SD-WAN ルーティング

SD-WAN (Software-Defined Wide Area Networking) は、WAN インフラストラクチャ上に構成される、ソフトウェアに基づくレイヤーです。静的トポロジを使ってトラフィックをデータセンターに直接ルーティングする方法に比べ、SD-WAN では、アプリケーション、ユーザー、ネットワークパフォーマンス (SLA) に基づいてトラフィックをルーティングできるのが特徴です。ネットワーク内のリアルタイムの状況に応じて、ルーティングを自動的に変更・決定することができます。

SD-WAN ルーティングの条件を定義し、その条件に基づいてトラフィックをルーティングできます。宛先 IP アドレスとルーティングテーブルに基づいて、ルーティングを上書きできます。

Sophos Firewall の SD-WAN ルーティングの設定では、以下を指定します。

SD-WAN ルート: SD-WAN ルーティングの条件を定義し、SD-WAN ネットワーク内で効率的にルーティングが行われるようにします。SD-WAN ルーティングの条件 (受信インターフェース、送信元および宛先ネットワーク、サービス、アプリケーションオブジェクト、ユーザー、ユーザーグループなど) に基づいてトラフィックをルーティングできます。詳細は、SD-WAN ルートの追加を参照してください。
SD-WAN プロファイル: 可用性とパフォーマンスに基づいて、複数のゲートウェイ間のルーティング方法を定義します。SD-WAN プロファイルでは、ルーティングに使用するゲートウェイを 3つ以上指定できます。複数のゲートウェイにトラフィックをルーティングするには、SD-WAN プロファイルを作成し、そのプロファイルを SD-WAN ルートに追加します。詳細は、SD-WAN プロファイルを参照してください。
SD-WAN の監視: SD-WAN ネットワークに含まれるゲートウェイのパフォーマンスをリアルタイムで監視できます。レイテンシ、ジッタ、パケット損失に基づくグラフがそれぞれ表示されます。詳細は、SD-WAN のパフォーマンスを参照してください。
SD-WAN のログ: SD-WAN ルート、SD-WAN プロファイル、SD-WAN SLA に関するログを参照できます。詳細は、SD-WAN のログを参照してください。
SD-WAN のオーケストレーション: VPN オーケストレーション済み SD-WAN ネットワークを設定できます。詳細は、SD-WAN 接続グループを参照してください。

ゲートウェイを 2台のみ使用する場合は、プライマリゲートウェイとバックアップゲートウェイを指定して、トラフィックをルーティングできます。両方とも使用できない場合は、他の SD-WAN ルートが評価されます。一致するルートがない場合は、デフォルトのルート (WAN リンク負荷分散) が適用されます。デフォルトルートは、アクティブな WAN リンク間でトラフィックのロードバランシングを行います。アクティブな WAN リンクについて詳しくは、「ネットワーク > WAN リンクマネージャ」に移動してください。

SD-WAN ルートでは、MPLS、VPN、ブロードバンドなどの接続の組み合わせを使用して、ゲートウェイのフェールオーバーとフェールバックを指定できます。また、 VoIP などの重要なアプリケーションや帯域幅に影響されやすいトラフィックを高速 ISP リンク経由でルーティングすることもできます。

IPv4 および IPv6 の SD-WAN ルートを作成できます。

アプリケーションベースのルーティング

有効な Web プロテクションライセンスが必要です。

SD-WAN ルーティングでは、トラフィックをアプリケーションごとに分類し、アプリケーションの種類に基づいてルートを指定することができます。選択したアプリケーションオブジェクトに基づいて、プライマリゲートウェイとバックアップゲートウェイを選択できます。

アプリケーションオブジェクトは、Web アプリケーション、マイクロアプリケーション (Facebook Messenger など)、Synchronized Security アプリケーション (エンドポイントデバイスで検出されたもの)、カスタムアプリケーション、およびアプリケーションカテゴリ (分類パラメータに基づくカテゴリ) に対して作成できます。

WAN リンク負荷分散: アプリケーションからの最初の接続を、デフォルトルート (WAN リンク負荷分散) を使ってルーティングします。指定されたアプリケーションベースのルートは、Sophos Firewall がセッションの詳細を学習した後の後続の接続に適用されます。

冗長化 (HA): アプリケーションベースのルーティング情報のキャッシュは、ポート 4455 のマルチキャスト IP アドレス 226.1.1.1 を使用して、HA 専用リンクで同期されます。

マイクロアプリケーション: Web プロキシモードでは、マイクロアプリケーションのアプリケーションベースルーティングはサポートされません。パターンアプリケーションと同期セキュリティアプリケーションのみをサポートします。DPI エンジンは、マイクロアプリケーションを含むすべてのアプリケーションのアプリケーションベースルーティングをサポートします。

ユースケース

Web アプリケーションの個々のアプリケーションを、異なるゲートウェイを介してルーティングします。

たとえば、Facebook のゲームアプリを低帯域幅の ISP リンクに、その他の Facebook アプリを高帯域幅のリンクにルーティングするといったことができます。
高帯域幅の ISP または MPLS リンクを介して重要なアプリケーションをルーティングします。

特定のリンクへのフェールオーバーを確実に行うには、プライマリゲートウェイとバックアップゲートウェイを指定する必要があります。
ユーザーやグループに基づいてアプリケーショントラフィックをルーティングします。
アプリケーショントラフィックを特定のサーバまたはルータにルーティングします。

アプリケーションベースのルーティングの設定方法

「アプリケーション > アプリケーションオブジェクト」に移動します。ビジネスとユーザーの優先度に基づいてアプリケーションオブジェクトを作成します。
「ルーティング > SD-WAN ルート」に移動します。
「IPv4」または「IPv6」をクリックし、「追加」をクリックします。
作成済みのアプリケーションオブジェクトを追加し、プライマリゲートウェイとバックアップゲートウェイを割り当てます。

Sophos Firewall がアプリケーションルーティングを実装する方法:

アプリケーションの最初の接続の宛先ポートおよび IP アドレス、プロトコル、受信インターフェースを照合して、一致する SD-WAN ルートを適用します。一致するルートが見つからない場合は、デフォルトルート (WAN リンク負荷分散) が適用されます。
DPI エンジンはアプリケーションを識別し、分類の決定をキャッシュします。

ユーザーのリクエストに基づき、1つの接続内で、元のアプリケーションを別のアプリケーションに引き継ぐことができます。たとえば、ユーザーは最初に Facebook.com にアクセスしてから Facebook チャットを開始できます。元のアプリケーションが識別された後に変更が発生した場合、 DPI エンジンは新しい分類を決定します。
新しい分類の決定は、アプリケーショントラフィックの後続の接続に適用されます。

アプリケーションセッション情報の有効時間 (TTL) は、セッションの開始から 3600秒です。この期間内に別のセッションが開始されない場合は、セッションの詳細が消去されます。Sophos Firewall を再起動すると、すべてのアプリケーションオブジェクトのセッション詳細が消去されます。アプリケーションを使用する後続の接続では、上記の実装プロセスが実行されます。

SD-WAN ルートアクションおよびゲートウェイステータス

SD-WAN ルートの順序を変更するには、ルートをドラッグアンドドロップします。Sophos Firewall では、上から下に向かってルートを評価し、一致するものを見つけます。一致するルートが見つかると、後続のルートは評価されません。
その他のオプションをクリックして、以下を選択できます。
- ルートのオン/オフを切り替えるには、「オン」、「オフ」のスイッチを使用します。
- ルートを編集するには、「編集」をクリックします。
- ルートの複製を作成するには、「最下部のルートの複製」をクリックします。
- データ転送量の計算をリセットするには、「データ転送量計算のリセット」をクリックします。
- ルートを削除するには、「削除」をクリックします。