SD-WAN を構成する

適用:クラウド管理の Firebox

SD-WAN (ソフトウェア定義 WAN) とは、ソフトウェア ベースのルーティング ソリューションです。これを使用することで、ファイアウォール ポリシーに基づいて、ネットワーク間または特定のネットワークへのトラフィックを分散することができます。SD-WAN アクションには、外部ネットワーク、セルラー インターフェイス、リンク監視が有効化されている内部ネットワークとゲスト ネットワーク、および BOVPN を含めることができます。

SD-WAN アクションは、フェールオーバー方式またはラウンドロビン方式のいずれかを使用するように構成することができます。SD-WAN 方式については、SD-WAN 方式について を参照してください 。

測定ベースの SD-WAN ルーティングを構成した場合、Firebox はパフォーマンス データに基づいてルーティング決定を行います。たとえば、損失、レイテンシー、ジッターのしきい値を指定して、パフォーマンスが低下した場合にトラフィックが別の接続にフェールオーバーされるように設定することができます。

SD-WAN を使用することで、アプリケーションの可用性とパフォーマンスを向上させ、さまざまな種類の接続をより有効に活用することができます。たとえば、SD-WAN を利用することで、以下が可能となります。

  • 高品質で高価な WAN 接続を介して、VoIP やビデオ会議など、優先度が高く、遅延の影響を受けやすいトラフィックを送信する。
  • 安価な WAN 接続で優先度の低いトラフィックを送信する。
  • 損失、レイテンシー、ジッターのしきい値を指定して、パフォーマンスが低下した場合に接続が別の接続にフェールオーバーされるように設定することができます。

クラウド管理の Firebox の SD-WAN を構成するには、以下を実行する必要があります。

リンク監視を構成する

内部ネットワークまたはゲスト ネットワークを SD-WAN アクションに追加する前に、ネットワーク設定でリンク監視を有効化する必要があります。測定ベースのフェールオーバーまたは負荷分散を使用する場合は、外部ネットワークのリンク監視も有効化する必要があります。

リンク監視ターゲットとは、ネットワーク境界の外側のホストのことです。Firebox から ping、TCP、または DNS プローブがターゲットに送信され、接続が確認されます。損失、レイテンシー、ジッターを測定することを選択した場合は、Firebox では、プローブ結果を使用して、パフォーマンスを検証することもできます。

Firebox で測定ベースの SD-WAN ルーティングが使用されている場合は、リンク監視プローブからの損失、レイテンシー、ジッターの計算に基づいてルーティングが決定されます。たとえば、損失率が SD-WAN アクションで指定されている値を超えた場合に、Firebox では SD-WAN アクションに含まれる別のインターフェイスへ接続をフェールオーバーすることができます。測定ベースの SD-WAN ルーティングを構成するには、SD-WAN アクションのすべてのインターフェイスに少なくとも 1 つのリンク監視ターゲットが構成されている必要があります。

SD-WAN 構成で測定が指定されていないと、Firebox では接続性のみに基づいて SD-WAN ルーティングの決定が行われます。たとえば、特定の回数試行してもリンク監視ターゲットから応答が発信されない場合は、Firebox ではインターフェイスが非アクティブであると見なされます。フェールオーバーに SD-WAN 方式が選択されていると、Firebox では SD-WAN アクションに含まれる別のインターフェイスに接続がフェールオーバーされます。ラウンドロビン SD-WAN 方式が選択されている場合は、Firebox では、インターフェイスが再びアクティブになるまでインターフェイスがパス選択から削除されます。

クラウド管理の Firebox のネットワーク リンク監視を有効化する方法については、Firebox ネットワーク リンク監視を構成する を参照してください。

損失、レイテンシー、ジッターの計算については、SD-WAN データを解釈する を参照してください。

BOVPN 仮想 IP アドレスを構成する

SD-WAN アクションに BOVPN を追加する前に、両方の endpoint で、/32 仮想 IP アドレスで BOVPN を構成する必要があります。両方の endpoint で、仮想 IP アドレスとして /32 ホスト IP アドレスを構成すると、BOVPN リンク監視が暗黙的に有効化されます。リンク監視が有効化されていない BOVPN (両方の endpoint に有効な /32 仮想 IP アドレスがない) は、SD-WAN アクションに選択することができません。

BOVPN の仮想 IP アドレスを構成する方法については、以下の項目を参照してください。

SD-WAN アクションを追加する

1 つまたは複数の SD-WAN アクションを構成に追加することができます。

  • SD-WAN アクションは、トラフィックを開始する新しい接続に適用されます。
  • SD-WAN アクションは、Firebox の背後から発信されるアウトバウンド トラフィックにのみ適用されます。
  • SD-WAN アクションは、インバウンド トラフィックへの応答には適用されません。SD-WAN アクションを使用して、応答トラフィックを特定のインターフェイスから強制的に送信することはできません。
  • SD-WAN アクションは、SD-WAN アクションに一致するトラフィックにのみ適用されます。
  • SD-WAN アクションは無制限に追加でき、複数のポリシーで同じ SD-WAN アクションを使用することができます。

SD-WAN アクション設定で、方法 (フェールオーバーまたはラウンドロビン) 、および測定ベースのフェールオーバーを使用するかどうかを指定する必要があります。フェールオーバーの方法を選択した場合は、フェールバック オプションも選択する必要があります。SD-WAN 方式の詳細については、SD-WAN 方式について を参照してください 。

1 つまたは複数の SD-WAN ラウンドロビン アクションが含まれている構成を配備する場合は、デバイスでファームウェア v12.8 以降が実行されている必要があります。デバイスで以前のファームウェア バージョンが実行されている場合は、構成を配備する前に、デバイスのファームウェアを v12.8 以降にアップグレードする、またはフェールオーバー方式が使用されるようにすべての SD-WAN アクションを変更する、あるいはラウンドロビン方式が使用される SD-WAN アクションをすべて削除する操作のいずれかを行う必要があります。デバイス モデルでファームウェア v12.8 以降がサポートされていない場合は、フェールオーバー方式が使用されるようにすべての SD-WAN アクションを変更する、またはラウンドロビン方式が使用される SD-WAN アクションをすべて削除します。

SD-WAN アクションを構成するには、WatchGuard Cloud で以下の手順を実行します。

  1. 構成 > デバイス の順に選択します。
  2. クラウド管理の Firebox を選択します。
  3. デバイス構成 をクリックします。
  4. ネットワーク タイルをクリックします。
    ネットワーク構成ページが開きます。
  5. WAN 設定 セクションで、SD-WAN を追加する をクリックします。
    SD-WAN を追加する ページが開きます。

Screen shot of the Add SD-WAN page

  1. 名前 テキスト ボックスに、SD-WAN アクションの名前を入力します。
  2. 方法 ドロップダウン リストから、フェールオーバー または ラウンドロビン を選択します。
  3. フェールオーバー を選択した場合は、フェールバック ドロップダウン リストから、以下のオプションのいずれかを選択します。
    • 即時 — アクティブな接続と新しい接続でフェールバック (元の) ネットワークが使用されます。これが既定の設定です。
    • 段階的 — アクティブな接続では引き続きフェールオーバー インターフェイスが使用されます。新しい接続では、フェールバック (元の) ネットワークが使用されます。
    • フェールバックなし — アクティブな接続と新しい接続で引き続きフェールオーバー インターフェイスが使用されます。元の WAN 接続にフェールバックする前に問題が解決したことを確認する場合は、このオプションを選択することが勧められます。
      Screen shot of the Failback drop-down menu
  4. SD-WAN アクションにネットワークまたは VPN を追加するには、ネットワーク/VPN を選択する をクリックします。
    ネットワークのリストが開きます。このリストには、リンク監視が有効化されているすべての外部ネットワーク、セルラー インターフェイス、BOVPN、および内部ネットワークが表示されます。

Screen shot of the Add Network / VPN page

  1. この SD-WAN アクションに追加する各ネットワークのチェックボックスを選択します。
  2. 閉じる をクリックします。
  3. 測定を使用して、ネットワークのフェールオーバーまたはフェールバックの発生について判断する場合は、以下の手順を実行します。
    • フェールオーバー 方式を選択した場合は、測定ベースのフェールオーバーを使用する を選択します。

      • Screen shot of the settings for measurement-based failover

    • ラウンドロビン 方式を選択した場合は、測定ベースの参加を使用する を選択します。

      • Screen shot of the settings for measurement-based participation

  1. 測定値を使用することを選択した場合は、レイテンシー損失ジッター の既定値をそのまま使用するか編集します。
  2. 構成変更をクラウドに保存するには、保存 をクリックします。

ファイアウォール ポリシーで SD-WAN を有効化する

SD-WAN アクションを追加したら、これが使用されるようにファイアウォール ポリシーを構成することができます。SD-WAN アクションが使用されるようにポリシーを設定すると、SD-WAN アクションの設定がグローバル WAN 設定よりも優先されます。

SD-WAN アクションは、トラフィックを開始する新しい接続に適用されます。SD-WAN アクションは、応答トラフィックには適用されません。SD-WAN アクションを使用して、応答トラフィックを特定のインターフェイスから強制的に送信することはできません。SD-WAN アクションは、SD-WAN アクションに一致するトラフィックにのみ適用されます。

ファイアウォール ポリシーで SD-WAN を有効化するには、WatchGuard Cloud で以下の手順を実行します。

  1. 構成 > デバイス の順に選択します。
  2. クラウド管理の Firebox を選択します。
  3. デバイス構成 をクリックします。
  4. ファイアウォール ポリシー タイルをクリックします。
    ファイアウォール ポリシーのリストが開きます。
  5. ファイアウォール ポリシーを追加または編集する
  6. ポリシーの SD-WAN セクションで、SD-WAN を有効化する トグルをクリックします。

Screen shot of SD-WAN settings for a firewall policy

  1. ドロップダウン リストから、このポリシーと一致するトラフィックで使用される SD-WAN アクションを選択します。
  2. 構成変更をクラウドに保存するには、保存 をクリックします。

ポリシー構成の詳細については、WatchGuard Cloud でファイアウォール ポリシーを構成する を参照してください 。

SD-WAN トラフィックを監視する

ライブ ステータス > ネットワーク の順に移動したページで、SD-WAN トラフィックに関するライブ情報を確認することができます。詳細については、Firebox および FireCluster でネットワークを監視する を参照してください。

関連トピック

SD-WAN 方式について

SD-WAN の詳細

Firebox ネットワーク設定について