Vai al contenuto
Avanet

Configurare e testare route SD-WAN Sophos Firewall

Sophos Firewall

I Percorsi SD-WAN su Sophos Firewall controllano quale percorso deve seguire un determinato traffico. Ciò è utile per più linee WAN, MPLS, VPN IPsec basate su percorso, VoIP, servizi cloud o applicazioni che devono essere eseguite tramite un provider specifico.

In pratica, i problemi SD-WAN raramente derivano dal pulsante stesso. I criteri sono solitamente troppo ampi, i gateway vengono valutati in modo errato, le regole NAT non sono appropriate, la precedenza del percorso è inaspettata o i test sono troppo imprecisi. L’articolo quindi non copre solo il percorso dei clic, ma anche la pianificazione, l’accettazione e la tipica risoluzione dei problemi.

Video guida

Il video integra la guida per pianificare, configurare e verificare le SD-WAN routes su Sophos Firewall.

Risposta breve

Puoi creare un percorso SD-WAN in Routing > Percorsi SD-WAN. Dovrebbe essere chiaro in anticipo:

  • quale traffico dovrebbe essere controllato
  • quale fonte, destinazione, servizi e utenti sono interessati
  • quale gateway o quale profilo SD-WAN viene utilizzato
  • se sono in competizione percorsi statici, percorsi VPN o precedenza di percorso
  • se NAT corrisponde al percorso
  • come controllare il percorso nel visualizzatore di log e nell’acquisizione dei pacchetti

Una buona route SD-WAN è abbastanza precisa da controllare solo il traffico desiderato. Una route troppo ampia con Any può altrimenti influenzare improvvisamente reti interne, accesso di amministrazione o traffico VPN.

Quando i percorsi SD-WAN hanno senso

I percorsi SD-WAN sono routing basato su policy. Vengono utilizzati quando la normale tabella di routing da sola non esprime quale traffico dovrebbe passare su quale percorso.

Casi tipici:

SituazioneUtilizzando un percorso SD-WAN
due o più linee internetInvio di applicazioni specifiche sulla linea preferita o failover
VoIP o TeamsDai priorità alle linee a bassa latenza o a basso jitter
Servizi cloudDestinazione traffico Microsoft 365, ERP o backup
VPN IPsec basata su percorsoControlla il traffico tramite l’interfaccia XFRM o il profilo gateway
MPLS o linea del sitoRaggiungere le reti target interne tramite percorso dedicato
Provider con associazione IP di origineInvia il traffico esattamente sulla connessione WAN che corrisponde all’IP pubblico consentito

Se è necessario raggiungere solo una rete di destinazione statica tramite un salto successivo chiaro, un percorso statico può essere più semplice e più robusto. SD-WAN è utile quando sono necessari criteri, selezione del gateway, failover o valutazione delle prestazioni.

Pianifica in anticipo

Prima della creazione, il flusso di dati desiderato dovrebbe essere descritto in modo specifico. Una frase come “I team dovrebbero lavorare su WAN2” è troppo imprecisa. Una matrice piccola è migliore:

campoEsempio
Zona di origineLAN
Rete di origineClient_Net_10.20.0.0_24
DestinazioneGruppo di destinazione Microsoft 365, gruppo FQDN o rete specifica
ServiziHTTPS, UDP 3478-3481 o servizi definiti
Utente/Gruppoopzionale, solo se la corrispondenza utente funziona stabilmente
Gateway principaleWAN2
RipiegoWAN1
NATMASQ o IP SNAT fisso corrispondente al gateway
provaIP client, destinazione, gateway previsto, voce di registro prevista

Più chiara è questa matrice, meno congetture saranno necessarie in seguito. Soprattutto con VoIP, VPN, servizi cloud e più sedi, non conviene iniziare con Any solo perché è più veloce da configurare.

Requisiti

  • Sophos Firewall in modalità gateway.
  • Almeno un gateway configurato in Rete > Gestore collegamento WAN o un percorso VPN/XFRM adatto.
  • Reti di origine e destinazione conosciute.
  • Regole firewall appropriate per il traffico.
  • Regole NAT appropriate se il traffico deve essere tradotto.
  • Accesso alle regole firewall pertinenti.
  • Accesso a Visualizzatore registro e Diagnostica > Acquisizione pacchetti.

Adatto per zone, interfacce e gateway Configurare le zone e le interfacce di Sophos Firewall. Se il percorso SD-WAN prevede inoltre una VPN IPsec basata su percorso Creare un percorso IPsec su Sophos Firewall essere letto.

Crea percorso SD-WAN

Percorso del menù:

Routing > SD-WAN routes
```Procedere:

1. Apri **Aggiungi**.
2. Assegnare un nome univoco, ad esempio `Clients_M365_WAN2`.
3. Scegli l'**Interfaccia in entrata** o il contesto di origine in base al design.
4. Le reti di origine o gli utenti vengono impostati solo con l'ampiezza necessaria.
5. Scegli consapevolmente le reti di destinazione, gli host FQDN o i servizi Internet.
6. Limitare i servizi ai protocolli richiesti.
7. Seleziona i profili gateway o SD-WAN.
8. Controlla il failover o il percorso di backup.
9. Salvare la regola e posizionarla opportunamente nell'ordine.
10. Effettuare un test con un cliente definito.

L'interfaccia esatta può variare leggermente a seconda della versione di SFOS. Ciò che resta fondamentale, tuttavia, è che il percorso corrisponda al flusso desiderato e non catturi accidentalmente più traffico del previsto.

## Seleziona gateway e profili SD-WAN

I percorsi SD-WAN possono puntare direttamente ai gateway o funzionare con i profili SD-WAN. Quale approccio è giusto dipende dall’obiettivo.

| approccio | Ha senso se |
| --- | --- |
| gateway fisso | Il traffico dovrebbe fluire consapevolmente su una linea |
| Gateway con backup | è preferibile una riga, ma il failover dovrebbe essere possibile |
| Profili SD-WAN | più gateway possono essere valutati in base al peso, allo SLA o alla priorità |
| Interfaccia XFRM o percorso VPN | IPsec basato su route è incluso nel routing |

Se disponi di più linee WAN, dovresti anche verificare se il monitoraggio del gateway, i criteri di failover e il routing del provider sono realistici. Un gateway può essere tecnicamente "attivo" anche se una determinata applicazione di destinazione non funziona correttamente tramite questo provider.

## Controlla l'ordine e la precedenza del percorso

I percorsi SD-WAN non sono isolati. A seconda della loro progettazione, competono con reti direttamente connesse, percorsi statici, percorsi VPN e precedenza di percorso globale.

Domande importanti:

- Esiste un percorso statico più specifico per raggiungere la destinazione?
- Un percorso SD-WAN più ampio si adatta più in alto?
- La SD-WAN deve essere valutata prima o dopo Static?
- È coinvolta una VPN IPsec basata su policy o su route?
- Il percorso influisce solo sul traffico client inoltrato o anche sui pacchetti di risposta e sul traffico generato dal sistema?

L’ordine globale è in atto [Modificare in modo sicuro la precedenza dell'instradamento di Sophos Firewall](/it/kb/sophos-firewall-modifica-la-priorita-di-instradamento/) spiegato. Adatto per i casi speciali **Pacchetti di risposta** e **Traffico di sistema** [Sophos Firewall Controlla il routing SD-WAN per i pacchetti di risposta e il traffico di sistema](/it/kb/sophos-firewall-sd-wan-routing-reply-packet-system-traffic/).

## Non dimenticare NAT

Il routing decide dove va un pacchetto. NAT decide se modificare l'indirizzo di origine o di destinazione. Entrambi devono adattarsi insieme.

Esempi tipici:

- Il traffico Internet su WAN2 potrebbe richiedere MASQ o un IP SNAT fisso su WAN2.
- I provider o i servizi cloud consentono solo un determinato IP pubblico.
- Per le reti interne o le VPN, il NAT è spesso errato perché il vero IP di origine dovrebbe essere preservato.
- Dopo il failover, l'IP di origine pubblico può cambiare e i siti remoti possono interrompere le sessioni.

Se un percorso SD-WAN funziona correttamente ma l'applicazione continua a non funzionare, è necessario controllare tempestivamente il NAT. Le basi sono presenti [Comprendere il NAT su Sophos Firewall: SNAT, DNAT, MASQ, PAT](/it/kb/sophos-firewall-nat-basics/).

## Test e convalida

Lo stato del gateway verde non dimostra che il percorso SD-WAN stia raggiungendo il traffico previsto. Il test deve verificare un flusso reale.

Processo significativo:

1. Utilizza client di prova con IP noto.
2. Specificare esattamente l'obiettivo e il servizio.
3. Abilita la registrazione delle regole del firewall.
4. Avvia la connessione.
5. Nel **Log Viewer** controlla Origine, Destinazione, Servizio, ID regola, ID NAT e Gateway.
6. Controlla il contatore di utilizzo del percorso SD-WAN.
7. Se non è chiaro, utilizzare **Diagnostica > Acquisizione pacchetti** con un filtro ristretto.
8. Il test fallisce il gateway primario durante la convalida del failover.
9. Dopo il failback, controlla se le sessioni e le nuove connessioni vengono eseguite come previsto.

Adatto per l'analisi del flusso di pacchetti [Test delle regole di Sophos Firewall con Log Viewer, Policy Test e Packet Capture](/it/kb/test-regole-sophos-firewall/). Importante: il Policy Tester non sostituisce un vero test del flusso di pacchetti per SD-WAN.

## Errori comuni

| Errore | Effetto | Approccio migliore |
| --- | --- | --- |
| Destinazione `Any` per comodità | troppo traffico viene catturato dalla SD-WAN | Seleziona reti di destinazione, host FQDN o servizi Internet in modo più ristretto |
| Il percorso SD-WAN è troppo alto | un'applicazione o un percorso più specifico viene sovrascritto | Controlla l'ordine e premi il contatore |
| NAT non corrisponde al gateway | L'applicazione rileva un IP di origine errato o interruzioni del percorso di ritorno | Controllare la regola NAT e MASQ/SNAT |
| Il monitoraggio del gateway è troppo approssimativo | Il gateway è attivo anche se l'applicazione di destinazione non può essere raggiunta | Scegli gli obiettivi di monitoraggio/SLA che corrispondono al servizio |
| Route Precedence ignorata | Il percorso statico o il percorso VPN funziona diversamente dal previsto | Route Precedence del documento e del test |
| Rispondi traffico classificato erroneamente | Le risposte non seguono il percorso previsto | Controlla l'opzione di acquisizione e risposta dei pacchetti |
| più modifiche allo stesso tempo | La causa resta poco chiara un cambiamento, una prova, poi andiamo avanti |

## Risoluzione dei problemi

Se il percorso SD-WAN non funziona come previsto, non dovresti “risolvere” immediatamente l’errore con regole più ampie. È meglio una delimitazione chiara.

Controllo:

1. Il pacchetto raggiunge anche il firewall?
2. Soddisfa la regola firewall prevista?
3. Il percorso SD-WAN corrisponde in base al contatore?
4. Un altro percorso SD-WAN più in alto è più specifico o più ampio?
5. Il servizio è davvero adatto, ad esempio TCP/UDP e porta?
6. Viene utilizzato NAT ed è desiderato?
7. Il pacchetto lascia il firewall attraverso il gateway previsto?
8. Tornerà la risposta?
9. Esiste un percorso statico, un percorso VPN o una precedenza del percorso che influenza il percorso?

Se Packet Capture non rileva alcun pacchetto, il problema è nel firewall: gateway client, VLAN, switch, routing locale o test errato. Se il pacchetto arriva ma segue il percorso sbagliato, i criteri SD-WAN, l'ordine, il NAT e la precedenza del percorso sono i successivi punti di controllo.

## Verifica operativa

I percorsi SD-WAN dovrebbero essere documentati e controllati regolarmente dopo l'introduzione. Ciò è particolarmente importante in caso di cambio di provider, nuova VPN, linee WAN aggiuntive o modifiche ai servizi cloud.

Dovresti documentarti:

- Scopo del percorso
- Criteri di origine e destinazione
- Servizi
- Profili gateway o SD-WAN
- Aspettativa NAT
- Comportamento di failover
- Testare il cliente e testare l'obiettivo
- Proprietario e data della recensione

Per le applicazioni business-critical dovrebbe essere chiaro anche chi deve reagire in caso di interruzioni del provider, problemi di failover o modifica degli IP pubblici.

## Lista di controllo

- La destinazione del traffico e l'intenzione di ricerca del percorso sono chiaramente descritte.
- Origine, destinazione e servizi non sono fissati in modo inutilmente ampio.
- Profili gateway o SD-WAN scelti deliberatamente.
- La regola del firewall e la regola NAT corrispondono al percorso.
- Route Precedence controllata.
- I pacchetti di risposta e il traffico generato dal sistema sono inclusi solo quando necessario.
- Log Viewer e Packet Capture utilizzati per l'accettazione.
- Failover e failback testati quando fanno parte della progettazione.
- Itinerario documentato e fornito dal proprietario.

## Domande frequenti








  
Quando è necessario un percorso SD-WAN su Sophos Firewall?

  

    Un percorso SD-WAN ha senso quando un determinato traffico deve fluire su un percorso specifico a seconda della fonte, destinazione, servizio, utente o gateway. Per una rete di destinazione semplice, spesso può essere sufficiente un percorso statico.
  












  
Perché il mio percorso SD-WAN non funziona?

  

    Spesso la provenienza, la destinazione, il servizio, l’ordine o la precedenza del percorso non corrispondono. Inoltre, una regola firewall, una regola NAT o un percorso statico possono influenzare il flusso effettivo dei pacchetti.
  












  
È possibile utilizzare SD-WAN con IPsec basato su route?

  

    Sì, IPsec basato su route può essere integrato nei progetti SD-WAN con interfacce XFRM e route appropriate. Quindi lo stato IPsec, il percorso SD-WAN, la precedenza del percorso, le regole NAT e firewall dovrebbero essere controllati insieme.
  












  
Dovresti sempre impostare Destinazione su Qualsiasi?

  

    No. Any ha senso solo se la route deve davvero controllare tutto il traffico di destinazione proveniente da questa origine. Per servizi cloud, VoIP, reti interne o VPN, destinazioni più precise sono di solito più sicure e più facili da mantenere.
  












  
Il Policy Tester è sufficiente per i test SD-WAN?

  

    No. Il Policy Tester aiuta con la logica della policy, ma non sostituisce un vero test del flusso di pacchetti. Per SD-WAN dovresti utilizzare il visualizzatore di log, il contatore degli accessi e l’acquisizione dei pacchetti.