SD-WAN ルーティングの動作
SD-WAN ルーティングを設定する際は、以下の点に注意してください。
- Sophos Firewall を直接プロキシとして設定すると、SD-WAN ルートの以下の条件は適用されません。
- 「サービス」を「HTTP」に設定した場合。ルートを適用するには、直接プロキシのポートにサービスを追加するか、または「任意」を選択します。直接プロキシのポートは、「Web > 全般設定 > Web プロキシのリスニングポート」で確認できます。
- 応答パケットの送信元ネットワーク
- 応答パケットの受信インターフェース
- システム生成トラフィックの応答パスに少なくとも 1つの WAN インターフェース (デフォルトゲートウェイ) またはスタティックルートを設定して、プロキシトラフィックと一致させる必要があります。
- 応答パケットの元のトラフィックがデフォルトルート (WAN リンク負荷分散) を使用している場合、応答パケットに SD-WAN ルートは適用されません。デフォルトルートが適用され、受信インターフェースと同じインターフェースから出力されます。
- IPv6 SD-WAN ルートの場合、デッドゲートウェイ検出 (DGD) はサードパーティのネットワークトラフィック (SNMP など) を監視しません。
ルートの優先順位
ルーティングは、コマンドラインインターフェースで指定した優先順位に従います。ルートのデフォルトの優先順位は、スタティックルート、SD-WAN ルート、VPN ルートです。
ルートの優先順位は、「ルーティング > SD-WAN ルート」で確認できます。
プロトコル、ネットワーク、およびルートの詳細を次の表に示します。
ルート | ルートの優先順位 |
---|---|
スタティックルートには、次のものが含まれます。
VPN ルート (ポリシーベースの IPsec VPN のみ) | コマンドラインインターフェースでルーティングの優先順位を設定します。 例: system route_precedence set static sdwan_policyroute vpn |
デフォルトのルート (WAN リンクマネージャ) | トラフィックが設定されたルートと一致しない場合の代替ルート。 |
ルーティング設定: インターネットおよび内部トラフィック
インターネットトラフィック用の SD-WAN ルートを作成する際は、「宛先ネットワーク」をデフォルトの IPv4 ホストグループ (インターネット IPv4 グループ) またはデフォルトの IP ホスト範囲 (インターネット IPv4 (1-9) など) に設定することをお勧めします。
警告
SD-WAN ルートをスタティックルートよりも優先するように設定し、SD-WAN の「宛先ネットワーク」を「任意」に設定すると、(外部および内部の) 全トラフィックに SD-WAN ルートが適用されます。これにより、内部の送信元から内部の宛先へのトラフィックも、WAN ゲートウェイにルーティングされます。
システム生成トラフィックおよび応答パケット
システム生成トラフィックおよび応答パケットの SD-WAN ルートを作成し、ゲートウェイを指定できます。コマンドラインインターフェースで、システム生成トラフィックおよび応答パケットのルーティングがオンになっていることを確認します。
応答パケット: 応答パケットの場合、WAN インターフェースで対称ルーティングが適用されます。これらのパケットは、元のパケットと同じ WAN インターフェースを使用します。
WAN 以外のインターフェースで応答パケットの非対称ルーティングを設定できます。たとえば、LAN から DMZへのトラフィックに対して、元のトラフィックと異なるインターフェースを指定することができます。
システム生成トラフィック: 送信元インターフェースとネットワークは不明なままなので、宛先ネットワークとサービスだけを選択します。たとえば、Sophos Firewall が使用するサービスは、サービスの種類に応じて異なるインターフェースを通過します。
注
UDP ポート 3410 のシステム生成 RED トラフィックは、レイヤ 2 トラフィックです。したがって、このトラフィックに SD-WAN ルートは適用されません。
ルーティングステータスを表示し、システム生成トラフィックおよび応答パケットのルーティングをオンまたはオフにするには、次の CLI コマンドを使用します。
ルーティングオプション | CLI コマンド |
---|---|
ルーティングステータスを表示します | show routing sd-wan-policy-route system-generate-traffic show routing sd-wan-policy-route reply-packet |
ルーティングをオンにします | set routing sd-wan-policy-route system-generate-traffic enable set routing sd-wan-policy-route reply-packet enable |
ルーティングをオフにします | set routing sd-wan-policy-route system-generate-traffic disable set routing sd-wan-policy-route reply-packet disable |
接続の再ルーティング
SD-WAN は、次に利用可能なゲートウェイへのシームレスな再ルーティングに対応しています (ゼロインパクトのフェールオーバー)。たとえば、トラフィックを処理している現在のゲートウェイがダウンしたり、SLA を満たさなくなった場合、接続を切断したりサービスに影響を与えたりすることなく、次に使用可能なゲートウェイにシームレスに再ルーティングすることができます。
再ルーティングは、以下の場合に行われます。
- ゲートウェイを使用できなくなった場合。
- ゲートウェイが SLA を満たさなくなった場合。
- プライマリゲートウェイが使用可能になった場合。
- 優先順位が高いゲートウェイが使用可能になった場合。
- SD-WAN ルートを追加または編集した場合。
- SD-WAN プロファイルを追加した場合。
- SLA を変更した場合。
- ルートの優先順位を変更した場合。
トラフィックの再ルーティング (reroute-connection
) はデフォルトでオンになっています。コマンドラインコンソールから、オンとオフを切り替えられます。
ただし、SNAT 接続のトラフィックの再ルーティング (reroute-snat-connection
) は、デフォルトでオフになっています。コマンドラインコンソールを使用して、オンに切り替えられます。
SNAT 接続および変換されていない接続のトラフィックの再ルーティングは以下のようになります。
接続の種類 | トラフィックの再ルーティング |
---|---|
マスカレード (MASQ) | いいえ |
同じ SNAT 接続 (変換後の送信元が IP 範囲に設定されている) | はい 送信元 IP アドレスが変わらない場合のみ、トラフィックが再ルーティングされます。送信元 IP アドレスが変わる場合、パケットは破棄されます。 |
変換されていない接続 | はい |
再ルーティングのステータスを表示したり、オン/オフを切り替えるには、以下の CLI コマンドを使用します。
オプション | CLI コマンド |
---|---|
再ルーティングのステータスを表示する | show routing reroute-connection |
再ルーティングをオンにする | set routing reroute-connection enable |
再ルーティングをオフにする | set routing reroute-connection disable |
SNAT 接続の再ルーティングのステータスを表示する | show routing reroute-snat-connection |
SNAT 接続の再ルーティングをオンにする | set routing reroute-snat-connection enable |
SNAT 接続の再ルーティングをオフにする | set routing reroute-snat-connection disable |
コマンドラインコンソールへのアクセスおよび使用方法については、コマンドラインのヘルプを参照してください。
18.0 以降の SD-WAN ルーティング
バージョン 17.5 のルーティングと、18.0 以降の SD-WAN ルーティングの比較については、以下をご覧ください。
以下の SD-WAN ルートを作成できます。
- アプリケーションベースのルート
- ユーザーベースおよびグループベースのルート
- システム生成トラフィック:
- 応答パケット
ルーティング (17.5) と SD-WAN ルーティング (18.0 以降) の比較
17.5 | 18.0 およびそれ以降 | |
---|---|---|
必要なルールとポリシー | ルーティングおよび NAT 設定を含むファイアウォールルール。 |
|
プライマリおよびバックアップゲートウェイ | はい | はい |
ゲートウェイがダウンしたとき | 他の SD-WAN ルートが評価されます。一致するルートがない場合は、デフォルトのルート (WAN リンク負荷分散) が適用されます。 | 「ゲートウェイ監視の判断をオーバーライド」の設定:
|
プライマリゲートウェイが削除された場合 | 他の SD-WAN ルートが評価されます。一致するルートがない場合は、デフォルトのルート (WAN リンク負荷分散) が適用されます。 | 他の SD-WAN ルートが評価されます。一致するルートがない場合は、デフォルトのルート (WAN リンク負荷分散) が適用されます。 |
内部トラフィックのルーティング | 送信元ゾーンと宛先ゾーンを内部ゾーンに設定して、ファイアウォールルールのルーティング設定を適用します。 | 宛先ネットワークに基づく内部ゾーンを含む、ネットワーク内のすべてのゾーンにルーティングを適用します。 ルートの作成時に「宛先ネットワーク」を「任意」に設定すると、内部トラフィックも WAN インターフェースにルーティングされます。 詳しくは、トラブルシューティングをご覧ください。 |
SD-WAN ルートの移行の仕組み
機能 | 移行後の SD-WAN ルート |
---|---|
ファイアウォールルール | 独立したルールおよびポリシーとして移行:
移行後のルートとの照合は、ファイアウォールルール ID に基づいて行われます。 |
次の設定を持つファイアウォールルール:
| 移行後の SD-WAN ルートは作成されません。 |
次の設定を持つファイアウォールルール:
| 移行後の SD-WAN ルートは作成されません。他の SD-WAN ルートが評価されます。一致するルートがない場合は、デフォルトのルート (WAN リンク負荷分散) が適用されます。 |
ファイアウォールルール内のゾーン | ファイアウォールルールが複数あり、送信元ゾーンと宛先ゾーンの条件のみが異なる場合、移行後の SD-WAN ルートが別々に作成されます。 |
移行後の SD-WAN ルートの処理順序 | 移行後の SD-WAN ルートの処理順序は、ファイアウォールルールの処理順序に対応しているため変更できません。 |
移行後の SD-WAN ルートで変更可能な設定 | ルーティングパラメータのみ:
|
移行されたファイアウォールルールが削除されます | 関連付けられた移行後の SD-WAN ルートが削除されます。 |
ルートの優先順位 | 以前のバージョンで指定されたルーティング優先順位が移行されます。 18.0 以降のデフォルトの優先順位に設定することもできます: スタティックルート、SD-WAN ルート、VPN ルート。 |
SD-WAN ルーティングの新機能
機能 | 18.0 およびそれ以降 |
---|---|
アプリケーションベースのルーティング | アクティブな Web 保護ライセンスが必要です。 WAN リンク負荷分散: アプリケーションからの最初の接続を、デフォルトルート (WAN リンク負荷分散) を使ってルーティングします。アプリケーションベースの指定ルートは、セッションの詳細を学習した後、後続の接続に適用されます。 冗長化 (HA): アプリケーションベースのルーティング情報のキャッシュは、ポート 4455 のマルチキャスト IP アドレス 226.1.1.1 を使用して、HA 専用リンクで同期されます。 マイクロアプリケーション: Web プロキシモードでは、マイクロアプリケーションのアプリケーションベースルーティングはサポートされません。パターンアプリケーションと同期セキュリティアプリケーションのみをサポートします。DPI エンジンは、マイクロアプリケーションを含むすべてのアプリケーションのアプリケーションベースルーティングをサポートします。 アプリケーションベースのルーティングの設定方法については、SD-WAN ルートの設定方法を参照してください。 |
ユーザーとグループ | ユーザーおよびグループに基づいて SD-WAN ルートを作成できます。 |
システム生成トラフィック: |
SD-WAN ルーティングは、デフォルトでオフになっています。オンにするには、コマンドラインコンソールに移動します。 |
応答パケット |
SD-WAN ルーティングは、デフォルトでオフになっています。オンにするには、コマンドラインコンソールに移動します。 |