コンテンツにスキップ

SD-WAN ルーティングの動作

SD-WAN プロファイルを使用して SD-WAN ルートを構成し、ゲートウェイが使用不可になった場合や SLA を満たさなくなった場合に、接続を動的に再ルーティングできます。

システム生成トラフィックおよび応答パケットの SD-WAN ルートを作成します。

接続の再ルーティング

影響のないフェールオーバーを実装するため、トラフィック (reroute-connection) の再ルーティングはデフォルトでオンになっています。

コマンドラインコンソールから、以下のようにオンとオフを切り替えられます。

オプション CLI コマンド
再ルーティングのステータスを表示する show routing reroute-connection
再ルーティングをオンにする set routing reroute-connection enable
再ルーティングをオフにする set routing reroute-connection disable

ルーティングコマンド を参照してください。

SNAT 接続の再ルーティング

Sophos Firewall は、SNAT ルールに一致しないすべての接続を再ルーティングします。変換された送信元 IP アドレスとして単一の IP アドレスを指定した場合にのみ、SNAT 接続が再ルーティングされます。

ファイアウォールは、次の SNAT 接続を再ルーティングしません。

  • マスカレード (MASQ) 接続。

    WAN リンクマネージャにリストされているゲートウェイを使用するため、マスカレード接続は再ルーティングされません。使用中のゲートウェイが使用不能になると、リスト上の別のゲートウェイにフェールオーバーされます。これにより、変換された送信元 (ゲートウェイ) IP アドレスが変更され、接続がドロップされます。

  • 変換された送信元」で指定した IP アドレスまたは範囲が IP プールにマッピングされている場合。

SNAT 接続のトラフィックの再ルーティング (reroute-snat-connection) は、デフォルトでオフになっています。しかし、コマンドラインインターフェース (CLI) を使用すれば、オンに切り替えられます。

オプション CLI コマンド
SNAT 接続の再ルーティングのステータスを表示する show routing reroute-snat-connection
SNAT 接続の再ルーティングをオンにする set routing reroute-snat-connection enable
SNAT 接続の再ルーティングをオフにする set routing reroute-snat-connection disable

ルーティングコマンド を参照してください。

システム生成トラフィックおよび応答パケット

システム生成トラフィックおよび応答パケットの SD-WAN ルートを作成し、ゲートウェイを指定できます。CLI で、システム生成トラフィックおよび応答パケットのルーティングがオンになっていることを確認します。

応答パケット

応答パケットの場合、WAN インターフェースで対称ルーティングが適用されます。これらのパケットは、元のパケットと同じ WAN インターフェースを使用します。

WAN 以外のインターフェースで応答パケットの非対称ルーティングを設定できます。たとえば、LAN から DMZへのトラフィックに対して、元のトラフィックと異なるインターフェースを指定することができます。

制限事項

応答パケットの元のトラフィックがデフォルトルート (WAN リンク負荷分散) を使用している場合、応答パケットに SD-WAN ルートは適用されません。デフォルトルートが適用され、受信インターフェースと同じインターフェースから出力されます。

この設定は、CLI で変更できます。ルーティングコマンド を参照してください。

システム生成トラフィック:

受信インターフェースと送信元ネットワークは不明なままなので、宛先ネットワークとサービスだけを選択します。たとえば、Sophos Firewall が使用するサービスに関連したトラフィックは、サービスの種類に応じて異なるインターフェースを通過します。

この設定は、CLI で変更できます。ルーティングコマンド を参照してください。

  • 設定されたすべてのゲートウェイを「ネットワーク > WAN リンクマネージャ」の「バックアップ」として選択した場合、ファイアウォールはシステム生成トラフィックを転送しません。少なくとも 1つを「アクティブ」に選択してください。
  • UDP ポート 3410 のシステム生成 RED トラフィックは、レイヤ 2 トラフィックです。したがって、このトラフィックに SD-WAN ルートは適用されません。

SD-WAN ルートを使用するルートベース VPN

SD-WAN ルートは、ルートベースの IPsec VPN 接続で使用できます。SD-WAN プロファイルまたは SD-WAN ルートで XFRM インターフェースのゲートウェイを選択できます。詳細は、ルートベースの VPN の作成 (任意のサブネット間)を参照してください。

IPsec トンネルのトラフィックを圧縮してスループットを向上させるには、 「プロファイル > IPsec プロファイル」に移動し、ルートベース VPN 設定で選択したプロファイルに対して「圧縮形式でデータをパスする」を選択します。