SD-WAN ルートの設定
SD-WAN ポリシーを使用すると、 MPLS ネットワークおよび ISP リンクを使用して、ブランチオフィスから本社およびクラウドアプリケーションにトラフィックをルーティングできます。
はじめに
この例では、既存の MPLS ネットワークを使用して、ブランチオフィスから本社のサーバにトラフィックをルーティングする SD-WAN ポリシーを作成します。別の SD-WAN ポリシーを作成して、ブランチオフィス LAN のセールスチームからのトラフィックを、 ISP リンクを使用してクラウドアプリケーションにルーティングします。また、トラフィックを許可するファイアウォールルールも作成します。
- ルート 1: ブランチオフィスから本社の Web サーバにトラフィックをルーティングします。
- MPLS-1 および MPLS-2 を使用して SD-WAN ルートを作成します。
- ルート 2: ブランチオフィス LAN の営業チームからクラウドアプリケーションへのトラフィックのルーティング:
- セールスチームが使用するアプリケーション (会議、リード管理、 VoIP 、ストレージおよびバックアップアプリケーションなど) のアプリケーションオブジェクトを作成します。
- リンク ISP-1 および ISP-2 を使用してブランチオフィストラフィックをこれらのクラウドアプリケーションにルーティングする SD-WAN ポリシーを作成します。
- トラフィックを許可するファイアウォールルールを作成します。
ブランチオフィスのトラフィックを本社のサーバにルーティングするための SD-WAN ポリシーの作成 (ルート 1)
この例では、 LAN ネットワーク 172.16.16.0/24 からのすべてのトラフィックは、プライマリゲートウェイ MPLS-1 を介してルーティングされます。MPLS-2 はバックアップゲートウェイです。
- 「ルーティング > SD-WAN ルート」に移動します。
- 「IPv4」または「IPv6」をクリックし、「追加」をクリックします。
-
次の設定を指定します。
名前 説明 名前 名前を入力します。
BO_to_HO_Servers
受信インターフェース Any
送信元ネットワーク 172.16.16.0/24
宛先ネットワーク 192.168.1.0/24
プライマリゲートウェイ MPLS-1_10.10.11.1
バックアップゲートウェイ MPLS-2_10.10.12.2
ファイアウォールルール: 指定した送信元から宛先へのトラフィックを許可するファイアウォールルールを作成する必要があります。
NAT ルール: MPLS トラフィックには、送信元 NAT ルールは必要ありません。
本社の SD-WAN ルート: このルートで生成された応答パケットをルーティングするには、本社の Sophos Firewall で SD-WAN ポリシーを作成する必要があります。
ブランチオフィス LAN から本社の Web サーバーへのトラフィックを許可するファイアウォールルールを作成する
- 「ルールとポリシー > ファイアウォールルール」に移動します。
- 「IPv4」または「IPv6」を選択し、「ファイアウォールルールの追加 > 新しいファイアウォールルール」を選択します。
-
ルールの名前と位置を指定します。 次の設定を指定します。
名前 説明 送信元ゾーン LAN
送信元ネットワークとデバイス 172.16.16.0/24
宛先ゾーン MPLS_DMZ
ブランチオフィスの DMZ に MPLS ネットワークを作成した。宛先ネットワーク 192.168.1.0/24
サービス Web_traffic
この例では、このサービスに TCP 80 および TCP 443 のポートとプロトコルが含まれています。
または、ファイアウォールルールではなく、SD-WAN ルートでサービスを指定することもできます。 -
「保存」をクリックします。
アプリケーションオブジェクトを作成する (Route-2)
セールスチームが使用するクラウドアプリケーションを使用してアプリケーションオブジェクトを作成します。
- 「アプリケーション > アプリケーションオブジェクト」に移動し、「追加」をクリックします。
- アプリケーションオブジェクトの名前を入力します (例:
CloudApps_Sales
)。 -
アプリケーションを選択します。スマートフィルタを使用して、必要なアプリケーションを一覧表示できます。または、アプリケーションプロファイルリストを使用するか、「名前」の横にあるフィルタを使用してアプリケーションを選択します。
この例では、Citrix GoToTraining、Citrix Online、Salesforce、Vonage、Whatsapp Call、Carbonite、Dropbox File Upload、および OneDrive アプリケーションを選択しています。
-
「保存」をクリックします。
トラフィックをクラウドアプリケーションにルーティングする SD-WAN ポリシーを作成する (Route-2)
LAN ネットワーク 172.16.16.0/24 からのすべてのトラフィックは、プライマリゲートウェイ ISP-1 を経由してルーティングされる。ISP-2 はバックアップゲートウェイです。
- 「ルーティング > SD-WAN ルート」に移動します。
- 「IPv4」または「IPv6」をクリックし、「追加」をクリックします。
-
次の設定を指定します。
名前 説明 名前 名前を入力します。
BO_to_CloudSalesApps
受信インターフェース Port3
ポート 3 は LAN ゾーン用に設定されました。アプリケーションオブジェクト CloudApps_Sales
ユーザーやグループ Sales_Team
プライマリゲートウェイ ISP-1_173.20.10.2
バックアップゲートウェイ ISP-2_9.8.10.2
-
「保存」をクリックします。
指定した送信元から宛先へのトラフィックを許可するファイアウォールルールを作成する必要があります。デフォルトの送信元 NAT ルールが変換を実行します。
支社の営業チームからクラウドアプリケーションへのアクセスを許可するファイアウォールルールを作成する
- 「ルールとポリシー > ファイアウォールルール」に移動します。
- 「IPv4」または「IPv6」を選択し、「ファイアウォールルールの追加 > 新しいファイアウォールルール」を選択します。
- ルールの名前と位置を指定します。
-
次の設定を指定します。
名前 説明 送信元ゾーン LAN
送信元ネットワークとデバイス 172.16.16.0/24
宛先ゾーン WAN
宛先ネットワーク Any
サービス Any
注
SD-WAN ルートでユーザーまたはグループを指定しているため、ファイアウォールルールで指定する必要はありません。
-
「保存」をクリックします。