Parte 3: configure a qualidade da experiência do aplicativo com a SD-WAN
Visão geral
Nesta seção, você configura a experiência de qualidade do aplicativo (AppQoE) no SRX. O AppQoE melhora a experiência do usuário no nível do aplicativo. As sondas de desempenho monitoram constantemente parâmetros de qualidade de serviço e a conformidade do Contrato de Nível de Serviço (SLA) do tráfego de aplicativos. O resultado é que o tráfego de aplicativos sempre usa o enlace mais compatível com SLA disponível.
Consideremos as aplicações listadas na Tabela 1. Por exemplo, os aplicativos Office365, Salesforce e Zoom são considerados essenciais para os negócios da organização. Todos os aplicativos críticos devem ser roteado pelo enlace WAN privado quando atender aos requisitos de SLA do aplicativo. Aplicativos críticos também usam o enlace LTE quando todos os outros links estão desligados.
Os aplicativos restantes usam o link de acesso à Internet de banda larga como o link principal. Como apenas aplicativos essenciais para os negócios podem usar o enlace de backup LTE, os aplicativos não críticos são inacessíveis quando apenas a conexão LTE está disponível.
Aplicativo |
Enlace primário |
Link secundário |
Negócios críticos? |
---|---|---|---|
Office365 |
WAN privada |
Internet de banda larga |
Sim |
Salesforce |
WAN privada |
Internet de banda larga |
Sim |
Zoom |
WAN privada |
Internet de banda larga |
Sim |
Folga |
Internet de banda larga |
WAN privada |
Não |
Gotomeeting |
Internet de banda larga |
WAN privada |
Não |
Dropbox |
Internet de banda larga |
WAN privada |
Não |
Skype |
Internet de banda larga |
WAN privada |
Não |
Youtube |
Internet de banda larga |
WAN privada |
Não |
Você configura o AppQoE para uma empresa crítica e uma aplicação não crítica para manter o exemplo focado. Você pode adaptar facilmente a configuração para dar suporte a aplicativos adicionais, especificando o tipo de sonda desejado e o nome do domínio alvo ou endereço IP.
Procedimento passo a passo
-
Crie sondas de monitoramento de desempenho temporal para o Office 365. O Office 365 é uma aplicação crítica conforme a Tabela 1. Criamos uma sonda para testar a conectividade com o endereço IP usado pelo Office365, especificamente 40.97.223.114. A sonda está configurada para enviar 5 sondas baseadas em ping, com 6 segundos de diferença no enlace WAN privado. Também configuramos os limites que não devem ser violados, como a perda de 5 sondas sucessivas, ou um tempo de trânsito de ida e volta (RTT) de sondagem superior a 300000 microssegundos. O endereço IP do gateway na interface ge-0/0/3 é 192.168.220.1.
set services rpm probe office365_rpm_primary test office365_test_primary probe-type icmp-ping set services rpm probe office365_rpm_primary test office365_test_primary target address 40.97.223.114 set services rpm probe office365_rpm_primary test office365_test_primary probe-count 5 set services rpm probe office365_rpm_primary test office365_test_primary probe-interval 6 set services rpm probe office365_rpm_primary test office365_test_primary thresholds successive-loss 5 set services rpm probe office365_rpm_primary test office365_test_primary thresholds rtt 300000 set services rpm probe office365_rpm_primary test office365_test_primary destination-interface ge-0/0/3.0 set services rpm probe office365_rpm_primary test office365_test_primary next-hop 192.168.220.1
Ponta:Você pode inserir o alvo da sonda como um endereço IP ou usando um nome de domínio. Se um nome for especificado, o Junos Software o resolverá automaticamente no endereço IP correspondente na configuração. Este exemplo mostra sondas baseadas em ICMP. Outros tipos de sonda existem, por exemplo, um HTTP-get. Nem todos os sites respondem às mensagens de solicitação de eco (Ping) do ICMP. Certifique-se de usar um tipo de sonda suportado pelo provedor de aplicativos.
-
Crie a segunda sonda para a mesma aplicação para sondar o enlace secundário usando a interface secundária. O endereço IP do gateway padrão no enlace internet de banda larga é 172.16.1.1.
set services rpm probe office365_rpm_secondary test office365_test_secondary probe-type icmp-ping set services rpm probe office365_rpm_secondary test office365_test_secondary target address 40.97.223.114 set services rpm probe office365_rpm_secondary test office365_test_secondary probe-count 5 set services rpm probe office365_rpm_secondary test office365_test_secondary probe-interval 6 set services rpm probe office365_rpm_secondary test office365_test_secondary thresholds successive-loss 5 set services rpm probe office365_rpm_secondary test office365_test_secondary thresholds rtt 300000 set services rpm probe office365_rpm_secondary test office365_test_secondary destination-interface ge-0/0/2.0 set services rpm probe office365_rpm_secondary test office365_test_secondary next-hop 172.16.1.1
-
Da mesma forma, você cria duas sondas para o aplicativo Skype. O Skype não é um aplicativo crítico para os negócios de acordo com a Tabela 1. Exigimos uma garantia de nível de serviço mais rigorosa para este aplicativo em tempo real (mas não crítico). Especificamente, você configura um intervalo de sonda mais curto de 1 segundo e um limite de RTT mais curto de 60000 microssegundos.
Nota:Configuramos as sondas primárias e secundárias na interface com base em se a aplicação é essencial para os negócios. A interface e o endereço IP para a sonda primária para aplicativos não críticos (Skype) são diferentes da sonda para o aplicativo crítico (Office365).
set services rpm probe skype_rpm_primary test skype_test_primary probe-type icmp-ping set services rpm probe skype_rpm_primary test skype_test_primary target address 13.107.8.2 set services rpm probe skype_rpm_primary test skype_test_primary probe-count 5 set services rpm probe skype_rpm_primary test skype_test_primary probe-interval 1 set services rpm probe skype_rpm_primary test skype_test_primary thresholds successive-loss 5 set services rpm probe skype_rpm_primary test skype_test_primary thresholds rtt 60000 set services rpm probe skype_rpm_primary test skype_test_primary destination-interface ge-0/0/2.0 set services rpm probe skype_rpm_primary test skype_test_primary next-hop 172.16.1.1 set services rpm probe skype_rpm_secondary test skype_test_secondary probe-type icmp-ping set services rpm probe skype_rpm_secondary test skype_test_secondary target address 13.107.8.2 set services rpm probe skype_rpm_secondary test skype_test_secondary probe-count 5 set services rpm probe skype_rpm_secondary test skype_test_secondary probe-interval 1 set services rpm probe skype_rpm_secondary test skype_test_secondary thresholds successive-loss 5 set services rpm probe skype_rpm_secondary test skype_test_secondary thresholds rtt 60000 set services rpm probe skype_rpm_secondary test skype_test_secondary destination-interface ge-0/0/3.0 set services rpm probe skype_rpm_secondary test skype_test_secondary next-hop 192.168.220.1
-
Crie uma instância de roteamento para cada aplicativo. Configuramos a rota de um aplicativo para o enlace principal com um valor de preferência menor do que o link de backup. Rotas com menor valor de preferência têm preferência por rotas de maior valor. Você inclui a interface de backup LTE apenas para aplicativos essenciais para os negócios.
A instância de roteamento do Office365 define um valor de preferência de rota de 10 para o gateway WAN privado (a rota mais preferida). Um valor de preferência de 20 para o link de Internet de banda larga (próxima rota preferida). E um valor de preferência de 30 para o enlace de backup LTE (a rota menos preferida).
set routing-instances office365_RInstance instance-type forwarding set routing-instances office365_RInstance routing-options static route 0/0 qualified-next-hop 192.168.220.1 preference 10 set routing-instances office365_RInstance routing-options static route 0/0 qualified-next-hop 172.16.1.1 preference 20 set routing-instances office365_RInstance routing-options static route 0/0 qualified-next-hop dl0.0 preference 30
-
Configure as instâncias de roteamento para o aplicativo Slack em um padrão semelhante. Esta aplicação não crítica não inclui a interface LTE na instância de roteamento. Omitir a interface LTE é o que impede que aplicativos não críticos usem o enlace de backup LTE. Observe também como as preferências de rota estáticas fazem com que esse aplicativo use a Internet de banda larga como seu enlace principal.
set routing-instances slack_RInstance instance-type forwarding set routing-instances slack_RInstance routing-options static route 0/0 qualified-next-hop 172.16.1.1 preference 10 set routing-instances slack_RInstance routing-options static route 0/0 qualified-next-hop 192.168.220.1 preference 20
-
Configure políticas de monitoramento de IP para os aplicativos. O objetivo das políticas é alterar dinamicamente a métrica das rotas padrão nas instâncias de roteamento. As políticas operam por sonda.
Nesta etapa, criamos a política de monitoramento de IP para o aplicativo Office365. Para o Office365, configuramos duas sondas e criamos duas políticas: uma para cada sonda. Quando a sonda detecta que o tráfego de aplicativos violou o limiar configurado em um link, a política muda a preferência das rotas. A política diminui a métrica para o segundo melhor enlace para 2. Essa mudança direciona o tráfego na instância de roteamento para o link de backup.
Por exemplo, quando a sonda identifica que o enlace principal do Office365, o enlace WAN privado, não atende aos requisitos de RTT e perda, a política muda a métrica do gateway para o enlace internet de banda larga (próxima rota preferida) para um valor de 2.
set services ip-monitoring policy office365_ipm_primary match rpm-probe office365_rpm_primary set services ip-monitoring policy office365_ipm_primary then preferred-route routing-instances office365_RInstance route 0/0 next-hop 172.16.1.1 set services ip-monitoring policy office365_ipm_primary then preferred-route routing-instances office365_RInstance route 0/0 preferred-metric 2
-
Configure a política de monitoramento de IP para a sonda secundária para o Office365.
Nota:O endereço next-hop é o endereço IP para o link principal de WAN privada.
set services ip-monitoring policy office365_ipm_secondary match rpm-probe office365_rpm_secondary set services ip-monitoring policy office365_ipm_secondary then preferred-route routing-instances office365_RInstance route 0/0 next-hop 192.168.220.1 set services ip-monitoring policy office365_ipm_secondary then preferred-route routing-instances office365_RInstance route 0/0 preferred-metric 2
-
Configure a política de monitoramento de IP para o aplicativo Slack.
set services ip-monitoring policy slack_ipm_primary match rpm-probe slack_rpm_primary set services ip-monitoring policy slack_ipm_primary then preferred-route routing-instances slack_RInstance route 0/0 next-hop 192.168.220.1 set services ip-monitoring policy slack_ipm_primary then preferred-route routing-instances slack_RInstance route 0/0 preferred-metric 2 set services ip-monitoring policy slack_ipm_secondary match rpm-probe slack_rpm_secondary set services ip-monitoring policy slack_ipm_secondary then preferred-route routing-instances slack_RInstance route 0/0 next-hop 172.16.1.1 set services ip-monitoring policy slack_ipm_secondary then preferred-route routing-instances slack_RInstance route 0/0 preferred-metric 2
-
Configure um perfil avançado de roteamento baseado em políticas (APBR). Seu perfil APBR combina com ambas as aplicações usadas neste exemplo. O perfil redireciona o tráfego correspondente para sua respectiva instância de roteamento. O perfil usa regras, com cada regra abrangendo uma aplicação e uma instância de roteamento. Por exemplo, configuramos uma regra nomeada office365_rule para combinar todo o tráfego com o aplicativo chamado "junos:OFFICE365-CREATE-CONVERSATION" e redirecionar o tráfego para a instância de roteamento nomeada office365_RInstance. O aplicativo Slack é entregue da forma.
Nota:O APBR requer uma licença appid-sig. Sem a licença, você terá um erro de confirmação. Veja a seção de requisitos para obter detalhes.
set security advance-policy-based-routing tunables max-route-change 0 set security advance-policy-based-routing profile apbr_profile rule office365_rule match dynamic-application junos:OFFICE365-CREATE-CONVERSATION set security advance-policy-based-routing profile apbr_profile rule office365_rule then routing-instance office365_RInstance set security advance-policy-based-routing profile apbr_profile rule slack_rule match dynamic-application junos:SLACK set security advance-policy-based-routing profile apbr_profile rule slack_rule then routing-instance slack_RInstance
Nota:Para manter a continuidade do aplicativo e não afetar os usuários, queremos permitir mudanças no caminho do meio da sessão para sessões estabelecidas. Você define o
max-route-change
parâmetro para 0 para evitar alterações nas sessões estabelecidas.Ponta:O Junos Software oferece suporte a uma extensa lista de aplicativos reconhecidos dinamicamente. A identificação de aplicativos oferece visibilidade dos aplicativos em sua rede, mostrando como a aplicação funciona, suas características de comportamento e seu risco relativo. O App ID usa vários mecanismos para detectar os aplicativos em sua rede. O App ID funciona independentemente da porta, protocolo, criptografia (TLS/SSL ou SSH), ou outras táticas evasivas. Para obter mais informações, consulte a Identificação de Aplicativos.
-
Configure um grupo independente de protocolo de tabelas de roteamento. Essa configuração copia as rotas da interface para as várias instâncias de roteamento de aplicativos. Cópias dessas rotas são o que permite que uma determinada instância use a WAN privada ou os links de Internet de banda larga. Lembre-se que você definiu ambas as interfaces na instância principal de roteamento.
set routing-options interface-routes rib-group inet apbr_rib_group set routing-options rib-groups apbr_rib_group import-rib inet.0 set routing-options rib-groups apbr_rib_group import-rib office365_RInstance.inet.0 set routing-options rib-groups apbr_rib_group import-rib slack_RInstance.inet.0
-
Adicione o perfil recém-criado apbr_profile à confiança da zona de segurança. Essa configuração aplica o perfil ao tráfego na zona.
set security zones security-zone trust advance-policy-based-routing-profile apbr_profile
-
Comprometa a configuração e volte ao modo operacional.
commit and quit
Verifique a qualidade da experiência do aplicativo
Propósito
Confirme que a APBR está funcionando de acordo com os objetivos deste exemplo.
Ação
Gere uma mistura de tráfego crítico e não crítico de um cliente com ou sem fio. Em seguida, emita os comandos nesta seção para verificar se a ABPR está funcionando corretamente.
Comece confirmando que as sondas RPM são bem sucedidas em links primários e secundários. Para economizar espaço, mostramos apenas as sondas para a aplicação crítica. Todas as sondas devem ter sucesso neste momento. Exibir os resultados das sondas RPM usando os show services rpm probe-results owner office365_rpm_primary
comandos (e secundários).
root@Mist-SRX-GW# show services rpm probe-results owner office365_rpm_primary Owner: office365_rpm_primary, Test: office365_test_primary Target address: 40.97.223.114, Probe type: icmp-ping, Icmp-id: 79 Destination interface name: ge-0/0/3.0 Test size: 5 probes Probe results: Response received Probe sent time: Mon Jun 7 15:58:28 2021 Probe rcvd/timeout time: Mon Jun 7 15:58:28 2021, No hardware timestamps Rtt: 3321 usec, Round trip jitter: -185 usec Round trip interarrival jitter: 1026 usec . . . root@Mist-SRX-GW# show services rpm probe-results owner office365_rpm_secondary Owner: office365_rpm_secondary, Test: office365_test_secondary Target address: 40.97.223.114, Probe type: icmp-ping, Icmp-id: 79 Destination interface name: ge-0/0/2.0 Test size: 5 probes Probe results: Response received Probe sent time: Mon Jun 7 15:58:37 2021 Probe rcvd/timeout time: Mon Jun 7 15:58:37 2021, No hardware timestamps Rtt: 3402 usec, Round trip jitter: 73 usec Round trip interarrival jitter: 424 usec . . .
A saída confirma que as sondas críticas de aplicativos de negócios estão sendo bem-sucedidas nos links primários e secundários. Você espera resultados semelhantes para as sondas de aplicativos nãocríticas, com as interfaces primárias e secundárias invertidas.
Em seguida, exibir uma instância de roteamento para verificar o estado de encaminhamento quando interfaces primárias e secundárias estiverem operacionais. Emitimos o show route table <instance-name>
comando para aplicativos críticos e não críticos.
root@Mist-SRX-GW# show route table office365_RInstance office365_RInstance.inet.0: 13 destinations, 15 routes (13 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 *[Static/10] 03:34:36 > to 192.168.220.1 via ge-0/0/3.0 [Static/20] 03:11:34 > to 172.16.1.1 via ge-0/0/2.0 [Static/30] 03:34:36 > via dl0.0 10.10.20.0/24 *[Direct/0] 03:34:36 > via ge-0/0/4.20 10.10.20.1/32 *[Local/0] 03:34:36 Local via ge-0/0/4.20 10.10.30.0/24 *[Direct/0] 03:34:36 > via ge-0/0/4.30 . . . root@Mist-SRX-GW# show route table office365_RInstance slack_RInstance.inet.0: 13 destinations, 14 routes (13 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 *[Static/10] 03:23:32 > to 172.16.1.1 via ge-0/0/2.0 [Static/20] 03:46:34 > to 192.168.220.1 via ge-0/0/3.0 10.10.20.0/24 *[Direct/0] 03:46:34 > via ge-0/0/4.20 10.10.20.1/32 *[Local/0] 03:46:34 Local via ge-0/0/4.20 10.10.30.0/24 *[Direct/0] 03:46:34 > via ge-0/0/4.30 10.10.30.1/32 *[Local/0] 03:46:34 . . .
A saída confirma que o tráfego classificado como Office 365 usa o enlace WAN privado. Como um aplicativo crítico para os negócios, a instância de roteamento tem um próximo salto secundário e terciário. Quando os dois primeiros saltos seguintes ficam indisponíveis, o tráfego crítico cai para o modem LTE. Por outro lado, o aplicativo não crítico está usando o enlace internet de banda larga para encaminhar o tráfego. Se esse próximo salto ficar indisponível, a instância direcionará o tráfego para a WAN privada. O modem LTE não está listado nesta instância de roteamento. Essa omissão impede que aplicativos não críticos usem o enlace LTE.
Lembre-se que as sondas de monitoramento de SLA fluem pela Internet até o provedor de aplicativos. A natureza de ponta a ponta das sondas permite que o SRX meça o desempenho de ponta a ponta da aplicação. A medição da "experiência de nível de aplicativo" contrasta com a simples detecção de falhas de enlace ou próximo hop com base no status da interface ou detecção bidirecional de encaminhamento (BFD), respectivamente.
Opcional: disrupta sondas RPM para confirmar que o tráfego crítico usa o enlace internet de banda larga. Você pode simular falhas de sonda SLA com um filtro de firewall aplicado na direção de saída na interface WAN privada no dispositivo SRX.
set interfaces ge-0/0/3 unit 0 family inet filter output block_ping set firewall filter block_ping term 1 from destination-address 40.97.223.114/32 set firewall filter block_ping term 1 from protocol icmp set firewall filter block_ping term 1 then count ping set firewall filter block_ping term 1 then discard set firewall filter block_ping term 2 then accept
Com o filtro no enlace WAN privado, você espera encontrar o aplicativo crítico encaminhado pelo link da Internet de banda larga.
root@Mist-SRX-GW# show services rpm probe-results owner office365_rpm_primary Owner: office365_rpm_primary, Test: office365_test_primary Target address: 40.97.223.114, Probe type: icmp-ping, Icmp-id: 93 Destination interface name: ge-0/0/3.0 Test size: 5 probes Probe results: Internal error Probe sent time: Mon Jun 7 16:49:14 2021 Probe rcvd/timeout time: Mon Jun 7 16:49:14 2021 Results over current test: Probes sent: 4, Probes received: 0, Loss percentage: 100.000000 . . . root@Mist-SRX-GW# show route table office365_RInstance office365_RInstance.inet.0: 13 destinations, 16 routes (13 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 *[Static/2] 00:04:30, metric2 0 > to 172.16.1.1 via ge-0/0/2.0 [Static/10] 04:08:08 > to 192.168.220.1 via ge-0/0/3.0 [Static/20] 03:45:06 > to 172.16.1.1 via ge-0/0/2.0 [Static/30] 04:08:08 > via dl0.0 10.10.20.0/24 *[Direct/0] 04:08:08 > via ge-0/0/4.20 . . .
Com as sondas primárias falhando agora, a política de monitoramento de SLA ajustou a preferência de rota estática na instância crítica de roteamento de aplicativos. O resultado são os fluxos de tráfego críticos pelo enlace internet de banda larga. Esse comportamento confirma a operação adequada do monitoramento de desempenho do IP SLA.
Não se esqueça de reverter a mudança do filtro de firewall no SRX! Uma vez revertida, você espera ver a instância crítica de roteamento de aplicativos novamente encaminhando pelo enlace WAN privado.
Você pode monitorar estatísticas de tráfego APBR com o show security advance-policy-based-routing statistics
comando.
user@host>show security advance-policy-based-routing statistics
Advance Profile Based Routing statistics:
Sessions Processed 1930640
App rule hit on cache hit 4540
App rule hit on HTTP Proxy/ALG 0
Midstream disabled rule hit on cache hit 0
URL cat rule hit on cache hit 0
DSCP rule hit on first packet 92693
App and DSCP hit on first packet 0
App rule hit midstream 0
Midstream disabled rule hit midstream 0
URL cat rule hit midstream 0
App and DSCP rule hit midstream 0
DSCP rule hit midstream 0
Route changed on cache hits 97233
Route changed on HTTP Proxy/ALG 0
Route changed midstream 0
Zone mismatch 0
Drop on zone mismatch 0
Next hop not found 0
Application services bypass 0
A saída exibe os detalhes estatísticos do APBR. Os detalhes incluem o número de sessões processadas pela regra APR, e o número de vezes que o tráfego do aplicativo corresponde ao perfil APBR (regra atingida).
Significado
Os comandos e a saída mostrados nesta seção confirmam que o APBR está funcionando corretamente no gateway de serviços SRX. Sua nova filial gerenciada pela Juniper Mist Cloud está pronta para os negócios.