Configurar SD-WAN

Se aplica A: Fireboxes administrados en la nube

WAN Definida por Software (SD-WAN) es una solución de enrutamiento basada en software que puede utilizar para distribuir el tráfico entre redes o hacia una red específica, según las políticas de firewall.Una acción de SD-WAN puede incluir redes externas, interfaces celulares, redes internas y de invitados con monitorización de enlace habilitado y BOVPN.

Puede configurar una acción de SD-WAN para utilizar la Conmutación por Error o el método de Operación por Turnos. Para obtener información sobre los métodos de SD-WAN, consulte Acerca de los Métodos de SD-WAN.

Si configura el enrutamiento de SD-WAN basado en la medición, el Firebox utiliza los datos de rendimiento para tomar decisiones de enrutamiento. Por ejemplo, puede especificar umbrales de pérdida, latencia y oscilación para que el tráfico conmute por error a una conexión diferente cuando el rendimiento sea inferior al ideal.

Puede usar SD-WAN para aumentar la disponibilidad y el rendimiento de la aplicación, y para utilizar mejor diferentes tipos de conexiones. Por ejemplo, con SD-WAN, puede:

Enviar tráfico de alta prioridad sensible a la latencia, como VoIP y videoconferencia a través de conexiones WAN más caras y de mayor calidad
Enviar tráfico de menor prioridad a través de conexiones WAN menos costosas
Especificar umbrales de pérdida, latencia y oscilación para que las conexiones se conmuten por error a una conexión diferente cuando el rendimiento sea inferior al ideal

A fin de configurar SD-WAN para un Firebox administrado en la nube, haga lo siguiente:

Configurar la monitorización de enlaces (recomendado para redes externas, requerido para redes internas y de invitados)
Configurar direcciones IP virtuales de BOVPN
Agregar una acción de SD-WAN
Habilitar SD-WAN en una política de firewall

Configurar la Monitorización de Enlaces

Para que pueda agregar una red interna o de invitados a una acción de SD-WAN, debe habilitar la monitorización de enlaces en los ajustes de red. También debe habilitar la monitorización de enlaces para una red externa si desea utilizar la conmutación por error basada en mediciones o el balance de carga.

Un objetivo de monitorización de enlaces es el host más allá del perímetro de su red. El Firebox envía sondeos de ping, TCP o DNS a los objetivos para verificar la conectividad. El Firebox también puede usar los resultados del sondeo para verificar el rendimiento si usted selecciona medir la pérdida, la latencia y la oscilación.

Cuando su Firebox utiliza el enrutamiento SD-WAN basado en mediciones, toma decisiones de enrutamiento basadas en cálculos de pérdida, latencia y oscilación de los sondeos de la monitorización de enlaces. Por ejemplo, si la tasa de pérdida supera el valor que especifica en la acción de SD-WAN, el Firebox puede conmutar por error las conexiones a otra interfaz incluida en la acción SD-WAN. Para configurar el enrutamiento SD-WAN basado en mediciones, todas las interfaces en la acción de SD-WAN deben tener configurado al menos un objetivo de monitorización de enlaces.

Si no especifica mediciones en la configuración SD-WAN, el Firebox toma decisiones de enrutamiento SD-WAN basadas únicamente en la conectividad. Por ejemplo, si un objetivo de monitorización de enlaces no responde después de un cierto número de intentos, el Firebox considera que la interfaz está inactiva. Si seleccionó el método SD-WAN de Conmutación por Error, el Firebox puede conmutar por error las conexiones a otra interfaz que esté incluida en la acción de SD-WAN. Si seleccionó el método SD-WAN de Operación por Turnos, el Firebox elimina la interfaz de la selección de rutas hasta que la interfaz vuelva a estar activa.

Para obtener información sobre cómo habilitar la monitorización de enlaces de red de un Firebox administrado en la nube, consulte Configurar la Monitorización de Enlaces de Red del Firebox.

Para obtener información sobre los cálculos de pérdida, latencia y oscilaciones, consulte Interpretar Datos SD-WAN.

Configurar Direcciones IP Virtuales de BOVPN

Para que pueda agregar una BOVPN a una acción de SD-WAN, debe configurar la BOVPN con direcciones IP virtuales /32 para ambos endpoints. La monitorización de enlaces BOVPN se habilita implícitamente cuando configura direcciones IP de host /32 como la dirección IP virtual de ambos endpoints. Una BOVPN que no tiene habilitada la monitorización de enlaces (no tiene direcciones IP virtuales /32 válidas para ambos endpoints) no está disponible para seleccionar en una acción de SD-WAN.

Para obtener información sobre cómo configurar las direcciones IP virtuales de una BOVPN, consulte:

Agregar una Acción de SD-WAN

Puede agregar una o más acciones de SD-WAN a su configuración.

Las acciones de SD-WAN se aplican a las nuevas conexiones que inician el tráfico.
Las acciones de SD-WAN solo se aplican al tráfico saliente que se origina detrás del Firebox.
Las acciones de SD-WAN no se aplican para las respuestas al tráfico entrante. No puede usar acciones de SD-WAN para obligar que el tráfico de respuesta salga de una interfaz específica.
Las acciones de SD-WAN se aplican solo al tráfico que coincide con la acción de SD-WAN.
Puede agregar un número ilimitado de acciones de SD-WAN y puede utilizar la misma acción de SD-WAN en varias políticas.

En los ajustes de la acción de SD-WAN, debe especificar el método (Conmutación por Error o Operación por Turnos) y si desea utilizar la conmutación por error basada en mediciones. Si selecciona el método Conmutación por Error, también debe seleccionar una opción de Conmutación por Recuperación. Para más información sobre los métodos de SD-WAN, consulte Acerca de los Métodos de SD-WAN.

Para implementar una configuración que incluya una o más acciones de Operación por Turnos SD-WAN, su dispositivo debe ejecutar el firmware v12.8 o superior. Si su dispositivo ejecuta una versión de firmware anterior, debe realizar una de las siguientes acciones antes de poder implementar la configuración: Actualizar el firmware del dispositivo a v12.8 o superior, cambiar todas las acciones de SD-WAN para usar el método Conmutación por Error, o eliminar cualquier acción de SD-WAN que utilice el método Operación por Turnos. Si el modelo del dispositivo no es compatible con el firmware v12.8 o superior, cambie todas las acciones de SD-WAN para usar el método Conmutación por Error o elimine cualquier acción de SD-WAN que use el método Operación por Turnos.

Para configurar una acción de SD-WAN, en WatchGuard Cloud:

Seleccione Configurar > Dispositivos.
Seleccione el Firebox administrado en la nube.
Haga clic en Configuración del Dispositivo.
Haga clic en el mosaico Redes.
Se abre la página de configuración de Redes.
En la sección Ajustes de WAN, haga clic en Agregar SD-WAN.
Se abre la página Agregar SD-WAN.

Screen shot of the Add SD-WAN page

En el cuadro de texto Nombre, ingrese un nombre para esta acción de SD-WAN.
En la lista desplegable Método, seleccione Conmutación por Error o Operación por Turnos.
Si seleccionó Conmutación por Error, seleccione una de estas opciones de la lista desplegable Conmutación por Recuperación:
- Inmediata — Las conexiones activas y nuevas utilizan la red de conmutación por recuperación (original). Esta es el ajuste predeterminado.
- Gradual — Las conexiones activas continúan utilizando la interfaz de conmutación por error. Las conexiones nuevas utilizan la red (original) de conmutación por recuperación.
- Sin Conmutación por Recuperación — Las conexiones activas y nuevas continúan utilizando la interfaz de conmutación por error. Puede seleccionar esta opción si desea confirmar que un problema está resuelto antes de hacer la conmutación por recuperación a la conexión WAN original.
Para agregar redes o VPN a la acción de SD-WAN, haga clic en Seleccionar Red/VPN.
Se abre una lista de redes. La lista muestra todas las redes externas, interfaces celulares, BOVPN y redes internas que tienen habilitada la monitorización de enlaces.

Screen shot of the Add Network/VPN page

Marque la casilla de selección para cada red que desee agregar a esta acción de SD-WAN.
Haga clic en Cerrar.
Para utilizar mediciones para determinar cuándo una red falla o vuelve a fallar, realice una de las siguientes acciones:
- Si seleccionó el método Conmutación por Error, seleccione Usar Conmutación por Error Basada en Mediciones.
- Si seleccionó el método Operación por Turnos, seleccione Usar Participación Basada en Medición.

Si seleccionó usar mediciones, mantenga o edite los valores predeterminados para Latencia, Pérdida y Oscilación.
Para guardar los cambios de configuración en la nube, haga clic en Guardar.

Habilitar SD-WAN en una Política de Firewall

Después de agregar la acción de SD-WAN, puede configurar una política de firewall para usarla. Cuando usa una acción de SD-WAN en una política, los ajustes de la acción de SD-WAN tienen prioridad sobre los ajustes de WAN globales.

Las acciones de SD-WAN se aplican a las nuevas conexiones que inician el tráfico. Las acciones de SD-WAN no se aplican al tráfico de respuesta. No puede usar acciones de SD-WAN para obligar que el tráfico de respuesta salga de una interfaz específica. Las acciones de SD-WAN se aplican solo al tráfico que coincide con la acción de SD-WAN.

Para habilitar SD-WAN en una política de firewall, en WatchGuard Cloud:

Seleccione Configurar > Dispositivos.
Seleccione el Firebox administrado en la nube.
Haga clic en Configuración del Dispositivo.
Haga clic en el mosaico Políticas de Firewall.
Se abre la lista Políticas de Firewall.
Agregue o edite una política de firewall.
En la sección SD-WAN de la política, haga clic en el interruptor Habilitar SD-WAN.

Screen shot of SD-WAN settings for a firewall policy

En la lista desplegable, seleccione la acción de SD-WAN que se utilizará para el tráfico que coincida con esta política.
Para guardar los cambios de configuración en la nube, haga clic en Guardar.

Para obtener más información sobre la configuración de la política, consulte Configurar Políticas de Firewall en WatchGuard Cloud.

Monitorizar el Tráfico SD-WAN

Puede ver información en vivo sobre el tráfico SD-WAN en la página Estado en Vivo > Redes. Para más información, consulte Monitorizar Redes en Fireboxes y FireClusters.

Temas Relacionados

Acerca de los Métodos de SD-WAN

Detalles de SD-WAN

Acerca de los Ajustes de Red del Firebox

© 2024 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Las demás marcas comerciales pertenecen a sus respectivos propietarios.