Das Richtlinienrouting für SD-WAN (Software Defined Wide Area Networking) ermöglicht Ihnen den Einsatz von Routing-Entscheidungen auf der Grundlage der von Ihnen festgelegten Richtlinien.
Sie können Datenverkehr basierend auf SD-WAN-Richtlinienrouting-Kriterien wie der eingehenden Schnittstelle, Quell- und Zielnetzwerken, Diensten, Anwendungsobjekten, Benutzern und Benutzergruppen routen. Sie können das primäre und die Reserve-Gateways angeben, durch die der Datenverkehr weitergeleitet werden soll.
Wenn beide Gateways nicht verfügbar sind, wertet XG Firewall andere SD-WAN-Richtlinienrouten aus. Wenn keine andere passende Richtlinienroute gefunden wird, wird die Standardroute (WAN-Link-Lastverteilung) angewendet. Die Standardroute verteilt die Datenverkehrslast zwischen den aktiven WAN-Verbindungen. Weitere Informationen zu aktiven WAN-Verbindungen finden Sie unter .
SD-WAN-Richtlinienrouten ermöglichen das Festlegen von Gateway-Failover und Failback unter Verwendung einer Kombination von Verbindungen, z.B. MPLS, VPN, Breitband. Sie können auch kritische Anwendungen und bandbreiten-sensiblen Datenverkehr, wie z.B. VoIP, über ISP-Hochgeschwindigkeits-Verbindungen leiten.
Sie können IPv4- und IPv6-SD-WAN-Richtlinienrouten erstellen.
Das SD-WAN-Richtlinienrouting kann Datenverkehr basierend auf Anwendungen klassifizieren, sodass Sie Richtlinienrouten basierend auf dem Anwendungstyp festlegen können. Sie können das primäre Gateway und die Reserve-Gateways basierend auf den von Ihnen ausgewählten Anwendungsobjekten auswählen.
Sie können Anwendungsobjekte für Webanwendungen oder Micro-Apps erstellen (Beispiel: Facebook Messenger), Synchronized-Security-Anwendungen (entdeckt auf Endgeräten), benutzerdefinierte Anwendungen und Anwendungskategorien basierend auf den Klassifizierungsparametern.
Anwendungsfälle:
Beispielsweise können Sie Facebook-Spiele über einen ISP-Link mit geringer Bandbreite und andere Facebook-Anwendungen über einen Link mit hoher Bandbreite weiterleiten. Um den Richtlinien Ihrer Organisation gerecht zu werden, können Sie YouTube-Websites und YouTube-Streaming-Datenverkehr weiterleiten, jedoch nicht die Kommentare, Downloads und andere Funktionen.
Um ein Failover auf eine bestimmte Verbindung zu gewährleisten, müssen Sie das primären Gateway und die Reserve-Gateways angeben.
So konfigurieren Sie das Anwendungsrouting:
So setzt XG Firewall Anwendungsrouting um:
Je nach Benutzeranfrage kann innerhalb einer einzigen Verbindung eine andere Anwendung die Stelle der ursprünglichen Anwendung übernehmen. Nutzer können beispielsweise zuerst auf facebook.com gehen und dann den Facebook-Chat starten. Wenn die Änderung auftritt, nachdem die ursprüngliche Anwendung identifiziert wurde, trifft das DPI-Modul eine neue Klassifizierungsentscheidung.
Die Time-to-Live (TTL) für Details zu Anwendungssitzungen beträgt 3600 Sekunden nach Beginn der Sitzung. Wenn innerhalb dieses Zeitraums keine andere Sitzung gestartet wird, werden die Sitzungsdetails bereinigt. Wenn Sie XG Firewall neu starten, werden die Sitzungsdaten aller Anwendungsobjekte bereinigt. Nachfolgende Verbindungen, die die Anwendung verwenden, durchlaufen den oben aufgeführten Implementierungsvorgang.
Sie können Richtlinienrouten für systemgenerierten Datenverkehr und Antwortpakete erstellen. Stellen Sie sicher, auf der Kommandozeilenschnittstelle für jede einzelne dieser Schnittstellen unabhängig Routing zu aktivieren.
Sie können asymmetrisches Routing für Antwortpakete konfigurieren, indem Sie eine andere Schnittstelle als die vom ursprünglichen Datenverkehr verwendete Schnittstelle angeben.
Wählen Sie für systemgenerierten Datenverkehr nur die Zielnetzwerke und -Dienste aus, da Quellschnittstelle und -netzwerk unbekannt bleiben. Beispielsweise werden die von XG Firewall verwendeten Dienste je nach Art des Dienstes über verschiedene Schnittstellen geleitet.
Um den Routing-Status anzuzeigen und das Routing für systemgenerierten Datenverkehr und Antwortpakete ein- oder auszuschalten, verwenden Sie die folgenden Kommandozeilenbefehle.
|
Routing-Option |
Kommandozeilenbefehl |
|---|---|
|
Routing-Status anzeigen |
console> show routing sd-wan-policy-route system-generate-traffic |
|
console> show routing sd-wan-policy-route reply-packet |
|
|
Routing aktivieren |
console> set routing sd-wan-policy-route system-generate-traffic enable |
|
console> set routing sd-wan-policy-route reply-packet enable |
|
|
Routing deaktivieren |
console> set routing sd-wan-policy-route system-generate-traffic disable |
|
console> set routing sd-wan-policy-route reply-packet disable |
Routing folgt der Priorität, die Sie auf der Kommandozeilenschnittstelle angeben. Die standardmäßige Routing-Priorität lautet statische Routen, SD-WAN-Richtlinienrouten und dann VPN-Routen. Die Protokoll-, Netzwerk- und Routendetails werden in der folgenden Tabelle angezeigt.
|
Routen |
Routenpriorisierung |
|---|---|
|
Statische Routen umfassen Folgendes:
|
Legen Sie die Priorität bei der Weiterleitung auf der Kommandozeile fest. Beispiel: console> system route_precedence set static sdwan_policyroute vpn |
|
SD-WAN-Richtlinienrouten |
|
|
VPN-Routen (nur richtlinienbasierte IPsec-VPNs) |
|
|
Standardroute (WAN-Link-Manager) |
Fallback-Route, wenn der Verkehr nicht mit einer konfigurierten Route übereinstimmt. |
Um eine SD-WAN-Richtlinienroute für Internetverkehr zu erstellen, können Sie Zielnetzwerke auf einen WAN-Host oder auf Beliebig stellen.
Wenn der Datenverkehr keiner SD-WAN-Richtlinienroute entspricht, wendet XG Firewall die im WAN-Link-Manager angegebenen Einstellungen an.
Dies tritt wahrscheinlich auf, wenn Sie von einer früheren Version zu 18.0 migriert haben oder wenn Sie die Standard-Routenpriorisierung der Route geändert haben. Um die Routenpriorisierung anzuzeigen, gehen Sie zur Kommandozeile und verwenden Sie den folgenden Befehl:
console> system route_precedence show
Wenn Sie wollen, dass der interne Datenverkehr (z.B. interne Hosts, die auf interne Geräte und Server zugreifen) auf direktem Weg das interne Netzwerk erreicht, legen Sie die Routenpriorisierung auf der Kommandozeile so fest, dass statisches Routing vor SD-WAN-Richtlinienrouting stattfindet.
Beispiel: console> system route_precedence set static sdwan_policyroute vpn
.Gateway-Status
Das primäre oder das Reserve-Gateway ist in Betrieb und die Richtlinienroute ist aktiv.
Das Gateway ist ausgefallen und die Richtlinienroute ist nicht aktiv. Die Umgehung der Gateway-Überwachung ist deaktiviert.
Das Gateway ist ausgefallen und die Umgehung der Gateway-Überwachung ist eingeschaltet.
Bewegen Sie den Mauszeiger über das Statussymbol, um den Status des primären Gateways und des Reserve-Gateways anzuzeigen sowie der Umgehung der Gateway-Überwachung.
In SFOS 18.0 und neueren Versionen müssen Sie Routing-Richtlinien im SD-WAN-Richtlinienrouting festlegen. Firewallregeln enthalten keine Routing-Einstellungen mehr. Wenn Sie von einer früheren Version migrieren, migriert XG Firewall die Routing-Einstellungen in Firewallregeln als Migrierte SD-WAN-Richtlinienrouten. Sie können sie in der SD-WAN-Richtlinienrouting-Tabelle sehen. Sie können diese migrierten Richtlinienrouten anhand der ID und des Namens der Firewallregel identifizieren.
Um das Routing für systemgenerierten Datenverkehr und Antwortpakete ein- oder auszuschalten, gehen Sie zur Kommandozeilenschnittstelle.
Routenpriorisierung
XG Firewall behält während der Migration die in der vorherigen Version angegebene Routing-Priorität bei. Die standardmäßige Routing-Priorität in Versionen vor 18.0 sind SD-WAN-Richtlinienrouten, VPN-Routen und dann statische Routen.
Damit der interne Datenverkehr interne Ziele direkt erreichen kann, gehen Sie zur Kommandozeilenschnittstelle, und legen Sie die Routing-Priorität mit statischem Routing vor dem SD-WAN-Richtlinienrouting fest.
Die folgenden Regeln gelten für migrierte Routen: