Acerca de SD-WAN

La WAN Definida por Software (SD-WAN) es una solución de enrutamiento basada en software, que distribuye automáticamente el tráfico de red a través de múltiples conexiones WAN, según las políticas que usted defina. SD-WAN está integrada en Firebox. El Firebox monitorea sus conexiones WAN, captura datos de rendimiento casi en tiempo real y utiliza estos datos para tomar decisiones de enrutamiento. Por ejemplo, si una conexión WAN se congestiona, Firebox envía automáticamente tráfico a través de una conexión WAN diferente.

SD-WAN funciona con diferentes tipos de conexiones WAN, lo que significa que puede configurar una WAN híbrida. Por ejemplo, si su Firebox tiene una conexión MPLS y una conexión a Internet de banda ancha, puede usar ambas en una configuración SD-WAN.

Puede usar SD-WAN para aumentar la disponibilidad y el rendimiento de la aplicación, y para utilizar mejor una WAN híbrida. Por ejemplo, con SD-WAN, puede:

  • Enviar tráfico de alta prioridad sensible a la latencia, como VoIP y videoconferencia a través de conexiones WAN más caras y de mayor calidad
  • Enviar tráfico de menor prioridad a través de conexiones WAN menos costosas
  • Especificar umbrales de rendimiento para que las conexiones se conmuten por error a una conexión WAN diferente cuando el rendimiento sea inferior al ideal

SD-WAN ignora los ajustes de la configuración global de multi-WAN.

Para configurar SD-WAN, en Fireware v12.3 o superior:

  • Configurar objetivos del Monitor de Enlace
  • Configurar una acción SD-WAN
  • Configurar una política para usar la acción SD-WAN

Este tema explica cómo funciona SD-WAN. Para obtener instrucciones de configuración detalladas, consulte Configurar SD-WAN.

Para ver un ejemplo de configuración, consulte Conmutación por Error SD-WAN desde un Enlace MPLS a un Túnel de Interfaz Virtual BOVPN.

En Fireware v12.3 o superior, SD-WAN reemplaza el enrutamiento basado en la política. En Fireware v12.2.1 o anterior, para enrutar el tráfico a una interfaz externa distinta, debe usar el enrutamiento basado en la política. Cuando actualiza a Fireware v12.3 o superior, el enrutamiento basado en la política sin conmutación por error se convierte en una acción SD-WAN con una sola interfaz. El enrutamiento basado en la política con la conmutación por error se convierte a una acción SD-WAN con múltiples interfaces. En Policy Manager, aún está disponible el ajuste del enrutamiento basado en la política para la compatibilidad con versiones anteriores de Fireware OS. Para obtener más información sobre el enrutamiento basado en la política, consulte Configurar Enrutamiento Basado en la Política en Fireware v12.2.1 o inferior en la Base de Conocimiento de WatchGuard.

Configurar los Objetivos del Monitor de Enlace

Recomendamos que configure los objetivos del Monitor de Enlace para las interfaces incluidas en una acción SD-WAN.

Un objetivo del Monitor de Enlace es el host más allá del perímetro de su red. El Firebox envía sondas de ping, TCP o DNS a los objetivos para verificar la conectividad. El Firebox también puede usar los resultados de la sonda para verificar el rendimiento si usted selecciona medir la pérdida, la latencia y la oscilación.

En la configuración del Monitor de Enlace, puede agregar objetivos para estos tipos de interfaz:

  • Externas
  • Interno (De Confianza, Opcional o Personalizado) — Fireware v12.4 o superior
  • Interfaz virtual BOVPN — Fireware v12.4 o superior

El Monitor de Enlace es una parte importante de su configuración SD-WAN. Cuando su Firebox utiliza enrutamiento SD-WAN basado en métricas, toma decisiones de enrutamiento basadas en cálculos de pérdida, latencia y oscilaciones de los sondeos del Monitor de Enlace. Por ejemplo, si la tasa de pérdida supera el valor que especifica en la acción SD-WAN, Firebox puede conmutar por error las conexiones a otra interfaz incluida en la acción SD-WAN. Para configurar el enrutamiento SD-WAN basado en métrica, todas las interfaces en la acción SD-WAN deben tener configurado al menos un objetivo del Monitor de Enlace.

Si no especifica métricas en la configuración SD-WAN, el Firebox toma decisiones de enrutamiento SD-WAN basadas únicamente en la conectividad. Por ejemplo, si un objetivo del Monitor de Enlace no responde después de un cierto número de intentos, el Firebox considera que la interfaz está inactiva. El Firebox puede conmutar por error las conexiones a otra interfaz que esté incluida en la acción SD-WAN.

Requisitos del Monitor de Enlace para Interfaces SD-WAN

Las Interfaces incluidas en las acciones SD-WAN tienen estos requisitos del Monitor de Enlace:

Interfaces Internas

Para las interfaces internas, se requiere una dirección IP de siguiente salto o un objetivo personalizado en la configuración del Monitor de Enlace. Recomendamos que especifique una dirección IP del siguiente salto. La dirección IP del siguiente salto indica al Firebox cómo enrutar el tráfico del Monitor de Enlace y el tráfico SD-WAN para la interfaz.

Si no especifica una dirección IP del siguiente salto, Firebox utiliza su tabla de enrutamiento para enrutar el tráfico del Monitor de Enlace y el tráfico SD-WAN para la interfaz. Esto significa que debe agregar una ruta estática a la tabla de enrutamiento.

Las interfaces internas que se agregan al Monitor de Enlace, pero que no tienen un siguiente salto o destino personalizado no se pueden agregar a una acción SD-WAN.

Interfaces virtuales BOVPN

Antes de poder agregar una interfaz virtual BOVPN al Monitor de Enlace, primero debe configurar una dirección IP par en la configuración de la interfaz virtual BOVPN. No puede especificar una máscara de red.

Para agregar una interfaz virtual BOVPN a una acción SD-WAN que incluya otras interfaces, la interfaz virtual BOVPN debe tener un objetivo del Monitor de Enlace. Cuando agrega una interfaz virtual BOVPN al Monitor de Enlace, el destino se configura automáticamente para que sea la dirección IP par. No puede cambiar ni eliminar este objetivo.

Interfaces externas

Para las interfaces externas en una acción SD-WAN, es opcional especificar un objetivo del Monitor de Enlace si no selecciona métricas. Sin embargo, le recomendamos que especifique un objetivo del Monitor de Enlace. Si no configura un objetivo del Monitor de Enlace y no selecciona métricas en la acción, Firebox solo considera inactiva una interfaz externa cuando no se detecta una conexión física y no se asigna una dirección IP válida a la interfaz (si la interfaz es dinámica).

Para obtener información detallada sobre el Monitor de Enlace, consulte Acerca del Monitor de Enlace.

Configurar una Acción SD-WAN

Después de configurar el Monitor de Enlace, debe configurar una acción SD-WAN.

Las acciones SD-WAN se aplican a las nuevas conexiones que inician el tráfico. Las acciones SD-WAN no se aplican al tráfico de respuesta. No puede usar acciones SD-WAN para obligar que el tráfico de respuesta salga de una interfaz específica.

Una acción SD-WAN incluye estos ajustes:

  • Interfaces — Qué interfaces participan en la acción.
  • Interfaz Primaria — Qué interfaz es la principal. Se prefiere la interfaz principal si está activa y tiene métricas que no superan los valores que especificó. La primera interfaz en la lista es la interfaz principal. Para cambiar la interfaz principal, puede mover las interfaces hacia arriba o hacia abajo en la lista.
  • Conmutación por Error — Se utilizan métricas (pérdida, latencia u oscilaciones) o conectividad (activa/inactiva) para determinar la conmutación por error. Si selecciona métricas, también puede especificar si alguna o todas las métricas se utilizan para determinar la conmutación por error.
  • Conmutación por recuperación — Cómo fallan las conexiones (de forma inmediata, gradual o en absoluto).

Puede incluir uno o más de estos tipos de interfaz en las acciones SD-WAN:

  • Externas
  • Interna (De Confianza, Opcional o Personalizada) — Fireware v12.4 o superior. Las interfaces internas incluyen aquellas configuradas para conexiones de red privada, como líneas arrendadas y enlaces MPLS.
  • Interfaz virtual BOVPN — En Fireware v12.4 o superior, puede agregar más de una interfaz virtual BOVPN y seleccionar usar métricas para la conmutación por error.

Las interfaces que agrega a la acción SD-WAN determinan qué configuraciones de conmutación por error y conmutación por recuperación están disponibles:

  • Si selecciona varias interfaces, pero no todas las interfaces tienen habilitados los objetivos del Monitor de Enlace, solo puede configurar las opciones de conmutación por recuperación.
  • Si selecciona solo una interfaz externa o solo una interfaz virtual BOVPN, no puede configurar las opciones de conmutación por error o conmutación por recuperación.
  • Si los objetivos del Monitor de Enlace no están habilitados para cada interfaz externa en una acción, solo puede configurar los ajustes de conmutación por recuperación.

No hay límite para la cantidad de acciones SD-WAN que puede agregar. Puede usar la misma acción SD-WAN en múltiples políticas.

Para obtener instrucciones de configuración detalladas, consulte Configurar SD-WAN.

En Fireware v12.3.x, debe agregar al menos una interfaz externa a una acción, o puede agregar una interfaz virtual BOVPN. Puede seleccionar múltiples interfaces externas. No puede seleccionar múltiples interfaces virtuales BOVPN. Si selecciona una interfaz virtual BOVPN, no puede seleccionar otras interfaces.

Configurar la Conmutación por Error y la Conmutación por Recuperación en una acción SD-WAN

Si selecciona medidas de pérdida, latencia y oscilación en una acción SD-WAN, las conexiones conmutarán por error si se superan los valores que especificó para esas medidas. Puede especificar estas opciones:

Conmutar por error si los valores de cualquier medida seleccionada superan el valor especificado

Por ejemplo, seleccione Tasa de Pérdida, Latencia y Oscilaciones, y mantenga los valores predeterminados, lo que significa que el valor de la tasa de pérdida es del 5 %, el valor de latencia es de 20 ms y el valor de oscilaciones es de 10 ms.

Si Firebox detecta que la latencia aumentó a 21 ms, la interfaz fallará, incluso si la tasa de pérdida y la oscilación no superan los valores especificados.

Conmutar por error si los valores para todas las medidas seleccionadas superan el valor especificado

Por ejemplo, seleccione Tasa de Pérdida y Oscilaciones, y mantenga los valores predeterminados, lo que significa que el valor de la tasa de pérdida es del 5 % y el valor de oscilación es de 10 ms. Marque la casilla de selección Conmutación por error si se superan los valores para todas las mediciones seleccionadas.

Si Firebox detecta que la tasa de pérdida aumentó al 6 % y la oscilación aumentó a 11 ms, la interfaz conmuta por error. Si solo la tasa de pérdida supera el valor especificado, la interfaz no conmuta por error.

Dado que cada red es diferente y algunas aplicaciones son más sensibles a los problemas de rendimiento, debe seleccionar valores de pérdida, latencia y oscilación de acuerdo con su conocimiento de su red. Recomendamos que primero establezca valores de referencia para sus conexiones WAN. Para hacer esto, puede ver los datos de informe SD-WAN en Firebox. Como una buena práctica, recomendamos que considere los valores promedio de las últimas 24 horas. Dado que Firebox System Manager muestra datos en tiempo real, debe usar la Web UI, que muestra datos históricos por períodos de tiempo de hasta 7 días y calcula un promedio. Para obtener información sobre cómo ver e interpretar los datos de monitoreo SD-WAN en la Web UI, consulte Información de Interfaz y Monitoreo SD-WAN.

Si no selecciona ninguna métrica en una acción SD-WAN, las conexiones conmutan por error solo si la interfaz está inactiva.

Solo es compatible el modo de conmutación por error. Los modos Round-robin, desbordamiento en la interfaz y tabla de enrutamiento no son compatibles.

En Fireware v12.3.x, la conmutación por error no es compatible con las interfaces virtuales BOVPN.

Si una interfaz conmuta por error, pero luego se recupera, puede controlarla si las conexiones activas y nuevas conmutan por recuperación a la interfaz original, y si conmutan por recuperación de manera inmediata o gradual. Tienes estas opciones:

  • Conmutación por recuperación inmediata — Las conexiones activas y nuevas utilizan la interfaz de conmutación por recuperación (original). Esta es la configuración predeterminada.
  • Conmutación por recuperación gradual — Las conexiones activas continúan utilizando la interfaz de conmutación por error; las nuevas conexiones usan la interfaz de conmutación por recuperación (original)
  • Sin conmutación por recuperación — Las conexiones activas y nuevas continúan utilizando la interfaz de conmutación por error. Puede seleccionar esta opción si desea confirmar que un problema se resuelva antes de volver a la conexión WAN original.

Si selecciona Conmutación por Recuperación Gradual o Sin Conmutación por Recuperación, puede iniciar manualmente la conmutación por recuperación en la página Estado SD-WAN . Para obtener más información sobre la conmutación por recuperación manual en Fireware Web UI, consulte Estado SD-WAN y Conmutación por Recuperación Manual (Web UI). Para obtener más información sobre la conmutación por recuperación manual en Fireware System Manager (FSM), consulte Monitoreo SD-WAN, Estado y Conmutación por Recuperación Manual(Firebox System Manager).

Aplicar una acción SD-WAN a una Política

Para completar la configuración SD-WAN, seleccione la acción SD-WAN en una política de Firebox. Todo el tráfico que coincide con la política utiliza la acción SD-WAN. Por ejemplo, en una política para el tráfico de VoIP, puede especificar una acción SD-WAN que automáticamente conmute el tráfico a otra interfaz si Firebox detecta valores de oscilación o latencia que superen los que usted especificó.

Para obtener instrucciones de configuración detalladas, consulte Configurar SD-WAN.

Ver Informes SD-WAN

Puede ver gráficos que muestran métricas de pérdida, latencia y oscilación para interfaces con objetivos del Monitor de Enlace.

Para obtener información sobre la generación de informes de SD-WAN en Web UI, consulte Información de Interfaz y Monitoreo SD-WAN.

Para obtener información sobre los informes SD-WAN en Firebox System Manager (FSM), consulte Monitoreo SD-WAN, Estado y Conmutación por Recuperación Manual(Firebox System Manager).

Ejemplo de Configuración

Puede aprovechar el enrutamiento SD-WAN basado en métricas en muchos tipos de redes. Para ver cómo SD-WAN puede funcionar con un enlace MPLS, una línea arrendada o una línea privada, consulte Conmutación por Error SD-WAN desde un Enlace MPLS a un Túnel de Interfaz Virtual BOVPN.

Ver También

Configurar SD-WAN

Estado SD-WAN y Conmutación por Recuperación Manual (Web UI)

Acerca del Monitor de Enlace

Configurar un Monitor de Enlace