SD-WAN konfigurieren

Gilt für: Cloud-verwaltete Fireboxen Dieses Thema gilt für Fireboxen, die Sie in WatchGuard Cloud konfigurieren.

Software-Defined WAN (SD-WAN) ist eine softwarebasierte Routing-Lösung, mit der Sie den Datenverkehr auf der Grundlage von Firewall-Regeln zwischen Netzwerken oder auf ein bestimmtes Netzwerk verteilen können. Eine SD-WAN-Aktion kann externe Netzwerke, Mobilfunkschnittstellen, interne Netzwerke und Gastnetzwerke mit aktiviertem Link Monitoring sowie BOVPNs umfassen.

Sie können eine SD-WAN-Aktion so konfigurieren, dass sie entweder die Failover- oder die Round-Robin-Methode nutzt. Informationen zu SD-WAN-Methoden finden Sie unter Über SD-WAN-Methoden.

Wenn Sie auf Messungen basierendes SD-WAN-Routing konfigurieren, verwendet die Firebox Performance-Daten, um Routing-Entscheidungen zu treffen. Sie können zum Beispiel Schwellen für Verlust, Latenz und Jitter festlegen, sodass der Datenverkehr per Failover zu einer anderen Verbindung übergeben wird, wenn die Performance nicht ideal ist.

Sie können SD-WAN nutzen, um die Vügbarkeit und Performance von Anwendungen zu verbessern und um verschiedene Verbindungstypen besser zu nutzen. Beispielsweise können Sie mit SD-WAN Folgendes tun:

• Latenz-empfindlichen Datenverkehr mit hoher Priorität, z. B. VoIP und Videokonferenzen, über höherwertige, teurere WAN-Verbindungen senden
• Datenverkehr mit niedrigerer Priorität über kostengünstigere WAN-Verbindungen senden
• Schwellen für Verlust, Latenz und Jitter festlegen, sodass Verbindungen per Failover an eine andere Verbindung übergeben werden, wenn die Performance nicht ideal ist.

So konfigurieren Sie SD-WAN für eine Cloud-verwaltete Firebox:

• Link Monitoring konfigurieren (empfohlen für externe Netzwerke, erforderlich für interne und Gastnetzwerke)
• Virtuelle BOVPN-IP-Adressen konfigurieren
• SD-WAN-Aktion hinzufügen
• SD-WAN in einer Firewall-Regel aktivieren

Konfigurieren von Link Monitoring

Bevor Sie ein internes Netzwerk oder ein Gastnetzwerk zu einer SD-WAN-Aktion hinzufügen können, müssen Sie Link Monitoring in den Einstellungen des Netzwerks aktivieren. Sie müssen Link Monitoring auch für ein externes Netzwerk aktivieren, wenn Sie ein auf Messungen basierendes Failover oder Lastausgleich verwenden möchten.

Ein Link Monitoring-Ziel ist außerhalb Ihrer Netzwerkgrenzen gehostet. Die Firebox sendet Ping-, TCP- oder DNS-Probes (Prüfobjekte) an Ziele, um deren Konnektivität zu prüfen. Die Firebox kann die Diagnoseergebnisse auch für die Verifizierung der Performance nutzen, falls Sie die Messung von Verlust, Latenz und Jitter gewählt haben.

Wenn Ihre Firebox messbasiertes SD-WAN-Routing verwendet, trifft sie Routing-Entscheidungen auf der Grundlage von Verlust-, Latenz- und Jitter-Berechnungen aus der Link Monitoring-Diagnose. Wenn beispielsweise die Verlustrate den von Ihnen in der SD-WAN-Aktion angegeben Wert überschreitet, kann die Firebox Verbindungen per Failover an eine andere in der SD-WAN-Aktion enthaltene Schnittstelle übergeben. Um messbasiertes SD-WAN-Routing konfigurieren zu können, muss bei allen Schnittstellen in der SD-WAN-Aktion mindestens ein Link Monitoring-Ziel konfiguriert sein.

Falls Sie in der SD-WAN-Konfiguration keine Messwerte angeben, entscheidet die Firebox über das SD-WAN-Routing ausschließlich auf Grundlage der Konnektivität. Falls beispielsweise ein Link Monitoring-Ziel nach einer bestimmten Anzahl von Versuchen nicht antwortet, betrachtet die Firebox die Schnittstelle als inaktiv. Falls Sie die SD-WAN-Methode Failover gewählt haben, übergibt die Firebox die Verbindungen an eine andere Schnittstelle, die in der SD-WAN-Aktion enthalten ist. Falls Sie die SD-WAN-Methode Round-Robin gewählt haben, entfernt die Firebox die Schnittstelle aus der Pfadauswahl, bis die Schnittstelle wieder aktiv ist.

Informationen zum Aktivieren von Netzwerk Link Monitoring für eine Cloud-verwaltete Firebox finden Sie unter Konfigurieren von Link Monitoring im Firebox-Netzwerk.

Informationen zur Berechnung von Verlust, Latenz und Jitter finden Sie unter SD-WAN-Daten interpretieren.

Virtuelle BOVPN-IP-Adressen konfigurieren

Bevor Sie ein BOVPN zu einer SD-WAN-Aktion hinzufügen können, müssen Sie das BOVPN mit /32 virtuellen IP-Adressen für beide Endpoints konfigurieren. BOVPN Link Monitoring ist implizit aktiviert, wenn Sie /32 Host-IP-Adressen als virtuelle IP-Adressen beider Endpoints konfigurieren. Ein BOVPN, bei dem das Link Monitoring nicht aktiviert ist (keine gültigen /32 virtuellen IP-Adressen für beide Endpoints), ist für die Auswahl in einer SD-WAN-Aktion nicht verfügbar.

Informationen zum Konfigurieren der virtuellen IP-Adressen für ein BOVPN finden Sie unter:

• BOVPN zwischen Cloud-verwalteten Fireboxen konfigurieren
• Konfigurieren Sie ein BOVPN für eine lokal verwaltete Firebox oder einen Drittanbieter-VPN-Endpoint

SD-WAN-Aktion hinzufügen

Sie können eine oder mehrere SD-WAN-Aktionen zu Ihrer Konfiguration hinzufügen.

• SD-WAN-Aktionen gelten für neue Verbindungen, die Datenverkehr initiieren.
• SD-WAN-Aktionen gelten nur für ausgehenden Datenverkehr, der aus einer Quelle hinter der Firebox kommt.
• SD-WAN-Aktionen gelten nicht für Antworten auf eingehenden Datenverkehr. Sie können SD-WAN-Aktionen nicht verwenden, um Antwortdatenverkehr über eine bestimmte Schnittstelle zu erzwingen.
• SD-WAN-Aktionen gelten nur für den Datenverkehr, der der SD-WAN-Aktion entspricht.
• Sie können eine unbegrenzte Anzahl von SD-WAN-Aktionen hinzufügen und Sie können dieselbe SD-WAN-Aktion in mehreren Regeln nutzen.

Sie müssen in den Einstellungen der SD-WAN-Aktion die Methode (Failover oder Round-Robin) festlegen und angeben, ob messwertbasiertes Failover verwendet werden soll. Wenn Sie die Failover-Methode auswählen, müssen Sie auch eine Failback-Option auswählen. Weitere Informationen zu SD-WAN-Methoden finden Sie unter Über SD-WAN-Methoden.

Die Bereitstellung von Konfiguration mit einer oder mehreren SD-WAN-Round-Robin-Aktionen ist ab Geräte-Firmware v12.8 möglich. Wenn Ihr Gerät mit einer niedrigeren Firmware-Version arbeitet, müssen Sie einen der folgenden Schritte ausführen, bevor Sie diese Konfiguration bereitstellen können: Upgraden Sie die Geräte-Firmware auf Version v12.8 oder höher, ändern Sie alle SD-WAN-Aktionen so, dass die Failover-Methode verwendet wird, oder löschen Sie alle SD-WAN-Aktionen, die die Round-Robin-Methode verwenden. Wenn Ihr Gerätemodell keine Firmware ab v12.8 unterstützt, ändern Sie alle SD-WAN-Aktionen auf die Verwendung der Failover-Methode oder löschen Sie alle SD-WAN-Aktionen, die die Round-Robin-Methode nutzen.

Konfigurieren einer SD-WAN-Aktion in WatchGuard Cloud:

1. Wählen Sie Konfigurieren > Geräte.
2. Wählen Sie die Cloud-verwaltete Firebox aus.
3. Klicken Sie auf Gerätekonfiguration.
4. Klicken Sie auf die Kachel Netzwerke.
   Die Konfigurationsseite Netzwerke wird geöffnet.
5. Klicken Sie im Abschnitt WAN-Einstellungen auf SD-WAN hinzufügen.
   Die Seite SD-WAN hinzufügen wird geöffnet.

6. Geben Sie im Textfeld Name einen Namen für dieses SD-WAN-Aktion ein.
7. Wählen Sie aus der Dropdown-Liste Methode die Option Failover oder Round-Robin.
8. Falls Sie Failover gewählt haben, wählen Sie eine der folgenden Optionen aus der Dropdown-Liste Failback:
   • Sofort — Aktive und neue Verbindungen verwenden das Failback-(Original-)Netzwerk. Dies ist die Standardeinstellung.
   • Schrittweise — Aktive Verbindungen verwenden weiterhin die Failover-Schnittstelle. Neue Verbindungen nutzen das Failback-(Original)-Netzwerk.
   • Kein Failback — Aktive und neue Verbindungen verwenden weiterhin die Failover-Schnittstelle. Wählen Sie diese Option, wenn Sie sich vergewissern möchten, dass ein Problem behoben ist, bevor Sie zur ursprünglichen WAN-Verbindung zurückkehren.
     
9. Um Netzwerke oder VPNs zur SD-WAN-Aktion hinzuzufügen, klicken Sie auf Netzwerk/VPN auswählen.
   Eine Liste der Netzwerke wird geöffnet. In der Liste sind alle externen Netzwerke, Mobilfunkschnittstellen, BOVPNs und internen Netzwerke mit aktiviertem Link Monitoring aufgeführt.

10. Aktivieren Sie das Kontrollkästchen für jedes Netzwerk, das Sie zu dieser SD-WAN-Aktion hinzufügen möchten.
11. Klicken Sie auf Schließen.
12. Um Messungen für die Entscheidung zu nutzen, wann bei einem Netzwerk ein Failover oder Failback erfolgt, haben Sie folgende Möglichkeiten:
    • Falls Sie die Methode Failover gewählt haben, wählen Sie Auf Messung basierendes Failover benutzen.

    

    • Falls Sie die Methode Round-Robin ausgewählt haben, wählen Sie Auf Messung basierende Teilnahme nutzen.

    

13. Falls Sie Messwerte verwenden möchten, behalten Sie die Standardwerte für Latenz, Verlust und Jitter bei oder bearbeiten Sie diese.
14. Klicken Sie auf Speichern, um Konfigurationsänderungen in der Cloud zu speichern.

SD-WAN in einer Firewall-Regel aktivieren

Nachdem Sie die SD-WAN-Aktion hinzugefügt haben, können Sie eine Firewall-Regel konfigurieren, um sie zu verwenden. Wenn Sie eine SD-WAN-Aktion in einer Regel verwenden, haben die Einstellungen der SD-WAN-Aktion Vorrang vor den globalen WAN-Einstellungen.

SD-WAN-Aktionen gelten für neue Verbindungen, die Datenverkehr initiieren. SD-WAN-Aktionen gelten nicht für den Antwortdatenverkehr. Sie können SD-WAN-Aktionen nicht verwenden, um Antwortdatenverkehr über eine bestimmte Schnittstelle zu erzwingen. SD-WAN-Aktionen gelten nur für den Datenverkehr, der der SD-WAN-Aktion entspricht.

Um SD-WAN in einer Firewall-Regel zu aktivieren, von WatchGuard Cloud:

1. Wählen Sie Konfigurieren > Geräte.
2. Wählen Sie die Cloud-verwaltete Firebox aus.
3. Klicken Sie auf Gerätekonfiguration.
4. Klicken Sie auf die Kachel Firewall-Regeln.
   Die Liste der Firewall-Regeln wird geöffnet.
5. Hinzufügen oder Bearbeiten einer Firewall-Regel.
6. Klicken Sie im Abschnitt SD-WAN der Regel auf den Schalter SD-WAN aktivieren.

7. Wählen Sie aus der Dropdown-Liste die SD-WAN-Aktion aus, die für Datenverkehr verwendet werden soll, der dieser Regel entspricht.
8. Klicken Sie auf Speichern, um Konfigurationsänderungen in der Cloud zu speichern.

Weitere Informationen zur Regelkonfiguration finden Sie unter Firewall-Regeln in WatchGuard Cloud konfigurieren.

SD-WAN-Datenverkehr überwachen

Sie können Live-Informationen über den SD-WAN-Datenverkehr auf der Seite Live Status > Netzwerk anzeigen. Weitere Informationen finden Sie unter Netzwerke auf Fireboxen und FireClustern überwachen.

Ähnliche Themen

Über SD-WAN-Methoden

SD-WAN-Details

Über Firebox-Netzwerkeinstellungen