Configurer SD-WAN

S'applique à : Fireboxes Gérés sur le Cloud

Le WAN Défini par Logiciel (SD-WAN) est une solution de routage logicielle servant à répartir le trafic entre des réseaux ou vers un réseau spécifique en fonction des stratégies de pare-feu. Une action SD-WAN peut comprendre des réseaux externes, des interfaces cellulaires, des réseaux internes et invités sur lesquels la surveillance de liaison a été activée, ainsi que des BOVPN.

Vous pouvez configurer une action SD-WAN de manière à utiliser la méthode Basculement ou Tourniquet. Pour de plus amples informations concernant les méthodes SD-WAN, consultez À propos des Méthodes SD-WAN.

Si vous configurez le routage SD-WAN basé sur mesures, le Firebox utilise les données de performances pour prendre ses décisions de routage. Par exemple, vous pouvez spécifier des seuils de perte, latence et instabilité de manière à ce que le trafic bascule vers une autre connexion lorsque les performances sont insuffisantes.

Vous pouvez utiliser le SD-WAN afin d'accroître la disponibilité et les performances des applications et mieux utiliser les différents types de connexions. Avec le SD-WAN, vous pouvez par exemple :

Envoyer le trafic prioritaire et sensible à la latence tel que la VoIP et la vidéoconférence via des connexions WAN de meilleure qualité et plus coûteuses
Envoyer le trafic non prioritaire via des connexions WAN moins coûteuses
Spécifiez les seuils de perte, latence et instabilité de manière à ce que les connexions basculent vers une autre connexion lorsque les performances sont insuffisantes

Pour configurer le SD-WAN d'un Firebox géré sur le cloud :

Configurer la surveillance de liaison (recommandé des réseaux externes, obligatoire pour les réseaux internes et invités)
Configurer des adresses IP virtuelles BOVPN
Ajouter une action SD-WAN
Activer le SD-WAN dans une stratégie de pare-feu

Configurer la Surveillance de Liaison

Avant d'ajouter un réseau interne ou invité à une action SD-WAN, vous devez activer la surveillance de liaison dans les paramètres réseau. Vous devez également activer la surveillance de liaison pour un réseau externe si vous souhaitez utiliser le basculement basé sur mesures ou l'équilibrage de charge.

Une cible de surveillance de liaison est hébergée hors du périmètre de votre réseau. Le Firebox envoie des requêtes ping, TCP ou DNS aux cibles afin de vérifier leur connectivité. Le Firebox peut également employer les résultats des requêtes pour vérifier les performances si vous décidez de mesurer les pertes, la latence et l'instabilité.

Lorsque votre Firebox utilise le routage SD-WAN basé sur mesures, il prend ses décisions de routage en fonction des calculs de perte, latence et instabilité effectués par les sondes de surveillance de liaison. À titre d'exemple, si le taux de perte est supérieur à la valeur spécifiée dans l'action SD-WAN, le Firebox peut basculer les connexions vers une autre interface figurant dans l'action SD-WAN. Pour configurer le routage SD-WAN basée sur mesures, au moins une cible de surveillance de liaison doit avoir été configurée sur toutes les interfaces de l'action SD-WAN.

Si vous ne spécifiez pas de mesures dans la configuration SD-WAN, le Firebox prend ses décisions de routage SD-WAN uniquement en fonction de la connectivité. Par exemple, si une cible de surveillance de liaison ne répond pas suite à un certain nombre de tentatives, le Firebox considère l'interface comme inactive. Si vous avez sélectionné la méthode Basculement SD-WAN, le Firebox bascule les connexions vers une autre interface figurant dans l'action SD-WAN. Si vous avez sélectionné la méthode Tourniquet SD-WAN, le Firebox supprime l'interface de la sélection de chemin d'accès jusqu'à ce qu'elle redevienne active.

Pour de plus amples informations concernant l'activation de la surveillance de liaison réseau d'un Firebox géré sur le cloud, consultez la section Configurer la Surveillance de Liaison Réseau d'un Firebox.

Pour de plus amples informations concernant les calculs de perte, latence et instabilité, consultez la section Interpréter les Données SD-WAN.

Configurer des Adresses IP Virtuelles BOVPN

Avant d'ajouter un BOVPN à une action SD-WAN, vous devez configurer le BOVPN avec une adresse IP virtuelle /32 pour les deux endpoints. La surveillance de liaison BOVPN est implicitement activée lorsque vous configurez des adresses IP hôtes /32 en tant qu'adresse IP virtuelle des deux endpoints. Un BOVPN dont la surveillance de liaison n'est pas activée (qui ne dispose pas d'adresses IP virtuelles /32 valides sur les deux endpoints) ne peut pas être sélectionné dans une action SD-WAN.

Pour des informations concernant la configuration d'un pool d'adresses IP virtuelles pour un BOVPN, consultez :

Ajouter une Action SD-WAN

Vous pouvez ajouter une ou plusieurs actions SD-WAN à votre configuration.

Les actions SD-WAN s'appliquent aux nouvelles connexions qui initient un trafic.
Les actions SD-WAN s'appliquent uniquement au trafic sortant provenant de derrière le Firebox.
Les actions SD-WAN ne s'appliquent pas aux réponses au trafic entrant. Il est impossible d'utiliser des actions SD-WAN pour obliger le trafic de réponse à passer par une interface donnée.
Les actions SD-WAN s'appliquent uniquement au trafic qui correspond à l'action SD-WAN.
Vous pouvez ajouter un nombre illimité d'actions SD-WAN et pouvez utiliser la même action SD-WAN dans plusieurs stratégies.

Dans les paramètres de l'action SD-WAN, vous devez spécifier la méthode (Basculement ou Tourniquet) ainsi que l'éventuelle utilisation d'un basculement basé sur mesures. Si vous sélectionnez la méthode Basculement, vous devez également sélectionner une option de Restauration Automatique. Pour plus d'informations sur les méthodes SD-WAN, consultez À propos des Méthodes SD-WAN.

Pour déployer une configuration comprenant une ou plusieurs actions Tourniquet SD-WAN, votre périphérique doit exécuter le microprogramme v12.8 ou une version ultérieure. Si votre périphérique exécute une version de microprogramme antérieure, vous devez effectuer l'une des opérations suivantes avant de déployer la configuration : Mettez à niveau le microprogramme du périphérique vers v12.8 ou une version ultérieure, modifiez toutes les actions SD-WAN de manière à utiliser la méthode Basculement, ou supprimez toutes les actions SD-WAN utilisant la méthode Tourniquet. Si le modèle de votre périphérique ne prend pas en charge le microprogramme v12.8 ou une version ultérieure, modifiez toutes les actions SD-WAN de manière à utiliser la méthode Basculement ou supprimez toutes les actions SD-WAN utilisant la méthode Tourniquet.

Pour configurer une action SD-WAN, à partir de WatchGuard Cloud :

Sélectionnez Configurer > Périphériques.
Sélectionnez le Firebox géré sur le cloud.
Cliquez sur Configuration du Périphérique.
Cliquez sur la mosaïque Réseaux.
La page de configuration des Réseaux s'ouvre.
Dans la section Paramètres WAN, cliquez sur Ajouter un SD-WAN.
La page Ajouter un SD-WAN s'ouvre.

Screen shot of the Add SD-WAN page

Dans la zone de texte Nom, saisissez le nom de cette action SD-WAN.
Dans la liste déroulante Méthode, sélectionnez Basculement ou Tourniquet.
Si vous avez sélectionné Basculement, sélectionnez l'une des options suivantes dans la liste déroulante Restauration Automatique :
- Immédiate — Les connexions actives et nouvelles utilisent le réseau de secours (d'origine). Cela est le paramètre par défaut.
- Progressive — Les connexions actives continuent à utiliser l'interface de basculement. Les nouvelles connexions actives utilisent le réseau (d'origine) de restauration automatique.
- Ne Pas Restaurer Automatiquement — Les connexions actives et nouvelles continuent à utiliser l'interface de restauration automatique. Vous pouvez sélectionner cette option si vous souhaitez confirmer qu'un problème est résolu avant de rebasculer vers la connexion WAN d'origine.
Pour ajouter des réseaux ou des VPN à l'action SD-WAN, cliquez sur Sélectionner un Réseau/VPN.
La liste des réseaux s'affiche. La liste indique l'ensemble des réseaux externes, interfaces cellulaires, BOVPN et réseaux internes pour lesquels la surveillance de liaison a été activée.

Screen shot of the Add Network / VPN page

Sélectionnez la case à cocher de chaque réseau que vous souhaitez ajouter à cette action SD-WAN.
Cliquez sur Fermer.
Pour utiliser des mesures afin de déterminer le moment où un réseau bascule ou est automatiquement restauré, procédez de l'une des manières suivantes :
- Si vous avez sélectionné la méthode Basculement, sélectionnez Utiliser le Basculement Basé sur Mesures.
- Si vous avez méthode Tourniquet, sélectionnez Utiliser la Participation Basée sur Mesures.

Si vous avez opté pour utiliser les mesures, conservez ou modifiez les valeurs par défaut de Latence, Perte et Instabilité.
Pour enregistrer les modifications de configuration sur le cloud, cliquez sur Enregistrer.

Activer le SD-WAN dans une Stratégie de Pare-Feu

Après avoir ajouté l'action SD-WAN, vous pouvez configurer une stratégie de pare-feu pour l'utiliser. Lorsque vous utilisez une action SD-WAN dans une stratégie, les paramètres de l'action SD-WAN sont prioritaires sur les paramètres WAN globaux.

Les actions SD-WAN s'appliquent aux nouvelles connexions qui initient un trafic. Les actions SD-WAN ne s'appliquent pas au trafic de réponse. Il est impossible d'utiliser des actions SD-WAN pour obliger le trafic de réponse à passer par une interface donnée. Les actions SD-WAN s'appliquent uniquement au trafic qui correspond à l'action SD-WAN.

Pour activer SD-WAN dans une stratégie de pare-feu, à partir de WatchGuard Cloud :

Sélectionnez Configurer > Périphériques.
Sélectionnez le Firebox géré sur le cloud.
Cliquez sur Configuration du Périphérique.
Cliquez sur la mosaïque Stratégies de Pare-feu.
La liste des Stratégies de Pare-Feu s'ouvre.
Ajoutez ou modifiez une stratégie de pare-feu.
Dans la section SD-WAN de la stratégie, cliquez sur l'option Activer SD-WAN.

Screen shot of SD-WAN settings for a firewall policy

Dans la liste déroulante, sélectionnez l'action SD-WAN à utiliser pour le trafic correspondant à cette stratégie.
Pour enregistrer les modifications de configuration sur le cloud, cliquez sur Enregistrer.

Pour de plus amples informations concernant la configuration des stratégies, consultez Configurer les Stratégies de Pare-feu dans WatchGuard Cloud.

Surveiller le Trafic SD-WAN

Vous pouvez consulter les informations en direct concernant le trafic SD-WAN sur la page État en Direct > Réseaux. Pour plus d'informations, consultez Surveiller les Réseaux sur les Fireboxes et FireClusters.

Rubriques Connexes

À propos des Méthodes SD-WAN

Détails du SD-WAN

À propos des Paramètres Réseau du Firebox

© 2024 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et dans d'autres pays. Les autres marques sont détenues par leurs propriétaires respectifs.