コンテンツにスキップ

移行後の SD-WAN ルート

これらのルート設定は、ファイアウォールルールでルート設定が構成されている 17.5 から移行されます。

SD-WAN ルーティングでルーティングポリシーを指定しておく必要があります。本バージョンから、ルーティングの設定はファイアウォールルールに含まれなくなっています。Sophos Firewall を以前のバージョンから移行すると、ファイアウォールルールにあるルーティング設定は「移行後の SD-WAN ポリシールート」として移行されます。移行された内容は、SD-WAN ルーティングテーブルで確認することができます。このように移行されたルートは、ファイアウォールルール ID とルール名で特定できます。

システム生成トラフィックおよび応答パケットのルーティングをオンまたはオフにするには、コマンドラインインターフェースに移動します。

ルートの優先順位

移行中 Sophos Firewall は、以前のバージョンで指定したルーティングの優先順位が保持されます。17.5 以前のバージョンのルートのデフォルトの優先順位は、SD-WAN ルート、VPN ルート、スタティックルートの順です。

警告

ルーティングは、ファイアウォールルールにリンクされなくなりました。したがって、移行後のルートの「宛先ネットワーク」が WAN ホストまたは「任意」に設定されている場合、このルートが内部トラフィックにも適用されて、WAN ゲートウェイにルーティングされます。

内部トラフィックが直接内部の宛先に到達できるようにするには、コマンドラインインターフェースに移動し、スタティックルーティングを SD-WAN ルーティングよりも優先するように設定します。

ヒント

SD-WAN ルートは、アプリケーションオブジェクトや、ユーザー、グループに基づいてルーティングポリシーを作成できるのが特長です。SD-WAN ルートのこうした特長を活用するために、SD-WAN ルートを新たに作成して、移行ルートを置き換えることをお勧めします。

移行されたルートの動作

移行されたルートには以下の条件が適用されます。

  • ルート名の先頭に、ファイアウォールルール ID が自動的に追加されます。
  • Sophos Firewall はファイアウォールルール ID を使いトラフィックを移行ルーティングと一致させます。
  • ゾーンは、SD-WAN ルートの設定に含まれません。複数のファイアウォールルールで同じ送信元ネットワークと宛先ネットワークが指定されており、ゾーンが異なる場合は、それらのファイアウォールルールに対応する個別のルートが作成されます。
  • 移行後のルートの処理順序は、ファイアウォールルールの処理順序に対応しているため変更できません。
  • ファイアウォールルールを削除すると、移行後のルートも削除されます。
  • ゲートウェイとゲートウェイの監視基準のみ変更できます。

ヒント

移行後のルートを削除する前に、現在の設定のバックアップを取ってください。

移行されたルートの編集

ルート名、プライマリおよびバックアップゲートウェイ、およびゲートウェイモニタリングの決定を変更できます。

  1. ルーティング > SD-WAN ルート」に移動します。
  2. IPv4」または「IPv6」の「追加」をクリックします。
  3. 名前を入力します。
  4. ファイアウォールルール ID と名前は、ルートの移行元のルールを識別します。ツールチップを選択して、ルールの送信元、宛先、サービス、およびアクションの設定を表示します。

    警告

    SD-WAN ルートがスタティックルートよりも優先されるように指定されており、かつ、「宛先ネットワーク」が「任意」に設定されている場合は、(外部および内部の) 全トラフィックに SD-WAN ルートが適用されます。その結果、内部の送信元から内部の宛先へのトラフィックも、WAN ゲートウェイに強制的にルーティングされます。

    バージョン 17.5 から移行した場合や、ルートのデフォルトの優先順位を変更した場合に、このような状態になる可能性があります。ルートの優先順位を確認するには、コマンドラインインターフェースに移動し、次のコマンドを使用します。

    console> system route_precedence show

    内部トラフィック (内部ホストから内部のデバイスやサーバーへのアクセスなど) を直接送信するには、コマンドラインインターフェースで、SD-WAN ルーティングよりもスタティックルーティングを優先するように設定します。

    例: console> system route_precedence set static sdwan_policyroute vpn

  5. ファイアウォールルールで指定されていたゲートウェイがプライマリゲートウェイになります。

    指定のゲートウェイを削除すると、ルートも削除され、WAN リンク負荷分散によってトラフィックがルーティングされるようになります。

    プライマリゲートウェイがダウンした場合、Sophos Firewall はトラフィックをバックアップゲートウェイ経由でルーティングします。プライマリゲートウェイが復旧すると、新しい接続はプライマリゲートウェイにルーティングされます。既存の接続は、引き続きバックアップゲートウェイを使用します。

  6. ファイアウォールルールで「バックアップゲートウェイ」が指定されていた場合は、そのゲートウェイが使用されます。

    指定のゲートウェイを削除すると、バックアップゲートウェイが「なし」に設定されます。

  7. 移行の過程で、「指定されたゲートウェイのみを経由してルーティングする」が選択され、元のファイアウォールルール内のルートの動作が再現されます。

  8. 保存」をクリックします。

SD-WAN ルートの移行の仕組み

機能 移行後の SD-WAN ルート
ファイアウォールルール

独立したルールやポリシーとして移行:

  • ルーティング設定なしのファイアウォールルール。
  • 移行された NAT ルール。
  • 関連付けられたファイアウォールルール ID と名前を持つ移行された SD-WAN ルート。
Sophos Firewall はファイアウォールルール ID を使用して、移行されたルートとトラフィックを照合します。

次の設定を持つファイアウォールルール:

  • 宛先ゾーン: LAN
  • ゲートウェイなし
移行後の SD-WAN ルートは作成されません。

次の設定を持つファイアウォールルール:

  • 宛先ゾーン: WAN
  • WAN リンク負荷分散
移行後の SD-WAN ルートは作成されません。他の SD-WAN ルートが評価されます。一致するルートがない場合は、デフォルトのルート (WAN リンク負荷分散) が適用されます。
ファイアウォールルール内のゾーン ファイアウォールルールが複数あり、送信元ゾーンと宛先ゾーンの条件のみが異なる場合、移行後の SD-WAN ルートが別々に作成されます。
移行後の SD-WAN ルートの処理順序 移行後の SD-WAN ルートの処理順序は、ファイアウォールルールの処理順序に対応しているため変更できません。
移行後の SD-WAN ルートで変更可能な設定

ルーティングパラメータのみ:

  • プライマリゲートウェイ: バックアップゲートウェイ
  • ゲートウェイ監視の判断をオーバーライド
移行されたファイアウォールルールが削除されます 関連付けられた移行後の SD-WAN ルートが削除されます。
ルートの優先順位

以前のバージョンで指定されたルーティング優先順位が移行されます。

18.0 以降では、デフォルトの優先順位に設定することができます。スタティックルート、SD-WAN ルート、VPN ルート。

その他のリソース