跳至內容

SD-WAN 設定檔

您可以在 Sophos Central 的 SD-WAN 連線群組中的防火牆上建立 SD-WAN 設定檔。

您可以使用 SD-WAN 設定檔定義跨 SD-WAN 網路閘道的 SD-WAN 路由策略。您可以根據閘道的可用性或效能來路由流量。這將最佳化您 SD-WAN 網路的效能,並提高抵禦 ISP 中斷的復原能力。

注意

Sophos Central 支援 Sophos Firewall 19.0 和更新版本上的 SD-WAN 設定檔。

注意

如果 XFRM 介面的 IP 位址不在 /30 子網中,SD-WAN 設定檔將不起作用。如果不在,則防火牆旁將顯示移轉選項。按一下該選項,將通道的所有 IP 位址移轉到 /30 子網。IP 位址是從 IP 位址集區 10.252.0.0/15 和 10.254.0.0/16 指派的。移轉完成後,將顯示一條訊息,指示移轉已完成。

服務等級協定

服務等級協定 (SLA) 允許您根據閘道的效能路由流量。SLA 包括效能監控條件。防火牆會執行健康狀況檢查,並根據 SLA 中定義的條件選取效能最佳的閘道。您可使用下列 SLA 之一:

  • 最佳品質:根據您選取的效能監控條件(延遲、抖動或封包丟失)選取效能最佳的閘道。例如,如果選取延遲作為效能監控條件,防火牆將選取具有最小延遲的閘道。您可以將此 SLA 用於非關鍵流量。這是預設的 SLA 策略,適用於您與之建立 VPN 通道的任何防火牆。
  • 自訂 SLA:根據為延遲、抖動和封包丟失定義的最大可接受值選取效能最佳的閘道。使用此策略覆寫預設 SLA 策略。此 SLA 適用於要與之建立 VPN 通道的特定防火牆。

使用最佳品質 SLA 時,防火牆只會根據一個條件尋找效能最佳的閘道。自訂 SLA 確保防火牆選取滿足所有條件指定效能級別的閘道。

如果沒有閘道符合 SLA,防火牆將透過第一個可用閘道路由流量。

建立 SD-WAN 設定檔

若要建立 SD-WAN 設定檔,請依照以下步驟操作:

  1. 移至防火牆管理 > SD-WAN 連線群組,然後按一下您要建立 SD-WAN 設定檔的連線群組。
  2. SD-WAN 連線群組建立助理中,移至設定網路
  3. 按一下要在其中建立 SD-WAN 設定檔之防火牆的詳細資料/編輯
  4. 在防火牆頁面上,選取 SD-WAN 設定檔
  5. 選取備份閘道。

    Sophos Central 會自動建立閘道以建立 VPN 通道。對於備份閘道,請選取防火牆中存在的閘道。然後,防火牆透過第一個可用或效能最佳的閘道路由流量。

  6. 選取下列路由策略之一:

    限制

    Sophos Firewall 19.5 及更新版本上會顯示此選項。

    • 首個可用閘道:使用此選項,根據閘道的可用性路由流量。防火牆會依照您列出的順序,對所有新增的閘道執行健康狀況檢查,並選取第一個可用的閘道。
    • 負載平衡:使用此選項,在所有新增閘道或符合 SLA 的閘道之間平衡流量。選取負載平衡方法:

      • 循環設定資源:使用此選項,按列出的順序在所有閘道之間平衡流量。例如,如果有三個閘道,防火牆會將第一個請求傳送到第一個閘道,第二個請求傳送到第二個閘道,第三個請求傳送到第三個閘道,第四個請求再次傳送到第一個閘道。
      • 工作階段持續性類型:根據您選取的持續性類型(源 IP 位址、目標 IP 位址、源和目標 IP 位址或連線),使用此選項可在工作階段期間保持相同的閘道。
  7. 開啟服務等級協定 (SLA) 並選取下列效能監控條件之一:

    • 延遲:選取延遲最短的閘道。
    • 抖動:選取抖動最短的閘道。
    • 封包丟失:選取封包丟失最小的閘道。

    如果未開啟服務等級協定 (SLA),防火牆將透過第一個可用閘道路由流量。

    SLA 設定

  8. 針對預設(任意防火牆)指定健康狀況檢查設定,如下所示:

    1. 通訊協定:用於檢查閘道狀態的通訊協定。您可以選取 PingTCP
    2. 探查目標 IP 位址:閘道後面主機裝置(探查目標)的 IP 位址。您可新增兩個探查目標。

      Sophos Firewall 將請求傳送至閘道後面的主機 IP 位址。如果主機回應健康狀況檢查探查,則會將閘道視為活動閘道。

      注意

      如果探查目標的 IP 位址是公用 IP 位址,則必須在目標防火牆上建立允許流量從 VPN 區域到 WAN 區域的防火牆規則。

    3. 連接埠:要在其上傳送健康狀況檢查探查的連接埠編號。

    4. (可選)自訂 SLA:開啟此項,可根據您為下列項目定義的自訂值,透過效能最佳的閘道路由流量:

      • 延遲:可接受的最大延遲(單位:毫秒)。
      • 抖動:可接受的最大抖動(單位:毫秒)。
      • 封包丟失:可接受的最大封包丟失(百分比)。

      注意

      如果您開啟自訂 SLA,防火牆將覆寫最佳品質 SLA 策略。

  9. (可選)按一下新增探查目標以指定特定防火牆的健康狀況檢查設定。請依照以下步驟操作:

    1. 目標防火牆中,選取防火牆。
    2. 重複步驟 8。

    以下是一個範例:

    防火牆的健康狀況檢查設定

  10. 指定以下健康狀況檢查設定:

    1. 檢查之間的間隔:健康狀況檢查探查之間的時間間隔。
    2. 回應逾時:閘道必須在此時間內回應才能被視為活動狀態。
    3. 以下時間後停用閘道:連續嘗試探查閘道健康狀況的次數。如果閘道沒有回應這些嘗試,Sophos Firewall 會認為該閘道不可存取。
    4. 以下時間後啟用閘道:Sophos Firewall 可以將連結視為活動連結的連續回應次數。
    5. SLA 樣本大小:為確定閘道的平均效能而收集的探查樣本數。
  11. 依序按一下儲存完成