Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

了解基于应用的路由

由于遍历网络的语音、数据和视频流量及应用的无情增长,网络需要识别流量类型,以便在不影响性能或可用性的情况下有效地确定流量的优先级、隔离和路由。SRX 系列服务网关支持基于策略的高级路由 (APBR)(也称为基于应用的路由),以满足这些要求。

注意:

Security Director 不支持 APBR 监控小组件。

APBR 是一种基于会话的、应用感知的路由。该机制将基于策略的路由与应用感知流量管理解决方案相结合。APBR 意味着根据应用的属性对流量进行分类,并基于这些属性应用过滤器来重定向流量。流分类机制基于代表正在使用的应用的数据包。

APBR 实现:

  • 深度包检测 (DPI) 和应用识别模式匹配功能,可识别应用流量或应用内的用户会话

  • 在应用系统缓存 (ASC) 中查找应用程序类型,以及匹配规则的对应目标 IP 地址、目标端口、协议类型和服务

如果找到匹配的规则,则将流量定向到相应的路由和对应的接口或设备。

APBR 具有以下优势:

  • 允许您基于应用程序属性定义路由行为。

  • 通过提供基于应用属性转发数据包的精细化控制,提供更灵活的流量处理功能,扩展静态路由的范围。

APBR 涉及以下工作流程:

  • 创建一个 APBR 配置文件(在本文档中也称为应用程序配置文件),该配置文件将与要定向到其他下一跃点的流量类型匹配。配置文件包含多个规则。每个规则可以包含多个应用程序或应用程序组。如果应用程序与配置文件中规则的任何应用程序或应用程序组匹配,则应用程序配置文件规则将被视为匹配。

  • 将路由实例与应用程序配置文件规则相关联。当入口区域和接口上的流量与应用配置文件匹配时,将使用路由实例中定义的关联静态路由和下一跃点来路由特定会话的流量。

  • 将应用程序配置文件与入口流量相关联。应用程序配置文件可以附加到安全区域,也可以附加到与安全区域关联的特定逻辑或物理接口。如果将应用程序配置文件应用于安全区域,则默认情况下,属于该区域的所有接口都将连接到应用程序配置文件,除非该接口已存在特定配置。

图 1 显示了应用 APBR 技术的顺序。

图 1:APBR 流程图 Flowchart illustrating the decision-making process for Advanced Policy-Based Routing in network security, detailing APBR profile setup, incoming packet evaluation, application matching, and APBR rule matching.

以下过程介绍了基于应用程序的路由:

  1. APBR 基于传入接口评估数据包,以确定会话是否适合基于应用的路由。如果流量尚未针对基于应用的路由进行标记,则会进行正常处理(非 APBR 路由)。

  2. 如果会话需要基于应用程序的路由,APBR 会查询应用程序系统缓存 (ASC) 模块,以获取应用程序属性详细信息(IP 地址、目标端口、协议类型和服务)。

    如果找到应用程序,则会在 APBR 配置文件中针对匹配规则进一步处理该应用程序(请参阅步骤 3)。

  3. APBR 使用应用程序详细信息在 APBR 配置文件(应用程序配置文件)中查找匹配规则。如果找到匹配的规则,则将流量重定向至指定的路由实例进行路由查找。

相关主题