Fireware 12.3 – Veränderungen beim Multi-WAN / SD-WAN
Durch das Feature-Upgrade auf Fireware 12.3 wurden die Funktionalitäten beim Multi-WAN angepasst und erweitert.
Hier folgen Erläuterungen und Screenshots dazu:
Multi-WAN
der Bereich Multi-WAN wurde aufgesplittet in drei Bereiche:
- Multi-WAN
- Link Monitor
- SD-WAN
Link Monitor
Der Bereich Link Monitor (gelbe leere Fläche) wurde aus dem Tab Multi-WAN (hier gewählt, weiß hinterlegt) entfernt
und in einen eigenen Tab verschoben (hier gelb hinterlegt)
Der Bereich Link-Monitor (hier gewählt) wurde erweitert. Es lassen sich nun pro Interface 3 Link-Checks definieren.
Zur Auswahl stehen:
- Ping
- TCP-Connect
- DNS-Lookup
Einer dieser Checks wird für die Messung der Metriken (Latency, Jitter, Loss) für das Interface ausgewählt.
SD-WAN
Im Bereich SD-WAN werden die Failover-Actions definiert, die beim SD-WAN-Based Routing (das Policy Based Routing heißt nun SD-WAN-Based Routing) verwendet werden können.
Hierbei gibt es beim Upgrade einer Firebox ein geringfügiges “Durcheinander” – da für jede Policy, die ein PBR konfiguriert hatte, eine SD-WAN-Action angelegt wird. In diesem Beispiel hier für alle Policies, die ein PBR über meinen LTE-Router hatten, eine entsprechende Action (hier grün dargestellt).
Ich habe dann eine “LTE Only” Action erstellt (s.u.) und diese Action zu zwei Policies zugewiesen (hier gelb dargestellt). Daher sind auch zwei Actions (grün) ohne zugewiesene Policy.
SD-WAN-Action
Hier nun die Konfiguration der “LTE Only” SD-WAN-Action.
- wie üblich können die Interfaces gewählt werden, die bei der SD-WAN-Action teilnehmen sollen
- zur Auswahl stehen physikalische Interfaces und BOVPN Virtual Interfaces
- wie üblich kann die Reihenfolge gewählt werden (Up/Down)
- Zudem kann (nur bei physikalischen Interfaces) ein Failover bereits bei Überschreiten eines Metrik-Schwellwertes erzwungen werden, nicht erst bei Ausfall des Interfaces (interessant ist dies beispielsweise für zeitkritische Anwendungen, z.B. VoIP)
Anwendung in Polcies (ehemals Policy Based Routing)
diese SD-Wan Actions können dann in den Policies angewendet werden. Hierzu wurde das Policy Based Routing umgestellt. Zur Auswahl stehen nun:
- Policy Based Routing (falls man mit dem Policy Manager eine ältere Fireware (bis 12.2.1) konfiguriert)
- SD-WAN Based Routing (ab 12.3)
Der Begriff “zur Auswahl” ist eigentlich falsch, je nach Firmware muss man den einen oder anderen anwählen.
Anschließend kann man die entsprechende SD-Wan-Action auswählen.
Fazit
Wie so häufig wurde das Thema Multi-WAN und Policy Based Routing nun deutlich umfangreicher und komplexer, aber auch erheblich leistungsfähiger.
Multi-WAN und Policy Based Routing konfiguriert man als Sysadmin einer einzelnen Firebox nicht jeden Tag. Daher soll dieser dieser Artikel zur Auflösung der Verwirrung beitragen, die sich nach einem Upgrade auf 12.3 einstellen kann.
What's New in Fireware v12.3 Beta - BOC WatchGuard Info-Portal
What's New in Fireware v12.3.1 - BOC IT-Security GmbH