Saltar para o conteudo
Avanet

Sophos Firewall - SD-WAN Routing Reply-Packet e System Traffic

Sophos Firewall

Na administração de Sophos Firewalls existem várias opções para controlar e encaminhar o tráfego de forma eficiente. Um componente importante é o Software-Defined WAN (SD-WAN). O SD-WAN permite tornar as infraestruturas de rede mais inteligentes através de uma camada adicional de software, sobretudo ao controlar tráfego entre redes diferentes e através de várias ligações WAN.

Para uma funcionalidade ideal, pode ser necessário ativar manualmente definições de SD-WAN através da linha de comandos (CLI), porque algumas destas opções podem estar desativadas. Este artigo apresenta duas definições específicas de SD-WAN que podem ser ajustadas por SSH: reply-packet e system-generate-traffic. Estas definições são especialmente relevantes quando se verifica que determinados routings de tráfego não funcionam como esperado.

Ativar Reply-Packet

Reply Packets são os pacotes de resposta pertencentes a tráfego de saída. Por predefinição, a Sophos Firewall força routing simétrico para pacotes de resposta através das interfaces WAN. No entanto, podem existir situações em que seja necessário routing assimétrico, por exemplo para tráfego entre LAN e DMZ.

Como verificar a definição atual

show routing sd-wan-policy-route reply-packet

Como ativar a opção Reply-Packet

set routing sd-wan-policy-route reply-packet enable

Quando esta opção está ativa, os pacotes de resposta podem ser enviados por uma interface diferente da usada originalmente, o que pode ser útil em determinados cenários de rede.

Ativar System-Generate-Traffic

System-generated traffic refere-se ao tráfego gerado pela própria Sophos Firewall, por exemplo para serviços de gestão ou protocolos de monitorização. Em determinados cenários, pode ser necessário encaminhar este tráfego por uma rota específica em vez de usar a rota predefinida.

Como verificar a definição atual

show routing sd-wan-policy-route system-generate-traffic

Como ativar a opção System-Generate-Traffic

set routing sd-wan-policy-route system-generate-traffic enable

Ao ativar esta opção, garante-se que o tráfego gerado pelo sistema é encaminhado corretamente pelas SD-WAN Policies, o que é particularmente vantajoso em infraestruturas de rede complexas.

Quando são necessários estes ajustes?

Pode acontecer que determinados requisitos de rede deixem de ser cumpridos quando as definições standard de routing da firewall não são suficientes. Isto pode ocorrer, por exemplo, quando:

  • Pacotes de resposta são encaminhados incorretamente pela interface errada.
  • Tráfego gerado pelo sistema não é encaminhado pela rede como esperado.

Nesses casos, faz sentido verificar as definições acima através da CLI e ativá-las se necessário. Isto garante controlo preciso e ajuste das rotas de rede, ajudando a evitar potenciais problemas de rede.

Ao ativar manualmente estas funções, pode garantir que a rede funciona de forma mais eficiente e estável, sobretudo em ambientes mais complexos onde são necessárias rotas específicas.

Conclusão

O ajuste das definições SD-WAN através da CLI é uma ferramenta valiosa para controlar de forma ideal o tráfego de rede dentro da Sophos Firewall. Ao ativar as opções reply-packet e system-generate-traffic, garante que requisitos específicos de rede são cumpridos e que o routing funciona de forma eficiente e fiável.

Nota: Estas alterações devem ser realizadas apenas por administradores experientes que compreendam o impacto sobre toda a rede.

Informações adicionais

Informações detalhadas e outras opções de configuração para SD-WAN Policy Routing na Sophos Firewall estão disponíveis na documentação seguinte: