SD-WAN konfigurieren
Gilt für: Cloud-verwaltete Fireboxen
Software-Defined WAN (SD-WAN) ist eine softwarebasierte Routing-Lösung, mit der Sie den Datenverkehr auf der Grundlage von Firewall-Regeln zwischen Netzwerken oder auf ein bestimmtes Netzwerk verteilen können. Eine SD-WAN-Aktion kann externe Netzwerke, interne Netzwerke und Gastnetzwerke mit aktiviertem Link Monitoring sowie BOVPNs umfassen.
So konfigurieren Sie SD-WAN für eine Cloud-verwaltete Firebox:
- Aktiviert Netzwerk Link Monitoring (empfohlen für externe Netzwerke, erforderlich für interne und Gastnetzwerke)
- Für ein BOVPN konfigurieren Sie /32 virtuelle IP-Adressen
- Hinzufügen einer SD-WAN-Aktion
- Konfigurieren Sie eine Regel zur Verwendung der SD-WAN-Aktion
SD-WAN und Link Monitoring
Bevor Sie ein internes Netzwerk oder ein Gastnetzwerk zu einer SD-WAN-Aktion hinzufügen können, müssen Sie Link Monitoring in den Einstellungen des Netzwerks aktivieren. Sie müssen auch das Link Monitoring für ein externes Netzwerk aktivieren, wenn Sie ein auf Messungen basierendes Failover verwenden möchten.
Informationen zum Aktivieren von Netzwerk Link Monitoring für eine Cloud-verwaltete Firebox finden Sie unter Konfigurieren von Link Monitoring im Firebox-Netzwerk.
Virtuelle IP-Adressen für SD-WAN und BOVPN
Bevor Sie ein BOVPN zu einer SD-WAN-Aktion hinzufügen können, müssen Sie das BOVPN mit einer /32 virtuellen IP-Adresse für beide Endpoints konfigurieren. BOVPN Link Monitoring ist implizit aktiviert, wenn Sie /32 Host-IP-Adressen als virtuelle IP-Adressen beider Endpoints konfigurieren. Ein BOVPN, bei dem das Link Monitoring nicht aktiviert ist (keine gültigen /32 virtuellen IP-Adressen für beide Endpoints), ist für die Auswahl in einer SDWAN-Aktion nicht verfügbar.
Informationen zum Konfigurieren der virtuellen IP-Adressen für ein BOVPN finden Sie unter:
- Konfigurieren eines BOVPN zwischen Cloud-verwalteten Fireboxen
- Konfigurieren Sie ein BOVPN für eine lokal verwaltete Firebox oder einen Drittanbieter-VPN-Endpoint
Hinzufügen einer SD-WAN-Aktion
Optional können Sie eine SD-WAN-Aktion so konfigurieren, dass Messungen der Netzwerkqualität als Grundlage für Failover und Failback verwendet werden. Wenn Sie messwertbasiertes Failover aktivieren, legen Sie Schwellenwerte für Latenz, Verlust und Jitter fest. Wenn die Verbindungskennzahlen einen der angegebenen Werte überschreiten, schlägt die Verbindung in der SD-WAN-Aktion auf ein anderes Netzwerk fehl.
Konfigurieren einer SD-WAN-Aktion in WatchGuard Cloud:
- Wählen Sie Konfigurieren > Geräte.
- Wählen Sie die Cloud-verwaltete Firebox aus.
- Klicken Sie auf Gerätekonfiguration.
- Klicken Sie auf die Kachel Netzwerke.
Die Netzwerkkonfiguration-Seite wird geöffnet. - Klicken Sie im Abschnitt WAN-Einstellungen auf SD-WAN hinzufügen.
Die SD-WAN hinzufügen-Seite wird geöffnet.
- Geben Sie im Textfeld Name einen Namen für dieses SD-WAN-Aktion ein.
- Um Netzwerke oder VPNs zur SD-WAN-Aktion hinzuzufügen, klicken Sie auf Netzwerk/VPN hinzufügen.
Eine Liste der Netzwerke wird angezeigt. Die Liste zeigt alle externen Netzwerke, BOVPNs und internen oder Gastnetzwerke, bei denen Link Monitoring aktiviert ist.
- Aktivieren Sie das Kontrollkästchen für jedes Netzwerk, das Sie zu dieser SD-WAN-Aktion hinzufügen möchten.
- Klicken Sie auf Schließen.
- Anhand von Kennzahlen lässt sich feststellen, wann ein Netzwerk einen Failover oder ein Failback durchführt:
- Aktivieren Sie das Kontrollkästchen Auf Messung basierendes Failover verwenden.
- Übernehmen oder bearbeiten Sie die empfohlenen Werte für Latenz, Verlust und Jitter.
- Um zu konfigurieren, wie die Firebox aktive Verbindungen zurückfährt, wählen Sie in der Dropdown-Liste Failback eine dieser Optionen aus:
- Sofort — Aktive und neue Verbindungen verwenden das Failback-(Original-)Netzwerk. Dies ist die Standardeinstellung.
- Schrittweise — Aktive Verbindungen verwenden weiterhin die Failover-Schnittstelle; neue Verbindungen verwenden das Failback-(Original-)Netzwerk
- Kein Failback — Aktive und neue Verbindungen verwenden weiterhin die Failover-Schnittstelle. Wählen Sie diese Option, wenn Sie sich vergewissern möchten, dass ein Problem behoben ist, bevor Sie zur ursprünglichen WAN-Verbindung zurückkehren.
- Klicken Sie auf Speichern, um Konfigurationsänderungen in der Cloud zu speichern.
SD-WAN in einer Firewall-Regel aktivieren
Nachdem Sie die SD-WAN-Aktion hinzugefügt haben, können Sie eine Firewall-Regel konfigurieren, um sie zu verwenden. Wenn Sie eine SD-WAN-Aktion in einer Regel verwenden, haben die Einstellungen der SD-WAN-Aktion Vorrang vor den globalen WAN-Einstellungen.
Um SD-WAN in einer Firewall-Regel zu aktivieren, von WatchGuard Cloud
- Wählen Sie Konfigurieren > Geräte.
- Wählen Sie die Cloud-verwaltete Firebox aus.
- Klicken Sie auf Gerätekonfiguration.
- Klicken Sie auf die Kachel Firewall-Regeln.
Die Liste der Firewall-Regeln wird geöffnet. - Hinzufügen oder Bearbeiten einer Firewall-Regel.
- Klicken Sie in den SD-WAN-Einstellungen auf den Schalter SD-WAN aktivieren.
- Wählen Sie aus der Dropdown-Liste die SD-WAN-Aktion aus, die für Datenverkehr verwendet werden soll, der dieser Regel entspricht.
- Klicken Sie auf Speichern, um Konfigurationsänderungen in der Cloud zu speichern.
Weitere Informationen zur Regelkonfiguration finden Sie unter Firewall-Regeln in WatchGuard Cloud konfigurieren.