SD-WAN-Richtlinienrouting

Das Richtlinienrouting für SD-WAN (Software Defined Wide Area Networking) ermöglicht Ihnen den Einsatz von Routing-Entscheidungen auf der Grundlage der von Ihnen festgelegten Richtlinien.

Sie können Datenverkehr basierend auf SD-WAN-Richtlinienrouting-Kriterien wie der eingehenden Schnittstelle, Quell- und Zielnetzwerken, Diensten, Anwendungsobjekten, Benutzern und Benutzergruppen routen. Sie können das primäre und die Reserve-Gateways angeben, durch die der Datenverkehr weitergeleitet werden soll.

Wenn beide Gateways nicht verfügbar sind, wertet XG Firewall andere SD-WAN-Richtlinienrouten aus. Wenn keine andere passende Richtlinienroute gefunden wird, wird die Standardroute (WAN-Link-Lastverteilung) angewendet. Die Standardroute verteilt die Datenverkehrslast zwischen den aktiven WAN-Verbindungen. Weitere Informationen zu aktiven WAN-Verbindungen finden Sie unter Netzwerk > WAN-Link-Manager .

SD-WAN-Richtlinienrouten ermöglichen das Festlegen von Gateway-Failover und Failback unter Verwendung einer Kombination von Verbindungen, z.B. MPLS, VPN, Breitband. Sie können auch kritische Anwendungen und bandbreiten-sensiblen Datenverkehr, wie z.B. VoIP, über ISP-Hochgeschwindigkeits-Verbindungen leiten.

Sie können IPv4- und IPv6-SD-WAN-Richtlinienrouten erstellen.

Anwendungsrouting

Das SD-WAN-Richtlinienrouting kann Datenverkehr basierend auf Anwendungen klassifizieren, sodass Sie Richtlinienrouten basierend auf dem Anwendungstyp festlegen können. Sie können das primäre Gateway und die Reserve-Gateways basierend auf den von Ihnen ausgewählten Anwendungsobjekten auswählen.

Sie können Anwendungsobjekte für Webanwendungen oder Micro-Apps erstellen (Beispiel: Facebook Messenger), Synchronized-Security-Anwendungen (entdeckt auf Endgeräten), benutzerdefinierte Anwendungen und Anwendungskategorien basierend auf den Klassifizierungsparametern.

Anwendungsfälle:

  • Die einzelnen Anwendungen einer Webanwendung über verschiedene Gateways routen.

    Beispielsweise können Sie Facebook-Spiele über einen ISP-Link mit geringer Bandbreite und andere Facebook-Anwendungen über einen Link mit hoher Bandbreite weiterleiten. Um den Richtlinien Ihrer Organisation gerecht zu werden, können Sie YouTube-Websites und YouTube-Streaming-Datenverkehr weiterleiten, jedoch nicht die Kommentare, Downloads und andere Funktionen.

  • Kritische Anwendungen über ISP- oder MPLS-Verbindungen mit hoher Bandbreite routen.

    Um ein Failover auf eine bestimmte Verbindung zu gewährleisten, müssen Sie das primären Gateway und die Reserve-Gateways angeben.

  • Anwendungsverkehr basierend auf Benutzern routen.
  • Anwendungsverkehr an bestimmte Server oder Router weiterleiten.

So konfigurieren Sie das Anwendungsrouting:

  1. Gehen Sie zu Anwendungen > Anwendungsobjekt. Erstellen Sie ein Anwendungsobjekt basierend auf Ihrer Unternehmens- und Benutzerpriorität.
  2. Fügen Sie eine SD-WAN-Richtlinienroute hinzu, und weisen Sie das primäre Gateway und die Reserve-Gateways zu.

So setzt XG Firewall Anwendungsrouting um:

  • Für die erste Verbindung setzt XG Firewall eine SD-WAN-Richtlinienroute ein basierend auf einer Übereinstimmung von Zielport und Ziel-IP-Adresse, Protokoll und der eingehenden Schnittstelle. Wenn sie keine übereinstimmende Route findet, wendet sie die Standardroute (WAN-Link Lastverteilung) an.
  • Das DPI-Modul identifiziert die Anwendung und speichert die Klassifizierungsentscheidung.

    Je nach Benutzeranfrage kann innerhalb einer einzigen Verbindung eine andere Anwendung die Stelle der ursprünglichen Anwendung übernehmen. Nutzer können beispielsweise zuerst auf facebook.com gehen und dann den Facebook-Chat starten. Wenn die Änderung auftritt, nachdem die ursprüngliche Anwendung identifiziert wurde, trifft das DPI-Modul eine neue Klassifizierungsentscheidung.

  • Die neue Klassifizierungsentscheidung gilt für nachfolgende Verbindungen des Anwendungsverkehrs.

Die Time-to-Live (TTL) für Details zu Anwendungssitzungen beträgt 3600 Sekunden nach Beginn der Sitzung. Wenn innerhalb dieses Zeitraums keine andere Sitzung gestartet wird, werden die Sitzungsdetails bereinigt. Wenn Sie XG Firewall neu starten, werden die Sitzungsdaten aller Anwendungsobjekte bereinigt. Nachfolgende Verbindungen, die die Anwendung verwenden, durchlaufen den oben aufgeführten Implementierungsvorgang.

Systemgenerierter Datenverkehr und Antwortpakete

Sie können Richtlinienrouten für systemgenerierten Datenverkehr und Antwortpakete erstellen. Stellen Sie sicher, auf der Kommandozeilenschnittstelle für jede einzelne dieser Schnittstellen unabhängig Routing zu aktivieren.

Sie können asymmetrisches Routing für Antwortpakete konfigurieren, indem Sie eine andere Schnittstelle als die vom ursprünglichen Datenverkehr verwendete Schnittstelle angeben.

Wählen Sie für systemgenerierten Datenverkehr nur die Zielnetzwerke und -Dienste aus, da Quellschnittstelle und -netzwerk unbekannt bleiben. Beispielsweise werden die von XG Firewall verwendeten Dienste je nach Art des Dienstes über verschiedene Schnittstellen geleitet.

Um den Routing-Status anzuzeigen und das Routing für systemgenerierten Datenverkehr und Antwortpakete ein- oder auszuschalten, verwenden Sie die folgenden Kommandozeilenbefehle.

Routing-Option

Kommandozeilenbefehl

Routing-Status anzeigen

console> show routing sd-wan-policy-route system-generate-traffic

console> show routing sd-wan-policy-route reply-packet

Routing aktivieren

console> set routing sd-wan-policy-route system-generate-traffic enable

console> set routing sd-wan-policy-route reply-packet enable

Routing deaktivieren

console> set routing sd-wan-policy-route system-generate-traffic disable

console> set routing sd-wan-policy-route reply-packet disable

Routenpriorisierung

Routing folgt der Priorität, die Sie auf der Kommandozeilenschnittstelle angeben. Die standardmäßige Routing-Priorität lautet statische Routen, SD-WAN-Richtlinienrouten und dann VPN-Routen. Die Protokoll-, Netzwerk- und Routendetails werden in der folgenden Tabelle angezeigt.

Routen

Routenpriorisierung

Statische Routen umfassen Folgendes:

  • Direkt verbundene Netzwerke
  • Dynamische Routing-Protokolle
  • Unicast-Routen

Legen Sie die Priorität bei der Weiterleitung auf der Kommandozeile fest.

Beispiel: console> system route_precedence set static sdwan_policyroute vpn

SD-WAN-Richtlinienrouten

VPN-Routen (nur richtlinienbasierte IPsec-VPNs)

Standardroute (WAN-Link-Manager)

Fallback-Route, wenn der Verkehr nicht mit einer konfigurierten Route übereinstimmt.

Routing-Einstellungen: Internet und interner Datenverkehr

Um eine SD-WAN-Richtlinienroute für Internetverkehr zu erstellen, können Sie Zielnetzwerke auf einen WAN-Host oder auf Beliebig stellen.

Wenn der Datenverkehr keiner SD-WAN-Richtlinienroute entspricht, wendet XG Firewall die im WAN-Link-Manager angegebenen Einstellungen an.

ACHTUNG Wenn Ihre Routenpriorität SD-WAN-Richtlinienrouten vor statischen Routen einordnet und Sie Zielnetzwerke auf Beliebig gesetzt haben, wendet XG Firewall die Richtlinienroute auf den gesamten (externen und internen) Datenverkehr an, wobei sie Ihre internen Quellen zwingt, das WAN-Gateway für interne Ziele zu verwenden.

Dies tritt wahrscheinlich auf, wenn Sie von einer früheren Version zu 18.0 migriert haben oder wenn Sie die Standard-Routenpriorisierung der Route geändert haben. Um die Routenpriorisierung anzuzeigen, gehen Sie zur Kommandozeile und verwenden Sie den folgenden Befehl:

console> system route_precedence show

Wenn Sie wollen, dass der interne Datenverkehr (z.B. interne Hosts, die auf interne Geräte und Server zugreifen) auf direktem Weg das interne Netzwerk erreicht, legen Sie die Routenpriorisierung auf der Kommandozeile so fest, dass statisches Routing vor SD-WAN-Richtlinienrouting stattfindet.

Beispiel: console> system route_precedence set static sdwan_policyroute vpn

Nun wendet XG Firewall die statischen Routen an, bevor sie die richtlinienbasierten SD-WAN-Routen anwendet. Interner Datenverkehr wird direkt an das interne Ziel weitergeleitet.
Tipp Sie können die Priorität bei der Weiterleitung auf der Kommandozeilenschnittstelle oder auf der SD-WAN-Richtlinienrouting-Seite in der Web-Admin-Oberfläche anzeigen.

Aktionen für Richtlinienrouten und Gateway-Status

  • Um die Position einer SD-WAN-Richtlinienroute zu ändern, klicken und ziehen Sie die Route an die gewünschte Position. XG Firewall wertet Richtlinienrouten von oben nach unten aus, bis sie eine Übereinstimmung findet. Sobald sie eine Übereinstimmung findet, wertet sie keine weiteren Routen aus.
  • Um eine Route ein- oder auszuschalten, verwenden Sie den Status-Schalter.
  • Um eine Route zu bearbeiten, klicken Sie auf Bearbeiten Schaltfläche „Bearbeiten“.

Gateway-Status

Aktiv-Statusanzeige Das primäre oder das Reserve-Gateway ist in Betrieb und die Richtlinienroute ist aktiv.

Inaktiv-Statusanzeige Das Gateway ist ausgefallen und die Richtlinienroute ist nicht aktiv. Die Umgehung der Gateway-Überwachung ist deaktiviert.

Statusanzeige „Teilweise aktiv“ Das Gateway ist ausgefallen und die Umgehung der Gateway-Überwachung ist eingeschaltet.

Bewegen Sie den Mauszeiger über das Statussymbol, um den Status des primären Gateways und des Reserve-Gateways anzuzeigen sowie der Umgehung der Gateway-Überwachung.

Migrierte IPv4- und IPv6-Richtlinienrouten

In SFOS 18.0 und neueren Versionen müssen Sie Routing-Richtlinien im SD-WAN-Richtlinienrouting festlegen. Firewallregeln enthalten keine Routing-Einstellungen mehr. Wenn Sie von einer früheren Version migrieren, migriert XG Firewall die Routing-Einstellungen in Firewallregeln als Migrierte SD-WAN-Richtlinienrouten. Sie können sie in der SD-WAN-Richtlinienrouting-Tabelle sehen. Sie können diese migrierten Richtlinienrouten anhand der ID und des Namens der Firewallregel identifizieren.

Um das Routing für systemgenerierten Datenverkehr und Antwortpakete ein- oder auszuschalten, gehen Sie zur Kommandozeilenschnittstelle.

Routenpriorisierung

XG Firewall behält während der Migration die in der vorherigen Version angegebene Routing-Priorität bei. Die standardmäßige Routing-Priorität in Versionen vor 18.0 sind SD-WAN-Richtlinienrouten, VPN-Routen und dann statische Routen.

ACHTUNG Da Routing nicht mit Firewallregeln in 18.0 verknüpft ist, gelten migrierte Richtlinienrouten, bei denen Zielnetzwerke auf einen WAN-Host oder Beliebig gesetzt ist, auch für internen Datenverkehr, wobei dieser Datenverkehr über das WAN-Gateway geleitet wird.

Damit der interne Datenverkehr interne Ziele direkt erreichen kann, gehen Sie zur Kommandozeilenschnittstelle, und legen Sie die Routing-Priorität mit statischem Routing vor dem SD-WAN-Richtlinienrouting fest.

Tipp Um die Vorteile von SD-WAN-Richtlinienrouten zu nutzen, z.B. die Erstellung von Routing-Richtlinien auf der Grundlage von Anwendungsobjekten, Benutzern und Gruppen, empfehlen wir die Erstellung von SD-WAN-Richtlinienrouten, um die migrierten Routen zu ersetzen.

Die folgenden Regeln gelten für migrierte Routen:

  • XG Firewall stellt die Firewallregel-ID automatisch der Richtlinienroute voran.
  • XG Firewall verwendet die Firewallregel-ID, um Datenverkehr mit migrierten Routen abzugleichen.
  • Zonen sind nicht Teil der SD-WAN-Richtlinienrouten-Einstellungen. Wenn mehr als eine Firewallregel dasselbe Quell- und Zielnetzwerk, aber unterschiedliche Zonen angeben, werden individuelle Richtlinienrouten erstellt, die den Firewallregeln entsprechen.
  • Sie können die Reihenfolge der migrierten Richtlinienrouten nicht ändern, da sie der Firewallregelreihenfolge entsprechen.
  • Wenn Sie die Firewallregel löschen, wird die migrierte Richtlinienroute gelöscht.
  • Sie können nur die Gateways und die Gateway-Überwachungsentscheidung bearbeiten.
Tipp Stellen Sie sicher, dass Sie eine Sicherung der aktuellen Konfiguration durchführen, bevor Sie mit dem Löschen der migrierten Richtlinienrouten beginnen.