Fireware 12.3 – Veränderungen beim Multi-WAN / SD-WAN

2 Comments

Durch das Feature-Upgrade auf Fireware 12.3 wurden die Funktionalitäten beim Multi-WAN angepasst und erweitert.

Hier folgen Erläuterungen und Screenshots dazu:

Multi-WAN

der Bereich Multi-WAN wurde aufgesplittet in drei Bereiche:

  • Multi-WAN
  • Link Monitor
  • SD-WAN

Link Monitor

Der Bereich Link Monitor (gelbe leere Fläche) wurde aus dem Tab Multi-WAN (hier gewählt, weiß hinterlegt) entfernt
und in einen eigenen  Tab verschoben (hier gelb hinterlegt)

Der Bereich Link-Monitor (hier gewählt) wurde erweitert. Es lassen sich nun pro Interface 3 Link-Checks definieren.
Zur Auswahl stehen:

  • Ping
  • TCP-Connect
  • DNS-Lookup

Einer dieser Checks wird für die Messung der Metriken (Latency, Jitter, Loss) für das Interface ausgewählt.

SD-WAN

Im Bereich SD-WAN werden die Failover-Actions definiert, die beim SD-WAN-Based Routing (das Policy Based Routing heißt nun SD-WAN-Based Routing) verwendet werden können.

Hierbei gibt es beim Upgrade einer Firebox ein geringfügiges “Durcheinander” – da für jede Policy, die ein PBR konfiguriert hatte, eine SD-WAN-Action angelegt wird. In diesem Beispiel hier für alle Policies, die ein PBR über meinen LTE-Router hatten, eine entsprechende Action (hier grün dargestellt).

Ich habe dann eine “LTE Only” Action erstellt (s.u.) und diese Action zu zwei Policies zugewiesen (hier gelb dargestellt).  Daher sind auch zwei Actions (grün) ohne zugewiesene Policy.

SD-WAN-Action

Hier nun die Konfiguration der “LTE Only” SD-WAN-Action.

  • wie üblich können die Interfaces gewählt werden, die bei der SD-WAN-Action teilnehmen sollen
  • zur Auswahl stehen physikalische Interfaces und BOVPN Virtual Interfaces
  • wie üblich kann die Reihenfolge gewählt werden (Up/Down)
  • Zudem kann (nur bei physikalischen Interfaces) ein Failover bereits bei Überschreiten eines Metrik-Schwellwertes erzwungen werden, nicht erst bei Ausfall des Interfaces (interessant ist dies beispielsweise für zeitkritische Anwendungen, z.B. VoIP)

Anwendung in Polcies (ehemals Policy Based Routing)

diese SD-Wan Actions können dann in den Policies angewendet werden. Hierzu wurde das Policy Based Routing umgestellt. Zur Auswahl stehen nun:

  • Policy Based Routing (falls man mit dem Policy Manager eine ältere Fireware (bis 12.2.1) konfiguriert)
  • SD-WAN Based Routing (ab 12.3)

Der Begriff “zur Auswahl” ist eigentlich falsch, je nach Firmware muss man den einen oder anderen anwählen.

Anschließend kann man die entsprechende SD-Wan-Action auswählen.

Fazit

Wie so häufig wurde das Thema Multi-WAN und Policy Based Routing nun deutlich umfangreicher und komplexer, aber auch erheblich leistungsfähiger.

Multi-WAN und Policy Based Routing konfiguriert man als Sysadmin einer einzelnen Firebox nicht jeden Tag. Daher soll dieser dieser Artikel zur Auflösung der Verwirrung beitragen, die sich nach einem Upgrade auf 12.3 einstellen kann.

2 Kommentare zu “Fireware 12.3 – Veränderungen beim Multi-WAN / SD-WAN”

Leave a Reply

Your email address will not be published. Required fields are marked *