SD-WAN プロファイル

SD-WAN プロファイルを使用して、SD-WAN ネットワーク内の複数のゲートウェイ間の SD-WAN ルーティング方法を定義できます。ネットワークに複数のゲートウェイが設定されている場合は、SD-WAN プロファイルを使用して、ゲートウェイの可用性またはパフォーマンスに基づいてトラフィックをルーティングすることができます。これにより、SD-WAN ネットワークのパフォーマンスが最適化されます。また、ISP の障害が発生した場合でも、継続性が確保されます。

ルーティング戦略

SD-WAN プロファイルに、設定済みのゲートウェイを追加して、評価する順番に並べます。ファイアウォールはルーティング戦略を使用してゲートウェイを選択します。「使用可能な最初のゲートウェイ」または「負荷分散」が選択できます。

使用可能な最初のゲートウェイ

ゲートウェイの可用性に基づいてルーティングする場合は、ルーティング方法として「使用可能な最初のゲートウェイ」を選択します。そうすると、プロファイルに指定したゲートウェイの正常性が順番にチェックされ、最初に使用可能なものが選択されます。

負荷分散

プロファイルの「サービスレベル契約 (SLA)」をオンにすると、負荷分散ルーティング戦略を選択して、追加されたすべてのゲートウェイ間または SLA を満たすすべてのゲートウェイ間で、トラフィックを負荷分散できます。次に、負荷分散の方法を選択する必要があります。

• ラウンドロビン: ファイアウォールが、リストされている順に、すべてのゲートウェイ間でトラフィックを負荷分散します。たとえば、ゲートウェイが 3つある場合、ファイアウォールは、1つ目の要求を 1つ目のゲートウェイに送信し、2つ目の要求を 2つ目のゲートウェイに送信し、3つ目の要求を 3つ目のゲートウェイに送信し、4つ目の要求は再び 1つ目のゲートウェイに送信します。
• セッションの永続性の種類: セッションの持続性を使用すると、セッションの間、同じゲートウェイを維持できます。ファイアウォールは、送信元 IP アドレス、宛先 IP アドレス、送信元および宛先 IP アドレス、または単一セッションの接続のいずれかに基づいて、同じゲートウェイを経由してトラフィックをルーティングします。これは、銀行取引やショッピングカートなど、セッションクリティカルなアプリケーションに役立ちます。

ゲートウェイの加重

ゲートウェイに重みを割り当てると、負荷分散トラフィックの分散比が指定できます。ファイアウォールは、指定した重みに基づいて、トラフィックをゲートウェイに分散します。ゲートウェイの使用量とリソースに基づいて、ゲートウェイに重みを割り当てます。たとえば、2 つのゲートウェイがあり、最初のゲートウェイに 3 を、2 番目のゲートウェイに 1 を指定した場合、ファイアウォールは 4 つの要求のうち 3 つを最初のゲートウェイに、1 つの要求を 2 番目のゲートウェイにルーティングします。

サービスレベル契約

「サービスレベル契約 (SLA)」をオンにすると、ゲートウェイのパフォーマンスに基づいてトラフィックをルーティングできます。SLA には、監視対象のパフォーマンス指標を指定します。この指標に基づき、ゲートウェイの正常性チェックが行われ、パフォーマンスが最良のゲートウェイが選択されます。SLA としては、以下のいずれかを使用できます。

• 最も高品質: レイテンシ、ジッタ、パケット損失のいずれかのパフォーマンス指標に基づいて、最良のゲートウェイを選択します。たとえば、「レイテンシ」を選択した場合、レイテンシが最小のゲートウェイが選択されます。この SLA は、重要度の低いトラフィックに適しています。負荷分散ルーティング戦略を選択した場合、ファイアウォールは、2 つ以上のゲートウェイが最もパフォーマンスの高いゲートウェイである場合にのみ負荷分散を行います。

• カスタム SLA: レイテンシ、ジッタ、パケット損失の最大許容値に基づき、パフォーマンスが最良のゲートウェイを選択します。負荷分散ルーティング戦略を選択した場合、ファイアウォールは SLA を満たすすべてのゲートウェイ間でトラフィックの負荷分散を行います。

「最も高品質」では、1つの指標のみに基づいて、ゲートウェイが選択されます。「カスタム SLA」では、指定したすべての最大許容値を満たすようなゲートウェイが選択されます。

SLA を満たす、最初に使用可能なゲートウェイにトラフィックがルーティングされます。SLA を満たすゲートウェイがない場合は、選択したルーティング戦略 (使用可能な最初のゲートウェイまたは負荷分散) が使用されます。

元のゲートウェイへのフェールバック

最高品質の SLAを使用している場合、ファイアウォールは、トラフィックを処理していたゲートウェイがダウンした場合、次に使用可能なゲートウェイにトラフィックを再ルーティングします。最初のゲートウェイが再び使用可能になると、最初のゲートウェイのパフォーマンスが使用中のゲートウェイよりも次のマージンで優れている場合にのみ、トラフィックがそのゲートウェイにフェールバックされます。

これにより、選択したパフォーマンスモニタリング基準の感度が非常に異なる場合に、ファイアウォールがゲートウェイ間でトラフィックを頻繁に再ルーティングしないようになります。

パケット損失のマージンはありません。ファイアウォールは、パケット損失率が高いゲートウェイに再ルーティングされます。

正常性チェック

Sophos Firewall には、ゲートウェイのステータスを監視する正常性チェックメカニズムが備わっています。各ゲートウェイのステータスに加えて、それぞれのレイテンシ、ジッタ、パケット損失が測定されます。

ファイアウォールは、正常性チェックを行うために、ゲートウェイの背後にあるホスト IP アドレス (またはプローブの対象) にリクエストを送信します。ホストがこのプローブに応答すると、ゲートウェイは有効であると見なされます。プローブの方法としては、ping や TCP などのプロトコルを選択できます。正常でないと見なされたゲートウェイは、選択アルゴリズムから除外されます。そして、次に使用可能なゲートウェイ (または SLA を満たす次に使用可能なゲートウェイ) にルーティングされます。正常でないと見なされたゲートウェイは、正常性チェックに再びパスすると、選択アルゴリズムに戻されます。

プローブ対象を 2つ追加した場合は、まず、最初のプローブ対象が使用されます。最初のプローブ対象が応答しない場合は、2番目のプローブ対象が使用されます。このプローブ対象が応答を続ける限り、こちらの使用が継続されます。2番目のプローブ対象が応答を停止すると、最初のプローブ対象が応答可能な状態に戻っている場合は、再びこちらが使用されるようになります。

アクションとステータス

Web 管理コンソールの「ルーティング > SD-WAN プロファイル」に、設定済みのすべての SD-WAN プロファイルが表示されます。

それぞれの SD-WAN プロファイルについて、以下の情報が表示されます。

名前: プロファイルの名前とそのステータスが以下のように表示されます。

プロファイルが有効で、少なくとも 1つのゲートウェイが使用可能である。

プロファイルが無効で、使用可能なゲートウェイがない。

ゲートウェイ: プロファイルに含まれるゲートウェイが一覧表示されます。

正常性チェック: 正常性チェックのオン/オフが示されます。

管理: 以下の操作を実行できます。

• プロファイルを編集するには、「編集」 をクリックします。
• プロファイルを削除するには、「削除」 をクリックします。

ステータス

• ゲートウェイのパフォーマンスをリアルタイムで監視するには、「過去のパフォーマンス」をクリックします。 詳細は、SD-WAN のパフォーマンスを参照してください。

  

• 設定の概要を表示するには、「リンクの状態」をクリックします。

  

SD-WAN プロファイルの使用状況

詳細は、オブジェクトの使用を参照してください。

SD-WAN ルートの設定

ネットワークの SD-WAN ルーティング方法を定義するには、以下の手順に従います。

1. 2つ以上のゲートウェイを追加します。詳細は、ゲートウェイの追加を参照してください。
2. SD-WAN プロファイルを追加します。詳細は、SD-WAN プロファイルの追加を参照してください。

3. SD-WAN ルートを追加します。詳細は、SD-WAN ルートの追加を参照してください。

   SD-WAN ルートを追加する過程で、上記の手順で追加した SD-WAN プロファイルを選択します。