SD-WAN
ist gut bei Firewalls, welche mit zwei oder mehreren Internetleitungen angebunden sind, weil unsere herkömmliche Methode hat einige Nachteile
Nachteile von Static Routes
- Eine Policy pro Internetanschluss: Das macht die Konfiguration unübersichtlich. Es gibt jedoch Alternativen, wie das Zusammenfassen mehrerer Interfaces in einer Policy (z. B. mit Zonen oder Multiple Interface Policies).
- Kein echtes Failover: Das Backup-Internet wird nur aktiviert, wenn das Modem der Hauptleitung stromlos oder abgesteckt ist. Problematisch ist, dass bei Internetausfällen oft nicht das Modem selbst, sondern die Leitung zum Modem die Ursache ist. In solchen Fällen bleibt das Modem aktiv, und die Firewall erkennt den Internetausfall nicht.
- Kein Wechsel zurück zur Hauptleitung: Nach der Wiederherstellung der Hauptleitung nutzen Geräte diese oft nicht automatisch. Meist ist ein Neustart der Firewall erforderlich, damit alle Clients wieder die Hauptleitung nutzen. Das passiert, weil bestehende Sessions nicht automatisch zurückwechseln.
SD-WAN bietet eine Lösung für all diese oben genannten Punkte
Einrichtung
| Bei der Einrichtung muss eine Downtime eingeplant werden, die von der Komplexität der aktuellen Config abhängig ist (Anzahl an Policies) |
conf sys global
set snat-route-change enable
… kommt noch