Roteamento avançado baseado em políticas

Roteamento avançado baseado em políticas

O crescimento implacável do tráfego e aplicativos de voz, dados e vídeo que atravessam a rede exige que as redes reconheçam os tipos de tráfego para priorizar, segregar e encaminhar tráfego de forma eficaz sem comprometer o desempenho ou a disponibilidade.

Começando pelo Junos OS Release 15.1X49-D60, os firewalls da Série SRX oferecem suporte ao roteamento avançado baseado em políticas (APBR) para enfrentar esses desafios.

O roteamento avançado baseado em políticas é um tipo de roteamento baseado em sessão, com reconhecimento de aplicativos. Esse mecanismo combina o roteamento baseado em políticas e a solução de gerenciamento de tráfego consciente de aplicativos. O APBR implica classificar os fluxos com base nos atributos dos aplicativos e aplicar filtros com base nesses atributos para redirecionar o tráfego. O mecanismo de classificação de fluxo é baseado em pacotes que representam o aplicativo em uso.

O APBR implementa:

• Inspeção profunda de pacotes e recursos de correspondência de padrões do AppID para identificar o tráfego de aplicativos ou uma sessão de usuário em um aplicativo

• Procurar no ASC para o tipo de aplicativo e o endereço IP de destino correspondente, porta de destino, tipo de protocolo e serviço para uma regra de correspondência

Se uma regra de correspondência for encontrada, o tráfego é direcionado para uma rota apropriada e para a interface ou dispositivo correspondentes.

Benefícios do APBR

• Permite que você defina o comportamento de roteamento com base em aplicativos.

• Oferece recursos de manuseio de tráfego mais flexíveis e oferece controle granular para o encaminhamento de pacotes com base em atributos de aplicativos.

Entendendo como o APBR funciona

Vamos entender os componentes do APBR antes de discutirmos o trabalho do APBR:

• Crie um perfil APBR (também conhecido como perfil de aplicativo neste documento). O perfil inclui várias regras de APBR. Cada regra inclui vários aplicativos ou grupos de aplicativos conforme critérios de correspondência. Se o tráfego corresponder a qualquer um dos grupos de aplicativo ou aplicativo de uma regra, a regra é considerada compatível e o perfil direciona o tráfego do aplicativo para a instância de roteamento associada.

• O perfil APBR associa uma instância de roteamento à regra APBR. Quando o tráfego corresponde a um perfil de aplicativo, a rota estática associada e o próximo salto definidos na instância de roteamento são usados para rotear o tráfego para a sessão em particular.

• Associe o perfil do aplicativo ao tráfego de entrada. Você pode anexar o perfil do APBR a uma política APBR e aplicar como serviços de aplicativo para a sessão.

Vamos continuar entendendo sobre o fluxo de trabalho do APBR e depois discutir sobre o suporte midstream do APBR e, em seguida, sobre a primeira classificação de pacotes no APBR.

Fluxo de trabalho apbr

A Figura 1 resume o comportamento do APBR antes da versão 21.3R1 do Junos OS.

Figura 1: Comportamento do APBR

O dispositivo de segurança usa DPI para identificar atributos de um aplicativo e usa o APBR para rotear o tráfego pela rede. Em uma cadeia de serviços, o tráfego de aplicativos passa por DPI antes que o dispositivo aplique o ABPR. O processo de identificação de um aplicativo usando DPI requer análise de vários pacotes. Nesses casos, o tráfego inicial atravessa uma rota padrão (rota não APBR) para chegar ao destino. O processo continua e o DPI identifica o aplicativo. Assim que o DPI identificar o aplicativo, o APBR aplica regras para o resto da sessão. O tráfego atravessa a rota de acordo com a regra de perfil do APBR.

Quando você usa diferentes grupos de NAT para NAT de origem e aplica o APBR midstream, o endereço IP de origem da sessão permanece o mesmo que o que a sessão estava usando antes do APBR midstream.

• Suporte a Midstream do APBR
• APBR com classificação de primeiro pacote
• Benefícios da classificação de primeiros pacotes
• Limitações

A partir do Junos OS Release 21.3R1, o APBR usa a classificação de primeiro pacote para identificar aplicativos no tráfego de rede. O APBR identifica aplicativos examinando o primeiro pacote no fluxo de tráfego e, em seguida, aplica regras específicas do aplicativo para encaminhar o tráfego.

A Figura 2 mostra como o APBR usa a classificação de primeiro pacote para obter detalhes do aplicativo.

Figura 2: APBR com classificação de primeiro pacote

A classificação de primeiro pacote aproveita o repositório que inclui detalhes como mapeamento IP estático e detalhes das portas dos aplicativos. O repositório faz parte do pacote de assinatura de aplicativos (JDPI).

Para a primeira sessão de um aplicativo em cache, o APBR consulta o ASC para obter detalhes do fluxo do aplicativo. Se a entrada do aplicativo não estiver disponível no ASC, a APBR consultará o JDPI para obter os detalhes do aplicativo. O APBR usa o endereço IP e os detalhes da porta do fluxo para a consulta. Se o mapeamento do aplicativo estiver disponível, o JDPI retorna os detalhes ao APBR. Após obter detalhes do aplicativo, o APBR pesquisa o perfil configurado do aplicativo e roteia o pacote pela instância de roteamento atribuída.

Ao mesmo tempo, o JDPI continua processando os pacotes e atualizando o ASC (se habilitado). Para os fluxos subsequentes, o APBR realiza o roteamento do tráfego com base na entrada de aplicativos presente no ASC para o fluxo.

Com a classificação de primeiro pacote, você pode usar diferentes grupos de NAT para NAT de origem em sua configuração APBR para aplicativos cacheáveis.

Opções avançadas de roteamento com base em políticas

Você pode agilizar o manuseio de tráfego com o APBR usando as seguintes opções:

• Limit route change- Algumas sessões passam por uma classificação contínua no meio da sessão, à medida que as assinaturas do aplicativo identificam o aplicativo. Sempre que um aplicativo é identificado pelas assinaturas do aplicativo, o APBR é aplicado e isso resulta em uma mudança na rota do tráfego. Você pode limitar o número de vezes que uma rota pode mudar para uma sessão usando a opção max-route-change da tunables declaração.

  set security advance-policy-based-routing tunables max-route-change value

  Exemplo:

  Neste exemplo, você deseja limitar o número de alterações de rota por sessão para 5. Quando há uma mudança na rota no meio da sessão, essa contagem é reduzida para 4. Esse processo continua até que a contagem chegue a 0. Depois disso, o APBR não é aplicado no meio da sessão.

  Se um aplicativo identificado tiver uma entrada no ASC, então, a contagem não será reduzida para essa sessão, porque a sessão começou com a rota especificada de acordo com a configuração do APBR.

• Terminate session if APBR is bypassed—Você pode encerrar a sessão se houver uma incompatibilidade entre zonas quando o APBR estiver sendo aplicado no meio da sessão. Quando você deseja aplicar o APBR no meio de uma sessão, tanto a nova interface de saída quanto a interface de saída existente devem fazer parte da mesma zona. Se você mudar a zona para uma interface no meio de uma sessão, então, por padrão, o APBR não é aplicado, e o tráfego continua a atravessar pela interface existente. Para mudar esse comportamento padrão, você pode encerrar a sessão por completo, em vez de permitir que o tráfego passe pela mesma rota ignorando o APBR, usando a opção drop-on-zone-mismatch da tunables declaração.

  Exemplo:

• Enable logging— Você pode permitir que o registro registre eventos que ocorrem no dispositivo, por exemplo, quando o APBR é ignorado devido a uma mudança nas zonas para interfaces. Você pode usar a opção enable-logging da tunables declaração para configurar o registro.

  Exemplo:

• Enable reverse reroute— Para implantações que exigem simetria de tráfego para rotas ECMP, e o tráfego de entrada precisa mudar no meio da sessão, o redirecionamento pode ser alcançado usando a opção de permitir o redirecionamento reverso específico para uma zona de segurança da seguinte forma:

  Exemplo:

  [edit]

  set security zones security-zone zone-name enable-reverse-reroute

  Quando a configuração acima é habilitada para uma zona de segurança, onde um pacote de entrada chega em uma interface e tem uma interface de saída/retorno diferente, uma mudança na interface é detectada e desencadeia um redirecionamento. Uma pesquisa de rota é realizada para o caminho inverso, e a preferência será dada à interface na qual o pacote chegou.

  Outras paradas de processamento para uma sessão específica quando uma pesquisa de rota falha no tráfego no caminho inverso.

  O suporte para o redirecionamento reverso está disponível a partir do Junos OS Release 15.1X49-D130 e versões posteriores.

• Support for Layer 3 and Layer 4 Applications— A partir do Junos OS Release 20.2R1, o APBR oferece suporte a aplicativos personalizados de Camada 3 e Camada 4. Você pode desabilitar manualmente a pesquisa de aplicativos personalizados de Camada 3 e Camada 4 no APBR usando a seguinte declaração de configuração:
• Application Tracking—

  Você pode habilitar o AppTrack a inspecionar o tráfego e coletar estatísticas sobre fluxos de aplicativos na zona especificada. Veja a compreensão do rastreamento de aplicativos para obter mais detalhes.

Caso de uso

• Quando vários links ISP são usados:

  • O APBR pode ser usado para selecionar links de alta largura de banda e baixa latência para aplicativos importantes, quando mais de um link estiver disponível.

  • O APBR pode ser usado para criar um link de retorno para tráfego importante em caso de falha no enlace. Quando vários links estão disponíveis, e o link principal que transporta o tráfego importante do aplicativo sofre uma interrupção, então o outro link configurado como o link de fallback pode ser usado para transportar tráfego.

  • O APBR pode ser usado para segregar o tráfego para inspeção ou análise profunda. Com esse recurso, você pode classificar o tráfego com base em aplicativos que são necessários para passar por inspeções e auditorias profundas. Se necessário, esse tráfego pode ser roteado para um dispositivo diferente.

Limitações

O APBR tem as seguintes limitações:

• O redirecionamento da rota para o tráfego depende da presença de uma entrada no cache do sistema de aplicativos (ASC). O roteamento só terá sucesso se a busca do ASC for bem sucedida. Para a primeira sessão, quando o ASC não está presente para o tráfego, o tráfego passa por uma rota padrão (rota não APBR) até o destino (essa limitação é aplicável apenas para as versões antes do Junos OS 15.1X49-D110).

• O APBR não funciona se um pacote de assinatura de aplicativo não estiver instalado ou se a identificação do aplicativo não estiver habilitada.

O APBR com suporte midstream tem as seguintes limitações:

• O APBR funciona apenas para o tráfego futuro.

• O APBR não funciona para sessões de dados iniciadas por uma entidade a partir da sessão de controle, como FTP ativo.

• Ao usar diferentes grupos de NAT para NAT de origem e APBR midstream, o endereço IP de origem da sessão continua a ser o mesmo que o que a sessão vem usando antes de aplicar o APBR midstream.

• O APBR com suporte midstream só funciona quando todas as interfaces de saída estão na mesma zona. Por causa disso, apenas as instâncias de roteamento e roteamento virtual e encaminhamento (VRF) podem ser usadas para aproveitar o suporte midstream do APBR.

Como funciona a política do APBR?

As políticas apbr são definidas para uma zona de segurança. Se houver uma ou mais política apbr associada a uma zona, a sessão que é iniciada a partir da zona de segurança passa pela correspondência da política.

As sequências a seguir estão envolvidas na correspondência do tráfego por uma política APBR e na aplicação de roteamento avançado baseado em políticas para encaminhar o tráfego, com base nos parâmetros/regras definidos:

• Quando o tráfego chega à zona de entrada, ele é compatível com as regras da política apbr. A condição de correspondência da política inclui o endereço de origem, endereço de destino e aplicativo.

• Quando o tráfego corresponde às regras da política de segurança, a ação da política APBR é aplicada ao tráfego. Você pode habilitar o APBR como um serviço de aplicativo na ação de política apbr especificando o nome do perfil APBR.

• A configuração do perfil APBR incude o conjunto de regras que contém conjunto de aplicativos dinâmicos e grupos de aplicativos dyamic como condição de correspondência. A parte de ação dessas regras contém a instância de roteamento pela qual o tráfego precisa ser encaminhado. A instância de roteamento pode incluir a configuração de roteamento estático ou rotas aprendidas dinâmicas.

• Todo o tráfego destinado à rota estática é transmitido para o endereço de próximo salto para transitar para um dispositivo ou interface específico.

As regras da política apbr são terminais, o que significa que, uma vez que o tráfego é compatível com uma política, ele não é processado ainda mais pelas outras políticas.

Se uma política APBR tiver o tráfego correspondente e o perfil APBR não tiver nenhum tráfego que corresponda à regra, então o tráfego correspondente à política APBR passa por uma instância de roteamento padrão [inet0] até o destino.

Suporte de perfil APBR legado

Antes do Junos OS Release 18.2R1, o perfil APBR foi aplicado no nível da zona de segurança. Com o suporte para a política APBR, a configuração do APBR no nível da zona de segurança é preterida no futuro, em vez de ser removida imediatamente para fornecer compatibilidade retrógrada e uma chance de colocar sua configuração em conformidade com a nova configuração.

No entanto, se você tiver configurado um APBR baseado em zona e tentar adicionar uma política APBR para a zona de segurança específica, o commit pode falhar. Você deve excluir a configuração baseada em zona para configurar a política APBR para a zona. Da mesma forma, se uma política APBR estiver configurada para uma zona de segurança e tentar configurar o APBR baseado em zona, isso resulta em erro de confirmação.

Limitação

• Ao usar endereço ou endereço específicos definidos na regra da política APBR, recomendamos usar a lista de endereços global. Como as regras específicas da zona podem não ser aplicáveis para endereço de destino, pois a zona de destino não é conhecida no momento da avaliação da política.

• A configuração da política APBR para a zona de segurança junos-host não é suportada.

Processamento de regras em um perfil APBR

Você pode fornecer roteamento avançado baseado em políticas classificando o tráfego com base nos atributos dos aplicativos e aplicando políticas com base nesses atributos para redirecionar o tráfego. Para isso, você deve definir o perfil APBR e associá-lo a uma política APBR. Você pode criar um perfil APBR para incluir várias regras com aplicativos dinâmicos, grupos de aplicativos ou ambos, ou uma categoria de URL como critérios de correspondência. As regras configuradas no perfil APBR podem incluir qualquer uma das seguintes:

• Um ou mais aplicativos, aplicativos dinâmicos ou grupos de aplicativos

• Categoria de URL (endereço de destino IP)— EWF ou filtragem de Web local.

Em um perfil APBR, a busca por regras é realizada para ambos os critérios de correspondência. Se apenas um critério de correspondência estiver disponível, a pesquisa de regra será feita com base nos critérios de correspondência disponíveis.

O perfil APBR inclui as regras para combinar o tráfego com aplicativos ou categorias de URL e a ação para redirecionar o tráfego correspondente para a instância de roteamento especificada para a pesquisa de rota.

No Junos OS Release18.3R1, a correspondência da categoria URL é feita com base no endereço IP de destino; por causa disso, a correspondência de regras baseadas em categoria de URL é terminada no primeiro pacote da sessão. Como um aplicativo dinâmico pode ser identificado no meio da sessão, o processo de correspondência para as regras dinâmicas do aplicativo continua até que o processo de identificação do aplicativo seja concluído.

Benefícios do roteamento baseado em categoria de URL

• O uso de categorias baseadas em URL permite que você tenha controle granular sobre o tráfego da Web. O tráfego pertencente a categorias específicas de sites é redirecionado por diferentes caminhos e, com base na categoria, é submetido a um processamento de segurança adicional, incluindo a descriptografia de SSL para tráfego HTTPS.

• Os recursos de manuseio de tráfego baseados em categorias de URL permitem que você use caminhos diferentes para sites selecionados. Usar caminhos diferentes resulta em uma melhor qualidade de experiência (QoE) e também permite que você use a largura de banda disponível de forma eficaz.

• As soluções SD-WAN podem usar o roteamento baseado em categoria de URL, além do roteamento dinâmico baseado em aplicativos.

• O roteamento baseado na categoria URL pode ser usado para soluções locais de fuga de Internet, pois pode funcionar com mudanças na configuração de NAT de origem.

Limitações do roteamento baseado em categoria de URL

Usar categorias de URL em um perfil APBR tem as seguintes limitações:

• Apenas o endereço IP de destino é usado para a identificação da categoria de URL em um perfil APBR. As categorias de URL com base no host, ou na URL ou no campo SNI não são suportadas.

• Você pode configurar um aplicativo dinâmico ou uma categoria de URL como condição de correspondência em uma regra de perfil APBR. Configurar uma regra com categoria de URL e aplicativo dinâmico resulta em um erro de confirmação.

Benefícios

• Permite que você defina o comportamento de roteamento em níveis mais granulares para garantir uma aplicação segura da política no tráfego de aplicativos que atravessa a rede.

• Oferece recursos de manuseio de tráfego mais flexíveis e oferece controle granular para o encaminhamento de pacotes com base nas funções e requisitos de negócios dos usuários.

Introdução

As técnicas de identificação de aplicativos dependem de inspeção profunda de pacotes (DPI). Existem alguns casos em que o mecanismo de DPI pode não ser capaz de identificar o aplicativo, por exemplo — tráfego criptografado. Se você aplicar as regras do APBR em tal tráfego, o tráfego passa por processamento normal sem a funcionalidade APBR aplicada nele.

A partir da versão 19.3R1 do Junos OS, os firewalls da Série SRX suportam a configuração de valores de DSCP em uma regra APBR como critérios de correspondência para executar a funcionalidade APBR no tráfego com tags DSCP.

Você pode configurar o valor do DSCP, além dos outros critérios de correspondência da regra APBR, como aplicativo dinâmico e grupo dinâmico de aplicativos.

Ao configurar o valor do DSCP em uma regra APBR, você pode estender o serviço APBR para o tráfego com as marcas de DSCP.

Caso de uso

Você pode usar as regras do APBR com DSCP como critério de correspondência para o tráfego criptografado.

Limitação

• Suporte não disponível para configuração de regras com valor de DSCP e categoria de URL em um único perfil APBR.

Pesquisa de regras do APBR ao usar um valor de DSCP como critério de correspondência

Em uma regra APBR, você pode configurar um valor de DSCP ou aplicativos dinâmicos ou combinação de ambos.

Se você tiver configurado tanto o DSCP quanto o aplicativo dinâmico em uma regra APBR, a regra será considerada compatível se o tráfego corresponder a todos os critérios especificados na regra. Se houver vários valores de DSCP presentes na regra APBR, então, se algum critério corresponder, ele será considerado compatível.

Um perfil APBR pode conter várias regras, cada regra com uma variedade de condições de correspondência.

No caso de várias regras apbr em um perfil APBR, a pesquisa de regra usa a seguinte ordem de prioridade:

1. Regra com DSCP + aplicativo dinâmico

2. Regra com aplicativo dinâmico

3. Regra com valor de DSCP

Se um perfil APBR contém várias regras, o sistema executa uma pesquisa de regras e aplica a regra na ordem a seguir:

• O sistema aplica as regras baseadas em DSCP para o primeiro pacote da sessão.

• O sistema continua a verificar se há alguma informação de aplicativo disponível na classificação de DPI ou cache do sistema de aplicativos (ASC).

• No meio da sessão, se o DPI identificar um novo aplicativo, o sistema realizará uma pesquisa de regras e aplicará uma nova regra (regra baseada em aplicativo ou regra baseada em DSCP ou combinação de ambos) conforme aplicável.

• A identificação da busca por aplicativos e regras continua até que o DPI identifique um aplicativo conforme o aplicativo final ou o valor máximo de redirecionamento são alcançados.

• Se a busca pela regra não corresponder a nenhuma regra, nenhuma ação adicional será tomada.

Vamos entender como o APBR realiza a pesquisa de regras e aplica as regras com os dois exemplos a seguir:

• Exemplo 1
• Exemplo 2

Configuração

• Configuração rápida da CLI
• Procedimento passo a passo
• Resultados

Por que é necessário desativar seletivamente o roteamento midstream?

Algumas sessões passam por uma classificação contínua no meio da sessão, à medida que as assinaturas do aplicativo identificam o aplicativo. Sempre que um aplicativo é identificado pelas assinaturas do aplicativo, o APBR é aplicado e isso resulta em uma mudança na rota do tráfego. Você pode limitar o número de vezes que uma rota pode mudar para uma sessão usando a opção max-route-change . Se você definir essa opção para 0, o APBR será desativado para a sessão em particular. No entanto, essa opção também desativa a funcionalidade APBR globalmente em seu dispositivo, o que pode não ser necessário.

Desativação seletiva do APBR no midstream

A partir do Junos OS Release 19.4R1, você pode desativar seletivamente o serviço APBR no meio de uma sessão para uma regra APBR específica, mantendo a funcionalidade APBR global para as sessões restantes. Quando você desativa o roteamento midstream para uma regra APBR específica, o sistema não aplica o APBR midstream para tráfego de aplicativo correspondente e roteia o tráfego por uma rota não APBR.

Para desativar seletivamente o APBR midstream, você pode configurar a regra APBR com a opção de roteamento midstream (disable-midstream-routing) em [edit security advance-policy-based-routing profile apbr-profile-name rule apbr-rule-name] nível de hierarquia.

A Tabela 7 mostra o comportamento da opção APBR midstream desativada seletivamente.

A desativação do roteamento midstream para uma regra APBR específica redirecionará o tráfego do aplicativo de volta por uma rota não APBR padrão.