コンテンツにスキップ

移行後の SD-WAN ルート

バージョン 17.5 でファイアウォールルールに含まれていたルート設定は、SFOS 18.0 からは SD-WAN ルートに移行されます。

SFOS 18.0 以降のバージョンでは、SD-WAN ルーティングでルーティングポリシーを指定する必要があります。本バージョンから、ルーティングの設定はファイアウォールルールに含まれなくなっています。Sophos Firewall を以前のバージョンから移行すると、ファイアウォールルールにあるルーティング設定が SD-WAN ポリシールーティングとして移行されます。移行された内容は、SD-WAN ルーティングテーブルで確認することができます。このように移行されたルートは、ファイアウォールルール ID とルール名で特定できます。

システム生成トラフィックおよび応答パケットのルーティングをオンまたはオフにするには、コマンドラインインターフェースに移動します。

ルートの優先順位

移行中 Sophos Firewall は、以前のバージョンで指定したルーティングの優先順位が保持されます。18.0 より前のバージョンのルートのデフォルトの優先順位は、SD-WAN ルート、VPN ルート、スタティックルートです。

警告

18.0 以降では、ルーティングはファイアウォールルールにリンクされません。したがって、移行後のルートの「宛先ネットワーク」が WAN ホストまたは「任意」に設定されている場合、このルートが内部トラフィックにも適用されて、WAN ゲートウェイにルーティングされます。

内部トラフィックが直接内部の宛先に到達できるようにするには、コマンドラインインターフェースに移動し、スタティックルーティングを SD-WAN ルーティングよりも優先するように設定します。

ヒント

SD-WAN ルートは、アプリケーションオブジェクトや、ユーザー、グループに基づいてルーティングポリシーを作成できるのが特長です。SD-WAN ルートのこうした特長を活用するために、SD-WAN ルートを新たに作成して、移行ルートを置き換えることをお勧めします。

移行されたルートには以下のルールが適用されます。

  • ルート名の先頭に、ファイアウォールルール ID が自動的に追加されます。
  • Sophos Firewall はファイアウォールルール ID を使いトラフィックを移行ルーティングと一致させます。
  • ゾーンは、SD-WAN ルートの設定に含まれません。複数のファイアウォールルールで同じ送信元ネットワークと宛先ネットワークが指定されており、ゾーンが異なる場合は、それらのファイアウォールルールに対応する個別のルートが作成されます。
  • 移行後のルートの処理順序は、ファイアウォールルールの処理順序に対応しているため変更できません。
  • ファイアウォールルールを削除すると、移行後のルートも削除されます。
  • ゲートウェイとゲートウェイの監視基準のみ変更できます。

ヒント

移行後のルートを削除する前に、現在の設定のバックアップを取ってください。

ルート名、プライマリおよびバックアップゲートウェイ、およびゲートウェイモニタリングの決定を変更できます。

  1. ルーティング > SD-WAN ルート」に移動します。
  2. IPv4」または「IPv6」の「追加」をクリックします。
  3. 名前を入力します。

  4. ファイアウォールルール ID と名前は、ルートの移行元のルールを識別します。ツールチップを選択して、ルールの送信元、宛先、サービス、およびアクションの設定を表示します。

    警告

    SD-WAN ルートがスタティックルートよりも優先されるように指定されており、かつ、「宛先ネットワーク」が「任意」に設定されている場合は、(外部および内部の) 全トラフィックに SD-WAN ルートが適用されます。その結果、内部の送信元から内部の宛先へのトラフィックも、WAN ゲートウェイに強制的にルーティングされます。

    バージョン 17.5 から 18.0 以降に移行した場合や、ルートのデフォルトの優先順位を変更した場合に、このような状態になる可能性があります。ルートの優先順位を確認するには、コマンドラインインターフェースに移動し、次のコマンドを使用します。

    console> system route_precedence show

    内部トラフィック (内部ホストから内部のデバイスやサーバーへのアクセスなど) を直接送信するには、コマンドラインインターフェースで、SD-WAN ルーティングよりもスタティックルーティングを優先するように設定します。

    例: console> system route_precedence set static sdwan_policyroute vpn

  5. ファイアウォールルールで指定されていたゲートウェイがプライマリゲートウェイになります。

    指定のゲートウェイを削除すると、ルートも削除され、WAN リンク負荷分散によってトラフィックがルーティングされるようになります。

    プライマリゲートウェイがダウンした場合、Sophos Firewall はトラフィックをバックアップゲートウェイ経由でルーティングします。プライマリゲートウェイが復旧すると、新しい接続はプライマリゲートウェイにルーティングされます。既存の接続は、引き続きバックアップゲートウェイを使用します。

  6. ファイアウォールルールで「バックアップゲートウェイ」が指定されていた場合は、そのゲートウェイが使用されます。

    指定のゲートウェイを削除すると、バックアップゲートウェイが「なし」に設定されます。

  7. 移行の過程で、「指定されたゲートウェイのみを経由してルーティングする」が選択され、元のファイアウォールルール内のルートの動作が再現されます。

  8. 保存」をクリックします。

その他のリソース