Anwendungsbasiertes Multipath-Routing
Anwendungsbasiertes Multipath-Routing – Übersicht
Der Datenverkehr für Video und Sprache reagiert empfindlich auf Paketverlust, Latenz und Jitter. Paketverluste führen direkt zu einer Verschlechterung der Qualität von Sprach- und Videoanrufen. in Sprach- oder Videoanrufen.
Um eine rechtzeitige Zustellung dieses sensiblen Anwendungsdatenverkehrs zu gewährleisten, wird auf Firewalls der SRX-Serie anwendungsbasiertes Multipath-Routing (in diesem Dokument auch als Multipath-Routing bezeichnet) unterstützt, damit das sendende Gerät Kopien von Paketen erstellen und jede Kopie über zwei oder mehr WAN-Verbindungen senden kann.
Multipath identifiziert zwei oder mehr Pfade basierend auf der SLA-Konfiguration und sendet eine Kopie des ursprünglichen Datenverkehrs auf allen identifizierten Pfaden.
Am anderen Ende wählt das empfangende Gerät unter den mehreren Kopien des empfangenen Pakets das erste empfangene Paket aus und verwirft die folgenden. Während die Kopie des Pakets ausgeführt wird, berechnet Multipath auf dem Empfangsgerät den Jitter und den Paketverlust für die kombinierten Verbindungen und schätzt dann den Jitter und den Paketverlust für denselben Datenverkehr auf einzelnen Verbindungen. Sie können die Verringerung des Paketverlusts vergleichen, wenn kombinierte Links anstelle einzelner Links für den Datenverkehr verwendet werden.
Durch das Senden der mehreren Kopien des Anwendungsdatenverkehrs wird sichergestellt, dass der andere Link das Paket bei einem Paketverlust oder einer Verzögerung weiterhin an den Endpunkt übermitteln kann.
Firewalls der SRX-Serie unterstützen anwendungsbasiertes Multipath-Routing ab Junos OS Version 15.1X49-D160 im Standalone-Modus.
Firewalls der SRX-Serie unterstützen anwendungsbasiertes Multipath-Routing ab Junos OS Version 19.2R1 und Junos OS Version 15.1X49-D170 im Chassis-Cluster-Modus.
Multipath-Routing nutzt die folgenden Funktionen:
-
Anwendungsidentifikationsdetails aus Deep Packet Inspection (DPI)
-
APBR-Funktionalität für die Paketweiterleitungsfunktion
-
AppQoE-Dienst für die SLA-Zuordnung.
- Unterstützte Anwendungsfälle
- Einschränkungen
- Vorteile von Multipath-Routing
- Grundlegendes zum Workflow beim Multipath-Routing
Unterstützte Anwendungsfälle
-
SD-WAN-Hub-and-Spoke-Topologie
-
SD-WAN-Mesh-Topologie
Einschränkungen
-
Alle ausgewählten WAN-Verbindungen müssen ECMP-Pfade für ein Ziel aufweisen.
-
Alle ausgewählten WAN-Schnittstellen, die Teil von Multipath-Routing-Sitzungen sein müssen, müssen zu einer einzigen Zone gehören
-
Die Multipath-Routing-Funktion wird nur zwischen zwei Book-Ended-Sicherheitsgeräten unterstützt.
Vorteile von Multipath-Routing
-
Die Multipath-Unterstützung im SD-WAN-Anwendungsfall verbessert die Anwendungserfahrung durch Reduzierung von Paketverlusten, schnellere Bereitstellung des Pakets und weniger Jitter, was zu einer besseren Servicequalität für den Datenverkehr, insbesondere für den Sprach- und Videoverkehr, führt.
Grundlegendes zum Workflow beim Multipath-Routing
Die folgenden Sequenzen sind an der Anwendung des Multipath-Routings beteiligt:
-
Die Anwendungsidentifikation von Junos OS identifiziert Anwendungen, und sobald eine Anwendung identifiziert ist, werden ihre Informationen im Systemcache der Anwendung (ASC) gespeichert.
-
Anwendungsrichtlinienbasiertes Routing (APBR) fragt das ASC-Modul (Application System Cache) ab, um die Details zu den Anwendungsattributen abzurufen.
-
APBR verwendet die Anwendungsdetails, um im APBR-Profil (Anwendungsprofil) nach einer übereinstimmenden Regel zu suchen. Wenn eine übereinstimmende Regel gefunden wird, wird der Datenverkehr für die Routensuche an die angegebene Routinginstanz umgeleitet.
-
AppQoE prüft, ob eine SLA für eine Sitzung aktiviert ist. Wenn die Sitzung Kandidat für eine SLA-Messung ist und Multipath-Routing konfiguriert ist, wird Multipath-Routing ausgelöst.
-
Basierend auf der SLA-Regel erhält das Multipath-Routing die Underlay-Link-Typen und die entsprechenden Overlays, auf denen die Paketduplizierung durchgeführt werden muss. Multipath-Routing kann basierend auf der Konfiguration einer SLA-Regel ausgelöst werden. Wenn Multipath-Routing innerhalb einer SLA-Regel für eine bestimmte Anwendung konfiguriert ist, wird die AppQoE-Funktionalität für alle Sitzungen dieser Anwendung deaktiviert, die der SLA-Regel entsprechen.
-
Basierend auf dem Anwendungsdatenverkehr und der konfigurierten Bandbreitenbeschränkung identifiziert Multipath zwei oder mehr Pfade und löst eine Kopie des ursprünglichen Datenverkehrs auf allen identifizierten Pfaden aus. Die Auswahl des Multipath-Routing-Pfads erfolgt auf den Overlay-Pfaden. Die Parameter zur Begrenzung der Bandbreite basieren auf der Underlay-Verbindungsgeschwindigkeit und die Auswahl basiert auf dem Verbindungstyp.
-
Während die Kopie des Pakets auf dem Empfangsgerät ausgeführt wird, berechnet Multipath den Jitter und den Paketverlust für die kombinierten Verbindungen und schätzt dann den Jitter und Paketverlust für denselben Datenverkehr auf einzelnen Verbindungen.
-
Auf dem empfangenden Gerät akzeptiert das Multipath-Routing Pakete einer Sitzung, die über verschiedene Verbindungen eingehen, behält die Reihenfolge eines Pakets bei, das in verschiedenen CoS-Warteschlangen ankommt, und verwirft alle Duplikate.
Beim Multipath-Routing werden Pakete auf allen Verbindungen kopiert, die zu einer Regel gehören, bis die Bandbreitenbeschränkung erreicht ist. Das Bandbreitenlimit wird basierend auf der geringsten Verbindungsgeschwindigkeit berechnet, die für diese Regel ermittelt wurde. Dies gilt für alle Sitzungen für alle Anwendungen, die dieser Multipath-Routingregel entsprechen. Sobald das Limit erreicht ist, stoppt das Multipath-Routing das Kopieren von Paketen und startet einen Timer für einen Zeitraum, der in der Option max-time-wait in der Multipath-Routing-Konfiguration konfiguriert ist. Wenn der Timer abgelaufen ist, wird das Kopieren der Pakete erneut gestartet.
AMR-Verbesserungen
Ab Junos OS Version 21.2R1 werden die folgenden Verbesserungen für AMR eingeführt:
- AMR-Unterstützung für umgekehrten Datenverkehr
- Warteschlangenmechanismus für Pakete außerhalb der Reihenfolge
- AMR-Unterstützung für APBR-Profile
- Link-Auswahl
- AMR im SLA-Verletzungsmodus oder Standalone-Modus
- Unterstützung für IPv6-Datenverkehr
- Unterstützt AMR über IPsec und Generic Routing Encapsulation (GRE)-Sitzungen
AMR-Unterstützung für umgekehrten Datenverkehr
Sie können die Multipath-Funktionalität auf den umgekehrten Datenverkehr anwenden. Jetzt können sowohl das sendende als auch das empfangende Gerät Kopien von Paketen erstellen und jede Kopie über zwei WAN-Verbindungen an das Zielgerät senden. Diese Erweiterung gewährleistet die unterbrechungsfreie Bereitstellung des sensiblen Anwendungsdatenverkehrs in beide Richtungen.
Standardmäßig ist AMR für den umgekehrten Datenverkehr deaktiviert. Sie können es mit der folgenden CLI-Option aktivieren:
set security advance-policy-based-routing multipath-rule rule-name enable-reverse-wing
Um AMR für den umgekehrten Datenverkehr zu deaktivieren, verwenden Sie die folgende CLI-Option:
delete security advance-policy-based-routing multipath-rule rule-name enable-reverse-wing
AMR-Unterstützung für den Reverse-Wing-Verkehr ist verfügbar, wenn die Geräte im HA-Modus betrieben werden. Beachten Sie, dass die Pakete in der Warteschlange während eines HA-Failovers verworfen werden.
Warteschlangenmechanismus für Pakete außerhalb der Reihenfolge
Ab Junos OS Version 21.2R1 wurde der Warteschlangenmechanismus für Pakete außerhalb der Reihenfolge auf dem empfangenden Gerät verbessert.
Bisher hat das AMR-Empfangsgerät Pakete verworfen, die nicht in der richtigen Reihenfolge waren, was zu Paketverlusten und einer Verschlechterung der Servicequalität führte. Mit dem Warteschlangenmechanismus wartet das empfangende Gerät, wenn es Pakete außerhalb der Reihenfolge empfängt, weiter, bis weitere Pakete eintreffen, und puffert diese Pakete dann für kurze Zeit in der Warteschlange. Diese Pufferung hilft bei der Neuanordnung von Paketen und verhindert das Verwerfen von Paketen.
AMR-Unterstützung für APBR-Profile
Ab Junos OS Version 21.2R1 unterstützt das Sicherheitsgerät AMR bei Verwendung mit einem APBR-Profil, das mit einer APBR-Richtlinie konfiguriert ist. Sie können die APBR-Richtlinie erstellen, indem Sie Quelladressen, Zieladressen und Anwendungen als Übereinstimmungsbedingungen definieren.
In früheren Versionen von Junos OS konnten Sie ein APBR-Profil an eine eingehende Sicherheitszone des eingehenden Datenverkehrs anfügen. In diesem Fall wurde die APBR pro Sicherheitszone angewendet.
Das folgende Beispiel zeigt den Konfigurationsausschnitt einer APBR-Richtlinie, indem Quuelladressen, Zieladressen und Anwendungen als Übereinstimmungsbedingungen definiert werden. Eine SLA-Regel wird für den Datenverkehr angewendet, der den APBR-Richtlinienregeln entspricht. Eine der SLA-Regel zugeordnete Multipath-Regel wird angewendet, und die Multipath-Routing-Funktionalität wird für die Sitzung aktiviert.
set security advance-policy-based-routing multipath-rule amr-rule1 number-of-paths 2 set security advance-policy-based-routing multipath-rule amr-rule1 bandwidth-limit 30 set security advance-policy-based-routing multipath-rule amr-rule1 max-time-to-wait 60 set security advance-policy-based-routing multipath-rule amr-rule1 application junos:SSH set security advance-policy-based-routing multipath-rule amr-rule1 application junos:HTTP set security advance-policy-based-routing multipath-rule amr-rule1 link-type MPLS set security advance-policy-based-routing multipath-rule amr-rule1 link-type IP set security advance-policy-based-routing profile apbr1 rule rule1 match dynamic-application junos:RTP set security advance-policy-based-routing profile apbr1 rule rule1 then routing-instance TC1_VPN set security advance-policy-based-routing profile apbr1 rule rule1 then sla-rule sla1 set security advance-policy-based-routing sla-rule sla1 multipath-rule amr-rule1 set security zones security-zone trust advance-policy-based-routing-profile apbr1 set security advance-policy-based-routing from-zone trust policy sla_policy1 match source-address 10.4.0.1 set security advance-policy-based-routing from-zone trust policy sla_policy1 match destination-address 10.5.0.1 set security advance-policy-based-routing from-zone trust policy sla_policy1 match application junos-RTP set security advance-policy-based-routing from-zone trust policy sla_policy1 then application-services advance-policy-based-routing-profile apbr1
Link-Auswahl
In früheren Versionen war der Verbindungsauswahlmechanismus für anwendungsbasiertes Multipath-Routing entweder Standard (einer der ersten beiden verfügbaren Links) oder basierte auf der Konfiguration des Verbindungstyps (IP/MPLS) AppQoE-Underlay-Schnittstellenkonfiguration.
Ab Junos OS Version 21.2R1 können Sie die Link-Präferenzoptionen als generische Routing-Kapselung (GRE) und sicheren Tunnel (st) angeben. Das Gerät wählt direkt eine der angegebenen Schnittstellen für das Multipath-Routing aus.
Wenn Sie die link-preferencenicht konfiguriert haben, wählt der AMR Links aus den ersten beiden verfügbaren Links aus den konfigurierten Pfaden aus.
Sie können Linkpräferenzen mit der folgenden CLI-Option angeben:
set security advance-policy-based-routing multipath-rule rule-name link-preferences [st0.0 | st0.1}
AMR im SLA-Verletzungsmodus oder Standalone-Modus
Ab Junos OS Version 21.2R1 wird AMR in einem der beiden folgenden Modi aktiviert:
-
SLA-Verletzungsmodus: Wenn die AppQoE SLA-Verstöße bei allen Links feststellt, aktiviert sie den AMR. AMR ist deaktiviert, wenn SLA auf einer der Verbindungen basierend auf der Timer-Konfiguration eingehalten wird.
-
Standalone-Modus: Wenn Sie AMR konfiguriert haben, ohne SLA-Metriken zu konfigurieren, wird AMR unabhängig vom AppQoE-Status aktiviert. Wenn in diesem Modus das Bandbreitenlimit erreicht ist, wird AMR für eine Standarddauer angehalten und dann neu gestartet.
Beispiel:
Im Folgenden finden Sie eine Samp-Konfiguration einer SLA-Metrik. SLA-Metriken geben Anforderungsparameter an, die von AppQoE verwendet werden, um die SLA der Verbindung zu bewerten. Um die SLA einzuhalten, überwacht AppQoE das Netzwerk auf Fehlerquellen oder Überlastungen. Wenn die Leistung eines Links unter dem akzeptablen Niveau liegt, wie im SLA festgelegt, wird die Situation als SLA-Verstoß betrachtet. Wenn der LA-Verstoß auf allen Links festgestellt wird, wird AMR im SLA-Verletzungsmodus aktiviert.
set security advance-policy-based-routing metrics-profile metric1 sla-threshold delay-round-trip 50000 set security advance-policy-based-routing metrics-profile metric1 sla-threshold jitter 10000 set security advance-policy-based-routing metrics-profile metric1 sla-threshold jitter-type egress-jitter set security advance-policy-based-routing metrics-profile metric1 sla-threshold packet-loss 4 set security advance-policy-based-routing metrics-profile metric1 sla-threshold match all set security advance-policy-based-routing sla-rule sla1 metrics-profile metric1
Wenn die SLA-Metrikkonfiguration (wie im obigen Beispiel gezeigt) in der AMR-Konfiguration nicht verfügbar ist, wird AMR im Standalone-Modus aktiviert.
Unterstützung für IPv6-Datenverkehr
Anwendungsbasiertes Multipath-Routing unterstützt IPv6-Datenverkehr:
- IPv6-Datenverkehr über IPv4-Tunnel (Junos OS Version 21.2R1)
- IPv6-Datenverkehr über IPv6-Tunnel (Junos OS Version 21.3R1)
Unterstützt AMR über IPsec und Generic Routing Encapsulation (GRE)-Sitzungen
- Anwendungsbasiertes Multipath-Routing über direkte IPsec-Tunnel ohne GRE (Junos OS Version 21.2R1)
- Anwendungsbasiertes Multipath-Routing über direkte GRE-Tunnel (Generic Routing Encapsulation) ohne IPsec (Junos OS Version 21.2R1)
- Anwendungsbasiertes Multipath-Routing über direkte IPsec-Tunnel ohne GRE für IPv6-Datenverkehr (Junos OS Version 21.3R1)
- Anwendungsbasiertes Multipath-Routing über direkte GRE-Tunnel ohne IPsec für IPv6-Datenverkehr (Junos OS Version 21.3R1)
- Anwendungsbasiertes Multipath-Routing über MPLS-over-GRE-over-IPsec für IPv6-Datenverkehr (Junos OS Version 21.3R1)
Siehe auch
Beispielkonfiguration für anwendungsbasiertes Multipath-Routing
Beispiel für eine anwendungsbasierte Multipath-Routing-Konfiguration (Hub-and-Spoke-Topologie)
In diesem Abschnitt werden Beispiele für eine anwendungsbasierte Multipath-Routing-Konfiguration für die Hub-and-Spoke-Topologie beschrieben. Die Konfiguration verwendet die von der APBR festgelegte SLA und funktioniert unabhängig von APPQoE. Informationen zur APPQoE-SLA finden Sie unter Quality of Experience für die Anwendung . Sie können das Gerät für zusätzliche Funktionen konfigurieren, wie z. B. die Linkauswahl basierend auf der Präferenz, die Pfadauswahl basierend auf dem Verbindungstyp und die Unterstützung von Multipath-Routing über IPsec- und GRE-Tunnel. Multipath-Routing kann mit Contrail Service Orchestrator konfiguriert werden. Weitere Informationen finden Sie im Bereitstellungshandbuch für Contrail Service Orchestration (CSO).
Grundkonfiguration des Spoke-seitigen Geräts
user@host#set security advance-policy-based-routing profile profile1 rule r1 match dynamic-application junos:HTTPuser@host#set security advance-policy-based-routing profile profile1 rule r1 match dynamic-application junos:SIPuser@host#set security advance-policy-based-routing profile profile1 rule r1 then routing-instance TC1_VPNuser@host#set security advance-policy-based-routing profile profile1 rule r1 sla-rule sla_rule1user@host#set security advance-policy-based-routing sla-rule sla_rule1 multipath-rule mult1user@host#set security advance-policy-based-routing multipath-rule mult1 number-of-paths 2user@host#set security advance-policy-based-routing multipath-rule mult1 bandwidth-limit 90user@host#set security advance-policy-based-routing multipath-rule mult1 application junos:HTTPuser@host#set security advance-policy-based-routing multipath-rule mult1 application junos:SIP
Basiskonfiguration des Hub-seitigen Geräts
user@host#set security advance-policy-based-routing multipath-rule mult1 number-of-paths 2user@host#set security advance-policy-based-routing multipath-rule mult1 bandwidth-limit 90user@host#set security advance-policy-based-routing multipath-rule mult1 enable-reverse-winguser@host#set security advance-policy-based-routing multipath-rule mult1 application junos:HTTPuser@host#sset security advance-policy-based-routing multipath-rule mult1 application junos:SIP
Konfiguration der Link-Einstellungen
user@host#set security advance-policy-based-routing multipath-rule mult1 link-preferences gr-0/0/0.0user@host#set security advance-policy-based-routing multipath-rule mult1 link-preferences gr-0/0/0.1
Konfiguration der auf dem Linktyp basierenden Pfadauswahl
user@host#set security advance-policy-based-routing multipath-rule mult1 link-type MPLSuser@host#set security advance-policy-based-routing multipath-rule mult1 link-type IP
Schnittstellenbasierte Konfiguration auf anwendungsbasierter Multipath-Routing-Ebene
user@host#set security advance-policy-based-routing interface gr-0/0/0.0 link-tag IPuser@host#set security advance-policy-based-routing interface gr-0/0/0.1 link-tag MPLS
IPsec-VPN-Konfiguration mit IPv6-Tunneln und IPv4-Datenverkehr am Spoke-Gerät für anwendungsbasiertes Multipath-Routing
user@host#set groups ipsec-groups security ike proposal salausehdotp1 authentication-method pre-shared-keysuser@host#set groups ipsec-groups security ike proposal salausehdotp1 dh-group group5user@host#set groups ipsec-groups security ike proposal salausehdotp1 encryption-algorithm aes-256-gcmuser@host#set groups ipsec-groups security ike policy salauspolitiikkap1 mode mainuser@host#set groups ipsec-groups security ike policy salauspolitiikkap1 proposals salausehdotp1user@host#set groups ipsec-groups security ike policy salauspolitiikkap1 pre-shared-key ascii-text "$9$1-7ESeLxd2oGdbPQnCB1-VwYgJDi.TF/aZ"user@host#set groups ipsec-groups security ike gateway gateway1 ike-policy salauspolitiikkap1user@host#set groups ipsec-groups security ike gateway gateway1 version v2-onlyuser@host#set groups ipsec-groups security ipsec proposal salausehdotp2 protocol espuser@host#set groups ipsec-groups security ipsec proposal salausehdotp2 encryption-algorithm aes-256-gcmuser@host#set groups ipsec-groups security ipsec policy salauspolitiikkap2 perfect-forward-secrecy keys group5user@host#set groups ipsec-groups security ipsec policy salauspolitiikkap2 proposals salausehdotp2user@host#set groups ipsec-groups security ipsec vpn vpn1 df-bit clearuser@host#set groups ipsec-groups security ipsec vpn vpn1 ike ipsec-policy salauspolitiikkap2user@host#set groups ipsec-groups security ipsec vpn vpn1 establish-tunnels immediatelyuser@host#set system host-name SRX345-2user@host#set system root-authentication encrypted-password "$ABC123"user@host#set system services ssh root-login allowuser@host#set services application-identificationuser@host#set security apply-groups ipsec-groupsuser@host#set security ike gateway SRX345-1-A address fdf:a::1user@host#set security ike gateway SRX345-1-A external-interface ge-0/0/0.0user@host#set security ike gateway SRX345-1-B address fdf:b::1user@host#set security ike gateway SRX345-1-B external-interface ge-0/0/1.0user@host#set security ipsec vpn SRX345-1-A bind-interface st0.0user@host#set security ipsec vpn SRX345-1-A ike gateway SRX345-1-Auser@host#set security ipsec vpn SRX345-1-B bind-interface st0.1user@host#set security ipsec vpn SRX345-1-B ike gateway SRX345-1-Buser@host#set security application-tracking first-updateuser@host#set security application-tracking session-update-interval 1user@host#set security forwarding-options family inet6 mode flow-baseduser@host#set security forwarding-options family mpls mode flow-baseduser@host#set security flow allow-dns-replyuser@host#set security flow allow-embedded-icmpuser@host#set security flow sync-icmp-sessionuser@host#set security flow tcp-mss all-tcp mss 1300user@host#set security flow tcp-mss ipsec-vpn mss 1350user@host#set security flow tcp-session no-syn-checkuser@host#set security flow tcp-session no-syn-check-in-tunneluser@host#set security flow tcp-session no-sequence-checkuser@host#set security policies default-policy permit-alluser@host#set security zones security-zone Untrust host-inbound-traffic system-services alluser@host#set security zones security-zone Untrust host-inbound-traffic protocols alluser@host#set security zones security-zone Untrust interfaces ge-0/0/0.0user@host#set security zones security-zone Untrust interfaces ge-0/0/1.0user@host#set security zones security-zone Untrust application-trackinguser@host#set security zones security-zone Untrust enable-reverse-rerouteuser@host#set security zones security-zone trust host-inbound-traffic system-services alluser@host#set security zones security-zone trust host-inbound-traffic protocols alluser@host#set security zones security-zone trust interfaces ge-0/0/6.0user@host#set security zones security-zone trust application-trackinguser@host#set security zones security-zone trust advance-policy-based-routing-profile apbruser@host#set security zones security-zone trust enable-reverse-rerouteuser@host#set security zones security-zone VPN host-inbound-traffic system-services alluser@host#set security zones security-zone VPN host-inbound-traffic protocols alluser@host#set security zones security-zone VPN interfaces st0.0user@host#set security zones security-zone VPN interfaces st0.1user@host#set security zones security-zone VPN application-trackinguser@host#set security zones security-zone VPN enable-reverse-rerouteuser@host#set security zones security-zone test interfaces ge-0/0/7.0 host-inbound-traffic system-services alluser@host#set security zones security-zone test interfaces ge-0/0/7.0 host-inbound-traffic protocols alluser@host#set security advance-policy-based-routing profile apbr rule r1 match dynamic-application junos:ICMPuser@host#set security advance-policy-based-routing profile apbr rule r1 match dynamic-application junos:SSHuser@host#set security advance-policy-based-routing profile apbr rule r1 match dynamic-application junos:ICMP-ECHOuser@host#set security advance-policy-based-routing profile apbr rule r1 then routing-instance apbruser@host#set security advance-policy-based-routing profile apbr rule r1 then sla-rule sla1user@host#set security advance-policy-based-routing sla-rule sla1 multipath-rule amr-rule1user@host#set security advance-policy-based-routing multipath-rule amr-rule1 number-of-paths 2user@host#set security advance-policy-based-routing multipath-rule amr-rule1 bandwidth-limit 30user@host#set security advance-policy-based-routing multipath-rule amr-rule1 enable-reverse-winguser@host#set security advance-policy-based-routing multipath-rule amr-rule1 max-time-to-wait 60user@host#set security advance-policy-based-routing multipath-rule amr-rule1 application junos:ICMPuser@host#set security advance-policy-based-routing multipath-rule amr-rule1 application junos:SSHuser@host#set security advance-policy-based-routing multipath-rule amr-rule1 application junos:ICMP-ECHOuser@host#set security advance-policy-based-routing multipath-rule amr-rule1 link-preferences st0.0user@host#set security advance-policy-based-routing multipath-rule amr-rule1 link-preferences st0.1user@host#set interfaces ge-0/0/0 unit 0 family inet6 address fdf:a::2/64user@host#set interfaces ge-0/0/1 unit 0 family inet6 address fdf:b::2/640user@host#set interfaces ge-0/0/6 unit 0 family inet address 10.0.12.1/24user@host#set interfaces ge-0/0/7 unit 0 family inet address 10.0.12.10/24user@host#set interfaces fxp0 unit 0 family inet address 192.168.123.2/24user@host#set interfaces st0 unit 0 family inet address 10.0.0.2/30user@host#set interfaces st0 unit 1 family inet address 10.0.1.2/30user@host#set policy-options policy-statement ecmp then load-balance per-packetuser@host#set routing-instances IPSEC protocols ospf area 0.0.0.0 interface st0.0 interface-type p2puser@host#set routing-instances IPSEC protocols ospf area 0.0.0.0 interface st0.1 interface-type p2puser@host#set routing-instances IPSEC protocols ospf area 0.0.0.0 interface ge-0/0/6.0 passiveuser@host#set routing-instances IPSEC interface ge-0/0/6.0user@host#set routing-instances IPSEC interface st0.0user@host#set routing-instances IPSEC interface st0.1user@host#set routing-instances IPSEC instance-type virtual-routeruser@host#set routing-instances IPSEC routing-options interface-routes rib-group inet apbr-groupuser@host#set routing-instances apbr instance-type forwardinguser@host#set routing-instances apbr routing-options static route 0.0.0.0/0 next-hop st0.0user@host#set routing-instances apbr routing-options static route 0.0.0.0/0 next-hop st0.1user@host#set routing-instances test interface ge-0/0/7.0user@host#set routing-instances test instance-type virtual-routeruser@host#set routing-instances test routing-options static route 0.0.0.0/0 next-hop 10.0.12.1user@host#set routing-options rib-groups apbr-group import-rib IPSEC.inet.0user@host#set routing-options rib-groups apbr-group import-rib apbr.inet.0user@host#set routing-options forwarding-table export ecmp
Ersetzen Sie ipsec bei GRE-Tunneln durch gre. Ersetzen Sie für IPv4-Tunnel, IPv4-Datenverkehr und IPv6-Datenverkehr die Konfiguration entsprechend durch IPv4 und IPv6.
Beispiel: Konfigurieren des anwendungsbasierten Multipath-Routings
In diesem Beispiel wird gezeigt, wie Multipath-Routing so konfiguriert wird, dass eine QoE (Quality of Experience) bereitgestellt wird, indem die Echtzeitüberwachung des Anwendungsdatenverkehrs gemäß der angegebenen SLA aktiviert wird.
Anforderungen
-
Unterstützte Firewalls der SRX-Serie mit Junos OS Version 15.1X49-D160, Junos OS Version 19.2R1 oder höher. Dieses Konfigurationsbeispiel wurde für Junos OS Version 15.1X49-D160 getestet.
-
Gültige Lizenz für Anwendungsidentifikationsfunktionen, die auf einem Sicherheitsgerät installiert ist.
-
Geeignete Sicherheitsrichtlinien zur Durchsetzung von Regeln für den Transitdatenverkehr, in Bezug darauf, welcher Datenverkehr das Gerät passieren kann und welche Aktionen für den Datenverkehr ausgeführt werden müssen, während er das Gerät passiert.
-
Aktivieren Sie die für die Zone aktivierte Unterstützung für die Anwendungsverfolgung. Siehe Anwendungsverfolgung.
-
Stellen Sie sicher, dass die folgenden Funktionen konfiguriert sind:
Übersicht
Um eine unterbrechungsfreie Zustellung dieses sensiblen Anwendungsdatenverkehrs zu gewährleisten, wird auf Sicherheitsgeräten anwendungsbasiertes Multipath-Routing unterstützt, das es dem sendenden Gerät ermöglicht, Kopien von Paketen zu erstellen und jede Kopie über zwei WAN-Verbindungen an das Ziel zu senden.
Multipath-Routing identifiziert zwei Pfade basierend auf der SLA-Konfiguration, erstellt eine doppelte Kopie des Anwendungsdatenverkehrs und sendet den Datenverkehr gleichzeitig über verschiedene physische Pfade. Während die Kopie des Pakets auf dem Empfangsgerät ausgeführt wird, schätzt das Multipath-Routing die Verringerung von Jitter, RTT und Paketverlust und analysiert die Servicequalität für das Routing des Datenverkehrs zur besten Verbindung, um dem Endbenutzer SLA zu bieten. Dies hilft auch bei der Abschätzung, wie die Reduzierung von Jitter, RTT und Paketverlust erfolgt. Wenn beide Kopien auf dem Remote-Ende empfangen werden, wird das erste empfangene Paket betrachtet und die nachfolgenden verworfen.
Tabelle 1 enthält die Details der in diesem Beispiel verwendeten Parameter.
| Parameter |
Optionen |
Werte |
|---|---|---|
| Multipath-Regel (multi1) |
Anzahl der Pfade |
2 |
| Bandbreiten-Limit |
60 |
|
| Maximale Wartezeit |
60 |
|
| Art der Verknüpfung |
MPLS, IP |
|
| Anwendung |
junos:YAHOO, junos:GOOGLE |
|
| Anwendungsgruppe |
Junos:Web |
|
| SLA-Regel (sla1) |
Zugeordnete Multipath-Regel |
multi1 |
| APBR-Profil (apbr1) |
Match-Anwendungen |
junos:YAHOO |
| APBR-Regel |
Regel 1 |
|
| SLA-Regel |
SLA1 |
|
| Underlay-Schnittstelle |
GE-0/0/2 und GE-0/0/3
|
In diesem Beispiel konfigurieren Sie eine Multipath-Regel für den Datenverkehr der Anwendungen junos:YAHOO und junos:GOOGLE. Konfigurieren Sie dann eine SLA-Regel, und ordnen Sie Multipath-Regeln der Multipath-Regel zu.
Verknüpfen Sie als Nächstes die SLA-Regeln mit den APBR-Regeln, die für die Yahoo-Anwendung erstellt wurden. APBR verwendet die Anwendungsdetails, um im APBR-Profil (Anwendungsprofil) nach einer übereinstimmenden Regel zu suchen.
Die Multipath-Regel wird auf den Datenverkehr angewendet, der mit "junos:YAHOO" oder "junos:GOOGLE" übereinstimmt, und an die in der Routing-Instanz angegebene Adresse des nächsten Hops weitergeleitet.
Multipath-Routing ruft die Underlay-Verbindungstypen und die entsprechenden Overlays ab, für die eine Paketduplizierung basierend auf der SLA-Regel erforderlich ist. Basierend auf dem Anwendungsdatenverkehr und der konfigurierten Bandbreitenbeschränkung identifiziert Multipath zwei oder mehr Pfade und löst eine Kopie des ursprünglichen Datenverkehrs auf allen identifizierten Pfaden aus.
Wenn der Datenverkehr auf der Empfängerseite ankommt, akzeptiert das empfangende Gerät Pakete einer Sitzung, die über verschiedene Links eintrifft, behält die Reihenfolge eines Pakets bei, das in verschiedenen CoS-Warteschlangen ankommt, und verwirft alle doppelten Pakete.
Stellen Sie sicher, dass die Konfiguration auf allen Geräten sowohl auf der Sende- als auch auf der Empfängerseite gleich ist, sodass Geräte sowohl als Sender als auch als Empfänger fungieren können.
Konfiguration
- Konfigurieren von Multipath-Regeln für Anwendungsdatenverkehr (Gerät, das zum Senden von Datenverkehr konfiguriert ist)
- Konfigurieren von Multipath-Regeln für Anwendungsdatenverkehr (Gerät, das für den Empfang von Datenverkehr konfiguriert ist))
Konfigurieren von Multipath-Regeln für Anwendungsdatenverkehr (Gerät, das zum Senden von Datenverkehr konfiguriert ist)
Schritt-für-Schritt-Anleitung
Konfigurieren Sie APBR-Profile für unterschiedlichen Anwendungsdatenverkehr und ordnen Sie SLA-Regel und Multipath-Regel zu.
-
Erstellen Sie Routing-Instanzen.
user@host#set routing-instances TC1_VPN instance-type vrfuser@host#set routing-instances TC1_VPN route-distinguisher 10.150.0.1:101user@host#set routing-instances TC1_VPN vrf-target target:100:101user@host#set routing-instances TC1_VPN vrf-table-labeluser@host#set routing-instances TC1_VPN routing-options static route 10.19.0.0/8 next-table Default_VPN.inet.0 -
Gruppieren Sie eine oder mehrere Routing-Tabellen, um eine RIB-Gruppe zu bilden, und importieren Sie Routen in die Routing-Tabellen.
user@host#set routing-options rib-groups Default-VPN-to-TC1_VPN import-rib [ Default_VPN.inet.0 TC1_VPN.inet.0 ] -
Konfigurieren Sie AppQoE als Dienst. Sie müssen AppQoE als Dienst für eingehenden Hostdatenverkehr für eine gewünschte Zone konfigurieren.
user@host#set security zones security-zone untrust1 host-inbound-traffic system-services appqoe -
Erstellen Sie das APBR-Profil und definieren Sie die Regeln.
user@host#set security advance-policy-based-routing profile apbr1 rule rule1 match dynamic-application junos:GOOGLEuser@host#set security advance-policy-based-routing profile apbr1 rule rule1 match dynamic-application junos:YAHOOuser@host#set security advance-policy-based-routing profile apbr1 rule rule1 match dynamic-application-group junos:webuser@host#set security advance-policy-based-routing profile apbr1 rule rule1 then routing-instance TC1_VPNuser@host#set security advance-policy-based-routing profile apbr1 rule rule1 then sla-rule sla1 -
Konfigurieren Sie die aktiven Sondenparameter.
user@host#set security advance-policy-based-routing active-probe-params probe1 settings data-fill juniperuser@host#set security advance-policy-based-routing active-probe-params probe1 settings data-size 100user@host#set security advance-policy-based-routing active-probe-params probe1 settings probe-interval 30user@host#set security advance-policy-based-routing active-probe-params probe1 settings probe-count 30user@host#set security advance-policy-based-routing active-probe-params probe1 settings burst-size 1user@host#set security advance-policy-based-routing active-probe-params probe1 settings sla-export-interval 60user@host#set security advance-policy-based-routing active-probe-params probe1 settings dscp-code-points 000110 -
Konfigurieren Sie das Metrikprofil.
user@host#set security advance-policy-based-routing metrics-profile metric1 sla-threshold delay-round-trip 120000user@host#set security advance-policy-based-routing metrics-profile metric1 sla-threshold jitter 21000user@host#set security advance-policy-based-routing metrics-profile metric1 sla-threshold jitter-type egress-jitteruser@host#set security advance-policy-based-routing metrics-profile metric1 sla-threshold packet-loss 2 -
Konfigurieren Sie Underlay-Schnittstellen.
Wenn link-type nicht unter der Option "Underlay-Schnittstellen" konfiguriert ist, wird die standardmäßige Link-Type-IP verwendet und die standardmäßige Verbindungsgeschwindigkeit von 1000 Mbit/s berücksichtigt.
user@host#set security advance-policy-based-routing underlay-interface ge-0/0/2 unit 0 link-type MPLSuser@host#set security advance-policy-based-routing underlay-interface ge-0/0/2 unit 0 speed 800user@host#set security advance-policy-based-routing underlay-interface ge-0/0/3 unit 0 link-type MPLSuser@host#set security advance-policy-based-routing underlay-interface ge-0/0/3 unit 0 speed 500 -
Konfigurieren Sie Overlay-Pfade.
user@host#set security advance-policy-based-routing overlay-path overlay-path1 tunnel-path local ip-address 10.40.1.2user@host#set security advance-policy-based-routing overlay-path overlay-path1 tunnel-path remote ip-address 10.40.1.1user@host#set security advance-policy-based-routing overlay-path overlay-path1 probe-path local ip-address 10.40.1.2user@host#set security advance-policy-based-routing overlay-path overlay-path1 probe-path remote ip-address 10.40.1.1user@host#set security advance-policy-based-routing overlay-path overlay-path2 tunnel-path local ip-address 10.41.1.2user@host#set security advance-policy-based-routing overlay-path overlay-path2 tunnel-path remote ip-address 10.41.1.1user@host#set security advance-policy-based-routing overlay-path overlay-path2 probe-path local ip-address 10.41.1.2user@host#set security advance-policy-based-routing overlay-path overlay-path2 probe-path remote ip-address 10.41.1.1user@host#set security advance-policy-based-routing overlay-path overlay-path3 tunnel-path local ip-address 10.42.1.2user@host#set security advance-policy-based-routing overlay-path overlay-path3 tunnel-path remote ip-address 10.42.1.1user@host#set security advance-policy-based-routing overlay-path overlay-path3 probe-path local ip-address 10.42.1.2user@host#set security advance-policy-based-routing overlay-path overlay-path3 probe-path remote ip-address 10.42.1.1 -
Konfigurieren Sie Zielpfadgruppen.
user@host#set security advance-policy-based-routing destination-path-group site1 probe-routing-instance transituser@host#set security advance-policy-based-routing destination-path-group site1 overlay-path overlay-path1user@host#set security advance-policy-based-routing destination-path-group site1 overlay-path overlay-path2user@host#set security advance-policy-based-routing destination-path-group site1 overlay-path overlay-path3 -
Konfigurieren Sie die Multipath-Regel.
user@host#set security advance-policy-based-routing multipath-rule multi1 bandwidth-limit 60user@host#set security advance-policy-based-routing multipath-rule multi1 application junos:YAHOOuser@host#set security advance-policy-based-routing multipath-rule multi1 application junos:GOOGLEuser@host#set security advance-policy-based-routing multipath-rule multi1 application-group junos:webuser@host#set security advance-policy-based-routing multipath-rule multi1 link-type MPLSuser@host#set security advance-policy-based-routing multipath-rule multi1 link-type IPuser@host#set security advance-policy-based-routing multipath-rule multi1 max-time-to-wait 30user@host#set security advance-policy-based-routing multipath-rule multi1 number-of-paths 2 -
Konfigurieren Sie die SLA-Regel.
user@host#set security advance-policy-based-routing sla-rule sla1 switch-idle-time 40user@host#set security advance-policy-based-routing sla-rule sla1 metrics-profile metric1user@host#set security advance-policy-based-routing sla-rule sla1 active-probe-params probe1user@host#set security advance-policy-based-routing sla-rule sla1 passive-probe-params sampling-percentage 25user@host#set security advance-policy-based-routing sla-rule sla1 passive-probe-params violation-count 2user@host#set security advance-policy-based-routing sla-rule sla1 passive-probe-params sampling-period 60000user@host#set security advance-policy-based-routing sla-rule sla1 passive-probe-params type book-ended -
Verknüpfen Sie eine SLA-Regel mit einer Multipath-Regel.
user@host#set security advance-policy-based-routing sla-rule sla1 multipath-rule multi1
Konfigurieren von Multipath-Regeln für Anwendungsdatenverkehr (Gerät, das für den Empfang von Datenverkehr konfiguriert ist))
Schritt-für-Schritt-Anleitung
Die in diesem Schritt konfigurierten Variablen sind für das sendende und das empfangende Gerät identisch.
-
Konfigurieren Sie die Multipath-Regel auf dem empfangenden Gerät.
user@host#set security advance-policy-based-routing multipath-rule multi1 bandwidth-limit 60user@host#set security advance-policy-based-routing multipath-rule multi1 application junos:YAHOOuser@host#set security advance-policy-based-routing multipath-rule multi1 application junos:GOOGLEuser@host#set security advance-policy-based-routing multipath-rule multi1 application-group junos:webuser@host#set security advance-policy-based-routing multipath-rule multi1 link-type MPLSuser@host#set security advance-policy-based-routing multipath-rule multi1 link-type IP
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show Befehle eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Konfiguration der Multipath-Regel für Hub-seitige Geräte
[edit security]user@host#show advance-policy-based-routing multipath-rule multi1 multipath-rule multi1 { bandwidth-limit 60; application [ junos:YAHOO junos:GOOGLE ]; application-group junos:web; link-type [ MPLS IP ]; number-of-paths 2; }
[edit security]user@host#show advance-policy-based-routing profile apbr1 { rule rule1 { match { dynamic-application [ junos:GOOGLE, junos:YAHOO ]; dynamic-application-group [ junos:web ]; } then { routing-instance TC1_VPN; sla-rule { sla1; } } } } active-probe-params probe1 { settings { data-fill { juniper; } data-size { 100; } probe-interval { 30; } probe-count { 30; } burst-size { 1; } sla-export-interval { 60; } dscp-code-points { 000110; } } } metrics-profile metric1 { sla-threshold { delay-round-trip { 120000; } jitter { 21000; } jitter-type { egress-jitter; } packet-loss { 2; } } } underlay-interface ge-0/0/2 { unit 0 { link-type MPLS; speed 800; } } underlay-interface ge-0/0/3 { unit 0 { link-type MPLS; speed 500; } } overlay-path overlay-path1 { tunnel-path { local { ip-address { 10.40.1.2; } } remote { ip-address { 10.40.1.1; } } } probe-path { local { ip-address { 10.40.1.2; } } remote { ip-address { 10.40.1.1; } } } } overlay-path overlay-path2 { tunnel-path { local { ip-address { 10.41.1.2; } } remote { ip-address { 10.41.1.1; } } } probe-path { local { ip-address { 10.41.1.2; } } remote { ip-address { 10.41.1.1; } } } } overlay-path overlay-path3 { tunnel-path { local { ip-address { 10.42.1.2; } } remote { ip-address { 10.42.1.1; } } } probe-path { local { ip-address { 10.42.1.2; } } remote { ip-address { 10.42.1.1; } } } } destination-path-group site1 { probe-routing-instance { transit; } overlay-path overlay-path1; overlay-path overlay-path2; overlay-path overlay-path3; } sla-rule sla1 { switch-idle-time { 40; } metrics-profile { metric1; } active-probe-params { probe1; } passive-probe-params { sampling-percentage { 25; } violation-count { 2; } sampling-period { 60000; } type { book-ended; } } multipath-rule { multi1; } } multipath-rule multi1 { bandwidth-limit 60; application [ junos:YAHOO junos:GOOGLE ]; application-group junos:web; link-type [ MPLS IP ]; number-of-paths 2; }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
- Multipath-Regelstatus anzeigen
- Anzeigen von Multipath-Regelstatistiken für eine Anwendung
- Anzeigen von Multipath-Regelrichtlinien
- Multipath-Regelstatus anzeigen
Multipath-Regelstatus anzeigen
Zweck
Zeigen Sie die Details der Multipath-Regel auf dem Gerät an, das für das Senden von Datenverkehr konfiguriert ist.
Aktion
Geben Sie im Betriebsmodus den show security advance-policy-based-routing multipath rule Befehl ein.
user@host> show security advance-policy-based-routing multipath rule multi1
Multipath Rule Status:
Multipath Rule Information:
Multipath rule name multi1
Multipath rule type Packet-Copy
Multipath rule state Active
Configured number of paths 2
Configured application groups junos:web
Configured applications junos:GOOGLE, junos:YAHOO
Path Group Information:
Total path groups : 1
Path-Group-Id State Avl-Num-Paths
1 Active 3
Receiver Information:
Path Groups Information:
Total receiver path groups : 1
Path-Group-Id : 1, Avg-Pkt-Loss(%) : 0, Avg-Ingress-Jitter(us) : 171
Path Information:
Dst-IP Pkts-Rcvd Pkt-Loss(%) Ingress-Jitter(us) Reduction-Pkt-Loss(%) Reduction-Ingress-Jitter(us)
10.40.1.2 2442 0 165 0 -6
10.41.1.2 2442 0 158 0 -13
Cos Q Statistics:
Total receiver cos queues: 8
COS-Q-Id Pkts-Rcvd Out-Of-Seq-Drop
0 4884 2442
1 0 0
2 0 0
3 0 0
4 0 0
5 0 0
6 0 0
7 0 0
Bedeutung
In der Befehlsausgabe werden die Details der Multipath-Regel angezeigt.
Anzeigen von Multipath-Regelstatistiken für eine Anwendung
Zweck
Zeigen Sie die Details des Anwendungsdatenverkehrs auf dem Gerät an, das für den Empfang von Datenverkehr konfiguriert ist
Aktion
Geben Sie im Betriebsmodus den show security advance-policy-based-routing multipath rule rule-name application application-name Befehl ein.
user@host> show security advance-policy-based-routing multipath rule multi1 application junos:YAHOO
Multipath Rule Status:
Multipath Rule Information:
Multipath rule name multi1
Multipath rule type Packet-Copy
Multipath rule state Active
Configured number of paths 2
Configured applications junos:YAHOO
Sender Information:
Statistics:
Current Sessions 0
Ignored Sessions 1
Applications Matched 1
Applications Switched 0
Stopped due to Bandwidth Limit 0
Packets in path inactive state 0
Packets in path active state 627
Midstream Packets Ignored 0
Total Packets Processed 627
Total Packets Copied 627
Bedeutung
In der Befehlsausgabe wird die Multipath-Regel für die Anwendung angezeigt.
Anzeigen von Multipath-Regelrichtlinien
Zweck
Zeigen Sie die Details der Multipath-Regel auf dem Gerät an, das für das Senden von Datenverkehr konfiguriert ist.
Aktion
Geben Sie im Betriebsmodus den show security advance-policy-based-routing multipath rule Befehl ein.
user@host> show security advance-policy-based-routing multipath policy statistics application junos:YAHOO multipath-name multi1 profile apbr1 rule rule1 zone trust
Sender Information:
Statistics:
Current Sessions 0
Ignored Sessions 0
Applications Matched 1
Applications Switched 0
Stopped due to Bandwidth Limit 0
Packets in path inactive state 26
Packets in path active state 2416
Less than Configured Paths 0
Midstream Packets Ignored 0
Total Packets Processed 2442
Total Packets Copied 2442
Bedeutung
In der Befehlsausgabe werden die Details zum Datenverkehr angezeigt, der mit der angewendeten Multipath-Regel verarbeitet wurde.
Multipath-Regelstatus anzeigen
Zweck
Zeigen Sie die Details der Multipath-Regel auf dem Gerät an, das für den Empfang von Datenverkehr konfiguriert ist
Aktion
Geben Sie im Betriebsmodus den show security advance-policy-based-routing multipath rule Befehl ein.
user@host> show security advance-policy-based-routing multipath rule multi1
Multipath Rule Status:
Multipath Rule Information:
Multipath rule name multi1
Multipath rule type Packet-Copy
Multipath rule state Active
Configured number of paths 2
Configured application groups junos:web
Configured applications junos:GOOGLE, junos:YAHOO
Path Group Information:
Total path groups : 1
Path-Group-Id State Avl-Num-Paths
1 Active 3
Receiver Information:
Path Groups Information:
Total receiver path groups : 1
Path-Group-Id : 1, Avg-Pkt-Loss(%) : 0, Avg-Ingress-Jitter(us) : 171
Path Information:
Dst-IP Pkts-Rcvd Pkt-Loss(%) Ingress-Jitter(us) Reduction-Pkt-Loss(%) Reduction-Ingress-Jitter(us)
10.40.1.1 2442 0 165 0 -6
10.41.1.1 2442 0 158 0 -13
Cos Q Statistics:
Total receiver cos queues: 8
COS-Q-Id Pkts-Rcvd Out-Of-Seq-Drop
0 4884 2442
1 0 0
2 0 0
3 0 0
4 0 0
5 0 0
6 0 0
7 0 0
Bedeutung
In der Ausgabe werden Details zur Multipath-Regel angezeigt.