Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Parte 3: configure a qualidade da experiência do aplicativo com a SD-WAN

Visão geral

Nesta seção, você configura a experiência de qualidade do aplicativo (AppQoE) no SRX. O AppQoE melhora a experiência do usuário no nível do aplicativo. As sondas de desempenho monitoram constantemente parâmetros de qualidade de serviço e a conformidade do Contrato de Nível de Serviço (SLA) do tráfego de aplicativos. O resultado é que o tráfego de aplicativos sempre usa o enlace mais compatível com SLA disponível.

Consideremos as aplicações listadas na Tabela 1. Por exemplo, os aplicativos Office365, Salesforce e Zoom são considerados essenciais para os negócios da organização. Todos os aplicativos críticos devem ser roteado pelo enlace WAN privado quando atender aos requisitos de SLA do aplicativo. Aplicativos críticos também usam o enlace LTE quando todos os outros links estão desligados.

Os aplicativos restantes usam o link de acesso à Internet de banda larga como o link principal. Como apenas aplicativos essenciais para os negócios podem usar o enlace de backup LTE, os aplicativos não críticos são inacessíveis quando apenas a conexão LTE está disponível.

Tabela 1: Aplicativos típicos usados em uma filial

Aplicativo

Enlace primário

Link secundário

Negócios críticos?

Office365

WAN privada

Internet de banda larga

Sim

Salesforce

WAN privada

Internet de banda larga

Sim

Zoom

WAN privada

Internet de banda larga

Sim

Folga

Internet de banda larga

WAN privada

Não

Gotomeeting

Internet de banda larga

WAN privada

Não

Dropbox

Internet de banda larga

WAN privada

Não

Skype

Internet de banda larga

WAN privada

Não

Youtube

Internet de banda larga

WAN privada

Não

Nota:

Você configura o AppQoE para uma empresa crítica e uma aplicação não crítica para manter o exemplo focado. Você pode adaptar facilmente a configuração para dar suporte a aplicativos adicionais, especificando o tipo de sonda desejado e o nome do domínio alvo ou endereço IP.

Procedimento passo a passo

  1. Crie sondas de monitoramento de desempenho temporal para o Office 365. O Office 365 é uma aplicação crítica conforme a Tabela 1. Criamos uma sonda para testar a conectividade com o endereço IP usado pelo Office365, especificamente 40.97.223.114. A sonda está configurada para enviar 5 sondas baseadas em ping, com 6 segundos de diferença no enlace WAN privado. Também configuramos os limites que não devem ser violados, como a perda de 5 sondas sucessivas, ou um tempo de trânsito de ida e volta (RTT) de sondagem superior a 300000 microssegundos. O endereço IP do gateway na interface ge-0/0/3 é 192.168.220.1.

    Ponta:

    Você pode inserir o alvo da sonda como um endereço IP ou usando um nome de domínio. Se um nome for especificado, o Junos Software o resolverá automaticamente no endereço IP correspondente na configuração. Este exemplo mostra sondas baseadas em ICMP. Outros tipos de sonda existem, por exemplo, um HTTP-get. Nem todos os sites respondem às mensagens de solicitação de eco (Ping) do ICMP. Certifique-se de usar um tipo de sonda suportado pelo provedor de aplicativos.

  2. Crie a segunda sonda para a mesma aplicação para sondar o enlace secundário usando a interface secundária. O endereço IP do gateway padrão no enlace internet de banda larga é 172.16.1.1.

  3. Da mesma forma, você cria duas sondas para o aplicativo Skype. O Skype não é um aplicativo crítico para os negócios de acordo com a Tabela 1. Exigimos uma garantia de nível de serviço mais rigorosa para este aplicativo em tempo real (mas não crítico). Especificamente, você configura um intervalo de sonda mais curto de 1 segundo e um limite de RTT mais curto de 60000 microssegundos.

    Nota:

    Configuramos as sondas primárias e secundárias na interface com base em se a aplicação é essencial para os negócios. A interface e o endereço IP para a sonda primária para aplicativos não críticos (Skype) são diferentes da sonda para o aplicativo crítico (Office365).

  4. Crie uma instância de roteamento para cada aplicativo. Configuramos a rota de um aplicativo para o enlace principal com um valor de preferência menor do que o link de backup. Rotas com menor valor de preferência têm preferência por rotas de maior valor. Você inclui a interface de backup LTE apenas para aplicativos essenciais para os negócios.

    A instância de roteamento do Office365 define um valor de preferência de rota de 10 para o gateway WAN privado (a rota mais preferida). Um valor de preferência de 20 para o link de Internet de banda larga (próxima rota preferida). E um valor de preferência de 30 para o enlace de backup LTE (a rota menos preferida).

  5. Configure as instâncias de roteamento para o aplicativo Slack em um padrão semelhante. Esta aplicação não crítica não inclui a interface LTE na instância de roteamento. Omitir a interface LTE é o que impede que aplicativos não críticos usem o enlace de backup LTE. Observe também como as preferências de rota estáticas fazem com que esse aplicativo use a Internet de banda larga como seu enlace principal.

  6. Configure políticas de monitoramento de IP para os aplicativos. O objetivo das políticas é alterar dinamicamente a métrica das rotas padrão nas instâncias de roteamento. As políticas operam por sonda.

    Nesta etapa, criamos a política de monitoramento de IP para o aplicativo Office365. Para o Office365, configuramos duas sondas e criamos duas políticas: uma para cada sonda. Quando a sonda detecta que o tráfego de aplicativos violou o limiar configurado em um link, a política muda a preferência das rotas. A política diminui a métrica para o segundo melhor enlace para 2. Essa mudança direciona o tráfego na instância de roteamento para o link de backup.

    Por exemplo, quando a sonda identifica que o enlace principal do Office365, o enlace WAN privado, não atende aos requisitos de RTT e perda, a política muda a métrica do gateway para o enlace internet de banda larga (próxima rota preferida) para um valor de 2.

  7. Configure a política de monitoramento de IP para a sonda secundária para o Office365.

    Nota:

    O endereço next-hop é o endereço IP para o link principal de WAN privada.

  8. Configure a política de monitoramento de IP para o aplicativo Slack.

  9. Configure um perfil avançado de roteamento baseado em políticas (APBR). Seu perfil APBR combina com ambas as aplicações usadas neste exemplo. O perfil redireciona o tráfego correspondente para sua respectiva instância de roteamento. O perfil usa regras, com cada regra abrangendo uma aplicação e uma instância de roteamento. Por exemplo, configuramos uma regra nomeada office365_rule para combinar todo o tráfego com o aplicativo chamado "junos:OFFICE365-CREATE-CONVERSATION" e redirecionar o tráfego para a instância de roteamento nomeada office365_RInstance. O aplicativo Slack é entregue da forma.

    Nota:

    O APBR requer uma licença appid-sig. Sem a licença, você terá um erro de confirmação. Veja a seção de requisitos para obter detalhes.

    Nota:

    Para manter a continuidade do aplicativo e não afetar os usuários, queremos permitir mudanças no caminho do meio da sessão para sessões estabelecidas. Você define o max-route-change parâmetro para 0 para evitar alterações nas sessões estabelecidas.

    Ponta:

    O Junos Software oferece suporte a uma extensa lista de aplicativos reconhecidos dinamicamente. A identificação de aplicativos oferece visibilidade dos aplicativos em sua rede, mostrando como a aplicação funciona, suas características de comportamento e seu risco relativo. O App ID usa vários mecanismos para detectar os aplicativos em sua rede. O App ID funciona independentemente da porta, protocolo, criptografia (TLS/SSL ou SSH), ou outras táticas evasivas. Para obter mais informações, consulte a Identificação de Aplicativos.

  10. Configure um grupo independente de protocolo de tabelas de roteamento. Essa configuração copia as rotas da interface para as várias instâncias de roteamento de aplicativos. Cópias dessas rotas são o que permite que uma determinada instância use a WAN privada ou os links de Internet de banda larga. Lembre-se que você definiu ambas as interfaces na instância principal de roteamento.

  11. Adicione o perfil recém-criado apbr_profile à confiança da zona de segurança. Essa configuração aplica o perfil ao tráfego na zona.

  12. Comprometa a configuração e volte ao modo operacional.

Verifique a qualidade da experiência do aplicativo

Propósito

Confirme que a APBR está funcionando de acordo com os objetivos deste exemplo.

Ação

Gere uma mistura de tráfego crítico e não crítico de um cliente com ou sem fio. Em seguida, emita os comandos nesta seção para verificar se a ABPR está funcionando corretamente.

Comece confirmando que as sondas RPM são bem sucedidas em links primários e secundários. Para economizar espaço, mostramos apenas as sondas para a aplicação crítica. Todas as sondas devem ter sucesso neste momento. Exibir os resultados das sondas RPM usando os show services rpm probe-results owner office365_rpm_primary comandos (e secundários).

A saída confirma que as sondas críticas de aplicativos de negócios estão sendo bem-sucedidas nos links primários e secundários. Você espera resultados semelhantes para as sondas de aplicativos nãocríticas, com as interfaces primárias e secundárias invertidas.

Em seguida, exibir uma instância de roteamento para verificar o estado de encaminhamento quando interfaces primárias e secundárias estiverem operacionais. Emitimos o show route table <instance-name> comando para aplicativos críticos e não críticos.

A saída confirma que o tráfego classificado como Office 365 usa o enlace WAN privado. Como um aplicativo crítico para os negócios, a instância de roteamento tem um próximo salto secundário e terciário. Quando os dois primeiros saltos seguintes ficam indisponíveis, o tráfego crítico cai para o modem LTE. Por outro lado, o aplicativo não crítico está usando o enlace internet de banda larga para encaminhar o tráfego. Se esse próximo salto ficar indisponível, a instância direcionará o tráfego para a WAN privada. O modem LTE não está listado nesta instância de roteamento. Essa omissão impede que aplicativos não críticos usem o enlace LTE.

Lembre-se que as sondas de monitoramento de SLA fluem pela Internet até o provedor de aplicativos. A natureza de ponta a ponta das sondas permite que o SRX meça o desempenho de ponta a ponta da aplicação. A medição da "experiência de nível de aplicativo" contrasta com a simples detecção de falhas de enlace ou próximo hop com base no status da interface ou detecção bidirecional de encaminhamento (BFD), respectivamente.

Opcional: disrupta sondas RPM para confirmar que o tráfego crítico usa o enlace internet de banda larga. Você pode simular falhas de sonda SLA com um filtro de firewall aplicado na direção de saída na interface WAN privada no dispositivo SRX.

Com o filtro no enlace WAN privado, você espera encontrar o aplicativo crítico encaminhado pelo link da Internet de banda larga.

Com as sondas primárias falhando agora, a política de monitoramento de SLA ajustou a preferência de rota estática na instância crítica de roteamento de aplicativos. O resultado são os fluxos de tráfego críticos pelo enlace internet de banda larga. Esse comportamento confirma a operação adequada do monitoramento de desempenho do IP SLA.

Nota:

Não se esqueça de reverter a mudança do filtro de firewall no SRX! Uma vez revertida, você espera ver a instância crítica de roteamento de aplicativos novamente encaminhando pelo enlace WAN privado.

Você pode monitorar estatísticas de tráfego APBR com o show security advance-policy-based-routing statistics comando.

A saída exibe os detalhes estatísticos do APBR. Os detalhes incluem o número de sessões processadas pela regra APR, e o número de vezes que o tráfego do aplicativo corresponde ao perfil APBR (regra atingida).

Significado

Os comandos e a saída mostrados nesta seção confirmam que o APBR está funcionando corretamente no gateway de serviços SRX. Sua nova filial gerenciada pela Juniper Mist Cloud está pronta para os negócios.