SD-WAN ルーティングの動作
SD-WAN プロファイルを使用して SD-WAN ルートを構成し、ゲートウェイが使用不可になった場合や SLA を満たさなくなった場合に、接続を動的に再ルーティングできます。
システム生成トラフィックおよび応答パケットの SD-WAN ルートを作成します。
接続の再ルーティング
影響のないフェールオーバーを実装するため、トラフィック (reroute-connection
) の再ルーティングはデフォルトでオンになっています。
コマンドラインコンソールから、以下のようにオンとオフを切り替えられます。
オプション | CLI コマンド |
---|---|
再ルーティングのステータスを表示する | show routing reroute-connection |
再ルーティングをオンにする | set routing reroute-connection enable |
再ルーティングをオフにする | set routing reroute-connection disable |
ルーティングコマンド を参照してください。
SNAT 接続の再ルーティング
Sophos Firewall は、SNAT ルールに一致しないすべての接続を再ルーティングします。変換された送信元 IP アドレスとして単一の IP アドレスを指定した場合にのみ、SNAT 接続が再ルーティングされます。
ファイアウォールは、次の SNAT 接続を再ルーティングしません。
-
マスカレード (MASQ) 接続。
WAN リンクマネージャにリストされているゲートウェイを使用するため、マスカレード接続は再ルーティングされません。使用中のゲートウェイが使用不能になると、リスト上の別のゲートウェイにフェールオーバーされます。これにより、変換された送信元 (ゲートウェイ) IP アドレスが変更され、接続がドロップされます。
-
「変換された送信元」で指定した IP アドレスまたは範囲が IP プールにマッピングされている場合。
SNAT 接続のトラフィックの再ルーティング (reroute-snat-connection
) は、デフォルトでオフになっています。しかし、コマンドラインインターフェース (CLI) を使用すれば、オンに切り替えられます。
オプション | CLI コマンド |
---|---|
SNAT 接続の再ルーティングのステータスを表示する | show routing reroute-snat-connection |
SNAT 接続の再ルーティングをオンにする | set routing reroute-snat-connection enable |
SNAT 接続の再ルーティングをオフにする | set routing reroute-snat-connection disable |
ルーティングコマンド を参照してください。
システム生成トラフィックおよび応答パケット
システム生成トラフィックおよび応答パケットの SD-WAN ルートを作成し、ゲートウェイを指定できます。CLI で、システム生成トラフィックおよび応答パケットのルーティングがオンになっていることを確認します。
応答パケット
応答パケットの場合、WAN インターフェースで対称ルーティングが適用されます。これらのパケットは、元のパケットと同じ WAN インターフェースを使用します。
WAN 以外のインターフェースで応答パケットの非対称ルーティングを設定できます。たとえば、LAN から DMZへのトラフィックに対して、元のトラフィックと異なるインターフェースを指定することができます。
制限事項
応答パケットの元のトラフィックがデフォルトルート (WAN リンク負荷分散) を使用している場合、応答パケットに SD-WAN ルートは適用されません。デフォルトルートが適用され、受信インターフェースと同じインターフェースから出力されます。
この設定は、CLI で変更できます。ルーティングコマンド を参照してください。
システム生成トラフィック:
受信インターフェースと送信元ネットワークは不明なままなので、宛先ネットワークとサービスだけを選択します。たとえば、Sophos Firewall が使用するサービスに関連したトラフィックは、サービスの種類に応じて異なるインターフェースを通過します。
この設定は、CLI で変更できます。ルーティングコマンド を参照してください。
注
- 設定されたすべてのゲートウェイを「ネットワーク > WAN リンクマネージャ」の「バックアップ」として選択した場合、ファイアウォールはシステム生成トラフィックを転送しません。少なくとも 1つを「アクティブ」に選択してください。
- UDP ポート 3410 のシステム生成 RED トラフィックは、レイヤ 2 トラフィックです。したがって、このトラフィックに SD-WAN ルートは適用されません。
SD-WAN ルートを使用するルートベース VPN
SD-WAN ルートは、ルートベースの IPsec VPN 接続で使用できます。SD-WAN プロファイルまたは SD-WAN ルートで XFRM インターフェースのゲートウェイを選択できます。詳細は、ルートベースの VPN の作成 (任意のサブネット間)を参照してください。
IPsec トンネルのトラフィックを圧縮してスループットを向上させるには、 「プロファイル > IPsec プロファイル」に移動し、ルートベース VPN 設定で選択したプロファイルに対して「圧縮形式でデータをパスする」を選択します。