Was ist neu am SD-WAN-Richtlinien-Routing in 18.0?

Ein Vergleich der Funktionen und des Verhaltens der Routing-Einstellungen in 17.5 und früher mit SD-WAN-Richtlinien-Routing in 18.0.

Einleitung

Sie können SD-WAN-Richtlinienrouten für folgende Elemente erstellen:
  • Anwendungsbasierte Routen
  • Benutzer- und gruppenbasierte Routen
  • Vom System generierter Datenverkehr
  • Antwortpakete

Routing (17.5) im Vergleich zu SD-WAN-Richtlinien Routing (18.0)

17.5 und früher

18.0

Erforderliche Regeln und Richtlinien

Firewallregeln mit Routing- und NAT-Einstellungen.

  • Firewallregeln ohne Routing- und NAT-Einstellungen
  • NAT-Regeln
  • SD-WAN-Richtlinienrouting

Primäre und Reserve-Gateways

Ja

Ja

Wenn die Gateways ausfallen

Wertet andere SD-WAN-Richtlinienroute aus. Wenn keine andere passende Richtlinienroute gefunden wird, wird die Standardroute (WAN-Link-Lastverteilung) angewendet.

Auf der Grundlage von Gateway-Überwachungsentscheidung übergehen:

Ausgewählt: Datenverkehr wird verworfen.

Nicht ausgewählt: Wertet andere SD-WAN-Richtlinienroute aus. Wenn keine andere passende Richtlinienroute gefunden wird, wird die Standardroute (WAN-Link-Lastverteilung) angewendet. Die Standardroute verteilt die Datenverkehrslast zwischen den aktiven WAN-Verbindungen. Routing bleibt bestehen.

Wenn das primäre Gateway gelöscht wird

Wertet andere SD-WAN-Richtlinienroute aus. Wenn keine andere passende Richtlinienroute gefunden wird, wird die Standardroute (WAN-Link-Lastverteilung) angewendet.

Wertet andere SD-WAN-Richtlinienroute aus. Wenn keine andere passende Richtlinienroute gefunden wird, wird die Standardroute (WAN-Link-Lastverteilung) angewendet.

Routing von internem Datenverkehr

Wendet die Routing-Einstellungen der Firewallregel an, wobei Quell- und Zielzonen auf interne Zonen gesetzt sind.

Wendet Routing auf alle Zonen in einem Netzwerk an, einschließlich interner Zonen basierend auf den Zielnetzwerken.

Wenn Sie Richtlinienrouten erstellen, bei denen Zielnetzwerke auf Beliebig gesetzt ist, leitet XG Firewall auch internen Datenverkehr an die WAN-Schnittstelle weiter.

Details hierzu finden Sie unter Fehlerbehebung.

Wie migrierte SD-WAN-Richtlinienrouten funktionieren

Funktionalität

Migrierte SD-WAN-Richtlinienrouten

Firewallregeln

Migriert als unabhängige Regeln und Richtlinien:

  • Firewallregeln ohne Routing-Einstellungen.
  • Migrierte NAT-Regeln.
  • Migrierte SD-WAN-Richtlinienrouten mit der zugehörigen Firewallregel-ID und Namen.

XG Firewall verwendet die Firewallregel-ID, um Datenverkehr mit migrierten Routen abzugleichen.

Firewallregeln mit den folgenden Einstellungen:

  • Zielzonen: LAN
  • Kein Gateway

Migrierte SD-WAN-Richtlinienrouten werden nicht erstellt.

Firewallregeln mit den folgenden Einstellungen:

  • Zielzonen: WAN
  • WAN-Link Lastverteilung

Migrierte SD-WAN-Richtlinienrouten werden nicht erstellt. Wertet andere SD-WAN-Richtlinienroute aus. Wenn keine andere passende Richtlinienroute gefunden wird, wird die Standardroute (WAN-Link-Lastverteilung) angewendet.

Zonen in Firewallregeln

Einzelne migrierte SD-WAN-Richtlinienrouten werden erstellt, wenn sich mehrere Firewallregeln nur in den Merkmalen der Quell- und Zielzone unterscheiden.

Reihenfolge von migrierten SD-WAN-Richtlinienrouten

Die Reihenfolge kann nicht geändert werden, da diese Routen der Firewallregelreihenfolge entsprechen.

Einstellungen, die Sie in migrierten SD-WAN-Richtlinienrouten ändern können

Nur Routing-Parameter:

  • Primäres Gateway
  • Backup-Gateway
  • Gateway-Überwachungsentscheidung übergehen

Migrierte Firewallregel wird gelöscht

Die verbundene migrierte SD-WAN-Richtlinienroute wird gelöscht.

Routenpriorisierung

Die in der früheren Version angegebene Routenpriorisierung wird migriert.

Sie wollen sie eventuell auf die Standardpriorisierung von 18.0 festlegen: Statische Route, SD-WAN-Richtlinienroute, VPN-Route.

Neue Funktionalität beim SD-WAN-Richtlinienrouting

Funktionalität

18.0

Anwendungsbasiertes Routing

Erfordert eine aktive Web-Protection-Lizenz.

WAN-Link Lastverteilung: Die erste Verbindung einer Anwendung wird über die Lastverteilung für WAN-Verbindungen, die Standardroute, geroutet. Die angegebene anwendungsbasierte Route gilt für nachfolgende Verbindungen, nachdem XG Firewall die Sitzungsdetails gelernt hat.

Hochverfügbarkeit: Die zwischengespeicherten anwendungsbasierten Routing-Details werden über den dedizierten HA-Link unter Verwendung der Multicast-IP-Adresse 226.1.1.1 auf Port 4455 synchronisiert.

Micro-Apps: Der Web-Proxy-Modus unterstützt kein anwendungsbasiertes Routing für Micro-Apps. Es unterstützt nur Pattern-Anwendungen und synchronisierte Sicherheitsanwendungen. Das DPI-Modul unterstützt anwendungsbasiertes Routing für alle Anwendungen, einschließlich Micro-Apps.

Um zu erfahren, wie Sie anwendungsbasiertes Routing konfigurieren, gehen Sie zu Wie man SD-WAN-Richtlinienrouten konfiguriert.

Benutzer und Gruppen

Kann SD-WAN-Richtlinienrouten basierend auf Benutzern und Gruppen erstellen.

Vom System generierter Datenverkehr

  • Kann SD-WAN-Richtlinienrouten erstellen.
  • Kann die Gateways angeben.
  • Erfordert eine WAN-Schnittstelle.

SD-WAN-Richtlinienrouting ist standardmäßig deaktiviert. Um es einzuschalten, gehen Sie zur Kommandozeile.

Antwortpakete

  • Kann SD-WAN-Richtlinienrouten erstellen.
  • Kann ein bestimmtes Gateway auswählen. Antwortpakete können basierend auf dem angegebenen Gateway eine andere Route als die ursprüngliche Route verwenden. Sie können primäre und Reserve-Gateways angeben.

SD-WAN-Richtlinienrouting ist standardmäßig deaktiviert. Um es einzuschalten, gehen Sie zur Kommandozeile.