コンテンツにスキップ

SD-WAN ルーティングの動作

SD-WAN ルーティングを設定する際は、以下の点に注意してください。

  • Sophos Firewall を直接プロキシとして設定すると、SD-WAN ルートの以下の条件は適用されません。
    • サービス」を「HTTP」に設定した場合。ルートを適用するには、直接プロキシのポートにサービスを追加するか、または「任意」を選択します。直接プロキシのポートは、「Web > 全般設定 > Web プロキシのリスニングポート」で確認できます。
    • 応答パケットの送信元ネットワーク
    • 応答パケットの受信インターフェース
  • システム生成トラフィックの応答パスに少なくとも 1つの WAN インターフェース (デフォルトゲートウェイ) またはスタティックルートを設定して、プロキシトラフィックと一致させる必要があります。
  • 応答パケットの元のトラフィックがデフォルトルート (WAN リンク負荷分散) を使用している場合、応答パケットに SD-WAN ルートは適用されません。デフォルトルートが適用され、受信インターフェースと同じインターフェースから出力されます。
  • IPv6 SD-WAN ルートの場合、デッドゲートウェイ検出 (DGD) はサードパーティのネットワークトラフィック (SNMP など) を監視しません。

ルートの優先順位

ルーティングは、コマンドラインインターフェースで指定した優先順位に従います。ルートのデフォルトの優先順位は、スタティックルート、SD-WAN ルート、VPN ルートです。

ルートの優先順位は、「ルーティング > SD-WAN ルート」で確認できます。

ルートの優先順位

プロトコル、ネットワーク、およびルートの詳細を次の表に示します。

ルート ルートの優先順位
スタティックルートには、次のものが含まれます。
  • 直接接続されているネットワーク
  • ダイナミックルーティングプロトコル
  • ユニキャストルート
  • SSL VPN 接続
SD-WAN ルート
VPN ルート (ポリシーベースの IPsec VPN のみ)
コマンドラインインターフェースでルーティングの優先順位を設定します。

例: system route_precedence set static sdwan_policyroute vpn
デフォルトのルート (WAN リンクマネージャ) トラフィックが設定されたルートと一致しない場合の代替ルート。

ルーティング設定: インターネットおよび内部トラフィック

インターネットトラフィック用の SD-WAN ルートを作成する際は、「宛先ネットワーク」をデフォルトの IPv4 ホストグループ (インターネット IPv4 グループ) またはデフォルトの IP ホスト範囲 (インターネット IPv4 (1-9) など) に設定することをお勧めします。

警告

SD-WAN ルートをスタティックルートよりも優先するように設定し、SD-WAN の「宛先ネットワーク」を「任意」に設定すると、(外部および内部の) 全トラフィックに SD-WAN ルートが適用されます。これにより、内部の送信元から内部の宛先へのトラフィックも、WAN ゲートウェイにルーティングされます。

システム生成トラフィックおよび応答パケット

システム生成トラフィックおよび応答パケットの SD-WAN ルートを作成し、ゲートウェイを指定できます。コマンドラインインターフェースで、システム生成トラフィックおよび応答パケットのルーティングがオンになっていることを確認します。

応答パケット: 応答パケットの場合、WAN インターフェースで対称ルーティングが適用されます。これらのパケットは、元のパケットと同じ WAN インターフェースを使用します。

WAN 以外のインターフェースで応答パケットの非対称ルーティングを設定できます。たとえば、LAN から DMZへのトラフィックに対して、元のトラフィックと異なるインターフェースを指定することができます。

システム生成トラフィック: 送信元インターフェースとネットワークは不明なままなので、宛先ネットワークとサービスだけを選択します。たとえば、Sophos Firewall が使用するサービスは、サービスの種類に応じて異なるインターフェースを通過します。

UDP ポート 3410 のシステム生成 RED トラフィックは、レイヤ 2 トラフィックです。したがって、このトラフィックに SD-WAN ルートは適用されません。

ルーティングステータスを表示し、システム生成トラフィックおよび応答パケットのルーティングをオンまたはオフにするには、次の CLI コマンドを使用します。

ルーティングオプション CLI コマンド
ルーティングステータスを表示します show routing sd-wan-policy-route system-generate-traffic

show routing sd-wan-policy-route reply-packet
ルーティングをオンにします set routing sd-wan-policy-route system-generate-traffic enable

set routing sd-wan-policy-route reply-packet enable
ルーティングをオフにします set routing sd-wan-policy-route system-generate-traffic disable

set routing sd-wan-policy-route reply-packet disable

接続の再ルーティング

SD-WAN は、次に利用可能なゲートウェイへのシームレスな再ルーティングに対応しています (ゼロインパクトのフェールオーバー)。たとえば、トラフィックを処理している現在のゲートウェイがダウンしたり、SLA を満たさなくなった場合、接続を切断したりサービスに影響を与えたりすることなく、次に使用可能なゲートウェイにシームレスに再ルーティングすることができます。

再ルーティングは、以下の場合に行われます。

  • ゲートウェイを使用できなくなった場合。
  • ゲートウェイが SLA を満たさなくなった場合。
  • プライマリゲートウェイが使用可能になった場合。
  • 優先順位が高いゲートウェイが使用可能になった場合。
  • SD-WAN ルートを追加または編集した場合。
  • SD-WAN プロファイルを追加した場合。
  • SLA を変更した場合。
  • ルートの優先順位を変更した場合。

トラフィックの再ルーティング (reroute-connection) はデフォルトでオンになっています。コマンドラインコンソールから、オンとオフを切り替えられます。

ただし、SNAT 接続のトラフィックの再ルーティング (reroute-snat-connection) は、デフォルトでオフになっています。コマンドラインコンソールを使用して、オンに切り替えられます。

SNAT 接続および変換されていない接続のトラフィックの再ルーティングは以下のようになります。

接続の種類 トラフィックの再ルーティング
マスカレード (MASQ) いいえ
同じ SNAT 接続 (変換後の送信元が IP 範囲に設定されている) はい
送信元 IP アドレスが変わらない場合のみ、トラフィックが再ルーティングされます。送信元 IP アドレスが変わる場合、パケットは破棄されます。
変換されていない接続 はい

再ルーティングのステータスを表示したり、オン/オフを切り替えるには、以下の CLI コマンドを使用します。

オプション CLI コマンド
再ルーティングのステータスを表示する show routing reroute-connection
再ルーティングをオンにする set routing reroute-connection enable
再ルーティングをオフにする set routing reroute-connection disable
SNAT 接続の再ルーティングのステータスを表示する show routing reroute-snat-connection
SNAT 接続の再ルーティングをオンにする set routing reroute-snat-connection enable
SNAT 接続の再ルーティングをオフにする set routing reroute-snat-connection disable

コマンドラインコンソールへのアクセスおよび使用方法については、コマンドラインのヘルプを参照してください。

18.0 以降の SD-WAN ルーティング

バージョン 17.5 のルーティングと、18.0 以降の SD-WAN ルーティングの比較については、以下をご覧ください。

以下の SD-WAN ルートを作成できます。

  • アプリケーションベースのルート
  • ユーザーベースおよびグループベースのルート
  • システム生成トラフィック:
  • 応答パケット

ルーティング (17.5) と SD-WAN ルーティング (18.0 以降) の比較

17.5 18.0 およびそれ以降
必要なルールとポリシー ルーティングおよび NAT 設定を含むファイアウォールルール。
  • ルーティングおよび NAT 設定を含まないファイアウォールルール。
  • NAT ルール
  • SD-WAN ルーティング。
プライマリおよびバックアップゲートウェイ はい はい
ゲートウェイがダウンしたとき 他の SD-WAN ルートが評価されます。一致するルートがない場合は、デフォルトのルート (WAN リンク負荷分散) が適用されます。 ゲートウェイ監視の判断をオーバーライド」の設定:
  • 選択した項目数: ファイアウォールによってトラフィックが破棄されます。
  • 選択されていない場合: 他の SD-WAN ルートが評価されます。一致するルートがない場合は、デフォルトのルート (WAN リンク負荷分散) が適用されます。デフォルトルートは、アクティブな WAN リンク間でトラフィックのロードバランシングを行います。ルーティングは永続的なままです。
プライマリゲートウェイが削除された場合 他の SD-WAN ルートが評価されます。一致するルートがない場合は、デフォルトのルート (WAN リンク負荷分散) が適用されます。 他の SD-WAN ルートが評価されます。一致するルートがない場合は、デフォルトのルート (WAN リンク負荷分散) が適用されます。
内部トラフィックのルーティング 送信元ゾーンと宛先ゾーンを内部ゾーンに設定して、ファイアウォールルールのルーティング設定を適用します。 宛先ネットワークに基づく内部ゾーンを含む、ネットワーク内のすべてのゾーンにルーティングを適用します。

ルートの作成時に「宛先ネットワーク」を「任意」に設定すると、内部トラフィックも WAN インターフェースにルーティングされます。

詳しくは、トラブルシューティングをご覧ください。

SD-WAN ルートの移行の仕組み

機能 移行後の SD-WAN ルート
ファイアウォールルール 独立したルールおよびポリシーとして移行:
  • ルーティング設定を含まないファイアウォールルール。
  • 移行後の NAT ルール。
  • ファイアウォールのルール ID および名前に関連付けられた、移行後の SD-WAN ルート。

移行後のルートとの照合は、ファイアウォールルール ID に基づいて行われます。
次の設定を持つファイアウォールルール:
  • 宛先ゾーン: LAN
  • ゲートウェイなし
移行後の SD-WAN ルートは作成されません。
次の設定を持つファイアウォールルール:
  • 宛先ゾーン: WAN
  • WAN リンク負荷分散
移行後の SD-WAN ルートは作成されません。他の SD-WAN ルートが評価されます。一致するルートがない場合は、デフォルトのルート (WAN リンク負荷分散) が適用されます。
ファイアウォールルール内のゾーン ファイアウォールルールが複数あり、送信元ゾーンと宛先ゾーンの条件のみが異なる場合、移行後の SD-WAN ルートが別々に作成されます。
移行後の SD-WAN ルートの処理順序 移行後の SD-WAN ルートの処理順序は、ファイアウォールルールの処理順序に対応しているため変更できません。
移行後の SD-WAN ルートで変更可能な設定 ルーティングパラメータのみ:
  • プライマリゲートウェイ: バックアップゲートウェイ
  • ゲートウェイ監視の判断をオーバーライド
移行されたファイアウォールルールが削除されます 関連付けられた移行後の SD-WAN ルートが削除されます。
ルートの優先順位 以前のバージョンで指定されたルーティング優先順位が移行されます。

18.0 以降のデフォルトの優先順位に設定することもできます: スタティックルート、SD-WAN ルート、VPN ルート。

SD-WAN ルーティングの新機能

機能 18.0 およびそれ以降
アプリケーションベースのルーティング アクティブな Web 保護ライセンスが必要です。

WAN リンク負荷分散: アプリケーションからの最初の接続を、デフォルトルート (WAN リンク負荷分散) を使ってルーティングします。アプリケーションベースの指定ルートは、セッションの詳細を学習した後、後続の接続に適用されます。

冗長化 (HA): アプリケーションベースのルーティング情報のキャッシュは、ポート 4455 のマルチキャスト IP アドレス 226.1.1.1 を使用して、HA 専用リンクで同期されます。

マイクロアプリケーション: Web プロキシモードでは、マイクロアプリケーションのアプリケーションベースルーティングはサポートされません。パターンアプリケーションと同期セキュリティアプリケーションのみをサポートします。DPI エンジンは、マイクロアプリケーションを含むすべてのアプリケーションのアプリケーションベースルーティングをサポートします。

アプリケーションベースのルーティングの設定方法については、SD-WAN ルートの設定方法を参照してください。
ユーザーとグループ ユーザーおよびグループに基づいて SD-WAN ルートを作成できます。
システム生成トラフィック:
  • SD-WAN ルートを作成できます。
  • ゲートウェイを指定できます。
WAN インターフェースが必要です。

SD-WAN ルーティングは、デフォルトでオフになっています。オンにするには、コマンドラインコンソールに移動します。
応答パケット
  • SD-WAN ルートを作成できます。
  • 特定のゲートウェイを選択できます。応答パケットは、指定されたゲートウェイに基づく元のルートとは異なるルートを使用できます。プライマリゲートウェイとバックアップゲートウェイを指定できます。

SD-WAN ルーティングは、デフォルトでオフになっています。オンにするには、コマンドラインコンソールに移動します。