Przejdz do tresci
Avanet

Konfiguracja i test trasy SD-WAN Sophos Firewall

Sophos Firewall

Trasy SD-WAN w zaporze Sophos Firewall kontrolują trasę, którą powinien podążać określony ruch. Jest to przydatne w przypadku wielu linii WAN, MPLS, sieci VPN IPsec opartych na trasach, VoIP, usług w chmurze lub aplikacji, które muszą działać za pośrednictwem określonego dostawcy.

W praktyce problemy SD-WAN rzadko wynikają z samego przycisku. Kryteria są zwykle zbyt szerokie, bramy są nieprawidłowo oceniane, reguły NAT nie są odpowiednie, pierwszeństwo tras jest nieoczekiwane lub testy są zbyt nieprecyzyjne. Artykuł obejmuje zatem nie tylko ścieżkę kliknięcia, ale także planowanie, akceptację i typowe rozwiązywanie problemów.

Przewodnik wideo

Film uzupełnia instrukcję planowania, konfiguracji i weryfikacji SD-WAN routes w Sophos Firewall.

Krótka odpowiedź

Trasę SD-WAN tworzysz w Routing > Trasy SD-WAN. Z góry powinno być jasne:

  • jaki ruch należy kontrolować
  • którego źródła, miejsca docelowego, usług i użytkowników dotyczy to
  • która brama lub jaki profil SD-WAN jest używany
  • niezależnie od tego, czy konkurują ze sobą trasy statyczne, trasy VPN lub pierwszeństwo tras
  • czy NAT pasuje do trasy
  • jak sprawdzić ścieżkę w przeglądarce logów i przechwytywać pakiety

Dobra trasa SD-WAN jest wystarczająco precyzyjna, aby sterować tylko wymaganym ruchem. Zbyt szeroka trasa z Any może w przeciwnym razie nagle objąć sieci wewnętrzne, dostęp administracyjny lub ruch VPN.

Kiedy trasy SD-WAN mają sens

Trasy SD-WAN to routing zasad. Są one używane, gdy sama zwykła tablica routingu nie określa, jaki ruch powinien przebiegać którą ścieżką.

Typowe przypadki:

SytuacjaKorzystanie z trasy SD-WAN
dwie lub więcej linii internetowychWysyłaj określone aplikacje przez preferowaną linię lub przełączanie awaryjne
VoIP lub zespołyNadaj priorytet liniom o niskim opóźnieniu lub niskim jitterze
Usługi w chmurzeKieruj na ruch Microsoft 365, ERP lub kopie zapasowe
VPN oparty na trasach IPsecKontroluj ruch poprzez interfejs XFRM lub profil bramy
MPLS lub linia witrynyDocieraj do wewnętrznych sieci docelowych poprzez dedykowaną ścieżkę
Dostawca z powiązaniem źródłowego adresu IPWysyłaj ruch dokładnie przez połączenie WAN, które odpowiada dozwolonemu publicznemu adresowi IP

Jeśli konieczne jest osiągnięcie jedynie statycznej sieci docelowej poprzez wyraźny następny przeskok, trasa statyczna może być prostsza i bardziej niezawodna. SD-WAN przydaje się, gdy potrzebne są kryteria, wybór bramy, przełączanie awaryjne lub ocena wydajności.

Planuj z wyprzedzeniem

Przed utworzeniem należy szczegółowo opisać pożądany przepływ danych. Zdanie takie jak „Zespół powinien pracować w sieci WAN2” jest zbyt nieprecyzyjne. Mała matryca jest lepsza:

polePrzykład
Strefa źródłowaLAN
Sieć źródłowaClient_Net_10.20.0.0_24
Miejsce doceloweGrupa docelowa Microsoft 365, grupa FQDN lub konkretna sieć
UsługiHTTPS, UDP 3478-3481 lub zdefiniowane usługi
Użytkownik/Grupaopcjonalne, tylko jeśli dopasowywanie użytkowników działa stabilnie
Główna bramaWAN2
PowrótWAN1
NATMASQ lub stały adres IP SNAT pasujący do bramy
testAdres IP klienta, miejsce docelowe, oczekiwana brama, oczekiwany wpis w dzienniku

Im jaśniejsza jest ta macierz, tym mniej trzeba później zgadywać. Zwłaszcza przy VoIP, VPN, usługach cloud i wielu lokalizacjach nie należy zaczynać od Any tylko dlatego, że szybciej się to klika.

Wymagania

  • Zapora sieciowa Sophos w trybie bramy.
  • Co najmniej jedna skonfigurowana brama w Sieć > Menedżer łączy WAN lub odpowiednia ścieżka VPN/XFRM.
  • Znane sieci źródłowe i docelowe.
  • Odpowiednie reguły zapory sieciowej dla ruchu.
  • Odpowiednie reguły NAT, jeśli ruch wymaga tłumaczenia.
  • Logowanie na odpowiednich regułach zapory sieciowej.
  • Dostęp do Przeglądarki logów i Diagnostyki > Przechwytywania pakietów.

Nadaje się do stref, interfejsów i bramek Skonfiguruj strefy i interfejsy zapory Sophos. Jeśli trasa SD-WAN obejmuje dodatkowo VPN IPsec oparty na trasach Utwórz trasę IPsec na zaporze Sophos być przeczytane.

Utwórz trasę SD-WAN

Ścieżka menu:

Routing > SD-WAN routes
```Przystępować:

1. Otwórz **Dodaj**.
2. Nadaj jednoznaczną nazwę, na przykład `Clients_M365_WAN2`.
3. Wybierz **Interfejs przychodzący** lub kontekst źródłowy pasujący do projektu.
4. Sieci źródłowe lub użytkownicy ustawiane są tak szeroko, jak to konieczne.
5. Wybieraj świadomie sieci docelowe, hosty FQDN czy usługi internetowe.
6. Ogranicz usługi do wymaganych protokołów.
7. Wybierz profile bramy lub SD-WAN.
8. Sprawdź ścieżkę przełączania awaryjnego lub kopii zapasowej.
9. Zapisz regułę i umieść ją odpowiednio w kolejności.
10. Przeprowadź test ze zdefiniowanym klientem.

Dokładny interfejs może się nieznacznie różnić w zależności od wersji SFOS. Kluczowe pozostaje jednak to, że trasa musi odpowiadać pożądanemu przepływowi i nie może przypadkowo przejąć większego ruchu niż planowano.

## Wybierz profile bramy i SD-WAN

Trasy SD-WAN mogą wskazywać bezpośrednio do bram lub współpracować z profilami SD-WAN. To, które podejście jest właściwe, zależy od celu.

| podejście | Ma sens, jeśli |
| --- | --- |
| stała brama | Ruch powinien świadomie przepływać po linii |
| Brama z kopią zapasową | preferowana jest jedna linia, ale powinno być możliwe przełączanie awaryjne |
| Profile SD-WAN | wiele bramek można ocenić według wagi, SLA lub priorytetu |
| Interfejs XFRM lub ścieżka VPN | protokół IPsec oparty na trasach jest uwzględniany w routingu |

Jeśli masz wiele linii WAN, powinieneś także sprawdzić, czy monitorowanie bramy, kryteria przełączania awaryjnego i routing dostawców są realistyczne. Brama może być technicznie sprawna, nawet jeśli określona aplikacja docelowa nie działa poprawnie za pośrednictwem tego dostawcy.

## Sprawdź kolejność i pierwszeństwo tras

Trasy SD-WAN nie są samodzielne. W zależności od swojej konstrukcji konkurują z bezpośrednio połączonymi sieciami, trasami statycznymi, trasami VPN i globalnym pierwszeństwem tras.

Ważne pytania:

- Czy istnieje bardziej konkretna statyczna trasa do miejsca docelowego?
- Czy szersza trasa SD-WAN zmieści się wyżej?
- Czy SD-WAN należy oceniać przed czy po statycznym?
- Czy w grę wchodzi VPN IPsec oparty na zasadach lub na trasach?
- Czy trasa wpływa tylko na przesyłany ruch klientów, czy także na pakiety odpowiedzi i ruch generowany przez system?

Zapanował globalny porządek [Bezpiecznie zmieniaj priorytet trasy Sophos Firewall](/pl/kb/dostosowanie-priorytetu-routingu-w-sophos-firewall/) wyjaśnione. Nadaje się do specjalnych przypadków **Pakiety odpowiedzi** i **Ruch systemowy** [Sophos Firewall Sprawdź routing SD-WAN pod kątem pakietów odpowiedzi i ruchu systemowego](/pl/kb/sd-wan-routing-dla-reply-packets-i-system-traffic/).

## Nie zapomnij o NAT-ie

Routing decyduje o tym, dokąd zmierza pakiet. NAT decyduje o zmianie adresu źródłowego lub docelowego. Jedno i drugie musi do siebie pasować.

Typowe przykłady:

- Ruch internetowy w sieci WAN2 może wymagać protokołu MASQ lub stałego adresu IP SNAT w sieci WAN2.
- Dostawcy lub usługi w chmurze zezwalają tylko na określony publiczny adres IP.
- W przypadku sieci wewnętrznych lub VPN NAT jest często nieprawidłowy, ponieważ należy zachować prawdziwy źródłowy adres IP.
- Po przełączeniu awaryjnym publiczny źródłowy adres IP może się zmienić, a witryny zdalne mogą przerywać sesje.

Jeśli trasa SD-WAN działa poprawnie, ale aplikacja nadal nie działa, należy wcześniej sprawdzić NAT. Podstawy są w środku [Zrozumienie NAT w zaporze Sophos: SNAT, DNAT, MASQ, PAT](/pl/kb/sophos-firewall-nat-basics/).

## Testowanie i walidacja

Zielony status bramy nie oznacza, że ​​trasa SD-WAN obsługuje oczekiwany ruch. Test musi sprawdzić rzeczywisty przepływ.

Znaczący proces:

1. Użyj klienta testowego ze znanym adresem IP.
2. Określ dokładnie cel i usługę.
3. Włącz rejestrowanie reguł zapory sieciowej.
4. Rozpocznij połączenie.
5. W **Przeglądarce logów** sprawdź Źródło, Miejsce docelowe, Usługę, Identyfikator reguły, Identyfikator NAT i Bramę.
6. Sprawdź licznik wykorzystania trasy SD-WAN.
7. Jeśli nie jest jasne, użyj opcji **Diagnostyka > Przechwytywanie pakietów** z wąskim filtrem.
8. Test bramy podstawowej kończy się niepowodzeniem podczas sprawdzania pracy awaryjnej.
9. Po powrocie po awarii sprawdź, czy sesje i nowe połączenia działają zgodnie z oczekiwaniami.

Nadaje się do analizy przepływu pakietów [Testowanie reguł zapory sieciowej Sophos za pomocą przeglądarki logów, testowania zasad i przechwytywania pakietów](/pl/kb/testowanie-regul-sophos-firewall/). Ważne: Tester zasad nie zastępuje rzeczywistego testu przepływu pakietów dla SD-WAN.

## Typowe błędy

| Błąd | Efekt | Lepsze podejście |
| --- | --- | --- |
| Miejsce docelowe `Any` dla wygody | zbyt duży ruch jest przechwytywany przez SD-WAN | Węższy wybór sieci docelowych, hostów FQDN lub usług internetowych |
| Trasa SD-WAN jest zbyt wysoka | bardziej konkretna aplikacja lub trasa została zastąpiona | Sprawdź zamówienie i naciśnij licznik |
| NAT nie pasuje do bramy | Aplikacja widzi nieprawidłowy źródłowy adres IP lub przerwy w ścieżce zwrotnej | Sprawdź regułę NAT i MASQ/SNAT |
| Monitorowanie bramy jest zbyt zgrubne | Brama jest aktywna, chociaż nie można uzyskać dostępu do aplikacji docelowej | Wybierz cele SLA/monitorowania pasujące do usługi |
| Pierwszeństwo trasy zignorowane | Trasa statyczna lub trasa VPN działa inaczej niż oczekiwano | Pierwszeństwo dokumentu i trasy testowej |
| Ruch w odpowiedzi został błędnie sklasyfikowany | Odpowiedzi nie idą oczekiwaną ścieżką | Sprawdź opcję przechwytywania pakietów i odpowiadania na pakiety |
| wiele zmian jednocześnie | Przyczyna pozostaje niejasna zmiana, test, potem dalej |

## Rozwiązywanie problemów

Jeśli trasa SD-WAN nie działa zgodnie z oczekiwaniami, nie należy od razu „rozwiązywać” błędu za pomocą szerszych zasad. Lepsze jest jasne rozgraniczenie.

Sprawdzać:

1. Czy pakiet w ogóle dociera do zapory sieciowej?
2. Czy spełnia oczekiwaną regułę zapory sieciowej?
3. Czy trasa SD-WAN jest zgodna z licznikiem?
4. Czy inna trasa SD-WAN wyżej jest bardziej szczegółowa lub szersza?
5. Czy usługa rzeczywiście pasuje, na przykład TCP/UDP i port?
6. Czy używany jest NAT i czy jest to pożądane?
7. Czy pakiet opuszcza zaporę sieciową przez oczekiwaną bramę?
8. Czy odpowiedź powróci?
9. Czy istnieje trasa statyczna, trasa VPN lub pierwszeństwo trasy, które wpływają na ścieżkę?

Jeśli Packet Capture w ogóle nie widzi pakietu, problem leży w zaporze sieciowej: bramie klienta, sieci VLAN, przełączniku, routingu lokalnym lub nieprawidłowym teście. Jeśli pakiet dotrze, ale przejdzie niewłaściwą ścieżką, następnymi punktami kontrolnymi będą kryteria SD-WAN, kolejność, NAT i pierwszeństwo trasy.

## Kontrola operacyjna

Trasy SD-WAN powinny być udokumentowane i regularnie sprawdzane po wprowadzeniu. Jest to szczególnie ważne w przypadku zmiany dostawcy, nowych VPN, dodatkowych linii WAN lub zmian w usługach chmurowych.

Powinieneś udokumentować:

- Cel trasy
- Kryteria źródła i przeznaczenia
- Usługi
- Profile bramy lub SD-WAN
- oczekiwanie na NAT
- Zachowanie w trybie awaryjnym
- Klient testowy i cel testowy
- Właściciel i data przeglądu

W przypadku aplikacji o znaczeniu krytycznym powinno być również jasne, kto musi reagować w przypadku zakłóceń dostawcy, problemów z przełączaniem awaryjnym lub zmiany publicznych adresów IP.

## Lista kontrolna

- Cel ruchu i cel wyszukiwania trasy są jasno opisane.
- Źródło, miejsce docelowe i usługi nie są określone niepotrzebnie szeroko.
- Profile bramy lub SD-WAN wybrane celowo.
- Reguła zapory sieciowej i reguła NAT odpowiadają trasie.
- Sprawdzono pierwszeństwo trasy.
- Pakiety odpowiedzi i ruch generowany przez system są uwzględniane tylko wtedy, gdy jest to konieczne.
- Przeglądarka dziennika i przechwytywanie pakietów używane do akceptacji.
- Testowane przełączanie awaryjne i powrót po awarii, gdy jest to część projektu.
- Trasa udokumentowana i udostępniona właścicielowi.

## Często zadawane pytania








  
Kiedy potrzebujesz trasy SD-WAN w zaporze Sophos?

  

    Trasa SD-WAN ma sens, gdy określony ruch powinien przepływać określoną ścieżką w zależności od źródła, miejsca docelowego, usługi, użytkownika lub bramy. W przypadku prostej sieci docelowej często wystarczająca może być trasa statyczna.
  












  
Dlaczego moja trasa SD-WAN nie działa?

  

    Często źródło, miejsce docelowe, usługa, kolejność lub pierwszeństwo trasy nie są zgodne. Dodatkowo reguła zapory sieciowej, reguła NAT lub trasa statyczna mogą mieć wpływ na rzeczywisty przepływ pakietów.
  












  
Czy można używać SD-WAN z protokołem IPsec opartym na trasach?

  

    Tak, protokół IPsec oparty na trasach można zintegrować z projektami SD-WAN z interfejsami XFRM i odpowiednimi trasami. Następnie należy sprawdzić łącznie status protokołu IPsec, trasę SD-WAN, pierwszeństwo trasy, NAT i reguły zapory sieciowej.
  












  
Czy zawsze należy ustawić opcję Miejsce docelowe na Dowolny?

  

    Nie. Any ma sens tylko wtedy, gdy trasa naprawdę ma sterować całym ruchem docelowym z tego źródła. Dla usług cloud, VoIP, sieci wewnętrznych lub VPN węższe cele są zwykle bezpieczniejsze i łatwiejsze w utrzymaniu.
  












  
Czy Tester zasad jest wystarczający do testowania SD-WAN?

  

    Nie. Tester zasad pomaga w logice polityki, ale nie zastępuje prawdziwego testu przepływu pakietów. W przypadku SD-WAN powinieneś użyć przeglądarki logów, licznika trafień i przechwytywania pakietów.