Über SD-WAN-Methoden

Gilt für: Cloud-verwaltete Fireboxen Dieses Thema gilt für Fireboxen, die Sie in WatchGuard Cloud konfigurieren.

In diesem Thema werden die von WatchGuard Cloud unterstützten SD-WAN-Methoden erläutert:

• Failover
• Round-Robin (erfordert Firmware v12.8 oder höher)

Informationen zum Konfigurieren von SD-WAN in WatchGuard Cloud finden Sie unter SD-WAN konfigurieren.

Failover

Sie können eine SD-WAN-Aktion so konfigurieren, dass sie die Failover-Methode nutzt. In den folgenden Fällen übergibt die Firebox die Verbindungen per Failover zu einer anderen Schnittstelle:

• Die aktuelle Schnittstelle ist inaktiv (ausgefallen).
• Die aktuelle Schnittstelle überschreitet die von Ihnen vorgegebenen Messwerte.

Wenn Sie beispielsweise Auf Messung basierendes Failover benutzen auswählen, betragen die Standardwerte für Latenz 400 ms, für die Verlustrate 5 % und für Jitter 100 ms. Falls die Firebox erkennt, dass die Latenz auf 401 ms gestiegen ist, erfolgt ein Failover der Schnittstelle, selbst wenn Verlustrate und Jitter die vorgegebenen Werte nicht überschreiten.

Falls Sie nicht Auf Messung basierendes Failover benutzen wählen, erfolgt ein Failover der Verbindungen nur dann, wenn die Schnittstelle inaktiv (ausgefallen) ist. Die Firebox sieht die Schnittstelle aufgrund eines physischen Verbindungsabbruchs oder fehlgeschlagener Link Monitoring Diagnose als inaktiv an.

Failback

Wenn bei einer Schnittstelle ein Failover eintritt, aber sie sich später erholt, können Sie steuern, ob aktive und neue Verbindungen per Failback an die ursprüngliche Schnittstelle zurückfallen und ob sie sofort oder schrittweise zurückfallen. Sie können die folgenden Optionen vorgeben:

• Sofortiges Failback — Aktive und neue Verbindungen verwenden die Failback-(Original-)Schnittstelle. Dies ist die Standardeinstellung.
• Schrittweises Failback — Aktive Verbindungen verwenden weiterhin die Failover-Schnittstelle. Neue Verbindungen nutzen die Failback-(Original)-Schnittstelle.
• Kein Failback — Aktive und neue Verbindungen verwenden weiterhin die Failover-Schnittstelle. Wählen Sie diese Option, wenn Sie sich vergewissern möchten, dass ein Problem behoben ist, bevor Sie zur ursprünglichen WAN-Verbindung zurückkehren.

Beispiel

In diesem Beispiel nutzt die SD-WAN-Aktion die Methode Failover und auf Messung basierendes Failover.

Round-Robin

Sie können eine SD-WAN-Aktion so konfigurieren, dass sie die Round-Robin-Methode nutzt. Round-Robin ist eine Lastausgleichsmethode, die ausgehenden Datenverkehr basierend auf Gewichtung und anderen Faktoren zwischen verschiedenen Schnittstellen aufteilt.

Sie können SD-WAN-Round-Robin für Folgendes nutzen:

• Verteilung der Datenverkehrslast über mehrere ISPs oder Leitungen.
• Um den Gesamtnutzen aller ISP-Verbindungen zu erhalten, für die Ihr Unternehmen angemeldet ist. Beispielsweise können Sie eine sekundäre Verbindung nicht nur für die Redundanz nutzen.

Die Firebox berücksichtigt für Datenverkehr, der der SD-WAN-Aktion entspricht, die folgenden Faktoren, um die Ausgangsschnittstelle zu bestimmen:

• Gewichtung — Ein Gewichtungswert, den Sie jeder Schnittstelle in einer SD-WAN-Aktion zuweisen.
• 3-Tupel — Quell-IP-Adresse, Ziel-IP-Adresse und Protokoll für Pakete, die von einer SD-WAN-Aktion gehandhabt werden
• Kennzahlen — Verlustrate, Latenz und Jitter für jede Schnittstelle in einer SD-WAN-Aktion

Die Bereitstellung von Konfiguration mit einer oder mehreren SD-WAN-Round-Robin-Aktionen ist ab Geräte-Firmware v12.8 möglich. Wenn Ihr Gerät mit einer niedrigeren Firmware-Version arbeitet, müssen Sie einen der folgenden Schritte ausführen, bevor Sie diese Konfiguration bereitstellen können: Upgraden Sie die Geräte-Firmware auf Version v12.8 oder höher, ändern Sie alle SD-WAN-Aktionen so, dass die Failover-Methode verwendet wird, oder löschen Sie alle SD-WAN-Aktionen, die die Round-Robin-Methode verwenden. Wenn Ihr Gerätemodell keine Firmware ab v12.8 unterstützt, ändern Sie alle SD-WAN-Aktionen auf die Verwendung der Failover-Methode oder löschen Sie alle SD-WAN-Aktionen, die die Round-Robin-Methode nutzen.

Gewichtung

Bei einer SD-WAN-Aktion können Sie den Wert der Gewichtung für jede Schnittstelle bearbeiten. Gewichtung bezieht sich auf den Anteil der Datenverkehrslast, den die Firebox durch eine Schnittstelle sendet. Wenn Sie eine SD-WAN-Aktion konfigurieren, die zwei WAN-Verbindungen mit ungleicher Kapazität beinhaltet, könnten Sie sich dazu entscheiden, Schnittstellengewichtungen vorzugeben, die proportional zur Kapazität sind. Die Schnittstelle mit der höheren Gewichtung handhabt mehr Datenverkehr. Die Standard-Schnittstellengewichtung ist 1.

Sie konfigurieren zum Beispiel eine SD-WAN-Aktion mit den beiden Netzwerken External-1 und External-2. Die External-1-Verbindung hat mehr Kapazität als External-2. In den SD-WAN-Aktion-Einstellungen weisen Sie External-1 eine Gewichtung von 6 und External-2 eine Gewichtung von 4 zu. Wenn 10 Verbindungen den Bedingungen der SD-WAN-Aktion entsprechen, handhabt External-1 6 dieser Verbindungen. External-2 handhabt 4 Verbindungen.

Auf der Seite Live Status > Netzwerk können Sie auf der Registerkarte SD-WAN den jeweiligen Anteil der Verbindungen sehen, die von jedem Netzwerk oder VPN in der SD-WAN-Aktion gehandhabt werden. Wenn eine SD-WAN-Aktion eine große Anzahl (Hunderte oder Tausende) von Verbindungen handhabt, entspricht der Prozentsatz für den Lastausgleich eher dem von Ihnen angegebenen Gewichtungsverhältnis.

Bei einer SD-WAN-Aktion ohne Datenverkehr ist die Auslastung 0 % für jede Schnittstelle. Der Prozentsatz wird nach jeder Statusänderung der Schnittstelle zurückgesetzt.

Weitere Informationen zur SD-WAN-Überwachung finden Sie unter Netzwerke auf Fireboxen und FireClustern überwachen und SD-WAN-Details.

Gewichtungen berechnen

Für die Gewichte der Schnittstellen können Sie nur ganze Zahlen verwenden; Brüche und Dezimalzahlen sind nicht erlaubt. Für einen optimalen Lastausgleich müssen Sie eventuell eine Berechnung durchführen, um die ganzzahlige Gewichtung zu ermitteln, die den einzelnen Schnittstellen zugewiesen werden sollte. Wählen Sie einen gemeinsamen Multiplikator, damit das relative Verhältnis der von jeder externen Verbindung bereitgestellten Bandbreite auf ganze Zahlen aufgelöst wird.

Angenommen Sie haben beispielsweise drei Internetverbindungen. Ein Internetdienstanbieter (ISP) bietet Ihnen 6 Mbit/s, ein anderer ISP 1,5 Mbit/s und ein dritter 768 Kbps. Wandeln Sie das Verhältnis in ganze Zahlen um:

• Wandeln Sie zuerst die 768 Kbps in rund 0,75 Mbps um, damit Sie für alle drei Leitungen die gleiche Maßeinheit verwenden. Ihre drei Leitungen sind für 6, 1,5 und 0,75 Mbit/s ausgelegt.
• Multiplizieren Sie jeden dieser Werte mit 100, um die Nachkommastellen zu entfernen. Die Zahlenverhältnisse ändern sich dadurch nicht, denn [6 : 1,5 : 0,75] ist das Gleiche wie [600 : 150: 75]
• Finden Sie nun den größten gemeinsamen Teiler dieser drei Zahlen. In diesem Fall ist 75 die größte Zahl, durch die die drei Zahlen (600, 150 und 75) ohne Rest geteilt werden können.
• Teilen Sie also jede der Zahlen durch den größten gemeinsamen Teiler.

Die Ergebnisse lauten 8, 2 und 1. Sie können diese Zahlen als Gewichtungen bei einer SD-WAN-Round-Robin-Aktion verwenden.

3-Tupel

Zusätzlich zur Gewichtung verwendet SD-WAN Round Robin eine 3-Tupel-Hash-Berechnung, um die ausgehende Schnittstelle für Pakete zu ermitteln. Ein 3-Tupel ist eine Liste aus drei Komponenten, die aus der Paketkopfzeile stammen: Quell-IP-Adresse, Ziel-IP-Adresse und Protokoll. Die Verbindungen sind sticky, was bedeutet, dass Datenverkehr von derselben Quelle zum selben Ziel mit demselben Protokoll stets über dieselbe Schnittstelle geroutet wird.

Kennzahlen

Optional können Sie Kennzahlen für Datenverlustrate, Latenz und Jitter konfigurieren, die für alle Schnittstellen in der SD-WAN-Aktion gelten. Diese Kennzahlen bestimmen, ob eine Schnittstelle qualifiziert ist, Teil des gewählten Pfads zu sein. Eine Schnittstelle ist dann qualifizert, wenn die Werte für Verlustrate, Latenz und Jitter die von Ihnen vorgegebenen Werte nicht überschreiten.

Wenn eine Schnittstelle die angegebenen Werte für Verlust, Latenz und Jitter nicht länger überschreitet, wird sie qualifiziert und ist für die Round Robin-Auswahl verfügbar.

Weil jedes Netzwerk anders ist und manche Anwendungen empfindlicher auf Performance-Probleme reagieren, müssen Sie Verlust-, Latenz- und Jitter-Werte auf Basis der Kenntnis Ihres Netzwerks wählen. Wir empfehlen Ihnen, zuerst die Grundwerte für Ihre WAN-Verbindungen zu ermitteln. Als bewährte Vorgehensweise empfehlen wir Ihnen, die Durchschnittswerte der letzten 24 Stunden zu berücksichtigen.

Inaktive und nicht qualifizierte Schnittstellen

In den folgenden Fällen entfernt die Firebox eine Schnittstelle aus der Auswahl des Round-Robin-Pfads:

• Inaktive (ausgefallene) Schnittstelle — Die Firebox sieht die Schnittstelle aufgrund eines physischen Verbindungsabbruchs oder fehlgeschlagener Link Monitoring Diagnose als inaktiv an. Weitere Informationen über Link Monitoring finden Sie unter Konfigurieren von Link Monitoring im Firebox-Netzwerk.
• Nicht qualifizierte Schnittstelle — Eine Schnittstelle überschreitet die von Ihnen vorgegenen Werte für Verlustrate, Latenz oder Jitter.

Die Firebox verteilt den Datenverkehr zwischen den verbleibenden qualifizierten Schnittstellen.

Ist keine Schnittstelle qualifiziert, dann leitet die Firebox den Datenverkehr zur ersten aktiven Schnittstelle. Dies ist die aktive Schnittstelle, die in der Konfiguration der SD-WAN-Aktion zuerst aufgeführt ist. Sind keine Schnittstellen aktiv, dann verwirft die Firebox diejenigen Pakete, die den Bedingungen der SD-WAN-Aktion entsprechen. Wenn eine Schnittstelle wieder aktiv oder qualifiziert wird, wird sie automatisch für die Round-Robin-Auswahl verfügbar.

Beispiel

In diesem Beispiel verwendet die SD-WAN-Aktion die Methode Round-Robin und eine auf Messungen basierende Einbindung.

Ähnliche Themen

SD-WAN konfigurieren

SD-WAN-Details