Naar de inhoud
Avanet

Sophos Firewall - SD-WAN routing reply-packet en system traffic

Sophos Firewall

Bij het beheer van Sophos Firewalls zijn er verschillende opties om dataverkeer efficiënt te sturen en te routen. Een belangrijk onderdeel daarvan is Software-Defined WAN (SD-WAN). Met SD-WAN kun je netwerkinfrastructuren via een extra softwarelaag intelligenter maken, vooral bij het sturen van traffic tussen verschillende netwerken en over meerdere WAN-verbindingen.

Voor optimale werking kan het nodig zijn om SD-WAN-instellingen via de command line (CLI) handmatig te activeren, omdat sommige opties onder bepaalde omstandigheden uitgeschakeld zijn. Dit artikel geeft een overzicht van twee specifieke SD-WAN-instellingen die via SSH kunnen worden aangepast: reply-packet en system-generate-traffic. Deze opties zijn vooral relevant wanneer bepaalde traffic routing niet werkt zoals verwacht.

Reply-Packet activeren

Reply Packets zijn antwoordpakketten die bij uitgaand dataverkeer horen. Standaard dwingt de Sophos Firewall symmetrische routing af voor antwoordpakketten via WAN-interfaces. Er kunnen echter situaties zijn waarin asymmetrische routing nodig is, bijvoorbeeld voor verkeer tussen LAN en DMZ.

Zo controleer je de huidige instelling

show routing sd-wan-policy-route reply-packet

Zo activeer je de Reply-Packet-optie

set routing sd-wan-policy-route reply-packet enable

Als deze optie actief is, kunnen antwoordpakketten via een andere interface worden verzonden dan de oorspronkelijk gebruikte interface. Dat kan in specifieke netwerkscenario’s nuttig zijn.

System-Generate-Traffic activeren

System-generated traffic is dataverkeer dat door de Sophos Firewall zelf wordt gegenereerd, bijvoorbeeld voor beheerdiensten of monitoringprotocollen. In bepaalde scenario’s kan het nodig zijn om dit verkeer via een specifieke route te sturen in plaats van via de standaardroute.

Zo controleer je de huidige instelling

show routing sd-wan-policy-route system-generate-traffic

Zo activeer je de System-Generate-Traffic-optie

set routing sd-wan-policy-route system-generate-traffic enable

Door deze optie te activeren, zorg je ervoor dat system-generated traffic correct via de SD-WAN-policies wordt gerouteerd. Dat is vooral nuttig in complexere netwerkinfrastructuren.

Wanneer zijn deze aanpassingen nodig?

Het kan gebeuren dat bepaalde netwerkvereisten niet meer worden gehaald wanneer de standaard routing-instellingen van de firewall niet volstaan. Dit kan bijvoorbeeld optreden wanneer:

  • Antwoordpakketten onbedoeld via de verkeerde interface worden gerouteerd.
  • System-generated traffic niet zoals verwacht door het netwerk loopt.

In zulke gevallen is het zinvol om de hierboven beschreven instellingen via de CLI te controleren en indien nodig te activeren. Daarmee krijg je precieze controle over de netwerkroutes en kun je mogelijke netwerkproblemen voorkomen.

Door deze functies handmatig te activeren, kun je ervoor zorgen dat je netwerk efficiënter en stabieler draait, vooral in complexere omgevingen waarin specifieke routes nodig zijn.

Conclusie

Het aanpassen van SD-WAN-instellingen via de CLI is een waardevol hulpmiddel om netwerkverkeer binnen de Sophos Firewall optimaal te sturen. Door de opties reply-packet en system-generate-traffic te activeren, kun je ervoor zorgen dat specifieke netwerkvereisten worden gehaald en dat routing efficiënt en betrouwbaar werkt.

Opmerking: Deze wijzigingen mogen alleen worden uitgevoerd door ervaren beheerders die de impact op het volledige netwerk begrijpen.

Meer informatie

Gedetailleerde informatie en extra configuratieopties voor SD-WAN Policy Routing op de Sophos Firewall vind je in de volgende documentatie: