Sophos Firewall - SD-WAN Routing Reply-Packet & System Traffic
I administrationen av Sophos Firewall finns flera sätt att styra och routa trafik effektivt. En viktig komponent är Software-Defined WAN (SD-WAN). SD-WAN gör nätverksinfrastrukturen smartare genom ett extra mjukvarulager, särskilt när trafik mellan olika nätverk och över flera WAN-anslutningar ska styras.
För optimal funktion kan det ibland vara nödvändigt att aktivera SD-WAN-inställningar manuellt via kommandoraden (CLI), eftersom vissa av dem kan vara avstängda. Den här artikeln ger en översikt över två specifika SD-WAN-inställningar som kan justeras via SSH: reply-packet och system-generate-traffic. Inställningarna är särskilt relevanta om du märker att viss routing inte fungerar som förväntat.
Aktivera Reply-Packet
Reply packets är svarspaket som hör till utgående trafik. Som standard tvingar Sophos Firewall symmetrisk routing för svarspaket över WAN-gränssnitt. Det finns dock situationer där asymmetrisk routing behövs, till exempel för trafik mellan LAN och DMZ.
Så kontrollerar du aktuell inställning
show routing sd-wan-policy-route reply-packet
Så aktiverar du reply-packet
set routing sd-wan-policy-route reply-packet enable
När alternativet är aktiverat kan svarspaket skickas via ett annat gränssnitt än det som ursprungligen användes. Det kan vara användbart i specifika nätverksscenarier.
Aktivera System-Generate-Traffic
System-generated traffic är trafik som Sophos Firewall själv genererar, till exempel för management-tjänster eller övervakningsprotokoll. I vissa scenarier behöver den här trafiken ledas via en specifik route i stället för standardrouten.
Så kontrollerar du aktuell inställning
show routing sd-wan-policy-route system-generate-traffic
Så aktiverar du system-generate-traffic
set routing sd-wan-policy-route system-generate-traffic enable
När alternativet aktiveras säkerställs att systemgenererad trafik routas korrekt via SD-WAN-policyer, vilket är särskilt värdefullt i mer komplexa nätverksmiljöer.
När behövs de här ändringarna?
Det kan hända att vissa nätverkskrav inte längre uppfylls när firewallens standardrouting inte räcker. Det kan till exempel ske när:
- Svarspaket felaktigt routas via fel gränssnitt.
- Systemgenererad trafik inte leds genom nätverket som förväntat.
I sådana fall är det klokt att kontrollera inställningarna ovan via CLI och vid behov aktivera dem. Det ger mer exakt kontroll över nätverksroutingen och hjälper till att undvika potentiella nätverksproblem.
Genom att aktivera funktionerna manuellt kan du säkerställa att nätverket fungerar effektivare och stabilare, särskilt i komplexa miljöer där specifika routes krävs.
Slutsats
Att justera SD-WAN-inställningar via CLI är ett värdefullt verktyg för att styra nätverkstrafik optimalt i Sophos Firewall. Genom att aktivera alternativen reply-packet och system-generate-traffic kan du säkerställa att specifika nätverkskrav uppfylls och att routingen fungerar effektivt och tillförlitligt.
Obs: Ändringarna bör endast göras av erfarna administratörer som förstår effekterna på hela nätverket.
Mer information
Detaljerad information och fler konfigurationsalternativ för SD-WAN Policy Routing på Sophos Firewall finns i följande dokumentation:
SD-WAN Policy Routing Behavior: En omfattande översikt över hur SD-WAN-routes beter sig, inklusive detaljer om systemgenererad trafik och svarspaket. Sophos Knowledge Base om SD-WAN Policy Routing Behavior.
SD-WAN Policy Routing: Artikeln beskriver grundläggande konfiguration och hantering av SD-WAN-routes. Passar för en djupare förståelse av funktion och konfigurationsmöjligheter. Sophos Knowledge Base om SD-WAN Policy Routing.