Zur Startseite gehen
0,00 €*

Konfigurieren von SD-WAN-Routen

Sie können SD-WAN-Richtlinien verwenden, um den Datenverkehr von einer Zweigstelle zur Zentrale und zu Cloud-Anwendungen über das MPLS-Netzwerk und ISP-Links umzuleiten.

Einführung

In diesem Beispiel erstellen Sie eine SD-WAN-Richtlinie, um den Datenverkehr von der Zweigstelle über ein vorhandenes MPLS-Netzwerk an die Server in der Zentrale weiterzuleiten. Sie erstellen eine weitere SD-WAN-Richtlinie, um den Datenverkehr vom Vertriebsteam im LAN der Zweigstelle über ISP-Links an Cloud-Anwendungen weiterzuleiten. Sie erstellen außerdem Firewall-Regeln, um den Datenverkehr zuzulassen.

  • Route-1: Leiten Sie den Verkehr von der Zweigstelle zu den Webservern in der Zentrale weiter:
    • Erstellen Sie eine SD-WAN-Route mit MPLS-1 und MPLS-2.
  • Route 2: Leiten Sie den Datenverkehr vom Vertriebsteam im LAN der Zweigstelle zu Cloud-Anwendungen weiter:
    • Erstellen Sie ein Anwendungsobjekt für die vom Vertriebsteam verwendeten Anwendungen, z. B. Konferenzen, Lead-Management, VoIP sowie Speicher- und Sicherungsanwendungen.
    • Erstellen Sie eine SD-WAN-Richtlinie, um den Datenverkehr der Zweigstelle über die Links ISP-1 und ISP-2 an diese Cloud-Anwendungen weiterzuleiten.
  • Erstellen Sie eine Firewall-Regel, um Datenverkehr zuzulassen.

Network diagram: SD-WAN routing with gateway failover.

Erstellen einer SD-WAN-Richtlinie zum Weiterleiten des Datenverkehrs von Zweigstellen an Server in der Zentrale (Route-1)

In diesem Beispiel wird der gesamte Datenverkehr des LAN-Netzwerks 172.16.16.0/24 über das primäre Gateway MPLS-1 geleitet. MPLS-2 ist das Backup-Gateway.

  1. Gehe zu Routenplanung > SD-WAN-Routen.
  2. Klicken IPv4 oder IPv6 und klicken Sie auf Hinzufügen.

  3. Geben Sie die folgenden Einstellungen an:

    Name Beschreibung
    Name Geben Sie einen Namen ein.

    BO_to_HO_Servers
    Eingehende Schnittstelle Any
    Quellnetzwerk 172.16.16.0/24
    Zielnetzwerk 192.168.1.0/24
    Primäres Gateway MPLS-1_10.10.11.1
    Backup-Gateway MPLS-2_10.10.12.2

Firewall-Regeln: Sie müssen eine Firewall-Regel erstellen, um Datenverkehr von der angegebenen Quelle zum Ziel zuzulassen.

NAT-Regel: Quell-NAT-Regeln sind für MPLS-Verkehr nicht erforderlich.

SD-WAN-Route in der Zentrale: Sie müssen auf dem Sophos Firewall-Gerät in der Zentrale eine SD-WAN-Richtlinie erstellen, um die für diese Route generierten Antwortpakete weiterzuleiten.

Erstellen einer Firewall-Regel, um Datenverkehr vom LAN der Zweigstelle zu den Webservern in der Zentrale zuzulassen

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
  2. Wählen Sie entweder IPv4 oder IPv6auf Firewallregel hinzufügenund klicken Sie auf Neue Firewall-Regel.

  3. Geben Sie den Regelnamen und die Position an. Geben Sie die folgenden Einstellungen an:

    Name Beschreibung
    Quellzonen LAN
    Quellnetzwerke und -geräte 172.16.16.0/24
    Zielzonen MPLS_DMZ

    Erstellt das MPLS-Netzwerk in der DMZ in der Zweigstelle.
    Zielnetzwerke 192.168.1.0/24
    Leistungen Web_traffic

    In diesem Beispiel umfasst dieser Dienst die Ports und Protokolle TCP 80 und TCP 443.

    Alternativ können Sie die Dienste in der SD-WAN-Route statt in der Firewall-Regel angeben.

  4. Klicken Speichern.

Erstellen Sie ein Anwendungsobjekt (Route-2)

Erstellen Sie ein Anwendungsobjekt mit Cloud-Anwendungen, die vom Vertriebsteam verwendet werden.

  1. Gehe zu Anwendungen > Anwendungsobjekt und klicken Sie auf Hinzufügen.
  2. Geben Sie einen Namen für das Anwendungsobjekt ein, beispielsweise CloudApps_Sales.

  3. Wählen Sie die Anwendungen aus. Sie können den Smartfilter verwenden, um die gewünschten Anwendungen aufzulisten. Alternativ können Sie die Anwendungsprofillisten oder den Filter neben Name und wählen Sie die Anwendungen aus.

    In diesem Beispiel haben Sie die Anwendungen Citrix GoToTraining, Citrix Online, SalesForce, Vonage, Whatsapp Call, Carbonite, DropBox File Upload und OneDrive ausgewählt.

  4. Klicken Speichern.

Erstellen Sie eine SD-WAN-Richtlinie, um den Datenverkehr an Cloud-Anwendungen weiterzuleiten (Route-2).

Der gesamte Datenverkehr aus dem LAN-Netzwerk 172.16.16.0/24 wird über das primäre Gateway ISP-1 geleitet. ISP-2 ist das Backup-Gateway.

  1. Gehe zu Routenplanung > SD-WAN-Routen.
  2. Klicken IPv4 oder IPv6 und klicken Sie auf Hinzufügen.

  3. Geben Sie die folgenden Einstellungen an:

    Name Beschreibung
    Name Geben Sie einen Namen ein.

    BO_to_CloudSalesApps
    Eingehende Schnittstelle Port3

    Port3 wurde für die LAN-Zone konfiguriert.
    Anwendungsobjekt CloudApps_Sales
    Benutzer oder Gruppen Sales_Team
    Primäres Gateway ISP-1_173.20.10.2
    Backup-Gateway ISP-2_9.8.10.2

  4. Klicken Speichern.

Sie müssen eine Firewallregel erstellen, um Datenverkehr von der angegebenen Quelle zum Ziel zuzulassen. Die Standard-Quell-NAT-Regel übernimmt die Konvertierung.

Erstellen Sie eine Firewall-Regel, um dem Vertriebsteam in der Zweigstelle Zugriff auf Cloud-Anwendungen zu gewähren

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
  2. Wählen Sie entweder IPv4 oder IPv6auf Firewallregel hinzufügenund klicken Sie auf Neue Firewall-Regel.
  3. Geben Sie den Regelnamen und die Position an.

  4. Geben Sie die folgenden Einstellungen an:

    Name Beschreibung
    Quellzonen LAN
    Quellnetzwerke und -geräte 172.16.16.0/24
    Zielzonen WAN
    Zielnetzwerke Any
    Leistungen Any

    Notiz

    Sie müssen in der Firewall-Regel keine Benutzer oder Gruppen angeben, da Sie diese in der SD-WAN-Route angegeben haben.

  5. Klicken Speichern.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung