SD-WAN ルーティング
SD-WAN (Software-Defined Wide Area Networking) は、WAN インフラストラクチャ上に構成される、ソフトウェアに基づくレイヤーです。静的トポロジを使ってトラフィックをデータセンターに直接ルーティングする方法に比べ、SD-WAN では、アプリケーション、ユーザー、ネットワークパフォーマンス (SLA) に基づいてトラフィックをルーティングできるのが特徴です。ネットワーク内のリアルタイムの状況に応じて、ルーティングを自動的に変更・決定することができます。
SD-WAN ルーティングの条件を定義し、その条件に基づいてトラフィックをルーティングできます。宛先 IP アドレスとルーティングテーブルに基づいて、ルーティングを上書きできます。
Sophos Firewall の SD-WAN ルーティングの設定では、以下を指定します。
- SD-WAN ルート: SD-WAN ルーティングの条件を定義し、SD-WAN ネットワーク内で効率的にルーティングが行われるようにします。SD-WAN ルーティングの条件 (受信インターフェース、送信元および宛先ネットワーク、サービス、アプリケーションオブジェクト、ユーザー、ユーザーグループなど) に基づいてトラフィックをルーティングできます。詳細は、SD-WAN ルートの追加を参照してください。
- SD-WAN プロファイル: 可用性とパフォーマンスに基づいて、複数のゲートウェイ間のルーティング方法を定義します。SD-WAN プロファイルでは、ルーティングに使用するゲートウェイを 3つ以上指定できます。複数のゲートウェイにトラフィックをルーティングするには、SD-WAN プロファイルを作成し、そのプロファイルを SD-WAN ルートに追加します。詳細は、SD-WAN プロファイルを参照してください。
- SD-WAN の監視: SD-WAN ネットワークに含まれるゲートウェイのパフォーマンスをリアルタイムで監視できます。レイテンシ、ジッタ、パケット損失に基づくグラフがそれぞれ表示されます。詳細は、SD-WAN のパフォーマンスを参照してください。
- SD-WAN のログ: SD-WAN ルート、SD-WAN プロファイル、SD-WAN SLA に関するログを参照できます。詳細は、SD-WAN のログを参照してください。
- SD-WAN のオーケストレーション: VPN オーケストレーション済み SD-WAN ネットワークを設定できます。詳細は、SD-WAN 接続グループを参照してください。
ゲートウェイを 2台のみ使用する場合は、プライマリゲートウェイとバックアップゲートウェイを指定して、トラフィックをルーティングできます。両方とも使用できない場合は、他の SD-WAN ルートが評価されます。一致するルートがない場合は、デフォルトのルート (WAN リンク負荷分散) が適用されます。デフォルトルートは、アクティブな WAN リンク間でトラフィックのロードバランシングを行います。アクティブな WAN リンクについて詳しくは、「ネットワーク > WAN リンクマネージャ」に移動してください。
SD-WAN ルートでは、MPLS、VPN、ブロードバンドなどの接続の組み合わせを使用して、ゲートウェイのフェールオーバーとフェールバックを指定できます。また、 VoIP などの重要なアプリケーションや帯域幅に影響されやすいトラフィックを高速 ISP リンク経由でルーティングすることもできます。
IPv4 および IPv6 の SD-WAN ルートを作成できます。
アプリケーションベースのルーティング
有効な Web プロテクションライセンスが必要です。
SD-WAN ルーティングでは、トラフィックをアプリケーションごとに分類し、アプリケーションの種類に基づいてルートを指定することができます。選択したアプリケーションオブジェクトに基づいて、プライマリゲートウェイとバックアップゲートウェイを選択できます。
アプリケーションオブジェクトは、Web アプリケーション、マイクロアプリケーション (Facebook Messenger など)、Synchronized Security アプリケーション (エンドポイント デバイスで検出されたもの)、カスタムアプリケーション、およびアプリケーションカテゴリ (分類パラメータに基づくカテゴリ) に対して作成できます。
WAN リンク負荷分散: アプリケーションからの最初の接続を、デフォルトルート (WAN リンク負荷分散) を使ってルーティングします。指定されたアプリケーションベースのルートは、Sophos Firewall がセッションの詳細を学習した後の後続の接続に適用されます。
冗長化 (HA): アプリケーションベースのルーティング情報のキャッシュは、ポート 4455 のマルチキャスト IP アドレス 226.1.1.1 を使用して、HA 専用リンクで同期されます。
マイクロアプリケーション: Web プロキシモードでは、マイクロアプリケーションのアプリケーションベースルーティングはサポートされません。パターンアプリケーションと同期セキュリティアプリケーションのみをサポートします。DPI エンジンは、マイクロアプリケーションを含むすべてのアプリケーションのアプリケーションベースルーティングをサポートします。
ユースケース
-
Web アプリケーションの個々のアプリケーションを、異なるゲートウェイを介してルーティングします。
たとえば、Facebook のゲームアプリを低帯域幅の ISP リンクに、その他の Facebook アプリを高帯域幅のリンクにルーティングするといったことができます。
-
高帯域幅の ISP または MPLS リンクを介して重要なアプリケーションをルーティングします。
特定のリンクへのフェールオーバーを確実に行うには、プライマリゲートウェイとバックアップゲートウェイを指定する必要があります。
-
ユーザーやグループに基づいてアプリケーショントラフィックをルーティングします。
- アプリケーショントラフィックを特定のサーバまたはルータにルーティングします。
アプリケーションベースのルーティングの設定方法
- 「アプリケーション > アプリケーションオブジェクト」に移動します。ビジネスとユーザーの優先度に基づいてアプリケーションオブジェクトを作成します。
- 「ルーティング > SD-WAN ルート」に移動します。
- 「IPv4」または「IPv6」をクリックし、「追加」をクリックします。
- 作成済みのアプリケーションオブジェクトを追加し、プライマリゲートウェイとバックアップゲートウェイを割り当てます。
Sophos Firewall がアプリケーションルーティングを実装する方法:
- アプリケーションの最初の接続の宛先ポートおよび IP アドレス、プロトコル、受信インターフェースを照合して、一致する SD-WAN ルートを適用します。一致するルートが見つからない場合は、デフォルトルート (WAN リンク負荷分散) が適用されます。
-
DPI エンジンはアプリケーションを識別し、分類の決定をキャッシュします。
ユーザーのリクエストに基づき、1つの接続内で、元のアプリケーションを別のアプリケーションに引き継ぐことができます。たとえば、ユーザーは最初に Facebook.com にアクセスしてから Facebook チャットを開始できます。元のアプリケーションが識別された後に変更が発生した場合、 DPI エンジンは新しい分類を決定します。
-
新しい分類の決定は、アプリケーショントラフィックの後続の接続に適用されます。
アプリケーションセッション情報の有効時間 (TTL) は、セッションの開始から 3600秒です。この期間内に別のセッションが開始されない場合は、セッションの詳細が消去されます。Sophos Firewall を再起動すると、すべてのアプリケーションオブジェクトのセッション詳細が消去されます。アプリケーションを使用する後続の接続では、上記の実装プロセスが実行されます。
SD-WAN ルートアクションおよびゲートウェイステータス
- SD-WAN ルートの順序を変更するには、ルートをドラッグアンドドロップします。Sophos Firewall では、上から下に向かってルートを評価し、一致するものを見つけます。一致するルートが見つかると、後続のルートは評価されません。
- その他のオプション をクリックして、以下を選択できます。
- ルートのオン/オフを切り替えるには、「オン」、「オフ」のスイッチを使用します。
- ルートを編集するには、「編集」 をクリックします。
- ルートの複製を作成するには、「最下部のルートの複製」をクリックします。
- データ転送量の計算をリセットするには、「データ転送量計算のリセット」をクリックします。
- ルートを削除するには、「削除」をクリックします。
ゲートウェイ
プライマリゲートウェイとバックアップゲートウェイを追加した場合、ゲートウェイのステータスは以下のように表示されます。
プライマリまたはバックアップのゲートウェイが稼働しており、ルートが有効。
ゲートウェイがダウンしており、ルートが無効。ゲートウェイ監視のオーバーライドが無効。
ゲートウェイがダウンしており、ゲートウェイの監視のオーバーライドが有効。
ステータスアイコンをマウスオーバーして、プライマリとバックアップゲートウェイの状態とゲートウェイの監視のオーバーライドの設定内容を表示
ルートにプロファイルを追加した場合は、SD-WAN プロファイルのアクションとステータスを参照してください。
SD-WAN のログ
SD-WAN のログでは、正常性チェックのステータスと、正常性チェックに基づいて行われたルートの変更を確認できます。SD-WAN のログには、SD-WAN ルート、SD-WAN プロファイル、SD-WAN SLA に関するログが含まれます。
SD-WAN のログをオンにするには、「システムサービス > ログ設定」に移動します。「SD-WAN」の「SD-WAN プロファイル」、「SD-WAN SLA」、「SD-WAN ルート」のログをオンにします。
SD-WAN のログは、ログビューアの「SD-WAN」モジュールで確認できます。詳細は、ログビューアを参照してください。