SD-WAN-Profile
Mithilfe von SD-WAN-Profilen können Sie eine SD-WAN-Routingstrategie für mehrere Gateways in Ihrem SD-WAN-Netzwerk definieren. Wenn Sie zwei oder mehr Gateways in Ihrem Netzwerk konfigurieren, können Sie den Datenverkehr mithilfe eines SD-WAN-Profils basierend auf deren Verfügbarkeit oder Leistung routen. Dieser Ansatz optimiert die Leistung Ihres SD-WAN-Netzwerks und gewährleistet die Kontinuität im Falle einer ISP-Störung.
Routing-Strategien
Beim Konfigurieren eines SD-WAN-Profils fügen Sie die konfigurierten Gateways dem SD-WAN-Profil hinzu und listen sie in der Reihenfolge auf, in der die Firewall sie auswerten soll. Die Firewall verwendet eine Routing-Strategie, um ein Gateway auszuwählen. Sie können auswählen Erstes verfügbares Gateway oder Lastenausgleich.
Erstes verfügbares Gateway
Wenn Sie den Verkehr basierend auf der Verfügbarkeit der Gateways weiterleiten möchten, wählen Sie die Option Erstes verfügbares Gateway Routing-Strategie. Die Firewall führt einen Integritätscheck aller hinzugefügten Gateways in der von Ihnen aufgelisteten Reihenfolge durch und wählt das erste verfügbare Gateway aus.
Lastenausgleich
Sie können die Lastenausgleich Routing-Strategie zum Lastenausgleich des Datenverkehrs zwischen allen hinzugefügten Gateways oder allen Gateways, die das SLA erfüllen, wenn Sie aktivieren Service Level Agreement (SLA) für das Profil. Anschließend müssen Sie eine Lastausgleichsmethode auswählen:
- Rundenturnier: Die Firewall verteilt den Datenverkehr in der angegebenen Reihenfolge auf alle Gateways. Wenn Sie beispielsweise drei Gateways haben, sendet die Firewall die erste Anforderung an das erste Gateway, die zweite Anforderung an das zweite Gateway, die dritte Anforderung an das dritte Gateway und die vierte Anforderung erneut an das erste Gateway.
- Sitzungspersistenztyp: Sitzungspersistenz ermöglicht es Ihnen, dasselbe Gateway für die Dauer einer Sitzung beizubehalten. Die Firewall leitet den Datenverkehr über dasselbe Gateway weiter, basierend auf der Quell-IP-Adresse, der Ziel-IP-Adresse, den Quell- und Ziel-IP-Adressen oder der Verbindung für eine einzelne Sitzung. Dies ist nützlich für sitzungskritische Anwendungen wie Bankgeschäfte und Einkaufswagen.
Gateway-Gewichte
Sie können Gateways Gewichtungen zuweisen, um ein Verteilungsverhältnis für den Lastenausgleich des Datenverkehrs festzulegen. Die Firewall verteilt den Datenverkehr basierend auf der von Ihnen angegebenen Gewichtung an ein Gateway. Weisen Sie einem Gateway eine Gewichtung basierend auf seiner Kapazität und seinen Ressourcen zu. Wenn Sie beispielsweise zwei Gateways haben und die Gewichtung für das erste mit 3 und für das zweite mit 1 angeben, leitet die Firewall drei von vier Anfragen an das erste Gateway und eine Anfrage an das zweite Gateway weiter.
Service-Level-Agreement
Einschalten Service Level Agreement (SLA) Um den Datenverkehr basierend auf der Leistung der Gateways weiterzuleiten. Ein SLA enthält die Kriterien für die Leistungsüberwachung. Die Firewall führt eine Integritätsprüfung durch und wählt das Gateway mit der besten Leistung anhand der im SLA definierten Kriterien aus. Sie können eines der folgenden SLAs verwenden:
-
Beste Qualität: Wählt das Gateway mit der besten Leistung basierend auf den von Ihnen ausgewählten Leistungsüberwachungskriterien (Latenz, Jitter oder Paketverlust) aus. Wenn Sie beispielsweise Latenz als Leistungsüberwachungskriterium auswählen, wählt die Firewall das Gateway mit der geringsten Latenz aus. Sie können dieses SLA für nicht-kritischen Datenverkehr verwenden. Wenn Sie die Option Lastenausgleich Routing-Strategie führt die Firewall nur dann einen Lastenausgleich durch, wenn zwei oder mehr Gateways die Gateways mit der besten Leistung sind.
-
Benutzerdefiniertes SLA: Wählt das Gateway mit der besten Leistung basierend auf den maximal zulässigen Werten aus, die Sie für Latenz, Jitter und Paketverlust definieren. Wenn Sie die Option Lastenausgleich Routing-Strategie verteilt die Firewall den Datenverkehr auf alle Gateways, die das SLA erfüllen.
Mit dem Beste Qualität SLA: Die Firewall sucht nur anhand eines Kriteriums nach dem Gateway mit der besten Leistung. Benutzerdefiniertes SLA stellt sicher, dass die Firewall das Gateway auswählt, das die angegebenen Leistungsstufen für alle Leistungskriterien erfüllt.
Die Firewall leitet den Datenverkehr über das erste verfügbare Gateway weiter, das die SLA erfüllt. Wenn kein Gateway die SLA erfüllt, wird die ausgewählte Routing-Strategie verwendet (Erstes verfügbares Gateway oder Lastenausgleich).
Failback zum ursprünglichen Gateway
Wenn Sie die Beste Qualität SLA: Die Firewall leitet den Datenverkehr zum nächsten verfügbaren Gateway um, nachdem das vorherige Gateway ausgefallen ist. Sobald das erste Gateway wieder verfügbar ist, wird der Datenverkehr nur dann dorthin zurückgeleitet, wenn die Leistung des ersten Gateways um die folgende Differenz besser ist als die des verwendeten Gateways:
| SLA-Kriterien | Marge | Wann tritt ein Failback auf? (Beispiele) |
|---|---|---|
| Latenz | 10 ms | Live-Gateway: 25 ms Erstes Gateway: 15 ms |
| Jitter | 5 ms | Live-Gateway: 12 ms Erstes Gateway: 7 ms |
Dadurch wird sichergestellt, dass die Firewall den Verkehr zwischen Gateways nicht zu oft umleitet, wenn die ausgewählten Leistungsüberwachungskriterien eine stark variierende Sensibilität aufweisen.
Es besteht kein Spielraum für Paketverluste. Die Firewall leitet auf ein Gateway mit einem geringeren Prozentsatz an Paketverlusten um.
Gesundheitscheck
Die Sophos Firewall überwacht den Zustand der konfigurierten Gateways mithilfe eines Integritätschecks. Neben dem Status der Gateways misst der Integritätscheck auch Latenz, Jitter und Paketverluste über die Gateways hinweg.
Die Firewall sendet Anfragen an Host-IP-Adressen (oder Testziele) hinter den Gateways. Sie betrachtet die Gateways als aktiv, wenn die Hosts auf Integritätsprüfungen reagieren. Sie können ein Protokoll wie Ping oder TCP für die Integritätsprüfung auswählen. Wenn ein Gateway die Integritätsprüfung nicht besteht, wird es aus dem Auswahlalgorithmus entfernt. Die Firewall leitet den Datenverkehr dann über das nächste verfügbare Gateway oder das nächste verfügbare Gateway, das die SLA erfüllt, um. Wenn das Gateway die Integritätsprüfung besteht, wird es wieder zum Auswahlalgorithmus hinzugefügt.
Wenn Sie zwei Testziele hinzufügen, testet die Firewall das erste Ziel. Wenn das erste Ziel nicht antwortet, testet sie das zweite Ziel und verwendet dieses Ziel so lange für die Integritätsprüfung, wie es antwortet. Die Firewall testet das erste Ziel erst, wenn es antwortbereit ist, auch wenn das zweite Ziel nicht mehr reagiert.
SD-WAN-Profilaktionen und -Status
Die Web-Admin-Konsole listet alle konfigurierten SD-WAN-Profile auf Routenplanung > SD-WAN-Profile.
Sie können für jedes SD-WAN-Profil die folgenden Details sehen:
Name: Zeigt den Namen des Profils zusammen mit seinem Status an, der wie folgt lauten kann:
Das Profil ist aktiv und mindestens ein Gateway ist zur Verarbeitung des Datenverkehrs verfügbar.
Das Profil ist inaktiv und es sind keine Gateways zur Verarbeitung des Datenverkehrs verfügbar.
Tor: Listet die zum Profil hinzugefügten Gateways auf.
Gesundheitscheck: Gibt an, ob Sie die Integritätsprüfung ein- oder ausgeschaltet haben.
Status: Sie können Folgendes tun:
-
Um die Echtzeitleistung der Gateways zu überwachen, klicken Sie auf Historische Wertentwicklung. Sehen SD-WAN-Leistung.
-
Um eine Zusammenfassung der konfigurierten Einstellungen anzuzeigen, klicken Sie auf Linkstatus.
Verwalten: Sie können Folgendes tun:
- Um ein Profil zu bearbeiten, klicken Sie auf Bearbeiten
. - Um ein Profil zu löschen, klicken Sie auf Löschen
.
Definieren Sie eine SD-WAN-Routingstrategie für Ihr Netzwerk
Um eine SD-WAN-Routingstrategie für Ihr Netzwerk zu definieren, müssen Sie wie folgt vorgehen:
- Fügen Sie zwei oder mehr Gateways hinzu. Siehe Hinzufügen eines Gateways.
- Fügen Sie ein SD-WAN-Profil hinzu. Siehe Hinzufügen eines SD-WAN-Profils.
-
Fügen Sie eine SD-WAN-Route hinzu. Siehe Fügen Sie eine SD-WAN-Route hinzu.
Wählen Sie das SD-WAN-Profil aus, das Sie beim Hinzufügen einer SD-WAN-Route erstellt haben.