Sophos Firewall – SD-WAN Routing Reply-Packet System Traffic
Existen varias opciones de gestión de los Sophos Firewall para controlar y dirigir eficazmente el tráfico de datos.
Un componente importante es la WAN definida por software (SD-WAN).
La SD-WAN permite hacer más inteligentes las infraestructuras de red mediante una capa de software adicional, sobre todo al controlar el tráfico entre distintas redes y a través de distintas conexiones WAN.
Para una funcionalidad óptima, puede ser necesario activar manualmente los ajustes de SD-WAN a través de la línea de comandos (CLI), ya que algunos de estos ajustes pueden estar desactivados. Este artículo ofrece una visión general de dos ajustes específicos de SD-WAN que pueden personalizarse mediante SSH: reply-packet y system-generate-traffic. Estos ajustes son especialmente relevantes si observas que determinados enrutamientos de tráfico no funcionan como esperabas.
Activar paquete de respuesta
Los paquetes de respuesta se refieren a los paquetes de respuesta que pertenecen a un tráfico de datos saliente.
Por defecto, Sophos Firewall aplica un enrutamiento simétrico para los paquetes de respuesta en las interfaces WAN.
Sin embargo, puede haber situaciones en las que se requiera un enrutamiento asimétrico, por ejemplo, para el tráfico entre LAN y DMZ.
Para comprobar el ajuste actual
show routing sd-wan-policy-route reply-packet
Para activar la opción de paquete de respuesta
set routing sd-wan-policy-route reply-packet enable
Si esta opción está activada, los paquetes de respuesta pueden enviarse a través de una interfaz distinta de la utilizada originalmente, lo que puede ser útil en determinados escenarios de red.
Activar el tráfico generado por el sistema
El tráfico generado por el sistema se refiere al tráfico generado por el propio Sophos Firewall, por ejemplo para servicios de gestión o protocolos de supervisión.
En determinados escenarios, puede ser necesario encaminar este tráfico a través de una ruta específica en lugar de utilizar la ruta predeterminada.
Para comprobar el ajuste actual
show routing sd-wan-policy-route system-generate-traffic
Para activar la opción Generar tráfico del sistema
set routing sd-wan-policy-route system-generate-traffic enable
Activar esta opción garantiza que el tráfico generado por el sistema se enruta correctamente a través de las políticas SD-WAN, lo que resulta especialmente ventajoso para infraestructuras de red complejas.
¿Cuándo son necesarios estos ajustes?
Puede ocurrir que ciertos requisitos de la red dejen de cumplirse si la configuración de rutas por defecto del cortafuegos no es suficiente. Esto puede ocurrir, por ejemplo, si
- los paquetes de respuesta se enrutan incorrectamente a través de la interfaz equivocada.
- El tráfico generado por el sistema no se encamina a través de la red como se espera.
En estos casos, tiene sentido comprobar los ajustes descritos anteriormente mediante la CLI y activarlos si es necesario. Esto garantiza un control y una personalización precisos de las rutas de red y ayuda a evitar posibles problemas de red.
Activando manualmente estas funciones, puedes asegurarte de que tu red funcione de forma más eficaz y estable, especialmente en entornos más complejos en los que se requieren rutas específicas.
Conclusión
La personalización de la configuración de SD-WAN mediante la CLI es una herramienta valiosa para controlar de forma óptima el tráfico de red dentro del Sophos Firewall. Activando las opciones de paquete de respuesta y generar tráfico del sistema, puedes asegurarte de que se cumplen los requisitos específicos de la red y de que el enrutamiento funciona de forma eficaz y fiable.
Nota: Estos cambios sólo deben realizarlos administradores experimentados que comprendan el impacto en toda la red.
Más información
Encontrarás información detallada y más opciones de configuración para el Enrutamiento de Políticas SD-WAN en el Sophos Firewall en la siguiente documentación:
- Comportamiento de las rutas de la política SD-WAN: Aquí encontrarás una visión completa del comportamiento de las rutas SD-WAN, incluyendo detalles específicos sobre el tráfico generado por el sistema y los paquetes de respuesta. Base de conocimientos de Sophos sobre el comportamiento de enrutamiento de políticas SD-WAN.
- Enrutamiento de políticas SD -WAN: Este artículo describe la configuración y gestión básicas de las rutas SD-WAN. Ideal para comprender mejor la funcionalidad y las opciones de configuración. Base de conocimientos de Sophos sobre enrutamiento de políticas SD-WAN.