a essas tentativas.
    4. Ativar gateway após: Número de respostas consecutivas após as quais o Sophos Firewall pode considerar um link como ativo.
    5. Tamanho da amostra para o SLA: Número de amostras de sondagem a serem coletadas para determinar o desempenho médio de um gateway.
  11. Clique em Salvar e em Concluir.