新增 SD-WAN 連線群組
在建立連線群組之前,您需要了解以下內容:
- 您必須選取在 SFOS 18.5 MR1 或更新版本上具有 Central Orchestration 授權的防火牆。
- SD-WAN 連線群組中的防火牆無法用於其他連線群組。
- 您必須至少選擇兩個防火牆才能建立連線群組。
注意
如果您建立具有共用資源和參與網路的 SD-WAN 連線群組,防火牆將建立兩個類似的 SD-WAN 路由。一個用於共用資源,另一個用於參與網路。
要建立連線群組,請執行以下動作:
- 請移至我的產品 > Firewall Management > SD-WAN 連線群組。
-
按一下建立連線群組。
這將打開 SD-WAN 連線群組建立助手。助手會引導您建立群組。
-
首先,選取防火牆。若要執行此操作,請依照以下步驟操作。
- 輸入群組的名稱。
- 可選:輸入描述。
- 至少選擇兩個防火牆。
以下是一個範例:
-
按一下下一步。
-
新增資源。您可以新增多個資源。您也可以檢閱先前新增的任何資源。若要新增資源,請依照以下步驟操作:
- 選取包含要在群組中共用之資源的防火牆。
- 輸入要共用之資源的 IP 位址或網路範圍。
- 選擇服務類型和選項。
- 如果需要,打開自動建立防火牆規則。
- 如果需要,打開限制對已驗證使用者的存取。
-
打開設定同步活動訊號並設定選項。
例如,您可以將允許的最小源 HB 設定爲綠色 ,並打開阻擋沒有活動訊號的用戶端。
-
按一下儲存以新增資源。
以下是一個範例:
-
按一下下一步。我們會檢查您選擇的設定是否存在任何網路衝突。該表顯示了所有網路衝突。
以下是一個範例:
-
您需要解決所有衝突。按一下解決衝突,然後嘗試以下方法之一:
- 開啟或關閉子網。
- 將新的 NAT 地址附加到現有子網。
- 將自訂網路附加到防火牆。按一下新增網路以執行此操作。
- 選擇 WAN 鏈路。
- 選擇備份閘道。
- 覆寫閘道位址。
例如,您可以透過重命名顯示衝突的資源來解決名稱衝突。或者,您也可以透過選擇 NAT 來解決子網衝突。或者,您可以覆寫閘道位址以解決衝突,如下圖所示。
如果選擇 覆蓋閘道器地址,則
***** 如果遠程閘道器是響應方防火牆並執行SFOS 20.0或更高版本,則可以在公共IP或FQDN中爲所選WAN鏈接輸入通配符()地址。注意
如果資源共用防火牆存在網路衝突,則可能需要爲子網選取不同的設定。您需要在 Sophos Firewall 中執行此動作。或者,在 Sophos Central 中,您也可以選擇不使用群組中的衝突子網。
-
解決衝突後,按一下儲存。
這會使用您選擇的防火牆建立群組。您也可以查看其狀態。下圖顯示連線群組的範例。
