Sophos Firewall – SD-WAN Routing Reply-Packet System Traffic
Dans l’administration de Sophos Firewall, il existe plusieurs options pour contrôler et router efficacement le trafic.
Un composant important est le SD-WAN (Software-Defined WAN).
Le SD-WAN permet de rendre les infrastructures réseau plus intelligentes grâce à une couche logicielle supplémentaire, notamment pour le contrôle du trafic entre différents réseaux et sur différentes connexions WAN.
Pour une fonctionnalité optimale, il peut être nécessaire d’activer manuellement les paramètres SD-WAN via la ligne de commande (CLI), car certains de ces paramètres peuvent être désactivés. Ce billet donne un aperçu de deux paramètres SD-WAN spécifiques qui peuvent être ajustés via SSH : reply-packet et system-generate-traffic. Ces paramètres sont particulièrement pertinents si vous remarquez que certains routages de trafic ne fonctionnent pas comme prévu.
Activer le paquet de réponses
Les paquets de réponse font référence aux paquets de réponse qui appartiennent à un trafic sortant.
Par défaut, Sophos Firewall impose un routage symétrique pour les paquets de réponse sur les interfaces WAN.
Cependant, il peut y avoir des situations où le routage asymétrique est nécessaire, par exemple pour le trafic entre le réseau local et la DMZ.
Pour vérifier le paramètre actuel
show routing sd-wan-policy-route reply-packet
Pour activer l’option Reply Packet, procédez comme suit
set routing sd-wan-policy-route reply-packet enable
Si cette option est activée, les paquets de réponse peuvent être envoyés via une interface différente de celle utilisée à l’origine, ce qui peut être utile dans certains scénarios de réseau.
Activer le trafic du générateur de système
Le trafic généré par le système fait référence au trafic généré par Sophos Firewall lui-même, par exemple pour les services d’administration ou les protocoles de surveillance.
Dans certains scénarios, il peut être nécessaire d’acheminer ce trafic via une route spécifique plutôt que d’utiliser la route par défaut.
Pour vérifier le paramètre actuel
show routing sd-wan-policy-route system-generate-traffic
Pour activer l’option de trafic généré par le système
set routing sd-wan-policy-route system-generate-traffic enable
L’activation de cette option garantit que le trafic généré par le système est correctement acheminé via les politiques SD-WAN, ce qui est particulièrement utile pour les infrastructures réseau complexes.
Quand ces ajustements sont-ils nécessaires ?
Il peut arriver que certaines exigences du réseau ne soient plus satisfaites si les paramètres de route par défaut du pare-feu ne sont pas suffisants. Cela peut se produire, par exemple, lorsque
- les paquets de réponse sont acheminés par erreur sur la mauvaise interface.
- Le trafic généré par le système n’est pas acheminé sur le réseau comme prévu.
Dans de tels cas, il est utile de vérifier les paramètres décrits ci-dessus via l’interface CLI et de les activer si nécessaire. Cela garantit un contrôle et un ajustement précis des routes réseau et contribue à éviter les problèmes de réseau potentiels.
En activant manuellement ces fonctions, vous pouvez vous assurer que votre réseau fonctionne de manière plus efficace et stable, principalement dans des environnements plus complexes où des routes spécifiques sont nécessaires.
Conclusion
La personnalisation des paramètres du SD-WAN via la CLI est un outil précieux pour contrôler de manière optimale le trafic réseau au sein de Sophos Firewall. En activant les options reply-packet et system-generate-traffic, vous pouvez vous assurer que les besoins spécifiques du réseau sont satisfaits et que le routage est efficace et fiable.
Remarque : ces modifications ne doivent être effectuées que par des administrateurs expérimentés qui comprennent leur impact sur l’ensemble du réseau.
Informations complémentaires
Pour des informations détaillées et d’autres options de configuration pour le SD-WAN Policy Routing sur Sophos Firewall, reportez-vous à la documentation suivante :
- Comportement du routage de la politique SD-WAN : Un aperçu complet du comportement des routes SD-WAN, y compris des détails spécifiques sur le trafic généré par le système et les paquets de réponse, est disponible ici. Base de connaissances Sophos sur le comportement du routage des politiques SD-WAN.
- Routage des politiques SD-WAN : cet article décrit la configuration et la gestion de base des routes SD-WAN. Idéal pour une compréhension plus approfondie du fonctionnement et des options de configuration. Base de connaissances Sophos sur le routage des politiques SD-WAN.