Sophos Firewall - SD-WAN Routing Reply-Packet i System Traffic
W administracji Sophos Firewall istnieje kilka sposobów na sprawne sterowanie ruchem sieciowym i trasowanie go przez właściwe łącza. Jednym z ważnych mechanizmów jest Software-Defined WAN (SD-WAN). SD-WAN pozwala inteligentniej zarządzać infrastrukturą sieciową, zwłaszcza wtedy, gdy ruch przechodzi między różnymi sieciami lub przez kilka połączeń WAN.
W niektórych środowiskach trzeba ręcznie aktywować wybrane ustawienia SD-WAN przez wiersz poleceń, ponieważ nie zawsze są one domyślnie włączone. Ten artykuł omawia dwie opcje konfigurowane przez SSH: reply-packet oraz system-generate-traffic. Są one szczególnie istotne, gdy konkretne scenariusze routingu nie działają tak, jak oczekiwano.
Aktywacja Reply-Packet
Reply packets to pakiety odpowiedzi należące do wcześniej zainicjowanego ruchu wychodzącego. Domyślnie Sophos Firewall wymusza symetryczne trasowanie pakietów odpowiedzi przez interfejsy WAN. Są jednak sytuacje, w których wymagany jest routing asymetryczny, na przykład dla ruchu między LAN i DMZ.
Sprawdzenie aktualnego ustawienia
show routing sd-wan-policy-route reply-packet
Włączenie opcji Reply-Packet
set routing sd-wan-policy-route reply-packet enable
Po włączeniu tej opcji pakiety odpowiedzi mogą być wysyłane przez inny interfejs niż ten, który został użyty pierwotnie. W określonych scenariuszach sieciowych może to rozwiązać problemy z trasowaniem.
Aktywacja System-Generate-Traffic
System-generated traffic oznacza ruch generowany przez samą Sophos Firewall, na przykład dla usług administracyjnych, monitoringu lub protokołów systemowych. W określonych przypadkach taki ruch musi przechodzić przez konkretną trasę zamiast przez domyślną bramę.
Sprawdzenie aktualnego ustawienia
show routing sd-wan-policy-route system-generate-traffic
Włączenie opcji System-Generate-Traffic
set routing sd-wan-policy-route system-generate-traffic enable
Włączenie tej opcji sprawia, że ruch generowany przez system jest prawidłowo obsługiwany przez polityki SD-WAN. Jest to szczególnie przydatne w bardziej złożonych infrastrukturach sieciowych.
Kiedy te zmiany są potrzebne?
Może się zdarzyć, że domyślne ustawienia routingu Sophos Firewall nie wystarczą do spełnienia wymagań danej sieci. Dotyczy to na przykład sytuacji, gdy:
- pakiety odpowiedzi są kierowane przez niewłaściwy interfejs;
- ruch generowany przez system nie przechodzi przez oczekiwaną trasę.
W takich przypadkach warto sprawdzić opisane wyżej ustawienia w CLI i w razie potrzeby je aktywować. Pozwala to dokładniej kontrolować trasy sieciowe i ograniczyć ryzyko problemów z komunikacją.
Ręczne włączenie tych funkcji pomaga utrzymać stabilniejsze i bardziej przewidywalne działanie sieci, szczególnie w środowiskach, w których wymagane są konkretne ścieżki routingu.
Podsumowanie
Dostosowanie ustawień SD-WAN przez CLI jest przydatnym narzędziem do precyzyjnego sterowania ruchem w Sophos Firewall. Włączenie opcji reply-packet oraz system-generate-traffic pomaga spełnić specyficzne wymagania routingu i zapewnić niezawodne działanie polityk SD-WAN.
Uwaga: Te zmiany powinny być wykonywane wyłącznie przez doświadczonych administratorów, którzy rozumieją ich wpływ na całą sieć.
Dodatkowe informacje
Szczegółowe informacje oraz dodatkowe opcje konfiguracji SD-WAN Policy Routing w Sophos Firewall znajdują się w dokumentacji Sophos:
Zachowanie SD-WAN Policy Routing: przegląd działania tras SD-WAN, w tym szczegóły dotyczące ruchu generowanego przez system i pakietów odpowiedzi. Sophos Knowledge Base: SD-WAN Policy Routing behavior.
SD-WAN Policy Routing: opis podstawowej konfiguracji i zarządzania trasami SD-WAN. Sophos Knowledge Base: SD-WAN Policy Routing.