コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=routing-SD-WAN-routes-behavior

SD-WAN ルーティングの動作

SD-WAN プロファイルを使用して SD-WAN ルートを構成し、ゲートウェイが使用不可になった場合や SLA を満たさなくなった場合に、接続を動的に再ルーティングできます。

システム生成トラフィックおよび応答パケットの SD-WAN ルートを作成します。

接続の再ルーティング

影響のないフェールオーバーを実装するため、トラフィック (reroute-connection) の再ルーティングはデフォルトでオンになっています。

コマンドラインコンソールから、以下のようにオンとオフを切り替えられます。

オプション CLI コマンド
再ルーティングのステータスを表示する show routing reroute-connection
再ルーティングをオンにする set routing reroute-connection enable
再ルーティングをオフにする set routing reroute-connection disable

ルーティングコマンド を参照してください。

SNAT 接続の再ルーティング

Sophos Firewall は、SNAT ルールに一致しないすべての接続をデフォルトで再ルーティングします。SNAT 接続の再ルーティングを有効にするには、CLI コマンド reroute-snat-connection CLを使用します。CLI コマンド reroute-connection を使用して、NAT に一致しない接続の再ルーティングをオフにすることもできます。

なお、SNAT 接続の再ルーティングは、再ルーティングに使用されるゲートウェイまたはリンクに対して同じ送信元 IP アドレスを適用した場合にのみ動作することにご注意ください。たとえば、最初の接続のルーティングにポート A 経由で SNAT IP アドレス 192.0.2.1 を使用し、その後、ポート B 経由で再ルーティングした場合、同じ SNAT IP アドレス 192.0.2.1 を使用する必要があります。

SNAT ルールでマスカレード (MASQ) 接続や「送信元変換を上書きする」オプションを使用すると、変換後の送信元が変更されます。SNAT ルールによる変換後の IP アドレスまたは IP 範囲が異なると、エンドポイントコンピュータとサーバー間で通信エラーが発生します。そのため、このような設定を使用している場合、SNAT 接続は再ルーティングされません。

コマンドラインコンソールから、以下のように SNAT の再ルーティングのオン / オフを切り替えられます。

オプション CLI コマンド
SNAT 接続の再ルーティングのステータスを表示する show routing reroute-snat-connection
SNAT 接続の再ルーティングをオンにする set routing reroute-snat-connection enable
SNAT 接続の再ルーティングをオフにする set routing reroute-snat-connection disable

ルーティングコマンド を参照してください。

システム生成トラフィックおよび応答パケット

システム生成トラフィックおよび応答パケットの SD-WAN ルートを作成し、ゲートウェイを指定できます。CLI で、システム生成トラフィックおよび応答パケットのルーティングがオンになっていることを確認します。

応答パケット

応答パケットの場合、WAN インターフェースで対称ルーティングが適用されます。これらのパケットは、元のパケットと同じ WAN インターフェースを使用します。

WAN 以外のインターフェースで応答パケットの非対称ルーティングを設定できます。たとえば、LAN から DMZへのトラフィックに対して、元のトラフィックと異なるインターフェースを指定することができます。

制限事項

応答パケットの元のトラフィックがデフォルトルート (WAN リンク負荷分散) を使用している場合、応答パケットに SD-WAN ルートは適用されません。デフォルトルートが適用され、受信インターフェースと同じインターフェースから出力されます。

この設定は、CLI で変更できます。ルーティングコマンド を参照してください。

システム生成トラフィック:

受信インターフェースと送信元ネットワークは不明なままなので、宛先ネットワークとサービスだけを選択します。たとえば、Sophos Firewall が使用するサービスに関連したトラフィックは、サービスの種類に応じて異なるインターフェースを通過します。

この設定は、CLI で変更できます。ルーティングコマンド を参照してください。

  • 設定されたすべてのゲートウェイを「ネットワーク > WAN リンクマネージャ」の「バックアップ」として選択した場合、ファイアウォールはシステム生成トラフィックを転送しません。少なくとも 1つを「アクティブ」に選択してください。
  • UDP ポート 3410 のシステム生成 RED トラフィックは、レイヤ 2 トラフィックです。したがって、このトラフィックに SD-WAN ルートは適用されません。

SD-WAN ルートを使用するルートベース VPN

SD-WAN ルートは、ルートベースの IPsec VPN 接続で使用できます。SD-WAN プロファイルまたは SD-WAN ルートで XFRM インターフェースのゲートウェイを選択できます。詳細は、ルートベースの VPN の作成 (任意のサブネット間)を参照してください。

IPsec トンネルのトラフィックを圧縮してスループットを向上させるには、 「プロファイル > IPsec プロファイル」に移動し、ルートベース VPN 設定で選択したプロファイルに対して「圧縮形式でデータをパスする」を選択します。