SD-WAN 設定檔
您可以在 Sophos Central 的 SD-WAN 連線群組中的防火牆上建立 SD-WAN 設定檔。
您可以使用 SD-WAN 設定檔定義跨 SD-WAN 網路閘道的 SD-WAN 路由策略。您可以根據閘道的可用性或效能來路由流量。這將最佳化您 SD-WAN 網路的效能,並提高抵禦 ISP 中斷的復原能力。
注意
Sophos Central 支援 Sophos Firewall 19.0 和更新版本上的 SD-WAN 設定檔。
注意
如果 XFRM 介面的 IP 位址不在 /30 子網中,SD-WAN 設定檔將不起作用。如果不在,則防火牆旁將顯示移轉選項。按一下該選項,將通道的所有 IP 位址移轉到 /30 子網。IP 位址是從 IP 位址集區 10.252.0.0/15 和 10.254.0.0/16 指派的。移轉完成後,將顯示一條訊息,指示移轉已完成。
服務等級協定
服務等級協定 (SLA) 允許您根據閘道的效能路由流量。SLA 包括效能監控條件。防火牆會執行健康狀況檢查,並根據 SLA 中定義的條件選取效能最佳的閘道。您可使用下列 SLA 之一:
- 最佳品質:根據您選取的效能監控條件(延遲、抖動或封包丟失)選取效能最佳的閘道。例如,如果選取延遲作為效能監控條件,防火牆將選取具有最小延遲的閘道。您可以將此 SLA 用於非關鍵流量。這是預設的 SLA 策略,適用於您與之建立 VPN 通道的任何防火牆。
- 自訂 SLA:根據為延遲、抖動和封包丟失定義的最大可接受值選取效能最佳的閘道。使用此策略覆寫預設 SLA 策略。此 SLA 適用於要與之建立 VPN 通道的特定防火牆。
使用最佳品質 SLA 時,防火牆只會根據一個條件尋找效能最佳的閘道。自訂 SLA 確保防火牆選取滿足所有條件指定效能級別的閘道。
如果沒有閘道符合 SLA,防火牆將透過第一個可用閘道路由流量。
建立 SD-WAN 設定檔
若要建立 SD-WAN 設定檔,請依照以下步驟操作:
- 移至我的產品 > Firewall Management > SD-WAN 連線群組,然後按一下您要建立 SD-WAN 設定檔的連線群組。
- 在 SD-WAN 連線群組建立助理中,移至設定網路。
- 按一下要在其中建立 SD-WAN 設定檔之防火牆的詳細資料/編輯。
- 在防火牆頁面上,選取 SD-WAN 設定檔。
-
選取備份閘道。
Sophos Central 會自動建立閘道以建立 VPN 通道。對於備份閘道,請選取防火牆中存在的閘道。然後,防火牆透過第一個可用或效能最佳的閘道路由流量。
-
選取下列路由策略之一:
限制
Sophos Firewall 19.5 及更新版本上會顯示此選項。
- 首個可用閘道:使用此選項,根據閘道的可用性路由流量。防火牆會依照您列出的順序,對所有新增的閘道執行健康狀況檢查,並選取第一個可用的閘道。
-
負載平衡:使用此選項,在所有新增閘道或符合 SLA 的閘道之間平衡流量。選取負載平衡方法:
- 循環設定資源:使用此選項,按列出的順序在所有閘道之間平衡流量。例如,如果有三個閘道,防火牆會將第一個請求傳送到第一個閘道,第二個請求傳送到第二個閘道,第三個請求傳送到第三個閘道,第四個請求再次傳送到第一個閘道。
- 工作階段持續性類型:根據您選取的持續性類型(源 IP 位址、目標 IP 位址、源和目標 IP 位址或連線),使用此選項可在工作階段期間保持相同的閘道。
-
開啟服務等級協定 (SLA) 並選取下列效能監控條件之一:
- 延遲:選取延遲最短的閘道。
- 抖動:選取抖動最短的閘道。
- 封包丟失:選取封包丟失最小的閘道。
如果未開啟服務等級協定 (SLA),防火牆將透過第一個可用閘道路由流量。
-
針對預設(任意防火牆)指定健康狀況檢查設定,如下所示:
- 通訊協定:用於檢查閘道狀態的通訊協定。您可以選取 Ping 或 TCP。
-
探查目標 IP 位址:閘道後面主機裝置(探查目標)的 IP 位址。您可新增兩個探查目標。
Sophos Firewall 將請求傳送至閘道後面的主機 IP 位址。如果主機回應健康狀況檢查探查,則會將閘道視為活動閘道。
注意
如果探查目標的 IP 位址是公用 IP 位址,則必須在目標防火牆上建立允許流量從 VPN 區域到 WAN 區域的防火牆規則。
-
連接埠:要在其上傳送健康狀況檢查探查的連接埠編號。
-
(可選)自訂 SLA:開啟此項,可根據您為下列項目定義的自訂值,透過效能最佳的閘道路由流量:
- 延遲:可接受的最大延遲(單位:毫秒)。
- 抖動:可接受的最大抖動(單位:毫秒)。
- 封包丟失:可接受的最大封包丟失(百分比)。
注意
如果您開啟自訂 SLA,防火牆將覆寫最佳品質 SLA 策略。
-
(可選)按一下新增探查目標以指定特定防火牆的健康狀況檢查設定。請依照以下步驟操作:
- 在目標防火牆中,選取防火牆。
- 重複步驟 8。
以下是一個範例:
-
指定以下健康狀況檢查設定:
- 檢查之間的間隔:健康狀況檢查探查之間的時間間隔。
- 回應逾時:閘道必須在此時間內回應才能被視為活動狀態。
- 以下時間後停用閘道:連續嘗試探查閘道健康狀況的次數。如果閘道沒有回應這些嘗試,Sophos Firewall 會認為該閘道不可存取。
- 以下時間後啟用閘道:Sophos Firewall 可以將連結視為活動連結的連續回應次數。
- SLA 樣本大小:為確定閘道的平均效能而收集的探查樣本數。
-
依序按一下儲存、完成。