À propos du SD-WAN
Le WAN logiciel (SD-WAN) est une solution de routage logicielle qui répartit automatiquement le trafic réseau sur différentes connexions WAN en fonction des stratégies que vous définissez. Le SD-WAN est intégré au Firebox. Le Firebox surveille vos connexions WAN, capture des données de performance presque en temps réel, et utilise ces données pour prendre des décisions de routage. À titre d'exemple, si une connexion WAN devient encombrée, le Firebox envoie automatiquement le trafic vers une autre connexion WAN.
Le SD-WAN fonctionne avec différents types de connexions WAN, ce qui signifie que vous pouvez configurer un WAN hybride. À titre d'exemple, si votre Firebox dispose d'une connexion MPLS et d'une connexion à Internet haut débit, vous pouvez utiliser ces deux connexions dans une configuration SD-WAN.
Vous pouvez utiliser le SD-WAN pour améliorer la disponibilité et les performances des applications, et optimiser un WAN hybride. Avec le SD-WAN, vous pouvez par exemple :
- Envoyer le trafic prioritaire et sensible à la latence tel que la VoIP et la vidéoconférence via des connexions WAN de meilleure qualité et plus coûteuses
- Envoyer le trafic non prioritaire via des connexions WAN moins coûteuses
- Spécifier des seuils de performance de sorte que les connexions basculent vers une autre connexion WAN si leurs performances ne sont pas optimales
Le SD-WAN ignore les paramètres globaux de la configuration multi-WAN.
Pour configurer le SD-WAN dans Fireware v12.3 et les versions ultérieures :
- Configurer des cibles pour le Contrôle des Liaisons
- Configurer une action SD-WAN
- Configurer une stratégie pour qu'elle utilise l'action SD-WAN
Cette section explique le fonctionnement du SD-WAN. Pour obtenir des instructions de configuration détaillées, consultez Configurer SD-WAN.
Pour un exemple de configuration, consultez Basculement SD-WAN d'un Lien MPLS vers un Tunnel d'Interface Virtuel BOVPN.
Dans Fireware v12.3 et les versions ultérieures, le SD-WAN remplace le routage basé sur stratégie. Dans Fireware v12.2.1 et les versions antérieures, pour acheminer le trafic vers une autre interface externe, vous devez utiliser le routage basé sur stratégie. Lorsque vous procédez à une mise à niveau vers Fireware v12.3 ou une version ultérieure, le routage basé sur stratégie sans basculement est converti en action SD-WAN à interface unique. Le routage basé sur stratégie avec basculement est converti en action SD-WAN à interfaces multiples. Dans Policy Manager, le paramètre de routage basé sur stratégie demeure disponible à des fins de rétrocompatibilité avec les anciennes versions de Fireware OS. Pour plus d'informations sur le routage basé sur stratégie, consultez Configurer le Routage Basé sur Stratégie dans Fireware v12.2.1 et les versions antérieures de la Base de connaissances WatchGuard.
Configurer des Cibles pour le Contrôle des Liaisons
Nous vous recommandons de configurer des cibles de Contrôle des Liaisons pour les interfaces figurant dans une action SD-WAN.
Une cible de Contrôle des Liaisons est hébergée hors du périmètre de votre réseau. Le Firebox envoie des requêtes ping, TCP ou DNS aux cibles afin de vérifier leur connectivité. Le Firebox peut également employer les résultats des requêtes pour vérifier les performances si vous décidez de mesurer les pertes, la latence et l'instabilité.
Dans la configuration du Contrôle des Liaisons, vous pouvez ajouter des cibles aux types d'interface suivants :
- Externe
- Interne (Approuvée, Facultative ou Personnalisée) — Fireware v12.4 et versions ultérieures
- Interface virtuelle BOVPN — Fireware v12.4 et versions ultérieures
Le Contrôle des Liaisons est une composante importante de votre configuration SD-WAN. Lorsque votre Firebox emploie un routage SD-WAN basé sur métrique, il prend ses décisions de routage en fonction des calculs de pertes, de latence et d'instabilité des requêtes du Contrôle des Liaisons. À titre d'exemple, si le taux de perte est supérieur à la valeur spécifiée dans l'action SD-WAN, le Firebox peut basculer les connexions vers une autre interface figurant dans l'action SD-WAN. Pour configurer un routage SD-WAN basé sur métrique, toutes les interfaces de l'action SD-WAN doivent avoir configuré au moins une cible de Contrôle des Liaisons.
Si vous ne spécifiez pas de métriques dans la configuration SD-WAN, le Firebox prend des décisions de routage SD-WAN basées uniquement sur la connectivité. À titre d'exemple, si une cible du Contrôle des Liaisons ne répond pas après un certain nombre de tentatives, le Firebox la considère comme inactive. Le Firebox peut alors basculer les connexions vers une autre interface figurant dans l'action SD-WAN.
Exigences du Contrôle des Liaisons pour les Interfaces SD-WAN
Les interfaces figurant dans des actions SD-WAN présentent les exigences de Contrôle de Liaisons suivantes :
Interfaces internes
Pour les interfaces internes, une adresse IP de saut suivant ou une cible personnalisée doit être renseignée dans la configuration du Contrôle des Liaisons. Nous vous recommandons de spécifier une adresse IP de saut suivant. L'adresse IP de saut suivant indique au Firebox comment acheminer le trafic du Contrôle des Liaisons et le trafic SD-WAN de l'interface.
Si vous ne spécifiez pas d'adresse IP de saut suivant, le Firebox utilise sa table de routage pour acheminer le trafic du Contrôle des Liaisons et le trafic SD-WAN de l'interface. Cela signifie que vous devez ajouter une route statique à la table de routage.
Les interfaces internes ajoutées au Contrôle des Liaisons mais ne disposant pas de saut suivant ni de cible personnalisée ne peuvent pas être ajoutées à une action SD-WAN.
Les interfaces virtuelles BOVPN
Avant d'ajouter une interface virtuelle BOVPN au Contrôle des Liaisons, vous devez configurer une adresse IP de pair dans les paramètres de l'interface virtuelle BOVPN. Il est impossible de spécifier un masque de réseau.
Pour ajouter une interface virtuelle BOVPN à une action SD-WAN comprenant d'autres interfaces, l'interface virtuelle BOVPN doit inclure une cible de Contrôle des Liaisons. Lorsque vous ajoutez une interface virtuelle BOVPN au Contrôle des Liaisons, la cible est automatiquement configurée pour être l'adresse IP de pair. Il est impossible de modifier ou supprimer cette cible.
Interfaces externes
Pour les interfaces externes d'une action SD-WAN, vous n'êtes pas obligé(e) de choisir une cible de Contrôle des Liaisons si vous ne sélectionnez pas de métrique. Nous vous recommandons cependant de choisir une cible de Contrôle des Liaisons. Si vous ne configurez pas de cible de Contrôle des Liaisons et ne sélectionnez pas de métrique dans l'action, le Firebox considère une interface externe comme inactive uniquement lorsqu'aucune connexion physique n'est détectée et qu'aucune adresse IP valide n'est assignée à l'interface (si l'interface est dynamique).
Pour obtenir des informations détaillées concernant le Contrôle des Liaisons, consultez À propos du Contrôle des Liens.
Configurer une Action SD-WAN
Après avoir configuré le Contrôle des Liaisons, vous devez configurer une action SD-WAN.
Les actions SD-WAN s'appliquent aux nouvelles connexions qui initient un trafic. Les actions SD-WAN ne s'appliquent pas au trafic de réponse. Il est impossible d'utiliser des actions SD-WAN pour obliger le trafic de réponse à passer par une interface donnée.
Une action SD-WAN comprend les paramètres suivants :
- Interfaces — Les interfaces qui participent à l'action.
- Interface principale — L'interface principale. L'interface principale est privilégiée si elle est active et possède des métriques qui ne dépassent pas les valeurs que vous avez spécifiées. La première interface dans la liste est l'interface principale. Pour modifier l'interface principale, vous pouvez monter ou descendre les interfaces dans la liste.
- Basculement — Indique si des métriques (perte, latence ou instabilité) ou la connectivité (active/inactive) sont utilisées pour déterminer le basculement. Si vous sélectionnez les métriques, vous pouvez également spécifier si toutes les métriques sont utilisées pour déterminer le basculement ou une seule.
- Restauration automatique — Le mode de restauration automatique des connexions (immédiate, graduelle ou désactivée).
Vous pouvez inclure un ou plusieurs types d'interface dans les actions SD-WAN parmi les suivants :
- Externe
- Interne (Approuvée, Facultative ou Personnalisée) — Fireware v12.4 et versions ultérieures. Les interfaces internes comprennent les interfaces configurées pour les connexions réseau privées telles que les liaisons louées et les liaisons MPLS.
- Interface virtuelle BOVPN — Dans Fireware v12.4 et les versions ultérieures, vous pouvez ajouter plusieurs interfaces virtuelles BOVPN et choisir d'utiliser les métriques pour déterminer le basculement.
Les interfaces que vous ajoutez à l'action SD-WAN déterminent les paramètres de basculement et de restauration automatique disponibles :
- Si vous sélectionnez plusieurs interfaces, mais que certaines d'entre elles n'ont pas activé de cible de Contrôle des Liaisons, vous pouvez uniquement configurer les paramètres de restauration automatique.
- Si vous ne sélectionnez qu'une interface externe ou une seule interface virtuelle BOVPN, il est impossible de configurer les paramètres de basculement et de restauration automatique.
- Si les cibles de Contrôle des Liaisons ne sont pas activées pour chaque interface externe dans une action, il est uniquement possible de configurer les paramètres de restauration automatique.
Il n'existe aucune limite quant au nombre d'actions SD-WAN que vous pouvez ajouter. Vous pouvez utiliser une même action SD-WAN dans plusieurs stratégies.
Pour obtenir des instructions de configuration détaillées, consultez Configurer SD-WAN.
Dans Fireware v12.3.x, vous devez ajouter au moins une interface externe à une action ou ajouter une interface virtuelle BOVPN. Vous pouvez sélectionner plusieurs interfaces externes. Il est impossible de sélectionner plusieurs interfaces virtuelles BOVPN. Si vous sélectionnez une interface virtuelle BOVPN, il est impossible de sélectionner d'autres interfaces.
Configurer les Paramètres de Basculement et de Restauration Automatique dans une Action SD-WAN
Si vous sélectionnez les mesures de perte, de latence et d'instabilité dans une action SD-WAN, les connexions basculent en cas de dépassement des valeurs choisies. Vous pouvez spécifier les options suivantes :
Basculer si les valeurs de l'une des mesures sélectionnées dépassent la valeur spécifiée
Par exemple, vous sélectionnez Taux de Perte, Latence et Instabilité et conservez les valeurs par défaut, ce qui signifie que la valeur du taux de perte est de 5 %, celle de la latence est de 20 ms et celle de l'instabilité est de 10 ms.
Si le Firebox détecte que la latence atteint 21 ms, l'interface bascule, même si le taux de perte et l'instabilité ne dépassent pas les valeurs spécifiées.
Basculer si toutes les valeurs des mesures sélectionnées dépassent la valeur spécifiée
Par exemple, vous sélectionnez Taux de Perte et Instabilité et conservez les valeurs par défaut, ce qui signifie que la valeur du taux de perte est de 5 % et celle de l'instabilité est de 10 ms. Vous cochez la case Basculer si toutes les valeurs des mesures sélectionnées dépassent la valeur spécifiée.
Si le Firebox détecte que le taux de perte atteint 6 % et que l'instabilité atteint 11 ms, l'interface bascule. Si seul le taux de perte dépasse la valeur spécifiée, l'interface ne bascule pas.
Étant donné les différences de chaque réseau et la sensibilité des certaines applications aux problèmes de performance, vous devez choisir des valeurs de perte, de latence et d'instabilité adaptées à votre réseau. Nous vous recommandons d'établir d'abord des valeurs de référence pour vos connexions WAN. Pour ce faire, vous pouvez consulter les données des rapports SD-WAN sur le Firebox. Nous vous recommandons d'adopter la meilleure pratique consistant à évaluer les valeurs moyennes des dernières 24 heures. Dans la mesure où Firebox System Manager affiche uniquement les données en temps réel, vous devez utiliser la Web UI qui affiche les données historiques pour une période maximale de sept jours et calcule une moyenne. Pour plus d'informations concernant la consultation et l'interprétation des données de surveillance SD-WAN dans la Web UI, consultez Informations d'Interface et Surveillance SD-WAN.
Si vous ne sélectionnez pas de métrique dans une action SD-WAN, les connexions ne basculent que si l'interface est inactive.
Seul le mode de basculement est pris en charge. Les modes de tourniquet, de dépassement de capacité d'interface et de table de routage ne sont pas pris en charge.
Dans Fireware v12.3.x, le basculement n'est pas pris en charge pour les interfaces BOVPN virtuelles.
Si une interface bascule puis revient à la normale, vous pouvez choisir si les connexions actives et nouvelles reviennent sur l'interface d'origine, et si elles y reviennent immédiatement ou progressivement. Les options suivantes sont proposées :
- Restauration automatique immédiate — Les connexions actives et nouvelles utilisent l'interface de restauration automatique (d'origine). Cela est le paramètre par défaut.
- Restauration automatique progressive — Les connexions actives continuent à utiliser l'interface de restauration automatique, tandis que les nouvelles connexions utilisent l'interface de restauration automatique (d'origine)
- Pas de restauration automatique — Les connexions actives et nouvelles continuent à utiliser l'interface de restauration automatique. Vous pouvez sélectionner cette option si vous souhaitez confirmer qu'un problème est résolu avant de rebasculer vers la connexion WAN d'origine.
Si vous sélectionnez Restauration Automatique Progressive ou Pas de Restauration Automatique, vous pouvez basculer manuellement depuis la page État SD-WAN. Pour plus d'informations sur la restauration manuelle dans Fireware Web UI, consultez État SD-WAN et Restauration Manuelle (Web UI). Pour plus d'informations sur la restauration manuelle dans Fireware System Manager (FSM), consultez Surveillance SD-WAN, État et Restauration Manuelle (Firebox System Manager).
Appliquer une Action SD-WAN à une Stratégie
Pour terminer la configuration SD-WAN, sélectionnez l'action SD-WAN dans une stratégie du Firebox. Tout le trafic correspondant à la stratégie utilise l'action SD-WAN. À titre d'exemple, dans une stratégie de trafic VoIP, vous pouvez spécifier une action SD-WAN qui bascule automatiquement le trafic vers une autre interface si le Firebox détecte des valeurs d'instabilité ou de latence supérieures aux valeurs spécifiées.
Pour obtenir des instructions de configuration détaillées, consultez Configurer SD-WAN.
Afficher les Rapports SD-WAN
Vous pouvez afficher des graphiques indiquant les métriques de perte, de latence et d'instabilité pour les interfaces comprenant des cibles de Contrôle des Liaisons.
Pour plus d'informations concernant les rapports SD-WAN dans la Web UI, consultez Informations d'Interface et Surveillance SD-WAN.
Pour plus d'informations concernant les rapports SD-WAN dans Firebox System Manager (FSM), consultez Surveillance SD-WAN, État et Restauration Manuelle (Firebox System Manager).
Exemple de Configuration
Vous pouvez profiter du routage SD-WAN basé sur métrique sur de nombreux types de réseaux. Pour découvrir comment le SD-WAN peut fonctionner avec une liaison MPLS, une liaison louée ou une ligne privée, consultez Basculement SD-WAN d'un Lien MPLS vers un Tunnel d'Interface Virtuel BOVPN.
Voir Également
État SD-WAN et Restauration Manuelle (Web UI)