SD-WAN ポリシールーティング

SD-WAN (software-defined wide area networking) ポリシールーティングを使用すると、指定したポリシーに基づいてルーティングを決定することができます。

受信インターフェース、送信元および宛先ネットワーク、サービス、アプリケーションオブジェクト、ユーザー、ユーザーグループなど、SD-WAN ポリシールーティング条件に基づいてトラフィックをルーティングできます。 トラフィックをルーティングするプライマリゲートウェイとバックアップゲートウェイを指定できます。

両方のゲートウェイが使用できない場合、XG Firewall は別の SD-WAN ポリシールートを評価します。一致するポリシールートが見つからない場合は、デフォルトルート (WAN リンク負荷分散) が適用されます。 デフォルトルートでは、アクティブな WAN リンク間でトラフィックが負荷分散されます。 アクティブな WAN リンクの詳細については、ネットワーク > WAN リンクマネージャを参照してください。

SD-WAN ポリシールートでは、MPLS、VPN、ブロードバンドなどの接続の組み合わせを使用して、ゲートウェイのフェールオーバーとフェールバックを指定できます。また、VoIP などの重要なアプリケーションや帯域幅の影響を受けやすいトラフィックを高速 ISP リンク経由でルーティングすることもできます。

IPv4 および IPv6 SD-WAN ポリシールートを作成できます。

アプリケーションのルーティング

SD-WAN ポリシールーティングでは、アプリケーショごとにトラフィックを分類し、アプリケーションのタイプに基づいてポリシールートを指定することができます。アプリケーションオブジェクトを選択したり、プライマリゲートウェイやバックアップゲートウェイを選択したりすることが可能です。

Web アプリケーション、マイクロアプリ (例: Facebook Messenger)、Synchronized Security アプリケーション (エンドポイントデバイスで検出)、カスタムアプリケーション、およびアプリケーションカテゴリ (分類パラメータに基づく) に対して、アプリケーションオブジェクトを作成することができます。

使用例:

  • Web アプリケーションごとに、異なるゲートウェイにルーティングする。

    たとえば、Facebook のゲームを低帯域幅の ISP リンクにルーティングし、その他の Facebook アプリを高帯域幅のリンクにルーティングする、といったことができます。YouTube の Web サイトやストリーミングのトラフィックをルーティングすることはできますが、コメント、ダウンロード、その他の機能をルーティングすることはできません。

  • 重要なアプリケーションを高帯域幅の ISP リンクまたは MPLS リンクにルーティングする。

    特定のリンクへのフェールオーバーを確実に行うには、プライマリゲートウェイおよびバックアップゲートウェイを指定してください。

  • ユーザーに基づいてアプリケーショントラフィックをルーティングする。
  • アプリケーショントラフィックを特定のサーバーまたはルーターにルーティングする。

アプリケーションルーティングの設定方法:

  1. アプリケーション > アプリケーションオブジェクトに進んでください。業務およびユーザーの優先度に基づいてアプリケーションオブジェクトを作成します。
  2. SD-WAN ポリシールートを追加し、プライマリゲートウェイおよびバックアップゲートウェイを割り当てます。

XG Firewall におけるアプリケーションルーティングの仕組み:

  • XG Firewall では、最初の接続時に、宛先ポート、IP アドレス、プロトコル、およびインバウンドインターフェースを照合し、SD-WAN ポリシールートを適用します。一致しない場合は、デフォルトルート (WAN リンク負荷分散) が適用されます。
  • DPI エンジンはアプリケーションを識別し、その分類をキャッシュに保存します。

    ユーザーの要求に従って、同じ接続内でアプリケーションが途中から別のアプリケーションに代わる場合があります。たとえば、ユーザーが最初に Facebook.com にアクセスしてから Facebook チャットを開始するような場合です。最初のアプリケーションが識別された後にこうした変更が発生した場合、DPI エンジンは新しい分類を判断します。

  • その後の接続には、新しい分類が適用されます。

アプリケーションセッションの詳細の有効時間 (TTL) は、セッションの開始から 3600秒です。この期間内に別のセッションが開始されない場合は、セッションの詳細が消去されます。 XG Firewall を再起動すると、すべてのアプリケーションオブジェクトのセッション詳細が消去されます。その後の接続でアプリケーションが使用されると、上記のプロセスが適用されます。

システム生成トラフィックおよび応答パケット

システム生成トラフィックおよび応答パケットのポリシールートを作成できます。コマンドラインインターフェースで、それぞれのルーティングをオンにしてください。

応答パケットに非対称ルーティングを設定し、元のトラフィックで使用されているインターフェース以外のインターフェースを指定できます。

システム生成トラフィックの場合、送信元インターフェースとネットワークが不明となるため、宛先ネットワークとサービスだけを選択します。たとえば、XG Firewall が使用するサービスは、サービスのタイプに応じて異なるインターフェースを通過します。

ルーティングステータスを表示したり、システム生成トラフィックおよび応答パケットのルーティングをオンまたはオフにしたりするには、次の CLI コマンドを使用します。

ルーティングオプション

CLI コマンド

ルーティングステータスを表示する

console> show routing sd-wan-policy-route system-generate-traffic

console> show routing sd-wan-policy-route reply-packet

ルーティングをオンにする

console> set routing sd-wan-policy-route system-generate-traffic enable

console> set routing sd-wan-policy-route reply-packet enable

ルーティングをオフにする

console> set routing sd-wan-policy-route system-generate-traffic disable

console> set routing sd-wan-policy-route reply-packet disable

ルーティングの優先順位

ルーティングは、コマンドラインインターフェースで指定した優先順位に従います。デフォルトの優先順位は、高いほうから順に SD-WAN ポリシールート、VPN ルート、スタティックルートとなります。プロトコル、ネットワーク、およびルートの詳細を次の表に示します。

ルート

ルーティングの優先順位

スタティックルートには、次のものが含まれます。

  • 直接接続されているネットワーク
  • ダイナミックルーティングプロトコル
  • ユニキャストルート

コマンドラインインターフェースでルーティングの優先順位を設定します。

例: console> system route_precedence set static sdwan_policyroute vpn

SD-WAN ポリシールート

VPN ルート (ポリシーベースの IPsec VPN のみ)

デフォルトのルート (WAN リンクマネージャ)

設定済みのルートにトラフィックが一致しない場合のフォールバックルート。

ルーティングの設定: インターネットトラフィックおよび内部トラフィック

インターネットトラフィックの SD-WAN ポリシールートを作成するには、宛先ネットワークを WAN ホストまたは任意に設定します。

トラフィックがどの SD-WAN ポリシールートとも一致しない場合は、WAN リンクマネージャで指定された設定が適用されます。

注意 スタティックルートよりも SD-WAN ポリシールートを優先するように指定し、かつ、宛先ネットワーク任意に設定した場合、すべて (外部および内部) のトラフィックにポリシールートが適用され、内部の送信元から内部の宛先へのトラフィックが WAN ゲートウェイを使用するようになります。

以前のバージョンから 18.0 に移行した場合や、デフォルトのルートの優先順位を変更した場合に、こうした状況が発生する可能性があります。ルートの優先順位を確認するには、コマンドラインインターフェースで次のコマンドを実行します。

console> system route_precedence show

内部のトラフィックが内部のネットワークに直接到達するようにするには (内部のホストが内部のデバイスやサーバーにアクセスするなど)、コマンドラインインターフェースを使って、SD-WAN ポリシールートよりもスタティックルートが優先されるように設定します。

例: console> system route_precedence set static sdwan_policyroute vpn

すると、SD-WAN ポリシーベースのルートよりも先にスタティックルートが適用されます。内部トラフィックは内部の宛先に直接転送されるようになります。
ヒント ルーティングの優先順位は、コマンドラインインターフェースまたは Web 管理コンソールの SD-WAN ポリシールーティングページで確認できます。

ポリシールートアクションおよびゲートウェイステータス

  • SD-WAN ポリシールートの順序を変更するには、ルートをドラッグ&ドロップします。XG Firewall は、一致するものが見つかるまで、ポリシールートを上から下に評価します。一致するルートが見つかると、後続のルートは評価されません。
  • ルートをオンまたはオフにするには、状態スイッチを使用します。
  • ルートを編集するには、「編集」ボタン をクリックします。

ゲートウェイのステータス:

「アクティブ」インジケーター プライマリまたはバックアップのゲートウェイが稼働しており、ポリシールートが有効。

「非アクティブ」インジケーター ゲートウェイがダウンしており、ポリシールートが無効。ゲートウェイ監視のオーバーライドが無効。

「部分的」インジケーター ゲートウェイがダウンしており、ゲートウェイ監視のオーバーライドが有効。

ステータスアイコンにマウスを合わせると、プライマリゲートウェイおよびバックアップゲートウェイのステータスと、ゲートウェイ監視のオーバーライドの設定が表示されます。

移行された IPv4 および IPv6 のポリシールート

SFOS 18.0 以降のバージョンでは、SD-WAN ポリシールーティングでルーティングポリシーを指定する必要があります。本バージョンから、ルーティングの設定はファイアウォールルールに含まれなくなっています。XG Firewall の以前のバージョンから移行すると、ファイアウォールルール内のルーティングの設定は、「移行された SD-WAN ポリシールート」として移行されます。移行された内容は、SD-WAN ポリシーのルーティングテーブルで確認することができます。このように移行されたポリシールートは、ファイアウォールルール ID とルール名で特定できます。

システム生成トラフィックおよび応答パケットのルーティングをオンまたはオフにするには、コマンドラインインターフェースに移動します。

ルーティングの優先順位

XG Firewall の移行中は、以前のバージョンで指定したルーティングの優先順位が保持されます。18.0 より前のバージョンにおけるデフォルトの優先順位は、SD-WAN ポリシールート、VPN ルート、スタティックルートです。

注意 18.0 では、ルーティングはファイアウォールルールにリンクされていないため、宛先ネットワークが WAN ホストまたは任意に設定された移行後のポリシールートは内部トラフィックにも適用され、WAN ゲートウェイにルーティングされます。

内部トラフィックが内部の宛先に直接到達できるようにするには、コマンドラインインターフェースを使って、スタティックルーティングが SD-WAN ポリシールーティングよりも優先されるように設定します。

ヒント SD-WAN ポリシールートでは、アプリケーションオブジェクトや、ユーザー、グループに基づいてルーティングポリシーを作成することができます。この利点を活用するため、SD-WAN ポリシールートを作成して、移行後のルートを置き換えることをお勧めします。

移行されたルートには以下のルールが適用されます。

  • ポリシールート名の先頭にファイアウォールルールの ID が自動的に付加されます。
  • ファイアウォールルール ID に基づいて、移行されたルートとトラフィックがマッチングされます。
  • ゾーンは、SD-WAN ポリシールートの設定に含まれません。複数のファイアウォールルールで同じ送信元ネットワークと宛先ネットワークが指定されており、それらのゾーンが異なるときは、ファイアウォールルールごとに個別のポリシールートが作成されます。
  • 移行されたポリシーの処理順序は、ファイアウォールルールの処理順序に対応しているため変更できません。
  • ファイアウォールルールを削除すると、移行されたポリシーも削除されます。
  • ゲートウェイとゲートウェイの監視基準のみ変更できます。
ヒント 移行されたポリシールートを削除する前に、現在の設定のバックアップを作成するようにしてください。