Roteamento multicaminho baseado em aplicativos
Visão geral do roteamento multicaminho baseado em aplicativos
O tráfego para vídeo e voz é sensível à perda de pacotes, latência e jitter. A perda de pacotes leva diretamente à degradação na qualidade das chamadas de voz e vídeo. em chamadas de voz ou vídeo.
Para garantir a entrega oportuna desses tráfegos sensíveis de aplicativos, o roteamento multicaminho baseado em aplicativos (também chamado de roteamento multicaminho neste documento) é suportado em dispositivos da Série SRX para permitir que o dispositivo de envio crie cópias de pacotes, envie cada cópia através de dois ou mais links WAN.
A Multipath identifica dois ou mais caminhos com base na configuração de SLA e envia uma cópia do tráfego original em todos os caminhos identificados.
Do outro lado, entre as várias cópias do pacote recebido, o dispositivo receptor seleciona o primeiro pacote recebido e derruba os seguintes. No dispositivo receptor, enquanto a cópia do pacote está em andamento, o multicaminho calcula o jitter e a perda de pacotes para os links combinados e, em seguida, estima o jitter e a perda de pacotes para o mesmo tráfego em links individuais. Você pode comparar a redução na perda de pacotes quando links combinados são usados em vez de links individuais usados para tráfego.
O envio de várias cópias do tráfego do aplicativo garante que, se houver perda ou atraso de pacotes, o outro enlace ainda pode entregar o pacote ao endpoint.
Os dispositivos da Série SRX oferecem suporte ao roteamento multicaminho baseado em aplicativos a partir do Junos OS Release 15.1X49-D160 em modo autônomo.
Os dispositivos da Série SRX oferecem suporte ao roteamento multicaminho baseado em aplicativos a partir do Junos OS Release 19.2R1 e do Junos OS Release 15.1X49-D170 no modo cluster de chassi.
O roteamento multicaminho aproveita a funcionalidade a seguir:
-
Detalhes de identificação de aplicativos da Inspeção profunda de pacotes (DPI)
-
Funcionalidade APBR para recurso de encaminhamento de pacotes
-
Serviço AppQoE para associação de SLA.
- Casos de uso suportados
- Limitações
- Benefícios do roteamento multicaminho
- Entender o fluxo de trabalho no roteamento multicaminho
Casos de uso suportados
-
Hub SD-WAN e topologia spoke
-
Topologia de malha SD-WAN
Limitações
-
Todos os links WAN selecionados devem ser de caminhos ECMP para um destino.
-
Todas as interfaces WAN selecionadas que precisam fazer parte de sessões de roteamento multicaminho devem pertencer a uma única zona
-
O recurso de roteamento multicaminho é suportado apenas entre dois dispositivos de segurança encerrados em livros.
Benefícios do roteamento multicaminho
-
O suporte multicaminho em casos de uso de SD-WAN melhora a experiência do aplicativo reduzindo a perda de pacotes, entrega mais rápida do pacote e menos jitter que resulta em uma melhor qualidade de serviço para o tráfego, especialmente para o tráfego de voz e vídeo.
Entender o fluxo de trabalho no roteamento multicaminho
As sequências a seguir estão envolvidas na aplicação do roteamento multicaminho:
-
A identificação do aplicativo Junos OS identifica aplicativos e, assim que um aplicativo é identificado, suas informações são salvas no cache do sistema de aplicativos (ASC).
-
O roteamento baseado em políticas de aplicativos (APBR) consulta o módulo de cache do sistema de aplicativos (ASC) para obter os detalhes dos atributos do aplicativo.
-
O APBR usa os detalhes do aplicativo para procurar uma regra de correspondência no perfil APBR (perfil do aplicativo). Se uma regra de correspondência for encontrada, o tráfego será redirecionado para a instância de roteamento especificada para a busca da rota.
-
O AppQoE verifica se um SLA está habilitado para uma sessão. Se a sessão for candidata a uma medição de SLA e se o roteamento multicaminho estiver configurado, o roteamento multicaminho será acionado.
-
Com base na regra SLA, o roteamento multicaminho obtém os tipos de enlace underlay e as sobreposições correspondentes nas quais a duplicação de pacotes precisa ser realizada. O roteamento multicaminho pode ser acionado com base na configuração de uma regra SLA. Quando o roteamento multicaminho é configurado dentro de uma regra SLA para um aplicativo específico, a funcionalidade AppQoE é desativada para todas as sessões desse aplicativo que correspondam à regra SLA.
-
Com base no tráfego de aplicativos e no limite de largura de banda configurado, o multicaminho identifica dois ou mais caminhos e aciona uma cópia do tráfego original em todos os caminhos identificados. A seleção do caminho de roteamento multicaminho é feita nos caminhos de sobreposição. Os parâmetros para limitar a largura de banda baseiam-se na velocidade do link underlay e a seleção é baseada no tipo de link.
-
No dispositivo receptor, enquanto a cópia do pacote está em andamento, o multicaminho calcula o jitter e a perda de pacotes para os links combinados e, em seguida, estima o jitter e a perda de pacotes para o mesmo tráfego em links individuais.
-
No dispositivo receptor, o roteamento multicaminho aceita pacotes de uma sessão que chega por diferentes links, mantém a sequência de um pacote que chega em diferentes filas de CoS e derruba quaisquer duplicações.
O roteamento multicaminho copia pacotes em todos os links pertencentes a uma regra até que o limite de largura de banda seja atingido. O limite de largura de banda é calculado com base na menor velocidade de enlace identificada para essa regra. Isso é aplicável a todas as sessões para todos os aplicativos que correspondam a essa regra de roteamento multicaminho. Assim que o limite é atingido, o roteamento multicaminho interrompe a cópia de pacotes e inicia um temporizador conforme configurado na opção de espera máxima na configuração de roteamento multicaminho. Quando o temporizador expira, ele reinicia novamente a cópia dos pacotes.
Melhorias na AMR
A partir do Junos OS Release 21.2R1, os seguintes aprimoramentos são introduzidos para AMR:
- Suporte de AMR para tráfego reverso
- Mecanismo de fila para pacotes fora de ordem
- Suporte amr para o perfil APBR
- Seleção de links
- AMR no modo de violação de SLA ou modo autônomo
- Suporte para tráfego IPv6
- Suporte a AMR sobre sessões de encapsulamento de roteamento genérico (GRE) e IPsec
Suporte de AMR para tráfego reverso
você pode aplicar funcionalidade multicaminho no tráfego reverso. Agora, tanto o dispositivo de envio quanto o dispositivo receptor podem criar cópias de pacotes e enviar cada cópia por meio de dois links WAN para o dispositivo de destino. Esse aprimoramento garante a entrega ininterrupta do tráfego sensível de aplicativos em ambas as direções.
Por padrão, a AMR para o tráfego reverso é desativada. Você pode habilitá-lo com a seguinte opção de CLI:
set security advance-policy-based-routing multipath-rule rule-name enable-reverse-wing
Para desativar a AMR para o tráfego reverso, use a seguinte opção de CLI:
delete security advance-policy-based-routing multipath-rule rule-name enable-reverse-wing
O suporte de AMR para o tráfego de asa reversa está disponível quando os dispositivos estão operando no modo HA. Observe que os pacotes na fila são descartados durante o failover ha.
Mecanismo de fila para pacotes fora de ordem
A partir do Junos OS Release 21.2R1, o mecanismo de fila para os pacotes fora de ordem no dispositivo receptor é melhorado.
Anteriormente, o dispositivo receptor AMR descartava pacotes fora de pedido, resultando em perda de pacotes e degradação na qualidade do serviço. Com o mecanismo de fila, quando o dispositivo receptor recebe pacotes fora de pedido, ele aguarda ainda mais a chegada de alguns pacotes e, em seguida, faz buffer desses pacotes na fila por curta duração. Esse buffer ajuda na reordenação de pacotes e evita o descarte de pacotes.
Suporte amr para o perfil APBR
A partir do Junos OS Release 21.2R1, o dispositivo de segurança oferece suporte à AMR quando usado com um perfil APBR configurado com uma política APBR. Você pode criar a política APBR definindo endereços de origem, endereços de destino e aplicativos como condições de correspondência.
Nas versões anteriores do Junos OS, você poderia anexar um perfil APBR a uma zona de segurança de entrada do tráfego de entrada. Nesse caso, o APBR foi aplicado por zona de segurança.
O exemplo a seguir mostra um trecho de configuração de uma política apbr definindo endereços de origem, endereços de destino e aplicativos como condições de correspondência. Uma regra de SLA é aplicada para as regras de política APBR correspondentes ao tráfego. Uma regra multicaminho associada à regra SLA é aplicada e a funcionalidade de roteamento multicaminho é habilitada para a sessão.
set security advance-policy-based-routing multipath-rule amr-rule1 number-of-paths 2 set security advance-policy-based-routing multipath-rule amr-rule1 bandwidth-limit 30 set security advance-policy-based-routing multipath-rule amr-rule1 max-time-to-wait 60 set security advance-policy-based-routing multipath-rule amr-rule1 application junos:SSH set security advance-policy-based-routing multipath-rule amr-rule1 application junos:HTTP set security advance-policy-based-routing multipath-rule amr-rule1 link-type MPLS set security advance-policy-based-routing multipath-rule amr-rule1 link-type IP set security advance-policy-based-routing profile apbr1 rule rule1 match dynamic-application junos:RTP set security advance-policy-based-routing profile apbr1 rule rule1 then routing-instance TC1_VPN set security advance-policy-based-routing profile apbr1 rule rule1 then sla-rule sla1 set security advance-policy-based-routing sla-rule sla1 multipath-rule amr-rule1 set security zones security-zone trust advance-policy-based-routing-profile apbr1 set security advance-policy-based-routing from-zone trust policy sla_policy1 match source-address 10.4.0.1 set security advance-policy-based-routing from-zone trust policy sla_policy1 match destination-address 10.5.0.1 set security advance-policy-based-routing from-zone trust policy sla_policy1 match application junos-RTP set security advance-policy-based-routing from-zone trust policy sla_policy1 then application-services advance-policy-based-routing-profile apbr1
Seleção de links
Em versões anteriores, para roteamento multicaminho baseado em aplicativos, o mecanismo de seleção de links era padrão (um dos dois primeiros links disponíveis) ou baseado na configuração appQoE de interface underlay do tipo de link (IP/MPLS).
A partir do Junos OS Release 21.2R1, você pode especificar as opções de preferência do enlace como encapsulamento de roteamento genérico (GRE) e túnel seguro (st). O dispositivo seleciona diretamente uma das interfaces especificadas para roteamento multicaminho.
Se você não tiver configurado o link-preference, a AMR selecionará links dos dois primeiros links disponíveis nos caminhos configurados.
Você pode especificar preferências de link usando a seguinte opção de CLI:
set security advance-policy-based-routing multipath-rule rule-name link-preferences [st0.0 | st0.1}
AMR no modo de violação de SLA ou modo autônomo
A partir do Junos OS Release 21.2R1, a AMR está habilitada em um dos dois modos a seguir:
-
Modo de violação de SLA — quando o AppQoE detecta violação de SLA em todos os links, ele permite o AMR. A AMR é desativada quando o SLA é atendido em qualquer um dos links com base na configuração do temporizador.
-
Modo autônomo — Quando você configura o AMR sem configurar métricas de SLA, a AMR é habilitada independentemente do status do AppQoE. Nesse modo, quando o limite de largura de banda é atingido, a AMR é pausada por uma duração padrão e, em seguida, reiniciada.
Exemplo:
A seguir está uma configuração amostral de uma métrica de SLA. As métricas de SLA especificam parâmetros de exigência, que são usados pelo AppQoE para avaliar o SLA do link. Para realizar o SLA, o AppQoE monitora a rede em busca de fontes de falhas ou congestionamentos. Se o desempenho de um link estiver abaixo dos níveis aceitáveis especificados pelo SLA, a situação será considerada uma violação de SLA. Se a violação de LA for notada em todos os links, a AMR será habilitada no modo de violação de SLA.
set security advance-policy-based-routing metrics-profile metric1 sla-threshold delay-round-trip 50000 set security advance-policy-based-routing metrics-profile metric1 sla-threshold jitter 10000 set security advance-policy-based-routing metrics-profile metric1 sla-threshold jitter-type egress-jitter set security advance-policy-based-routing metrics-profile metric1 sla-threshold packet-loss 4 set security advance-policy-based-routing metrics-profile metric1 sla-threshold match all set security advance-policy-based-routing sla-rule sla1 metrics-profile metric1
Se a configuração das métricas de SLA (como mostrado no exemplo acima) não estiver disponível na configuração amr, a AMR será ativada em modo autônomo.
Suporte para tráfego IPv6
O roteamento multicaminho baseado em aplicativos oferece suporte ao tráfego IPv6:
- Tráfego IPv6 em túneis IPv4 (Junos OS Release 21.2R1)
- Tráfego IPv6 em túneis IPv6 (Junos OS Release 21.3R1)
Suporte a AMR sobre sessões de encapsulamento de roteamento genérico (GRE) e IPsec
- Roteamento multicaminho baseado em aplicativos em túneis IPsec diretos sem GRE (Junos OS Release 21.2R1)
- Roteamento multicaminho baseado em aplicativos em túneis de encapsulamento de roteamento genérico (GRE) diretos sem IPsec (Junos OS Release 21.2R1)
- Roteamento multicaminho baseado em aplicativos em túneis IPsec diretos sem GRE para tráfego IPv6 (Junos OS Release 21.3R1)
- Roteamento multicaminho baseado em aplicativos em túneis GRE diretos sem IPsec para tráfego IPv6 (Junos OS Release 21.3R1)
- Roteamento multicaminho baseado em aplicativos sobre MPLS-over-GRE-over-IPsec para tráfego IPv6 (Junos OS Release 21.3R1)
Veja também
Configuração de amostra de roteamento multicaminho baseada em aplicativos
Amostra da configuração de roteamento multicaminho baseada em aplicativos (topologia de hub e spoke)
Esta seção abrange a configuração de roteamento multicaminho baseada em aplicativos de amostra para topologia de hub e spoke. A configuração usa o conjunto de SLA pelo APBR e funciona independentemente do APPQoE. Para o APPQoE SLA, veja a qualidade da experiência do aplicativo. Você pode configurar o dispositivo para recursos adicionais, como seleção de links com base na preferência, seleção de caminhos com base no tipo de link e suporte ao roteamento multicaminho em túneis IPsec e GRE. O roteamento multicaminho pode ser configurado com o Contrail Service Orchestrator. Consulte o Guia de implantação do Contrail Service Orchestration (CSO) para obter detalhes.
Configuração básica de dispositivo lateral spoke
user@host#set security advance-policy-based-routing profile profile1 rule r1 match dynamic-application junos:HTTPuser@host#set security advance-policy-based-routing profile profile1 rule r1 match dynamic-application junos:SIPuser@host#set security advance-policy-based-routing profile profile1 rule r1 then routing-instance TC1_VPNuser@host#set security advance-policy-based-routing profile profile1 rule r1 sla-rule sla_rule1user@host#set security advance-policy-based-routing sla-rule sla_rule1 multipath-rule mult1user@host#set security advance-policy-based-routing multipath-rule mult1 number-of-paths 2user@host#set security advance-policy-based-routing multipath-rule mult1 bandwidth-limit 90user@host#set security advance-policy-based-routing multipath-rule mult1 application junos:HTTPuser@host#set security advance-policy-based-routing multipath-rule mult1 application junos:SIP
Configuração básica do dispositivo lateral do hub
user@host#set security advance-policy-based-routing multipath-rule mult1 number-of-paths 2user@host#set security advance-policy-based-routing multipath-rule mult1 bandwidth-limit 90user@host#set security advance-policy-based-routing multipath-rule mult1 enable-reverse-winguser@host#set security advance-policy-based-routing multipath-rule mult1 application junos:HTTPuser@host#sset security advance-policy-based-routing multipath-rule mult1 application junos:SIP
Configuração de preferência de enlace
user@host#set security advance-policy-based-routing multipath-rule mult1 link-preferences gr-0/0/0.0user@host#set security advance-policy-based-routing multipath-rule mult1 link-preferences gr-0/0/0.1
Configuração de seleção de caminho baseada em tipo de link
user@host#set security advance-policy-based-routing multipath-rule mult1 link-type MPLSuser@host#set security advance-policy-based-routing multipath-rule mult1 link-type IP
Configuração baseada em interface em nível de roteamento multicaminho baseado em aplicativos
user@host#set security advance-policy-based-routing interface gr-0/0/0.0 link-tag IPuser@host#set security advance-policy-based-routing interface gr-0/0/0.1 link-tag MPLS
Configuração de VPN IPsec com túneis IPv6 e tráfego IPv4 no dispositivo spoke side para roteamento multicaminho baseado em aplicativos
user@host#set groups ipsec-groups security ike proposal salausehdotp1 authentication-method pre-shared-keysuser@host#set groups ipsec-groups security ike proposal salausehdotp1 dh-group group5user@host#set groups ipsec-groups security ike proposal salausehdotp1 encryption-algorithm aes-256-gcmuser@host#set groups ipsec-groups security ike policy salauspolitiikkap1 mode mainuser@host#set groups ipsec-groups security ike policy salauspolitiikkap1 proposals salausehdotp1user@host#set groups ipsec-groups security ike policy salauspolitiikkap1 pre-shared-key ascii-text "$9$1-7ESeLxd2oGdbPQnCB1-VwYgJDi.TF/aZ"user@host#set groups ipsec-groups security ike gateway gateway1 ike-policy salauspolitiikkap1user@host#set groups ipsec-groups security ike gateway gateway1 version v2-onlyuser@host#set groups ipsec-groups security ipsec proposal salausehdotp2 protocol espuser@host#set groups ipsec-groups security ipsec proposal salausehdotp2 encryption-algorithm aes-256-gcmuser@host#set groups ipsec-groups security ipsec policy salauspolitiikkap2 perfect-forward-secrecy keys group5user@host#set groups ipsec-groups security ipsec policy salauspolitiikkap2 proposals salausehdotp2user@host#set groups ipsec-groups security ipsec vpn vpn1 df-bit clearuser@host#set groups ipsec-groups security ipsec vpn vpn1 ike ipsec-policy salauspolitiikkap2user@host#set groups ipsec-groups security ipsec vpn vpn1 establish-tunnels immediatelyuser@host#set system host-name SRX345-2user@host#set system root-authentication encrypted-password "$ABC123"user@host#set system services ssh root-login allowuser@host#set services application-identificationuser@host#set security apply-groups ipsec-groupsuser@host#set security ike gateway SRX345-1-A address fdf:a::1user@host#set security ike gateway SRX345-1-A external-interface ge-0/0/0.0user@host#set security ike gateway SRX345-1-B address fdf:b::1user@host#set security ike gateway SRX345-1-B external-interface ge-0/0/1.0user@host#set security ipsec vpn SRX345-1-A bind-interface st0.0user@host#set security ipsec vpn SRX345-1-A ike gateway SRX345-1-Auser@host#set security ipsec vpn SRX345-1-B bind-interface st0.1user@host#set security ipsec vpn SRX345-1-B ike gateway SRX345-1-Buser@host#set security application-tracking first-updateuser@host#set security application-tracking session-update-interval 1user@host#set security forwarding-options family inet6 mode flow-baseduser@host#set security forwarding-options family mpls mode flow-baseduser@host#set security flow allow-dns-replyuser@host#set security flow allow-embedded-icmpuser@host#set security flow sync-icmp-sessionuser@host#set security flow tcp-mss all-tcp mss 1300user@host#set security flow tcp-mss ipsec-vpn mss 1350user@host#set security flow tcp-session no-syn-checkuser@host#set security flow tcp-session no-syn-check-in-tunneluser@host#set security flow tcp-session no-sequence-checkuser@host#set security policies default-policy permit-alluser@host#set security zones security-zone Untrust host-inbound-traffic system-services alluser@host#set security zones security-zone Untrust host-inbound-traffic protocols alluser@host#set security zones security-zone Untrust interfaces ge-0/0/0.0user@host#set security zones security-zone Untrust interfaces ge-0/0/1.0user@host#set security zones security-zone Untrust application-trackinguser@host#set security zones security-zone Untrust enable-reverse-rerouteuser@host#set security zones security-zone trust host-inbound-traffic system-services alluser@host#set security zones security-zone trust host-inbound-traffic protocols alluser@host#set security zones security-zone trust interfaces ge-0/0/6.0user@host#set security zones security-zone trust application-trackinguser@host#set security zones security-zone trust advance-policy-based-routing-profile apbruser@host#set security zones security-zone trust enable-reverse-rerouteuser@host#set security zones security-zone VPN host-inbound-traffic system-services alluser@host#set security zones security-zone VPN host-inbound-traffic protocols alluser@host#set security zones security-zone VPN interfaces st0.0user@host#set security zones security-zone VPN interfaces st0.1user@host#set security zones security-zone VPN application-trackinguser@host#set security zones security-zone VPN enable-reverse-rerouteuser@host#set security zones security-zone test interfaces ge-0/0/7.0 host-inbound-traffic system-services alluser@host#set security zones security-zone test interfaces ge-0/0/7.0 host-inbound-traffic protocols alluser@host#set security advance-policy-based-routing profile apbr rule r1 match dynamic-application junos:ICMPuser@host#set security advance-policy-based-routing profile apbr rule r1 match dynamic-application junos:SSHuser@host#set security advance-policy-based-routing profile apbr rule r1 match dynamic-application junos:ICMP-ECHOuser@host#set security advance-policy-based-routing profile apbr rule r1 then routing-instance apbruser@host#set security advance-policy-based-routing profile apbr rule r1 then sla-rule sla1user@host#set security advance-policy-based-routing sla-rule sla1 multipath-rule amr-rule1user@host#set security advance-policy-based-routing multipath-rule amr-rule1 number-of-paths 2user@host#set security advance-policy-based-routing multipath-rule amr-rule1 bandwidth-limit 30user@host#set security advance-policy-based-routing multipath-rule amr-rule1 enable-reverse-winguser@host#set security advance-policy-based-routing multipath-rule amr-rule1 max-time-to-wait 60user@host#set security advance-policy-based-routing multipath-rule amr-rule1 application junos:ICMPuser@host#set security advance-policy-based-routing multipath-rule amr-rule1 application junos:SSHuser@host#set security advance-policy-based-routing multipath-rule amr-rule1 application junos:ICMP-ECHOuser@host#set security advance-policy-based-routing multipath-rule amr-rule1 link-preferences st0.0user@host#set security advance-policy-based-routing multipath-rule amr-rule1 link-preferences st0.1user@host#set interfaces ge-0/0/0 unit 0 family inet6 address fdf:a::2/64user@host#set interfaces ge-0/0/1 unit 0 family inet6 address fdf:b::2/640user@host#set interfaces ge-0/0/6 unit 0 family inet address 10.0.12.1/24user@host#set interfaces ge-0/0/7 unit 0 family inet address 10.0.12.10/24user@host#set interfaces fxp0 unit 0 family inet address 192.168.123.2/24user@host#set interfaces st0 unit 0 family inet address 10.0.0.2/30user@host#set interfaces st0 unit 1 family inet address 10.0.1.2/30user@host#set policy-options policy-statement ecmp then load-balance per-packetuser@host#set routing-instances IPSEC protocols ospf area 0.0.0.0 interface st0.0 interface-type p2puser@host#set routing-instances IPSEC protocols ospf area 0.0.0.0 interface st0.1 interface-type p2puser@host#set routing-instances IPSEC protocols ospf area 0.0.0.0 interface ge-0/0/6.0 passiveuser@host#set routing-instances IPSEC interface ge-0/0/6.0user@host#set routing-instances IPSEC interface st0.0user@host#set routing-instances IPSEC interface st0.1user@host#set routing-instances IPSEC instance-type virtual-routeruser@host#set routing-instances IPSEC routing-options interface-routes rib-group inet apbr-groupuser@host#set routing-instances apbr instance-type forwardinguser@host#set routing-instances apbr routing-options static route 0.0.0.0/0 next-hop st0.0user@host#set routing-instances apbr routing-options static route 0.0.0.0/0 next-hop st0.1user@host#set routing-instances test interface ge-0/0/7.0user@host#set routing-instances test instance-type virtual-routeruser@host#set routing-instances test routing-options static route 0.0.0.0/0 next-hop 10.0.12.1user@host#set routing-options rib-groups apbr-group import-rib IPSEC.inet.0user@host#set routing-options rib-groups apbr-group import-rib apbr.inet.0user@host#set routing-options forwarding-table export ecmp
Para que os túneis GRE substituam ipsec por gre. Para o túnel IPv4, o tráfego IPv4 e o tráfego IPv6 substituem a configuração por IPv4 e IPv6 adequadamente.
Exemplo: configurar o roteamento multicaminho baseado em aplicativos
Este exemplo mostra como configurar o roteamento multicaminho para fornecer qualidade de experiência (QoE), permitindo o monitoramento em tempo real do tráfego do aplicativo de acordo com o SLA especificado.
Requisitos
-
Dispositivo da Série SRX com o Junos OS Release 15.1X49-D160, Junos OS Release 19.2R1 ou posterior. Este exemplo de configuração é testado para o Junos OS Release 15.1X49-D160.
-
Licença de recurso de identificação de aplicativo válida instalada em um dispositivo de segurança.
-
Políticas de segurança apropriadas para aplicar regras para o tráfego de trânsito, em termos de qual tráfego pode passar pelo dispositivo e as ações que precisam ocorrer no tráfego à medida que passa pelo dispositivo.
-
Habilite o suporte de rastreamento de aplicativos habilitado para a zona. Veja o rastreamento de aplicativos.
-
Garanta que os seguintes recursos estejam configurados:
Visão geral
Para garantir a entrega ininterrupta desses tráfegos sensíveis de aplicativos, o roteamento multicaminho baseado em aplicativos é suportado em dispositivos de segurança para permitir que o dispositivo de envio crie cópias de pacotes e envie cada cópia através de dois links WAN para o destino.
O roteamento multicaminho identifica dois caminhos com base na configuração de SLA e cria uma cópia duplicada do tráfego do aplicativo e envia o tráfego simultaneamente em diferentes caminhos físicos. No dispositivo receptor, enquanto a cópia do pacote está em andamento, o roteamento multicaminho estima a redução de jitter, RTT e perda de pacotes e analisa a qualidade do serviço para rotear o tráfego para o melhor link para fornecer SLA ao usuário final. Isso também ajuda a estimar a redução de jitter, RTT e perda de pacotes. Se ambas as cópias forem recebidas na extremidade remota, então o primeiro pacote recebido é considerado e derruba os subsequentes.
A Tabela 1 fornece os detalhes dos parâmetros usados neste exemplo.
| Parâmetro |
Opções |
Valores |
|---|---|---|
| Regra multicaminho (multi1) |
Número de caminhos |
2 |
| limite de largura de banda |
60 |
|
| Tempo máximo para esperar |
60 |
|
| Tipo de link |
MPLS, IP |
|
| Aplicativo |
junos:YAHOO, junos:GOOGLE |
|
| grupo de aplicativos |
junos:web |
|
| Regra de SLA (sla1) |
Regra multicaminho associada |
multi1 |
| Perfil apbr (apbr1) |
Aplicativos de correspondência |
junos:YAHOO |
| Regra da APBR |
regra1 |
|
| Regra de SLA |
sla1 |
|
| Interface underlay |
ge-0/0/2 e ge-0/0/3
|
Neste exemplo, você configura uma regra multicaminho para junos:YAHOO e junos:tráfego de aplicativos GOOGLE. Em seguida, configure uma regra SLA e associe regras multicaminho com uma regra multicaminho.
Em seguida, associe as regras de SLA com as regras do APBR criadas para o aplicativo Yahoo. O APBR usa os detalhes do aplicativo para procurar uma regra de correspondência no perfil APBR (perfil do aplicativo).
A regra multicaminho é aplicada no junos:YAHOO ou junos:GOOGLE e encaminhada para o endereço next-hop conforme especificado na instância de roteamento.
O roteamento multicaminho obtém os tipos de enlace underlay e as sobreposições correspondentes nas quais a duplicação de pacotes é necessária com base na regra SLA. Com base no tráfego de aplicativos e no limite de largura de banda configurado, o multicaminho identifica dois ou mais caminhos e aciona uma cópia do tráfego original em todos os caminhos identificados.
Quando o tráfego chega ao recebimento, o dispositivo recebedor aceita pacotes de uma sessão que chega por diferentes links, e mantém a sequência de um pacote que chega em diferentes filas de CoS e derruba quaisquer pacotes duplicados.
Certifique-se de que a configuração seja a mesma em todos os dispositivos, tanto no lado de envio quanto no dispositivo do lado receptor, é de tal forma que os dispositivos podem agir como remetente e receptor.
Configuração
- Configure regras multicaminho para tráfego de aplicativos (dispositivo configurado para enviar tráfego)
- Configure regras multicaminho para tráfego de aplicativos (dispositivo configurado para receber tráfego))
Configure regras multicaminho para tráfego de aplicativos (dispositivo configurado para enviar tráfego)
Procedimento passo a passo
Configure perfis APBR para diferentes aplicativos de tráfego e regra SLA associada e regra multicaminho.
-
Crie instâncias de roteamento.
user@host#set routing-instances TC1_VPN instance-type vrfuser@host#set routing-instances TC1_VPN route-distinguisher 10.150.0.1:101user@host#set routing-instances TC1_VPN vrf-target target:100:101user@host#set routing-instances TC1_VPN vrf-table-labeluser@host#set routing-instances TC1_VPN routing-options static route 10.19.0.0/8 next-table Default_VPN.inet.0 -
Grupo um ou mais tabelas de roteamento para formar um grupo RIB e importar rotas para as tabelas de roteamento.
user@host#set routing-options rib-groups Default-VPN-to-TC1_VPN import-rib [ Default_VPN.inet.0 TC1_VPN.inet.0 ] -
Configure o AppQoE como serviço. Você deve configurar o AppQoE como serviço para tráfego de entrada de host para uma zona desejada.
user@host#set security zones security-zone untrust1 host-inbound-traffic system-services appqoe -
Crie o perfil APBR e defina as regras.
user@host#set security advance-policy-based-routing profile apbr1 rule rule1 match dynamic-application junos:GOOGLEuser@host#set security advance-policy-based-routing profile apbr1 rule rule1 match dynamic-application junos:YAHOOuser@host#set security advance-policy-based-routing profile apbr1 rule rule1 match dynamic-application-group junos:webuser@host#set security advance-policy-based-routing profile apbr1 rule rule1 then routing-instance TC1_VPNuser@host#set security advance-policy-based-routing profile apbr1 rule rule1 then sla-rule sla1 -
Configure parâmetros de sonda ativa.
user@host#set security advance-policy-based-routing active-probe-params probe1 settings data-fill juniperuser@host#set security advance-policy-based-routing active-probe-params probe1 settings data-size 100user@host#set security advance-policy-based-routing active-probe-params probe1 settings probe-interval 30user@host#set security advance-policy-based-routing active-probe-params probe1 settings probe-count 30user@host#set security advance-policy-based-routing active-probe-params probe1 settings burst-size 1user@host#set security advance-policy-based-routing active-probe-params probe1 settings sla-export-interval 60user@host#set security advance-policy-based-routing active-probe-params probe1 settings dscp-code-points 000110 -
Configure o perfil das métricas.
user@host#set security advance-policy-based-routing metrics-profile metric1 sla-threshold delay-round-trip 120000user@host#set security advance-policy-based-routing metrics-profile metric1 sla-threshold jitter 21000user@host#set security advance-policy-based-routing metrics-profile metric1 sla-threshold jitter-type egress-jitteruser@host#set security advance-policy-based-routing metrics-profile metric1 sla-threshold packet-loss 2 -
Configure interfaces underlay.
se o tipo de link não estiver configurado sob a opção de interfaces underlay, o IP padrão do tipo link é usado e a velocidade de enlace padrão de 1000 Mbps é considerada.
user@host#set security advance-policy-based-routing underlay-interface ge-0/0/2 unit 0 link-type MPLSuser@host#set security advance-policy-based-routing underlay-interface ge-0/0/2 unit 0 speed 800user@host#set security advance-policy-based-routing underlay-interface ge-0/0/3 unit 0 link-type MPLSuser@host#set security advance-policy-based-routing underlay-interface ge-0/0/3 unit 0 speed 500 -
Configure caminhos overlay.
user@host#set security advance-policy-based-routing overlay-path overlay-path1 tunnel-path local ip-address 10.40.1.2user@host#set security advance-policy-based-routing overlay-path overlay-path1 tunnel-path remote ip-address 10.40.1.1user@host#set security advance-policy-based-routing overlay-path overlay-path1 probe-path local ip-address 10.40.1.2user@host#set security advance-policy-based-routing overlay-path overlay-path1 probe-path remote ip-address 10.40.1.1user@host#set security advance-policy-based-routing overlay-path overlay-path2 tunnel-path local ip-address 10.41.1.2user@host#set security advance-policy-based-routing overlay-path overlay-path2 tunnel-path remote ip-address 10.41.1.1user@host#set security advance-policy-based-routing overlay-path overlay-path2 probe-path local ip-address 10.41.1.2user@host#set security advance-policy-based-routing overlay-path overlay-path2 probe-path remote ip-address 10.41.1.1user@host#set security advance-policy-based-routing overlay-path overlay-path3 tunnel-path local ip-address 10.42.1.2user@host#set security advance-policy-based-routing overlay-path overlay-path3 tunnel-path remote ip-address 10.42.1.1user@host#set security advance-policy-based-routing overlay-path overlay-path3 probe-path local ip-address 10.42.1.2user@host#set security advance-policy-based-routing overlay-path overlay-path3 probe-path remote ip-address 10.42.1.1 -
Configure grupos de caminhos de destino.
user@host#set security advance-policy-based-routing destination-path-group site1 probe-routing-instance transituser@host#set security advance-policy-based-routing destination-path-group site1 overlay-path overlay-path1user@host#set security advance-policy-based-routing destination-path-group site1 overlay-path overlay-path2user@host#set security advance-policy-based-routing destination-path-group site1 overlay-path overlay-path3 -
Configure a regra multicaminho.
user@host#set security advance-policy-based-routing multipath-rule multi1 bandwidth-limit 60user@host#set security advance-policy-based-routing multipath-rule multi1 application junos:YAHOOuser@host#set security advance-policy-based-routing multipath-rule multi1 application junos:GOOGLEuser@host#set security advance-policy-based-routing multipath-rule multi1 application-group junos:webuser@host#set security advance-policy-based-routing multipath-rule multi1 link-type MPLSuser@host#set security advance-policy-based-routing multipath-rule multi1 link-type IPuser@host#set security advance-policy-based-routing multipath-rule multi1 max-time-to-wait 30user@host#set security advance-policy-based-routing multipath-rule multi1 number-of-paths 2 -
Configure a regra de SLA.
user@host#set security advance-policy-based-routing sla-rule sla1 switch-idle-time 40user@host#set security advance-policy-based-routing sla-rule sla1 metrics-profile metric1user@host#set security advance-policy-based-routing sla-rule sla1 active-probe-params probe1user@host#set security advance-policy-based-routing sla-rule sla1 passive-probe-params sampling-percentage 25user@host#set security advance-policy-based-routing sla-rule sla1 passive-probe-params violation-count 2user@host#set security advance-policy-based-routing sla-rule sla1 passive-probe-params sampling-period 60000user@host#set security advance-policy-based-routing sla-rule sla1 passive-probe-params type book-ended -
Associar uma regra de SLA à regra multicaminho.
user@host#set security advance-policy-based-routing sla-rule sla1 multipath-rule multi1
Configure regras multicaminho para tráfego de aplicativos (dispositivo configurado para receber tráfego))
Procedimento passo a passo
As variáveis configuradas nesta etapa são as mesmas para o dispositivo de envio e recebimento.
-
Configure a regra multicaminho no dispositivo receptor.
user@host#set security advance-policy-based-routing multipath-rule multi1 bandwidth-limit 60user@host#set security advance-policy-based-routing multipath-rule multi1 application junos:YAHOOuser@host#set security advance-policy-based-routing multipath-rule multi1 application junos:GOOGLEuser@host#set security advance-policy-based-routing multipath-rule multi1 application-group junos:webuser@host#set security advance-policy-based-routing multipath-rule multi1 link-type MPLSuser@host#set security advance-policy-based-routing multipath-rule multi1 link-type IP
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
Configuração de regras multicaminho de dispositivos do lado do hub
[edit security]user@host#show advance-policy-based-routing multipath-rule multi1 multipath-rule multi1 { bandwidth-limit 60; application [ junos:YAHOO junos:GOOGLE ]; application-group junos:web; link-type [ MPLS IP ]; number-of-paths 2; }
[edit security]user@host#show advance-policy-based-routing profile apbr1 { rule rule1 { match { dynamic-application [ junos:GOOGLE, junos:YAHOO ]; dynamic-application-group [ junos:web ]; } then { routing-instance TC1_VPN; sla-rule { sla1; } } } } active-probe-params probe1 { settings { data-fill { juniper; } data-size { 100; } probe-interval { 30; } probe-count { 30; } burst-size { 1; } sla-export-interval { 60; } dscp-code-points { 000110; } } } metrics-profile metric1 { sla-threshold { delay-round-trip { 120000; } jitter { 21000; } jitter-type { egress-jitter; } packet-loss { 2; } } } underlay-interface ge-0/0/2 { unit 0 { link-type MPLS; speed 800; } } underlay-interface ge-0/0/3 { unit 0 { link-type MPLS; speed 500; } } overlay-path overlay-path1 { tunnel-path { local { ip-address { 10.40.1.2; } } remote { ip-address { 10.40.1.1; } } } probe-path { local { ip-address { 10.40.1.2; } } remote { ip-address { 10.40.1.1; } } } } overlay-path overlay-path2 { tunnel-path { local { ip-address { 10.41.1.2; } } remote { ip-address { 10.41.1.1; } } } probe-path { local { ip-address { 10.41.1.2; } } remote { ip-address { 10.41.1.1; } } } } overlay-path overlay-path3 { tunnel-path { local { ip-address { 10.42.1.2; } } remote { ip-address { 10.42.1.1; } } } probe-path { local { ip-address { 10.42.1.2; } } remote { ip-address { 10.42.1.1; } } } } destination-path-group site1 { probe-routing-instance { transit; } overlay-path overlay-path1; overlay-path overlay-path2; overlay-path overlay-path3; } sla-rule sla1 { switch-idle-time { 40; } metrics-profile { metric1; } active-probe-params { probe1; } passive-probe-params { sampling-percentage { 25; } violation-count { 2; } sampling-period { 60000; } type { book-ended; } } multipath-rule { multi1; } } multipath-rule multi1 { bandwidth-limit 60; application [ junos:YAHOO junos:GOOGLE ]; application-group junos:web; link-type [ MPLS IP ]; number-of-paths 2; }
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
- Exibindo status de regra multicaminho
- Exibir estatísticas de regras multicaminho para um aplicativo
- Exibindo políticas de regras multicaminho
- Exibindo status de regra multicaminho
Exibindo status de regra multicaminho
Propósito
Exibir os detalhes da regra multicaminho no dispositivo configurado para enviar tráfego.
Ação
Do modo operacional, entre no show security advance-policy-based-routing multipath rule comando.
user@host>show security advance-policy-based-routing multipath rule multi1
Multipath Rule Status:
Multipath Rule Information:
Multipath rule name multi1
Multipath rule type Packet-Copy
Multipath rule state Active
Configured number of paths 2
Configured application groups junos:web
Configured applications junos:GOOGLE, junos:YAHOO
Path Group Information:
Total path groups : 1
Path-Group-Id State Avl-Num-Paths
1 Active 3
Sender Information:
Statistics:
Current Sessions 0
Ignored Sessions 0
Applications Matched 1
Applications Switched 0
Stopped due to Bandwidth Limit 0
Packets in path inactive state 26
Packets in path active state 2416
Midstream Packets Ignored 0
Total Packets Processed 2442
Total Packets Copied 2442
Status:
Policy reference count 2383
Credit Limit (Mbps) 480
Policer Rate (Kbits per ms) 480
Bandwidth Limit Not-Reached
Maximum Wait Time (secs) 30
Time to Reinforce (secs) 0
Application Hit List junos:YAHOO
Path Groups Information:
Total sender path groups : 1
Path-Group-Id : 1, Cur-Num-Paths: 2
Path Information:
Dst-IP Pkts-Sent Link-type
10.40.1.2 2416 IP
10.41.1.2 2416 MPLS
Cos Q Statistics:
Total sender cos queues: 8
COS-Q-Id Pkts-Sent
0 2416
1 0
2 0
3 0
4 0
5 0
6 0
7 0
Significado
A saída de comando exibe os detalhes da regra multicaminho.
Exibir estatísticas de regras multicaminho para um aplicativo
Propósito
Exibir os detalhes do tráfego do aplicativo no dispositivo configurado para receber tráfego
Ação
Do modo operacional, entre no show security advance-policy-based-routing multipath rule rule-name application application-name comando.
user@host> show security advance-policy-based-routing multipath rule multi1 application junos:YAHOO
Multipath Rule Status:
Multipath Rule Information:
Multipath rule name multi1
Multipath rule type Packet-Copy
Multipath rule state Active
Configured number of paths 2
Configured applications junos:YAHOO
Sender Information:
Statistics:
Current Sessions 0
Ignored Sessions 1
Applications Matched 1
Applications Switched 0
Stopped due to Bandwidth Limit 0
Packets in path inactive state 0
Packets in path active state 627
Midstream Packets Ignored 0
Total Packets Processed 627
Total Packets Copied 627
Significado
A saída de comando exibe a regra multicaminho para a aplicação.
Exibindo políticas de regras multicaminho
Propósito
Exibir os detalhes da regra multicaminho no dispositivo configurado para enviar tráfego.
Ação
Do modo operacional, entre no show security advance-policy-based-routing multipath rule comando.
user@host> show security advance-policy-based-routing multipath policy statistics application junos:YAHOO multipath-name multi1 profile apbr1 rule rule1 zone trust
Sender Information:
Statistics:
Current Sessions 0
Ignored Sessions 0
Applications Matched 1
Applications Switched 0
Stopped due to Bandwidth Limit 0
Packets in path inactive state 26
Packets in path active state 2416
Less than Configured Paths 0
Midstream Packets Ignored 0
Total Packets Processed 2442
Total Packets Copied 2442
Significado
A saída de comando exibe os detalhes sobre o tráfego tratado com a regra multicaminho aplicada.
Exibindo status de regra multicaminho
Propósito
Exibir os detalhes da regra multicaminho no dispositivo configurado para receber tráfego
Ação
Do modo operacional, entre no show security advance-policy-based-routing multipath rule comando.
user@host> show security advance-policy-based-routing multipath rule multi1
Multipath Rule Status:
Multipath Rule Information:
Multipath rule name multi1
Multipath rule type Packet-Copy
Multipath rule state Active
Configured number of paths 2
Configured application groups junos:web
Configured applications junos:GOOGLE, junos:YAHOO
Path Group Information:
Total path groups : 1
Path-Group-Id State Avl-Num-Paths
1 Active 3
Receiver Information:
Path Groups Information:
Total receiver path groups : 1
Path-Group-Id : 1, Avg-Pkt-Loss(%) : 0, Avg-Ingress-Jitter(us) : 171
Path Information:
Dst-IP Pkts-Rcvd Pkt-Loss(%) Ingress-Jitter(us) Reduction-Pkt-Loss(%) Reduction-Ingress-Jitter(us)
10.40.1.1 2442 0 165 0 -6
10.41.1.1 2442 0 158 0 -13
Cos Q Statistics:
Total receiver cos queues: 8
COS-Q-Id Pkts-Rcvd Out-Of-Seq-Drop
0 4884 2442
1 0 0
2 0 0
3 0 0
4 0 0
5 0 0
6 0 0
7 0 0
Significado
A saída exibe detalhes relacionados à regra multicaminho.