コンテンツにスキップ

SD-WAN ルーティング

SD-WAN (Software-Defined Wide Area Networking) は、WAN インフラストラクチャ上に構成される、ソフトウェアに基づくレイヤーです。静的トポロジを使ってトラフィックをデータセンターに直接ルーティングする方法に比べ、SD-WAN では、アプリケーション、ユーザー、ネットワークパフォーマンス (SLA) に基づいてトラフィックをルーティングできるのが特徴です。ネットワーク内のリアルタイムの状況に応じて、ルーティングを自動的に変更・決定することができます。

SD-WAN ルーティングの条件を定義し、その条件に基づいてトラフィックをルーティングできます。宛先 IP アドレスとルーティングテーブルに基づいて、ルーティングを上書きできます。

Sophos Firewall の SD-WAN ルーティングの設定では、以下を指定します。

  • SD-WAN ルート: SD-WAN ルーティングの条件を定義し、SD-WAN ネットワーク内で効率的にルーティングが行われるようにします。SD-WAN ルーティングの条件 (受信インターフェース、送信元および宛先ネットワーク、サービス、アプリケーションオブジェクト、ユーザー、ユーザーグループなど) に基づいてトラフィックをルーティングできます。詳細は、SD-WAN ルートの追加を参照してください。
  • SD-WAN プロファイル: 可用性とパフォーマンスに基づいて、複数のゲートウェイ間のルーティング方法を定義します。SD-WAN プロファイルでは、ルーティングに使用するゲートウェイを 3つ以上指定できます。複数のゲートウェイにトラフィックをルーティングするには、SD-WAN プロファイルを作成し、そのプロファイルを SD-WAN ルートに追加します。詳細は、SD-WAN プロファイルを参照してください。
  • SD-WAN の監視: SD-WAN ネットワークに含まれるゲートウェイのパフォーマンスをリアルタイムで監視できます。レイテンシ、ジッタ、パケット損失に基づくグラフがそれぞれ表示されます。詳細は、SD-WAN のパフォーマンスを参照してください。
  • SD-WAN のログ: SD-WAN ルート、SD-WAN プロファイル、SD-WAN SLA に関するログを参照できます。詳細は、SD-WAN のログを参照してください。
  • SD-WAN のオーケストレーション: VPN オーケストレーション済み SD-WAN ネットワークを設定できます。詳細は、SD-WAN 接続グループを参照してください。

ゲートウェイを 2台のみ使用する場合は、プライマリゲートウェイとバックアップゲートウェイを指定して、トラフィックをルーティングできます。両方とも使用できない場合は、他の SD-WAN ルートが評価されます。一致するルートがない場合は、デフォルトのルート (WAN リンク負荷分散) が適用されます。デフォルトルートは、アクティブな WAN リンク間でトラフィックのロードバランシングを行います。アクティブな WAN リンクについて詳しくは、「ネットワーク > WAN リンクマネージャ」に移動してください。

SD-WAN ルートでは、MPLS、VPN、ブロードバンドなどの接続の組み合わせを使用して、ゲートウェイのフェールオーバーとフェールバックを指定できます。また、 VoIP などの重要なアプリケーションや帯域幅に影響されやすいトラフィックを高速 ISP リンク経由でルーティングすることもできます。

IPv4 および IPv6 の SD-WAN ルートを作成できます。

アプリケーションベースのルーティング

有効な Web プロテクションライセンスが必要です。

SD-WAN ルーティングでは、トラフィックをアプリケーションごとに分類し、アプリケーションの種類に基づいてルートを指定することができます。選択したアプリケーションオブジェクトに基づいて、プライマリゲートウェイとバックアップゲートウェイを選択できます。

アプリケーションオブジェクトは、Web アプリケーション、マイクロアプリケーション (Facebook Messenger など)、Synchronized Security アプリケーション (エンドポイント デバイスで検出されたもの)、カスタムアプリケーション、およびアプリケーションカテゴリ (分類パラメータに基づくカテゴリ) に対して作成できます。

WAN リンク負荷分散: アプリケーションからの最初の接続を、デフォルトルート (WAN リンク負荷分散) を使ってルーティングします。指定されたアプリケーションベースのルートは、Sophos Firewall がセッションの詳細を学習した後の後続の接続に適用されます。

冗長化 (HA): アプリケーションベースのルーティング情報のキャッシュは、ポート 4455 のマルチキャスト IP アドレス 226.1.1.1 を使用して、HA 専用リンクで同期されます。

マイクロアプリケーション: Web プロキシモードでは、マイクロアプリケーションのアプリケーションベースルーティングはサポートされません。パターンアプリケーションと同期セキュリティアプリケーションのみをサポートします。DPI エンジンは、マイクロアプリケーションを含むすべてのアプリケーションのアプリケーションベースルーティングをサポートします。

ユースケース

  • Web アプリケーションの個々のアプリケーションを、異なるゲートウェイを介してルーティングします。

    たとえば、Facebook のゲームアプリを低帯域幅の ISP リンクに、その他の Facebook アプリを高帯域幅のリンクにルーティングするといったことができます。

  • 高帯域幅の ISP または MPLS リンクを介して重要なアプリケーションをルーティングします。

    特定のリンクへのフェールオーバーを確実に行うには、プライマリゲートウェイとバックアップゲートウェイを指定する必要があります。

  • ユーザーやグループに基づいてアプリケーショントラフィックをルーティングします。

  • アプリケーショントラフィックを特定のサーバまたはルータにルーティングします。

アプリケーションベースのルーティングの設定方法

  1. アプリケーション > アプリケーションオブジェクト」に移動します。ビジネスとユーザーの優先度に基づいてアプリケーションオブジェクトを作成します。
  2. ルーティング > SD-WAN ルート」に移動します。
  3. IPv4」または「IPv6」をクリックし、「追加」をクリックします。
  4. 作成済みのアプリケーションオブジェクトを追加し、プライマリゲートウェイとバックアップゲートウェイを割り当てます。

Sophos Firewall がアプリケーションルーティングを実装する方法:

  • アプリケーションの最初の接続の宛先ポートおよび IP アドレス、プロトコル、受信インターフェースを照合して、一致する SD-WAN ルートを適用します。一致するルートが見つからない場合は、デフォルトルート (WAN リンク負荷分散) が適用されます。
  • DPI エンジンはアプリケーションを識別し、分類の決定をキャッシュします。

    ユーザーのリクエストに基づき、1つの接続内で、元のアプリケーションを別のアプリケーションに引き継ぐことができます。たとえば、ユーザーは最初に Facebook.com にアクセスしてから Facebook チャットを開始できます。元のアプリケーションが識別された後に変更が発生した場合、 DPI エンジンは新しい分類を決定します。

  • 新しい分類の決定は、アプリケーショントラフィックの後続の接続に適用されます。

アプリケーションセッション情報の有効時間 (TTL) は、セッションの開始から 3600秒です。この期間内に別のセッションが開始されない場合は、セッションの詳細が消去されます。Sophos Firewall を再起動すると、すべてのアプリケーションオブジェクトのセッション詳細が消去されます。アプリケーションを使用する後続の接続では、上記の実装プロセスが実行されます。

SD-WAN ルートアクションおよびゲートウェイステータス

  • SD-WAN ルートの順序を変更するには、ルートをドラッグアンドドロップします。Sophos Firewall では、上から下に向かってルートを評価し、一致するものを見つけます。一致するルートが見つかると、後続のルートは評価されません。
  • その他のオプション 「オプションをもっと表示」ボタン をクリックして、以下を選択できます。
    • ルートのオン/オフを切り替えるには、「オン」、「オフ」のスイッチを使用します。
    • ルートを編集するには、「編集」 「編集」ボタン をクリックします。
    • ルートの複製を作成するには、「最下部のルートの複製」をクリックします。
    • データ転送量の計算をリセットするには、「データ転送量計算のリセット」をクリックします。
    • ルートを削除するには、「削除」をクリックします。

SD-WAN ルートのアクションとステータス

ゲートウェイ

プライマリゲートウェイとバックアップゲートウェイを追加した場合、ゲートウェイのステータスは以下のように表示されます。

ゲートウェイが有効であることを示すアイコン プライマリまたはバックアップのゲートウェイが稼働しており、ルートが有効。

ゲートウェイがダウンしていることを示すアイコン ゲートウェイがダウンしており、ルートが無効。ゲートウェイ監視のオーバーライドが無効。

ゲートウェイがダウンしており、ゲートウェイの監視のオーバーライドが有効であることを示すアイコン ゲートウェイがダウンしており、ゲートウェイの監視のオーバーライドが有効。

ステータスアイコンをマウスオーバーして、プライマリとバックアップゲートウェイの状態とゲートウェイの監視のオーバーライドの設定内容を表示

ルートにプロファイルを追加した場合は、SD-WAN プロファイルのアクションとステータスを参照してください。

SD-WAN のログ

SD-WAN のログでは、正常性チェックのステータスと、正常性チェックに基づいて行われたルートの変更を確認できます。SD-WAN のログには、SD-WAN ルート、SD-WAN プロファイル、SD-WAN SLA に関するログが含まれます。

SD-WAN のログをオンにするには、「システムサービス > ログ設定」に移動します。「SD-WAN」の「SD-WAN プロファイル」、「SD-WAN SLA」、「SD-WAN ルート」のログをオンにします。

SD-WAN のログは、ログビューアの「SD-WAN」モジュールで確認できます。詳細は、ログビューアを参照してください。

トップへ