移行後の SD-WAN ルート
これらのルート設定は、ファイアウォールルールでルート設定が構成されている 17.5 から移行されます。
SD-WAN ルーティングでルーティングポリシーを指定しておく必要があります。本バージョンから、ルーティングの設定はファイアウォールルールに含まれなくなっています。Sophos Firewall を以前のバージョンから移行すると、ファイアウォールルールにあるルーティング設定は「移行後の SD-WAN ポリシールート」として移行されます。移行された内容は、SD-WAN ルーティングテーブルで確認することができます。このように移行されたルートは、ファイアウォールルール ID とルール名で特定できます。
システム生成トラフィックおよび応答パケットのルーティングをオンまたはオフにするには、コマンドラインインターフェースに移動します。
ルートの優先順位
移行中 Sophos Firewall は、以前のバージョンで指定したルーティングの優先順位が保持されます。17.5 以前のバージョンのルートのデフォルトの優先順位は、SD-WAN ルート、VPN ルート、スタティックルートの順です。
警告
ルーティングは、ファイアウォールルールにリンクされなくなりました。したがって、移行後のルートの「宛先ネットワーク」が WAN ホストまたは「任意」に設定されている場合、このルートが内部トラフィックにも適用されて、WAN ゲートウェイにルーティングされます。
内部トラフィックが直接内部の宛先に到達できるようにするには、コマンドラインインターフェースに移動し、スタティックルーティングを SD-WAN ルーティングよりも優先するように設定します。
ヒント
SD-WAN ルートは、アプリケーションオブジェクトや、ユーザー、グループに基づいてルーティングポリシーを作成できるのが特長です。SD-WAN ルートのこうした特長を活用するために、SD-WAN ルートを新たに作成して、移行ルートを置き換えることをお勧めします。
移行されたルートの動作
移行されたルートには以下の条件が適用されます。
- ルート名の先頭に、ファイアウォールルール ID が自動的に追加されます。
- Sophos Firewall はファイアウォールルール ID を使いトラフィックを移行ルーティングと一致させます。
- ゾーンは、SD-WAN ルートの設定に含まれません。複数のファイアウォールルールで同じ送信元ネットワークと宛先ネットワークが指定されており、ゾーンが異なる場合は、それらのファイアウォールルールに対応する個別のルートが作成されます。
- 移行後のルートの処理順序は、ファイアウォールルールの処理順序に対応しているため変更できません。
- ファイアウォールルールを削除すると、移行後のルートも削除されます。
- ゲートウェイとゲートウェイの監視基準のみ変更できます。
ヒント
移行後のルートを削除する前に、現在の設定のバックアップを取ってください。
移行されたルートの編集
ルート名、プライマリおよびバックアップゲートウェイ、およびゲートウェイモニタリングの決定を変更できます。
- 「ルーティング > SD-WAN ルート」に移動します。
- 「IPv4」または「IPv6」の「追加」をクリックします。
- 名前を入力します。
-
ファイアウォールルール ID と名前は、ルートの移行元のルールを識別します。ツールチップを選択して、ルールの送信元、宛先、サービス、およびアクションの設定を表示します。
警告
SD-WAN ルートがスタティックルートよりも優先されるように指定されており、かつ、「宛先ネットワーク」が「任意」に設定されている場合は、(外部および内部の) 全トラフィックに SD-WAN ルートが適用されます。その結果、内部の送信元から内部の宛先へのトラフィックも、WAN ゲートウェイに強制的にルーティングされます。
バージョン 17.5 から移行した場合や、ルートのデフォルトの優先順位を変更した場合に、このような状態になる可能性があります。ルートの優先順位を確認するには、コマンドラインインターフェースに移動し、次のコマンドを使用します。
console> system route_precedence show
内部トラフィック (内部ホストから内部のデバイスやサーバーへのアクセスなど) を直接送信するには、コマンドラインインターフェースで、SD-WAN ルーティングよりもスタティックルーティングを優先するように設定します。
例:
console> system route_precedence set static sdwan_policyroute vpn
-
ファイアウォールルールで指定されていたゲートウェイがプライマリゲートウェイになります。
指定のゲートウェイを削除すると、ルートも削除され、WAN リンク負荷分散によってトラフィックがルーティングされるようになります。
プライマリゲートウェイがダウンした場合、Sophos Firewall はトラフィックをバックアップゲートウェイ経由でルーティングします。プライマリゲートウェイが復旧すると、新しい接続はプライマリゲートウェイにルーティングされます。既存の接続は、引き続きバックアップゲートウェイを使用します。
-
ファイアウォールルールで「バックアップゲートウェイ」が指定されていた場合は、そのゲートウェイが使用されます。
指定のゲートウェイを削除すると、バックアップゲートウェイが「なし」に設定されます。
-
移行の過程で、「指定されたゲートウェイのみを経由してルーティングする」が選択され、元のファイアウォールルール内のルートの動作が再現されます。
- 「保存」をクリックします。
SD-WAN ルートの移行の仕組み
機能 | 移行後の SD-WAN ルート |
---|---|
ファイアウォールルール | 独立したルールやポリシーとして移行:
|
次の設定を持つファイアウォールルール:
| 移行後の SD-WAN ルートは作成されません。 |
次の設定を持つファイアウォールルール:
| 移行後の SD-WAN ルートは作成されません。他の SD-WAN ルートが評価されます。一致するルートがない場合は、デフォルトのルート (WAN リンク負荷分散) が適用されます。 |
ファイアウォールルール内のゾーン | ファイアウォールルールが複数あり、送信元ゾーンと宛先ゾーンの条件のみが異なる場合、移行後の SD-WAN ルートが別々に作成されます。 |
移行後の SD-WAN ルートの処理順序 | 移行後の SD-WAN ルートの処理順序は、ファイアウォールルールの処理順序に対応しているため変更できません。 |
移行後の SD-WAN ルートで変更可能な設定 | ルーティングパラメータのみ:
|
移行されたファイアウォールルールが削除されます | 関連付けられた移行後の SD-WAN ルートが削除されます。 |
ルートの優先順位 | 以前のバージョンで指定されたルーティング優先順位が移行されます。 18.0 以降では、デフォルトの優先順位に設定することができます。スタティックルート、SD-WAN ルート、VPN ルート。 |
その他のリソース