Wie man SD-WAN-Richtlinienrouten konfiguriert

Sie können SD-WAN-Richtlinien verwenden, um Datenverkehr von einer Zweigstelle zur Zentrale und zu Cloud-Anwendungen routen, wobei das MPLS-Netzwerk und ISP-Verbindungen verwendet werden.

Einleitung

In diesem Beispiel erstellen Sie eine SD-WAN-Richtlinie, um Datenverkehr von der Zweigstelle zu den Servern in der Zentrale mithilfe eines vorhandenen MPLS-Netzwerks zu leiten. Sie erstellen eine weitere SD-WAN-Richtlinie, um den Datenverkehr vom Vertriebsteam im LAN der Zweigstelle über ISP-Links an Cloud-Anwendungen weiterzuleiten. Außerdem erstellen Sie Firewallregeln, um den Datenverkehr zuzulassen.

  • Route-1: Leiten Sie den Datenverkehr von der Zweigstelle an die Webserver in der Zentrale weiter:
    • Erstellen Sie eine SD-WAN-Richtlinienroute mit MPLS-1 und MPLS-2.
  • Route-2: Leiten Sie Datenverkehr vom Vertriebsteam im LAN der Zweigstelle an Cloud-Anwendungen weiter:
    • Erstellen Sie ein Anwendungsobjekt für die vom Vertriebsteam verwendeten Anwendungen, z.B. Konferenzen, Lead-Management, VoIP sowie Speicher- und Sicherungsanwendungen.
    • Erstellen Sie eine SD-WAN-Richtlinie, um den Datenverkehr in Zweigstellen über die Links ISP-1 und ISP-2 an diese Cloud-Anwendungen weiterzuleiten.
  • Erstellen Sie eine Firewallregel, um den Datenverkehr zuzulassen.


SD-WAN-Richtlinie erstellen zur Weiterleitung von Datenverkehr in Zweigstellen an Server in Zentrale (Route-1)

In diesem Beispiel wird der gesamte Datenverkehr aus dem LAN-Netzwerk 172.16.16.0/24 über das primäre Gateway MPLS-1 geroutet. MPLS-2 ist das Reserve-Gateway.

  1. Gehen Sie zu Routing > SD-WAN-Richtlinienrouting. Blättern Sie nach unten zu IPv4 oder Ipv6 SD-WAN-Richtlinienroute, und wählen Sie Hinzufügen.
  2. Legen Sie die folgenden Einstellungen fest:

    Name

    Beschreibung

    Name

    Geben Sie einen Namen ein.

    Filiale_an_Zentralserver

    Eingehende Schnittstelle

    Beliebig

    Quellnetzwerk

    172.16.16.0/24

    Zielnetzwerk

    192.168.1.0/24

    Primäres Gateway

    MPLS-1_10.10.11.1

    Backup-Gateway

    MPLS-2_10.10.12.2

Firewallregeln: Sie müssen eine Firewallregel erstellen, um Datenverkehr von der angegebenen Quelle zum Ziel zuzulassen.

NAT-Regel Quell-NAT-Regeln sind für MPLS-Datenverkehr nicht erforderlich.

SD-WAN-Richtlinienroute in der Zentrale: Sie müssen eine SD-WAN-Richtlinie auf der XG Firewall Appliance in der Zentrale erstellen, um die für diese Route erzeugten Antwortpakete zu routen.

Erstellen einer Firewallregel, um Datenverkehr vom Zweigstellen-LAN zu Webservern in der Zentrale zuzulassen

  1. Gehen Sie zu Regeln und Richtlinien > Firewallregeln. Wählen Sie Protokoll IPv4 oder IPv6 aus und wählen Sie Firewallregel hinzufügen. Wählen Sie Neue Firewallregel aus.
  2. Geben Sie den Namen und die Position der Regel an.
  3. Legen Sie die folgenden Einstellungen fest:

    Name

    Beschreibung

    Quellzonen

    LAN

    Quellnetzwerke und Geräte

    		 172.16.16.0/24

    Zielzonen

    MPLS_DMZ

    MPLS-Netzwerk in der DMZ in der Zweigstelle erstellt.

    Zielnetzwerke

    192.168.1.0/24

    Dienste

    Web_Traffic

    In diesem Beispiel schließt dieser Dienst TCP 80- und TCP 443-Ports und -Protokolle ein.

    Alternativ können Sie die Dienste in der SD-WAN-Richtlinienroute anstatt in der Firewallregel festlegen.
  4. Klicken Sie auf Speichern.

Anwendungsobjekt erstellen (Route-2)

Erstellen Sie ein Anwendungsobjekt mit Cloud-Anwendungen, die vom Vertriebsteam verwendet werden.

  1. Gehen Sie zu Anwendungen > Anwendungsobjekt und klicken Sie auf Hinzufügen.
  2. Geben Sie einen Namen für das Anwendungsobjekt ein, z.B. CloudApps_Sales.
  3. Wählen Sie die Anwendungen aus. Sie können den Smartfilter verwenden, um die gewünschten Anwendungen aufzulisten. Alternativ können Sie auch die Anwendungsprofillisten oder den Filter neben Name verwenden und die Anwendungen auswählen.

    In diesem Beispiel haben Sie die Anwendungen Citrix GoToTraining, Citrix Online, SalesForce, Vonage, Whatsapp Call, Carbonite, DropBox File Upload und OneDrive ausgewählt.

  4. Klicken Sie auf Speichern.

SD-WAN-Richtlinie erstellen zur Weiterleitung von Datenverkehr an Cloud-Anwendungen (Route-2)

Der gesamte Datenverkehr aus dem LAN-Netzwerk 172.16.16.0/24 wird über das primäre Gateway ISP-1 geroutet. ISP-2 ist das Reserve-Gateway.

  1. Gehen Sie zu Routing > SD-WAN-Richtlinienrouting. Blättern Sie nach unten zu IPv4 oder Ipv6 SD-WAN-Richtlinienroute, und wählen Sie Hinzufügen.
  2. Legen Sie die folgenden Einstellungen fest:

    Name

    Beschreibung

    Name

    Geben Sie einen Namen ein.

    Filiale_zu_CloudVertriebsApps

    Eingehende Schnittstelle

    Port3

    Port 3 wurde für die LAN-Zone konfiguriert.

    Anwendungsobjekt

    CloudApps_Vertrieb

    Benutzer oder Gruppen

    Vertriebsteam

    Primäres Gateway

    ISP-1_173.20.10.2

    Backup-Gateway

    ISP-2_9.8.10.2
  3. Klicken Sie auf Speichern.

Sie müssen eine Firewallregel erstellen, um Datenverkehr von der angegebenen Quelle zum Ziel zuzulassen. Die Standard-NAT-Quellregel führt die Übersetzung durch.

Firewallregel erstellen, um Vertriebsteam der Zweigstelle Zugriff auf Cloud-Anwendungen zu ermöglichen

  1. Gehen Sie zu Regeln und Richtlinien > Firewallregeln. Wählen Sie Protokoll IPv4 oder IPv6 aus und wählen Sie Firewallregel hinzufügen. Wählen Sie Neue Firewallregel aus.
  2. Geben Sie den Namen und die Position der Regel an.
  3. Legen Sie die folgenden Einstellungen fest:

    Name

    Beschreibung

    Quellzonen

    LAN

    Quellnetzwerke und Geräte

    172.16.16.0/24

    Zielzonen

    WAN

    Zielnetzwerke

    Beliebig

    Dienste

    Beliebig
    Anmerkung Sie müssen keine Benutzer oder Gruppen in der Firewallregel angeben, da Sie sie in der SD-WAN-Richtlinienroute angegeben haben.
  4. Klicken Sie auf Speichern.