SD-WAN を構成する

適用:クラウド管理の Fireboxes

SD-WAN (ソフトウェア定義 WAN) とは、ソフトウェア ベースのルーティング ソリューションです。これを使用することで、ファイアウォール ポリシーに基づいて、ネットワーク間または特定のネットワークへのトラフィックを分散することができます。SD-WAN アクションには、外部ネットワーク、リンク監視が有効化された内部ネットワークとゲスト ネットワーク、および BOVPN を含めることができます。

クラウド管理の Firebox の SD-WAN を構成するには、以下を実行する必要があります。

  • ネットワーク リンク監視を有効化する (外部ネットワークの場合は推奨、内部ネットワークとゲスト ネットワークの場合は必須)。
  • BOVPN の場合は、/32 仮想 IP アドレスを構成する。
  • SD-WAN アクションを追加する。
  • SD-WAN アクションが使用されるようにポリシーを構成する。

SD-WAN とリンク監視

内部ネットワークまたはゲスト ネットワークを SD-WAN アクションに追加する前に、ネットワーク設定でリンク監視を有効化する必要があります。測定ベースのフェールオーバーを使用する場合は、外部ネットワークのリンク監視も有効化する必要があります。

クラウド管理の Firebox のネットワーク リンク監視を有効化する方法については、Firebox ネットワーク リンク監視を構成する を参照してください。

SD-WAN と BOVPN 仮想 IP アドレス

SD-WAN アクションに BOVPN を追加する前に、両方の endpoint で、/32 仮想 IP アドレスで BOVPN を構成する必要があります。両方の endpoint で、仮想 IP アドレスとして /32 ホスト IP アドレスを構成すると、BOVPN リンク監視が暗黙的に有効化されます。リンク監視が有効化されていない BOVPN (両方の endpoint に有効な /32 仮想 IP アドレスがない) は、SD-WAN アクションに選択することができません。

BOVPN の仮想 IP アドレスを構成する方法については、以下の項目を参照してください。

SD-WAN アクションを追加する

オプションとして、フェールオーバーとフェールバックの基礎としてネットワーク品質の測定値が使用されるように SD-WAN アクションを構成することができます。測定ベースのフェールオーバーを有効化する際に、レイテンシー、損失、ジッターのしきい値を設定します。接続メトリックが指定値のいずれかを超過すると、接続は SD-WAN アクションの別のネットワークにフェールオーバーします。

SD-WAN アクションを構成するには、WatchGuard Cloud で以下の手順を実行します。

  1. 構成 > デバイス の順に選択します。
  2. クラウド管理の Firebox を選択します。
  3. デバイス構成 をクリックします。
  4. ネットワーク タイルをクリックします。
    ネットワーク構成ページが開きます。
  5. WAN 設定 セクションで、SD-WAN を追加する をクリックします。
    SD-WAN を追加する ページが開きます。

Screen shot of the Add SD-WAN page

  1. 名前 テキスト ボックスに、SD-WAN アクションの名前を入力します。
  2. SD-WAN アクションにネットワークまたは VPN を追加するには、ネットワーク/VPN を追加する をクリックします。
    ネットワークのリストが表示されます。このリストには、リンク監視が有効化されているすべての外部ネットワーク、BOVPN、および内部またはゲスト ネットワークが表示されます。

Screen shot of the Add Network / VPN page

  1. この SD-WAN アクションに追加する各ネットワークのチェックボックスを選択します。
  2. 閉じる をクリックします。
  3. メトリックを使用してネットワークがフェールオーバーまたはフェールバックした時期を判断するには、以下の手順を実行します。
    1. 測定ベースのフェールオーバーを使用する チェックボックスを選択します。
    2. レイテンシー損失ジッター の推奨値を受け入れる、またはこれらを編集します。

Screen shot of an SD-WAN action with Use Measurement Based Failover selected

  1. Firebox でアクティブな接続にフェールバックする方法を構成するには、フェールバック ドロップダウン リストから、以下のいずれかのオプションを選択します。
    • 即時 — アクティブな接続と新しい接続でフェールバック (元の) ネットワークが使用されます。これが既定の設定です。
    • 段階的 - アクティブな接続では引き続きフェールオーバー インターフェイスが使用され、新しい接続でフェールバック (元の) ネットワークが使用されます。
    • フェールバックなし — アクティブな接続と新しい接続で引き続きフェールオーバー インターフェイスが使用されます。元の WAN 接続にフェールバックする前に問題が解決したことを確認する場合は、このオプションを選択することが勧められます。
  2. 構成変更をクラウドに保存するには、保存 をクリックします。

ファイアウォール ポリシーで SD-WAN を有効化する

SD-WAN アクションを追加したら、これが使用されるようにファイアウォール ポリシーを構成することができます。SD-WAN アクションが使用されるようにポリシーを設定すると、SD-WAN アクションの設定がグローバル WAN 設定よりも優先されます。

ファイアウォール ポリシーで SD-WAN を有効化するには、WatchGuard Cloud で以下の手順を実行します。

  1. 構成 > デバイス の順に選択します。
  2. クラウド管理の Firebox を選択します。
  3. デバイス構成 をクリックします。
  4. ファイアウォール ポリシー タイルをクリックします。
    ファイアウォール ポリシーのリストが開きます。
  5. ファイアウォール ポリシーを追加または編集する
  6. SD-WAN 設定で、SD-WAN を有効化する トグルをクリックします。

Screen shot of SD-WAN settings for a firewall policy

  1. ドロップダウン リストから、このポリシーと一致するトラフィックで使用される SD-WAN アクションを選択します。
  2. 構成変更をクラウドに保存するには、保存 をクリックします。

ポリシー構成の詳細については、次を参照してください: WatchGuard Cloud でファイアウォール ポリシーを構成する

関連情報:

Firebox ネットワーク設定について