Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=routing-SD-WAN-routes-configure

SD-WAN-Routen konfigurieren

Mithilfe von SD-WAN-Richtlinien können Sie den Datenverkehr von einer Zweigstelle zur Hauptniederlassung und zu Cloud-Anwendungen über das MPLS-Netzwerk und ISP-Verbindungen leiten.

Einführung

In diesem Beispiel erstellen Sie eine SD-WAN-Richtlinie, um den Datenverkehr von der Zweigstelle über ein bestehendes MPLS-Netzwerk zu den Servern in der Zentrale zu leiten. Sie erstellen eine weitere SD-WAN-Richtlinie, um den Datenverkehr vom Vertriebsteam im LAN der Zweigstelle über ISP-Verbindungen zu Cloud-Anwendungen zu leiten. Zusätzlich erstellen Sie Firewall-Regeln, um den Datenverkehr zuzulassen.

  • Route-1: Weiterleitung des Datenverkehrs von der Zweigstelle zu den Webservern in der Hauptniederlassung:
    • Erstellen Sie eine SD-WAN-Route mit MPLS-1 und MPLS-2.
  • Route-2: Weiterleitung des Datenverkehrs vom Vertriebsteam im LAN der Niederlassung zu Cloud-Anwendungen:
    • Erstellen Sie ein Anwendungsobjekt für die vom Vertriebsteam verwendeten Anwendungen, z. B. Konferenz-, Lead-Management-, VoIP- sowie Speicher- und Backup-Anwendungen.
    • Erstellen Sie eine SD-WAN-Richtlinie, um den Datenverkehr der Zweigstellen über die Verbindungen ISP-1 und ISP-2 zu diesen Cloud-Anwendungen zu leiten.
  • Erstellen Sie eine Firewall-Regel, um den Datenverkehr zuzulassen.

Network diagram: SD-WAN routing with gateway failover.

Erstellung einer SD-WAN-Richtlinie zur Weiterleitung des Datenverkehrs von Zweigstellen an Server in der Hauptniederlassung (Route-1)

In diesem Beispiel wird der gesamte Datenverkehr des LAN-Netzwerks 172.16.16.0/24 über das primäre Gateway MPLS-1 geleitet. MPLS-2 ist das Backup-Gateway.

  1. Gehe zu Routing > SD-WAN-Routen.
  2. Klicken IPv4 oder IPv6 und klicken Hinzufügen.

  3. Nehmen Sie folgende Einstellungen vor:

    Name Beschreibung
    Name Geben Sie einen Namen ein.

    BO_to_HO_Servers
    Eingehende Schnittstelle Any
    Quellnetzwerk 172.16.16.0/24
    Zielnetzwerk 192.168.1.0/24
    Primäres Gateway MPLS-1_10.10.11.1
    Backup-Gateway MPLS-2_10.10.12.2

Firewall-Regeln: Sie müssen eine Firewall-Regel erstellen, um den Datenverkehr von der angegebenen Quelle zum Ziel zuzulassen.

NAT-Regel: Für MPLS-Datenverkehr sind keine Quell-NAT-Regeln erforderlich.

SD-WAN-Route in der Zentrale: Sie müssen eine SD-WAN-Richtlinie auf dem Sophos Firewall-Gerät in der Zentrale erstellen, um die für diese Route generierten Antwortpakete weiterzuleiten.

Erstellung einer Firewall-Regel, um den Datenverkehr vom LAN der Zweigstelle zu den Webservern in der Hauptniederlassung zu ermöglichen.

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
  2. Wählen Sie entweder IPv4 oder IPv6, klicken Firewall-Regel hinzufügen: und klicken Sie Neue Firewall-Regel.

  3. Geben Sie den Regelnamen und die Position an. Geben Sie die folgenden Einstellungen an:

    Name Beschreibung
    Quellzonen LAN
    Quellnetzwerke und Geräte 172.16.16.0/24
    Zielzonen MPLS_DMZ

    Das MPLS-Netzwerk wurde in der DMZ der Zweigstelle eingerichtet.
    Zielnetzwerke 192.168.1.0/24
    Dienstleistungen Web_traffic

    In diesem Beispiel umfasst dieser Dienst die Ports und Protokolle TCP 80 und TCP 443.

    Alternativ können Sie die Dienste in der SD-WAN-Route anstatt in der Firewall-Regel angeben.

  4. Klicken Speichern.

Erstellen Sie ein Anwendungsobjekt (Route-2)

Erstellen Sie ein Anwendungsobjekt mit Cloud-Anwendungen, die vom Vertriebsteam verwendet werden.

  1. Gehe zu Anwendungen > Anwendungsobjekt und klicken Hinzufügen.
  2. Geben Sie einen Namen für das Anwendungsobjekt ein, zum Beispiel CloudApps_Sales.

  3. Wählen Sie die Anwendungen aus. Sie können den intelligenten Filter verwenden, um die gewünschten Anwendungen aufzulisten. Alternativ können Sie die Anwendungsprofillisten oder den Filter daneben verwenden. Name und wählen Sie die Anwendungen aus.

    In diesem Beispiel haben Sie die Anwendungen Citrix GoToTraining, Citrix Online, Salesforce, Vonage, WhatsApp-Anruf, Carbonite, Dropbox-Datei-Upload und OneDrive ausgewählt.

  4. Klicken Speichern.

Erstellen Sie eine SD-WAN-Richtlinie, um den Datenverkehr zu Cloud-Anwendungen zu leiten (Route-2).

Der gesamte Datenverkehr des LAN-Netzwerks 172.16.16.0/24 wird über das primäre Gateway ISP-1 geleitet. ISP-2 ist das Backup-Gateway.

  1. Gehe zu Routing > SD-WAN-Routen.
  2. Klicken IPv4 oder IPv6 und klicken Hinzufügen.

  3. Nehmen Sie folgende Einstellungen vor:

    Name Beschreibung
    Name Geben Sie einen Namen ein.

    BO_to_CloudSalesApps
    Eingehende Schnittstelle Port3

    Port 3 wurde für die LAN-Zone konfiguriert.
    Anwendungsobjekt CloudApps_Sales
    Benutzer oder Gruppen Sales_Team
    Primäres Gateway ISP-1_173.20.10.2
    Backup-Gateway ISP-2_9.8.10.2

  4. Klicken Speichern.

Sie müssen eine Firewall-Regel erstellen, um den Datenverkehr von der angegebenen Quelle zum Ziel zuzulassen. Die standardmäßige Quell-NAT-Regel führt die Übersetzung durch.

Erstellen Sie eine Firewall-Regel, um dem Vertriebsteam der Zweigstelle den Zugriff auf Cloud-Anwendungen zu ermöglichen.

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
  2. Wählen Sie entweder IPv4 oder IPv6, klicken Firewall-Regel hinzufügen: und klicken Sie Neue Firewall-Regel.
  3. Geben Sie den Namen und die Position der Regel an.

  4. Nehmen Sie folgende Einstellungen vor:

    Name Beschreibung
    Quellzonen LAN
    Quellnetzwerke und Geräte 172.16.16.0/24
    Zielzonen WAN
    Zielnetzwerke Any
    Dienstleistungen Any

    Notiz

    Sie müssen keine Benutzer oder Gruppen in der Firewall-Regel angeben, da Sie diese in der SD-WAN-Route angegeben haben.

  5. Klicken Speichern.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen