Konfigurieren von SD-WAN-Routen
Sie können SD-WAN-Richtlinien verwenden, um den Datenverkehr von einer Zweigstelle zur Zentrale und zu Cloud-Anwendungen über das MPLS-Netzwerk und ISP-Links umzuleiten.
Einführung
In diesem Beispiel erstellen Sie eine SD-WAN-Richtlinie, um den Datenverkehr von der Zweigstelle über ein vorhandenes MPLS-Netzwerk an die Server in der Zentrale weiterzuleiten. Sie erstellen eine weitere SD-WAN-Richtlinie, um den Datenverkehr vom Vertriebsteam im LAN der Zweigstelle über ISP-Links an Cloud-Anwendungen weiterzuleiten. Sie erstellen außerdem Firewall-Regeln, um den Datenverkehr zuzulassen.
- Route-1: Leiten Sie den Verkehr von der Zweigstelle zu den Webservern in der Zentrale weiter:
- Erstellen Sie eine SD-WAN-Route mit MPLS-1 und MPLS-2.
- Route 2: Leiten Sie den Datenverkehr vom Vertriebsteam im LAN der Zweigstelle zu Cloud-Anwendungen weiter:
- Erstellen Sie ein Anwendungsobjekt für die vom Vertriebsteam verwendeten Anwendungen, z. B. Konferenzen, Lead-Management, VoIP sowie Speicher- und Sicherungsanwendungen.
- Erstellen Sie eine SD-WAN-Richtlinie, um den Datenverkehr der Zweigstelle über die Links ISP-1 und ISP-2 an diese Cloud-Anwendungen weiterzuleiten.
- Erstellen Sie eine Firewall-Regel, um Datenverkehr zuzulassen.
Erstellen einer SD-WAN-Richtlinie zum Weiterleiten des Datenverkehrs von Zweigstellen an Server in der Zentrale (Route-1)
In diesem Beispiel wird der gesamte Datenverkehr des LAN-Netzwerks 172.16.16.0/24 über das primäre Gateway MPLS-1 geleitet. MPLS-2 ist das Backup-Gateway.
- Gehe zu Routenplanung > SD-WAN-Routen.
- Klicken IPv4 oder IPv6 und klicken Sie auf Hinzufügen.
-
Geben Sie die folgenden Einstellungen an:
Name Beschreibung Name Geben Sie einen Namen ein.
BO_to_HO_Servers
Eingehende Schnittstelle Any
Quellnetzwerk 172.16.16.0/24
Zielnetzwerk 192.168.1.0/24
Primäres Gateway MPLS-1_10.10.11.1
Backup-Gateway MPLS-2_10.10.12.2
Firewall-Regeln: Sie müssen eine Firewall-Regel erstellen, um Datenverkehr von der angegebenen Quelle zum Ziel zuzulassen.
NAT-Regel: Quell-NAT-Regeln sind für MPLS-Verkehr nicht erforderlich.
SD-WAN-Route in der Zentrale: Sie müssen auf dem Sophos Firewall-Gerät in der Zentrale eine SD-WAN-Richtlinie erstellen, um die für diese Route generierten Antwortpakete weiterzuleiten.
Erstellen einer Firewall-Regel, um Datenverkehr vom LAN der Zweigstelle zu den Webservern in der Zentrale zuzulassen
- Gehe zu Regeln und Richtlinien > Firewall-Regeln.
- Wählen Sie entweder IPv4 oder IPv6auf Firewallregel hinzufügenund klicken Sie auf Neue Firewall-Regel.
-
Geben Sie den Regelnamen und die Position an. Geben Sie die folgenden Einstellungen an:
Name Beschreibung Quellzonen LAN
Quellnetzwerke und -geräte 172.16.16.0/24
Zielzonen MPLS_DMZ
Erstellt das MPLS-Netzwerk in der DMZ in der Zweigstelle.Zielnetzwerke 192.168.1.0/24
Leistungen Web_traffic
In diesem Beispiel umfasst dieser Dienst die Ports und Protokolle TCP 80 und TCP 443.
Alternativ können Sie die Dienste in der SD-WAN-Route statt in der Firewall-Regel angeben. -
Klicken Speichern.
Erstellen Sie ein Anwendungsobjekt (Route-2)
Erstellen Sie ein Anwendungsobjekt mit Cloud-Anwendungen, die vom Vertriebsteam verwendet werden.
- Gehe zu Anwendungen > Anwendungsobjekt und klicken Sie auf Hinzufügen.
- Geben Sie einen Namen für das Anwendungsobjekt ein, beispielsweise
CloudApps_Sales
. -
Wählen Sie die Anwendungen aus. Sie können den Smartfilter verwenden, um die gewünschten Anwendungen aufzulisten. Alternativ können Sie die Anwendungsprofillisten oder den Filter neben Name und wählen Sie die Anwendungen aus.
In diesem Beispiel haben Sie die Anwendungen Citrix GoToTraining, Citrix Online, SalesForce, Vonage, Whatsapp Call, Carbonite, DropBox File Upload und OneDrive ausgewählt.
-
Klicken Speichern.
Erstellen Sie eine SD-WAN-Richtlinie, um den Datenverkehr an Cloud-Anwendungen weiterzuleiten (Route-2).
Der gesamte Datenverkehr aus dem LAN-Netzwerk 172.16.16.0/24 wird über das primäre Gateway ISP-1 geleitet. ISP-2 ist das Backup-Gateway.
- Gehe zu Routenplanung > SD-WAN-Routen.
- Klicken IPv4 oder IPv6 und klicken Sie auf Hinzufügen.
-
Geben Sie die folgenden Einstellungen an:
Name Beschreibung Name Geben Sie einen Namen ein.
BO_to_CloudSalesApps
Eingehende Schnittstelle Port3
Port3 wurde für die LAN-Zone konfiguriert.Anwendungsobjekt CloudApps_Sales
Benutzer oder Gruppen Sales_Team
Primäres Gateway ISP-1_173.20.10.2
Backup-Gateway ISP-2_9.8.10.2
-
Klicken Speichern.
Sie müssen eine Firewallregel erstellen, um Datenverkehr von der angegebenen Quelle zum Ziel zuzulassen. Die Standard-Quell-NAT-Regel übernimmt die Konvertierung.
Erstellen Sie eine Firewall-Regel, um dem Vertriebsteam in der Zweigstelle Zugriff auf Cloud-Anwendungen zu gewähren
- Gehe zu Regeln und Richtlinien > Firewall-Regeln.
- Wählen Sie entweder IPv4 oder IPv6auf Firewallregel hinzufügenund klicken Sie auf Neue Firewall-Regel.
- Geben Sie den Regelnamen und die Position an.
-
Geben Sie die folgenden Einstellungen an:
Name Beschreibung Quellzonen LAN
Quellnetzwerke und -geräte 172.16.16.0/24
Zielzonen WAN
Zielnetzwerke Any
Leistungen Any
Notiz
Sie müssen in der Firewall-Regel keine Benutzer oder Gruppen angeben, da Sie diese in der SD-WAN-Route angegeben haben.
-
Klicken Speichern.