Visão Global
Este artigo descreve o roteamento de política SD-WAN: Descrição e configuração.
O roteamento de política SD-WAN permite que você implemente decisões de roteamento com base nas políticas que você especificar. Ele permite que você substitua o roteamento com base nos endereços IP de destino e nas tabelas de roteamento.
Você pode rotear o tráfego com base nos critérios de roteamento da política SD-WAN, como a interface de entrada, redes de origem e destino, serviços, objetos de aplicativos, usuários e grupos de usuários. Você pode especificar os gateways primário e de backup para rotear o tráfego.
Essas rotas de política permitem que você especifique failover e failback de gateway, usando uma combinação de conexões, por exemplo, MPLS, VPN, banda larga. Você também pode rotear aplicativos críticos e tráfego sensível à largura de banda, como VoIP por meio de links ISP de alta velocidade.
Você pode criar rotas de política SD-WAN IPv4 e IPv6. Você também pode criar rotas de política para os pacotes de resposta do tráfego gerado pelo sistema em interfaces de zona não WAN. Para ativar ou desativar o roteamento do tráfego gerado pelo sistema e pacotes de resposta, vá para a interface da linha de comando.
As seguintes seções são cobertas:
- O que fazer
- Informação relacionada
- Feedback e contato
Aplica-se aos seguintes produtos e versões
Sophos XG Firewall v18 GA
O que fazer
Descrição:
Você pode rotear o tráfego com base nos critérios de roteamento da política SD-WAN, como a interface de entrada, redes de origem e destino, serviços, objetos de aplicativos, usuários e grupos de usuários.
Você pode especificar os gateways primário e de backup para rotear o tráfego.
O roteamento segue a precedência que você especifica na interface da linha de comando. A precedência de roteamento padrão são rotas estáticas, rotas de política SD-WAN e, em seguida, rotas VPN. Os detalhes de protocolo, rede e rota são mostrados na tabela abaixo.
Para pacotes de resposta, o XG Firewall impõe roteamento simétrico para interfaces WAN. Os pacotes de resposta usam a mesma interface WAN dos pacotes originais.
Dica:
Você pode ver a precedência de roteamento na interface da linha de comando ou na página de roteamento da política SD-WAN no console web admin.
Configuração:
Adicione uma rota de política SD-WAN:
1. Vá para Routing > SD-WAN policy routing. Role para baixo até a rota de política IPv4 ou IPv6 SD-WAN e selecione Add.
Digite um nome.
2. Selecione as configurações do seletor de tráfego.
| Nome | Descrição |
|---|---|
| Incoming interface | Recebe o tráfego especificado nesta Policy Route. Excluir a interface também exclui a Policy Route. |
| DSCP marking | Selecione o nível de marcação DSCP para corresponder aos pacotes de entrada para prioridade. Para obter detalhes, consulte Valor DSCP. Expedited forwarding (EF): Enfileiramento prioritário que garante baixo atraso e perda de pacotes. Adequado para serviços em tempo real. Assured forwarding (AF): entrega garantida, mas com perda de pacote se ocorrer congestionamento. Atribui uma prioridade mais alta do que o melhor esforço. Class selector (CS): Compatibilidade com dispositivos de rede que usam precedência de IP no tipo de serviço. |
| Source networks and Destination networks | Selecione na lista ou crie novos. Você pode adicionar um endereço IP, intervalo ou lista, uma rede, um FQDN ou grupo FQDN ou outros objetos de endereço. |
| Services | Selecione um serviço ou crie um novo para especificar o tipo de tráfego a ser roteado. Os serviços são uma combinação de portas e protocolos. |
| Application object | Especifique os objetos do aplicativo. Use isso para rotear determinados objetos de aplicativo por meio dos gateways especificados. Por exemplo, você pode rotear aplicativos VoIP por meio de um gateway específico. |
| Users or groups | Especifique os usuários e grupos de usuários. |
Nota:
Os objetos de aplicativo armazenam os detalhes da sessão do aplicativo (protocolo, porta de destino e endereço IP de destino) durante a primeira sessão. O XG Firewall usa os detalhes da sessão para combinar o tráfego com uma política de roteamento SD-WAN para sessões futuras. Quando os detalhes da sessão foram removidos ou ainda não foram armazenados, o XG Firewall não aplica o roteamento baseado em políticas.
O tempo de vida (TTL) dos detalhes da sessão do aplicativo é 3600 segundos a partir do início da sessão. Se outra sessão não iniciar dentro desse período, os detalhes da sessão serão eliminados.
Quando você reinicia o XG Firewall, os detalhes da sessão de todos os objetos do aplicativo são eliminados.
Tráfego gerado pelo sistema e pacotes de resposta: Para criar uma rota de política para o tráfego gerado pelo sistema e pacotes de resposta em interfaces de zona não WAN, selecione apenas as redes e serviços de destino. O XG Firewall corresponde a esse tráfego com base nas redes de destino, uma vez que a interface e a rede de origem permanecerão desconhecidas.
Para ver o status de roteamento e ativar ou desativar o roteamento para o tráfego gerado pelo sistema e pacotes de resposta, use os seguintes comandos CLI:
Show routing status
console> show routing sd-wan-policy-route system-generate-traffic
console> show routing sd -wan-policy-route reply-packet
Ativar o roteamento
console> set routing sd-wan-policy-route system-generate-traffic enable
console> set routing sd-wan-policy-route reply-packet enable
Desative o roteamento
console> set routing sd-wan-policy-route system-generate-traffic disable
console> set routing sd-wan-policy-route reply-packet enable
3. Especifique as configurações de roteamento.
Primary gateway : Selecione o gateway primário para rotear o tráfego.
Se você excluir o gateway selecionado, o XG Firewall excluirá a rota da política e implementará o equilíbrio de carga do link WAN para rotear o tráfego.
Se o gateway primário cair, o XG Firewall direciona o tráfego através do gateway de backup. Quando o gateway primário volta a funcionar, o tráfego é roteado por ele.
Backup gateway: se você configurou mais de um gateway, selecione o gateway de backup. Se você excluir o gateway selecionado, o gateway de backup será definido como Nenhum.
Override gateway monitoring decision: Selecione se deseja rotear o tráfego através do gateway selecionado, mesmo se o gateway estiver inativo.
4. Selecione Save
Ações de Policy route e status de gateway
• Para alterar a sequência de uma rota de política SD-WAN, arraste e solte a rota. O Firewall XG avalia as rotas das políticas de cima para baixo até encontrar uma correspondência. Depois de encontrar uma correspondência, ele não avalia as rotas subsequentes
• Para ativar ou desativar uma rota, use a chave Status
• Para editar uma rota, clique em Editar
status do gateway:
o gateway primário ou de backup está ativo e a rota da política está ativa .
O gateway está inativo e a rota da política não está ativa. O monitoramento do gateway de substituição está desativado.
O gateway está desativado e o monitoramento do gateway de substituição está ativado.
Passe o mouse sobre o ícone de status para visualizar os status dos gateways primário e de backup e a configuração de monitoramento do gateway de substituição.
Informação relacionada
Inscreva-se no Sophos Support SMS Notification Service para obter as informações mais recentes sobre o lançamento do produto e questões críticas.
Feedback e contato
Se você identificou um erro ou gostaria de fornecer feedback sobre este artigo, use a seção abaixo para avaliar e comentar o artigo.
Isso é inestimável para nós garantir que nos esforçamos continuamente para fornecer aos nossos clientes a melhor informação possível.
Baseado no original em: https://support.sophos.com/support/s/article/KB-000039331?language=en_US&c__displayLanguage=en_US
