Erweitertes richtlinienbasiertes Routing

Erweitertes richtlinienbasiertes Routing

Das unaufhaltsame Wachstum des Sprach-, Daten- und Videodatenverkehrs sowie der Anwendungen, die das Netzwerk durchlaufen, erfordert, dass Netzwerke Datenverkehrstypen erkennen, um Datenverkehr effektiv zu priorisieren, zu trennen und zu routen, ohne die Leistung oder Verfügbarkeit zu beeinträchtigen.

Beginnend mit Junos OS Version 15.1X49-D60 unterstützen Firewalls der SRX-Serie erweitertes richtlinienbasiertes Routing (APBR), um diese Herausforderungen zu meistern.

Erweitertes richtlinienbasiertes Routing ist eine Art sitzungsbasiertes, anwendungsbezogenes Routing. Dieser Mechanismus kombiniert richtlinienbasiertes Routing und anwendungsbezogene Datenverkehrsmanagementlösung. APBR bedeutet, dass die Datenströme basierend auf den Attributen der Anwendungen klassifiziert und Filter auf der Grundlage dieser Attribute angewendet werden, um den Datenverkehr umzuleiten. Der Mechanismus zur Klassifizierung des Datenstroms basiert auf Paketen, die die verwendete Anwendung darstellen.

APBR implementiert:

• Deep-Packet-Inspection- und Pattern-Matching-Funktionen von AppID zur Identifizierung von Anwendungsdatenverkehr oder einer Benutzersitzung innerhalb einer Anwendung

• Suche in ASC nach dem Anwendungstyp und der entsprechenden Ziel-IP-Adresse, dem Zielport, dem Protokolltyp und dem Dienst nach einer übereinstimmenden Regel

Wenn eine übereinstimmende Regel gefunden wird, wird der Datenverkehr an eine geeignete Route und die entsprechende Schnittstelle oder das entsprechende Gerät weitergeleitet.

Vorteile von APBR

• Ermöglicht es Ihnen, das Routingverhalten basierend auf Anwendungen zu definieren.

• Bietet flexiblere Funktionen für die Verarbeitung von Datenverkehr und bietet eine granulare Steuerung für das Weiterleiten von Paketen auf der Grundlage von Anwendungsattributen.

So funktioniert APBR

Machen wir uns mit den APBR-Komponenten vertraut, bevor wir uns mit der Funktionsweise von APBR befassen:

• Erstellen Sie ein APBR-Profil (in diesem Dokument auch als Anwendungsprofil bezeichnet). Das Profil enthält mehrere APBR-Regeln. Jede Regel enthält mehrere Anwendungen oder Anwendungsgruppen als Übereinstimmungskriterien. Wenn der Datenverkehr mit einer der Anwendungen oder Anwendungsgruppen einer Regel übereinstimmt, wird die Regel als Übereinstimmung betrachtet, und das Profil leitet den Anwendungsdatenverkehr an die zugeordnete Routing-Instanz weiter.

• Das APBR-Profil ordnet der APBR-Regel eine Routing-Instanz zu. Wenn der Datenverkehr mit einem Anwendungsprofil übereinstimmt, werden die zugeordnete statische Route und der nächste Hop, die in der Routing-Instanz definiert sind, verwendet, um den Datenverkehr für die jeweilige Sitzung weiterzuleiten.

• Ordnen Sie das Anwendungsprofil dem eingehenden Datenverkehr zu. Sie können das APBR-Profil an eine APBR-Richtlinie anhängen und als Anwendungsdienste für die Sitzung anwenden.

Lassen Sie uns mit dem Verständnis des APBR-Workflows fortfahren und dann über die APBR-Midstream-Unterstützung und dann über die erste Paketklassifizierung in APBR sprechen.

APBR-Workflow

Abbildung 1 fasst das APBR-Verhalten vor Junos OS Version 21.3R1 zusammen.

Abbildung 1: APBR-Verhalten

Das Sicherheitsgerät verwendet DPI, um Attribute einer Anwendung zu identifizieren, und APBR, um den Datenverkehr über das Netzwerk zu leiten. In einer Servicekette durchläuft der Anwendungsdatenverkehr DPI, bevor das Gerät die ABPR anwendet. Der Prozess der Identifizierung einer Anwendung mithilfe von DPI erfordert die Analyse mehrerer Pakete. In solchen Fällen durchläuft der anfängliche Datenverkehr eine Standardroute (Nicht-APBR-Route), um das Ziel zu erreichen. Der Prozess wird fortgesetzt, aber DPI identifiziert die Anwendung. Sobald DPI die Anwendung identifiziert hat, wendet APBR Regeln für den Rest der Sitzung an. Der Datenverkehr durchquert die Route gemäß der APBR-Profilregel.

Wenn Sie unterschiedliche NAT-Pools für Quell-NAT verwenden und Midstream-APBR anwenden, bleibt die Quell-IP-Adresse der Sitzung identisch mit der Adresse, mit der die Sitzung vor Midstream-APBR verwendet wurde.

• APBR-Midstream-Unterstützung
• APBR mit erster Paketklassifizierung
• Vorteile der First-Packet-Klassifizierung
• Begrenzungen

Ab Junos OS-Version 21.3R1 verwendet APBR die erste Paketklassifizierung zur Identifizierung von Anwendungen im Netzwerkdatenverkehr. APBR identifiziert Anwendungen, indem es das allererste Paket im Datenverkehrsfluss untersucht und dann anwendungsspezifische Regeln anwendet, um den Datenverkehr weiterzuleiten.

Abbildung 2 zeigt, wie APBR die erste Paketklassifizierung zum Abrufen von Anwendungsdetails verwendet.

Abbildung 2: APBR mit First-Packet-Klassifizierung

Die First-Paketklassifizierung nutzt das Repository, das Details wie statische IP-Zuordnung und Portdetails von Anwendungen enthält. Das Repository ist Teil des Anwendungssignaturpakets (JPI).

Bei der ersten Sitzung einer zwischenspeicherbaren Anwendung fragt APBR den ASC ab, um Anwendungsdetails des Datenstroms abzurufen. Wenn der Eintrag der Anwendung nicht im ASC verfügbar ist, fragt APBR JDPI nach den Anwendungsdetails ab. APBR verwendet die IP-Adresse und die Portdetails des Datenstroms für die Abfrage. Wenn die Anwendungszuordnung verfügbar ist, gibt JDPI die Details an APBR zurück. Nach dem Abrufen der Anwendungsdetails sucht APBR nach dem konfigurierten Profil der Anwendung und leitet das Paket über die zugewiesene Routing-Instanz.

Gleichzeitig verarbeitet JDPI die Pakete weiter und aktualisiert den ASC (falls aktiviert). Für die nachfolgenden Datenströme führt APBR das Routing des Datenverkehrs basierend auf dem Anwendungseintrag durch, der im ASC für den Datenstrom vorhanden ist.

Mit der First-Paketklassifizierung können Sie verschiedene NAT-Pools für die Quell-NAT in Ihrer APBR-Konfiguration für zwischenspeicherbare Anwendungen verwenden.

Erweiterte richtlinienbasierte Routing-Optionen

Sie können die Datenverkehrsverarbeitung mit APBR optimieren, indem Sie die folgenden Optionen verwenden:

• Limit route change- Einige Sitzungen durchlaufen eine kontinuierliche Klassifizierung in der Mitte der Sitzung, da Anwendungssignaturen die Anwendung identifizieren. Immer wenn eine Anwendung anhand der Anwendungssignaturen identifiziert wird, wird APBR angewendet, was zu einer Änderung der Route des Datenverkehrs führt. Sie können die Häufigkeit begrenzen, mit der sich eine Route für eine Sitzung ändern kann, indem Sie die max-route-change Option der tunables Anweisung verwenden.

  set security advance-policy-based-routing tunables max-route-change value

  Beispiel:

  In diesem Beispiel möchten Sie die Anzahl der Routenänderungen pro Sitzung auf 5 begrenzen. Wenn sich die Route in der Mitte der Sitzung ändert, wird diese Anzahl auf 4 reduziert. Dieser Vorgang wird fortgesetzt, bis der Zähler 0 erreicht. Danach wird APBR nicht mehr in der Mitte der Sitzung angewendet.

  Wenn eine identifizierte Anwendung einen Eintrag im ASC hat, wird die Anzahl für diese Sitzung nicht reduziert, da die Sitzung mit der angegebenen Route gemäß der APBR-Konfiguration gestartet wurde.

• Terminate session if APBR is bypassed–Sie können die Sitzung beenden, wenn es eine Diskrepanz zwischen den Zonen gibt, wenn APBR in der Mitte der Sitzung angewendet wird. Wenn Sie APBR während einer Sitzung anwenden möchten, müssen sowohl die neue Ausgangsschnittstelle als auch die vorhandene Ausgangsschnittstelle Teil derselben Zone sein. Wenn Sie die Zone für eine Schnittstelle während einer Sitzung ändern, wird APBR standardmäßig nicht angewendet, und der Datenverkehr durchläuft weiterhin die vorhandene Schnittstelle. Um dieses Standardverhalten zu ändern, können Sie die Sitzung vollständig beenden, anstatt zuzulassen, dass der Datenverkehr dieselbe Route unter Umgehung von APBR durchquert, indem Sie die drop-on-zone-mismatch Option der tunables Anweisung verwenden.

  Beispiel:

• Enable loggingSie können die Protokollierung aktivieren, um Ereignisse aufzuzeichnen, die auf dem Gerät auftreten, z. B. wenn APBR aufgrund einer Änderung der Zonen für Schnittstellen umgangen wird. Sie können die enable-logging Option der tunables Anweisung verwenden, um die Protokollierung zu konfigurieren.

  Beispiel:

• Enable reverse rerouteBei Bereitstellungen, die Datenverkehrssymmetrie für ECMP-Routen erfordern und der eingehende Datenverkehr mitten in der Sitzung gewechselt werden muss, kann das Rerouting mit der Option enable-reverse-reroute erreicht werden, die für eine Sicherheitszone wie folgt spezifisch ist:

  Beispiel:

  [edit]

  set security zones security-zone zone-name enable-reverse-reroute

  Wenn die obige Konfiguration für eine Sicherheitszone aktiviert ist, in der ein eingehendes Paket an einer Schnittstelle ankommt und eine andere Ausgangs-/Rückgabeschnittstelle hat, wird eine Änderung in der Schnittstelle erkannt und eine Umleitung ausgelöst. Für den umgekehrten Pfad wird eine Routensuche durchgeführt, wobei die Schnittstelle, auf der das Paket angekommen ist, bevorzugt wird.

  Die weitere Verarbeitung wird für eine bestimmte Sitzung angehalten, wenn eine Routensuche für den Datenverkehr auf dem umgekehrten Pfad fehlschlägt.

  Unterstützung für Reverse Rerouting ist ab Junos OS Version 15.1X49-D130 und höher verfügbar.

• Support for Layer 3 and Layer 4 Applications—Ab Junos OS Version 20.2R1 unterstützt APBR benutzerdefinierte Anwendungen auf den Layern 3 und 4. Sie können die benutzerdefinierte Anwendungssuche auf Layer 3 und Layer 4 in APBR manuell deaktivieren, indem Sie die folgende Konfigurationsanweisung verwenden:
• Application Tracking—

  Sie können AppTrack aktivieren, um den Datenverkehr zu untersuchen und Statistiken für Anwendungsdatenströme in der angegebenen Zone zu erfassen. Weitere Informationen finden Sie unter Grundlegendes zur Anwendungsverfolgung .

Anwendungsfall

• Bei Verwendung mehrerer ISP-Verbindungen:

  • APBR kann für die Auswahl von Links mit hoher Bandbreite und niedriger Latenz für wichtige Anwendungen verwendet werden, wenn mehr als ein Link verfügbar ist.

  • APBR kann verwendet werden, um im Falle eines Verbindungsausfalls einen Fallback-Link für wichtigen Datenverkehr zu erstellen. Wenn mehrere Links verfügbar sind und der Hauptlink, der den wichtigen Anwendungsdatenverkehr trägt, einen Stromausfall hat, kann der andere Link, der als Fallback-Link konfiguriert ist, für den Transport von Datenverkehr verwendet werden.

  • APBR kann verwendet werden, um den Datenverkehr für eine gründliche Untersuchung oder Analyse zu trennen. Mit dieser Funktion können Sie den Datenverkehr basierend auf Anwendungen klassifizieren, die einer gründlichen Untersuchung und Prüfung unterzogen werden müssen. Bei Bedarf kann dieser Datenverkehr an ein anderes Gerät weitergeleitet werden.

Begrenzungen

Für APBR gelten die folgenden Einschränkungen:

• Die Umleitung der Route für den Datenverkehr hängt vom Vorhandensein eines Eintrags im Systemcache der Anwendung (ASC) ab. Das Routing ist nur erfolgreich, wenn die ASC-Suche erfolgreich ist. In der ersten Sitzung, wenn der ASC für den Datenverkehr nicht vorhanden ist, durchläuft der Datenverkehr eine Standardroute (Nicht-APBR-Route) zum Ziel (diese Einschränkung gilt nur für Versionen vor Junos OS 15.1X49-D110).

• APBR funktioniert nicht, wenn ein Anwendungssignaturpaket nicht installiert oder die Anwendungsidentifikation nicht aktiviert ist.

Für APBR mit Midstream-Unterstützung gelten die folgenden Einschränkungen:

• APBR funktioniert nur für Weiterleitungsdatenverkehr.

• APBR funktioniert nicht für Datensitzungen, die von einer Entität aus der Steuerungssitzung initiiert werden, z. B. aktives FTP.

• Wenn unterschiedliche NAT-Pools für die Quell-NAT verwendet werden und Midstream-APBR angewendet wird, ist die Quell-IP-Adresse der Sitzung weiterhin dieselbe wie diejenige, die die Sitzung vor der Anwendung des Midstream-APBR verwendet hat.

• APBR mit Midstream-Unterstützung funktioniert nur, wenn sich alle Ausgangsschnittstellen in derselben Zone befinden. Aus diesem Grund können nur die Routing-Instanzen für Weiterleitung und virtuelles Routing und Weiterleitung (VRF) verwendet werden, um die APBR-Midstream-Unterstützung zu nutzen.

Wie funktioniert die APBR-Richtlinie?

APBR-Richtlinien werden für eine Sicherheitszone definiert. Wenn einer Zone eine oder mehrere APBR-Richtlinien zugeordnet sind, durchläuft die Sitzung, die von der Sicherheitszone aus initiiert wird, die Richtlinienübereinstimmung.

Die folgenden Sequenzen sind daran beteiligt, den Datenverkehr durch eine APBR-Richtlinie abzugleichen und erweitertes richtlinienbasiertes Routing zur Weiterleitung des Datenverkehrs basierend auf den definierten Parametern/Regeln anzuwenden:

• Wenn Datenverkehr in der Eingangszone eintrifft, wird er durch die APBR-Richtlinienregeln abgeglichen. Die Richtlinienübereinstimmungsbedingung umfasst die Quelladresse, die Zieladresse und die Anwendung.

• Wenn der Datenverkehr mit den Sicherheitsrichtlinienregeln übereinstimmt, wird die Aktion der APBR-Richtlinie auf den Datenverkehr angewendet. Sie können APBR als Anwendungsdienst in der APBR-Richtlinienaktion aktivieren, indem Sie den APBR-Profilnamen angeben.

• Die APBR-Profilkonfiguration umfasst den Satz von Regeln, der eine Menge dynamischer Anwendungen und dynamischer Anwendungsgruppen als Übereinstimmungsbedingung enthält. Der Aktionsteil dieser Regeln enthält die Routing-Instanz, über die der Datenverkehr weitergeleitet werden muss. Die Routing-Instanz kann die Konfiguration von statischen Routen oder dynamisch gelernten Routen umfassen.

• Der gesamte Datenverkehr, der für die statische Route bestimmt ist, wird an die Adresse des nächsten Hops übertragen, damit er an ein bestimmtes Gerät oder eine bestimmte Schnittstelle weitergeleitet wird.

APBR-Richtlinienregeln sind terminal, was bedeutet, dass der Datenverkehr, sobald er mit einer Richtlinie abgeglichen wurde, von den anderen Richtlinien nicht weiter verarbeitet wird.

Wenn eine APBR-Richtlinie über den übereinstimmenden Datenverkehr verfügt und das APBR-Profil keinen Datenverkehr hat, der der Regel entspricht, wird der Datenverkehr, der der APBR-Richtlinie entspricht, über eine Standard-Routing-Instanz [inet0] zum Ziel geleitet.

Unterstützung von älteren APBR-Profilen

Vor Junos OS-Version 18.2R1 wurde das APBR-Profil auf Sicherheitszonenebene angewendet. Mit der Unterstützung der APBR-Richtlinie wird die APBR-Konfiguration auf Sicherheitszonenebene in Zukunft veraltet sein, anstatt sofort entfernt zu werden, um Abwärtskompatibilität und die Möglichkeit zu bieten, Ihre Konfiguration mit der neuen Konfiguration in Einklang zu bringen.

Wenn Sie jedoch einen zonenbasierten APBR konfiguriert haben und versuchen, eine APBR-Richtlinie für die jeweilige Sicherheitszone hinzuzufügen, schlägt der Commit möglicherweise fehl. Sie müssen die zonenbasierte Konfiguration löschen, um die APBR-Richtlinie für die Zone zu konfigurieren. Wenn eine APBR-Richtlinie für eine Sicherheitszone konfiguriert ist und Sie versuchen, zonenbasierte APBR zu konfigurieren, führt dies zu einem Commit-Fehler.

Einschränkung

• Wenn Sie eine bestimmte Adresse oder eine Adresse verwenden, die in der APBR-Richtlinienregel festgelegt ist, empfehlen wir, das globale Adressbuch zu verwenden. Aus diesem Grund sind zonenspezifische Regeln möglicherweise nicht für die Zieladresse anwendbar, da die Zielzone zum Zeitpunkt der Richtlinienauswertung nicht bekannt ist.

• Die Konfiguration der APBR-Richtlinie für die Sicherheitszone junos-host wird nicht unterstützt.

Regelverarbeitung in einem APBR-Profil

Sie können erweitertes richtlinienbasiertes Routing bereitstellen, indem Sie den Datenverkehr basierend auf den Attributen der Anwendungen klassifizieren und auf der Grundlage dieser Attribute Richtlinien anwenden, um den Datenverkehr umzuleiten. Dazu müssen Sie das APBR-Profil definieren und es einer APBR-Richtlinie zuordnen. Sie können ein APBR-Profil erstellen, um mehrere Regeln entweder mit dynamischen Anwendungen, Anwendungsgruppen oder beidem oder einer URL-Kategorie als Übereinstimmungskriterien einzuschließen. Die im APBR-Profil konfigurierten Regeln können eine der folgenden umfassen:

• Eine oder mehrere Anwendungen, dynamische Anwendungen oder Anwendungsgruppen

• URL-Kategorie (IP-Zieladresse): EWF- oder lokale Webfilterung.

In einem APBR-Profil wird die Regelsuche für beide Übereinstimmungskriterien durchgeführt. Wenn nur ein Übereinstimmungskriterium verfügbar ist, wird die Regelsuche basierend auf den verfügbaren Übereinstimmungskriterien durchgeführt.

Das APBR-Profil enthält die Regeln, um den Datenverkehr mit Anwendungen oder URL-Kategorien abzugleichen, und die Aktion, um den übereinstimmenden Datenverkehr für die Routensuche an die angegebene Routing-Instanz umzuleiten.

In Junos OS Version 18.3R1 erfolgt der Abgleich der URL-Kategorie basierend auf der Ziel-IP-Adresse. Aus diesem Grund wird die URL-kategoriebasierte Regelübereinstimmung beim ersten Paket der Sitzung beendet. Da eine dynamische Anwendung möglicherweise in der Mitte der Sitzung identifiziert wird, wird der Abgleichsprozess für die Regeln für die dynamische Anwendung fortgesetzt, bis der Prozess der Anwendungsidentifizierung abgeschlossen ist.

Vorteile von URL-kategoriebasiertem Routing

• Durch die Verwendung von URL-basierten Kategorien erhalten Sie eine granulare Kontrolle über den Webverkehr. Der Datenverkehr, der zu bestimmten Kategorien von Websites gehört, wird über verschiedene Pfade umgeleitet und je nach Kategorie einer weiteren Sicherheitsverarbeitung unterzogen, einschließlich SSL-Entschlüsselung für den HTTPS-Datenverkehr.

• Funktionen zur Traffic-Verarbeitung auf der Grundlage von URL-Kategorien ermöglichen es Ihnen, verschiedene Pfade für ausgewählte Websites zu verwenden. Die Verwendung verschiedener Pfade führt zu einer besseren Quality of Experience (QoE) und ermöglicht es Ihnen, die verfügbare Bandbreite effektiv zu nutzen.

• SD-WAN-Lösungen können zusätzlich zum dynamischen anwendungsbasierten Routing URL-kategoriebasiertes Routing nutzen.

• URL-kategoriebasiertes Routing kann für lokale Internet-Breakout-Lösungen verwendet werden, da es mit Änderungen der Quell-NAT-Konfiguration arbeiten kann.

Einschränkungen des URL-kategoriebasierten Routings

Für die Verwendung von URL-Kategorien in einem APBR-Profil gelten die folgenden Einschränkungen:

• Nur die Ziel-IP-Adresse wird für die Identifizierung der URL-Kategorie in einem APBR-Profil verwendet. URL-Kategorien, die auf dem Host oder auf der URL oder dem SNI-Feld basieren, werden nicht unterstützt.

• Sie können entweder eine dynamische Anwendung oder eine URL-Kategorie als Übereinstimmungsbedingung in einer APBR-Profilregel konfigurieren. Das Konfigurieren einer Regel mit sowohl der URL-Kategorie als auch mit der dynamischen Anwendung führt zu einem Commit-Fehler.

Nützt

• Ermöglicht es Ihnen, das Routingverhalten auf granulareren Ebenen zu definieren, um eine sichere Durchsetzung von Richtlinien für den Anwendungsdatenverkehr zu gewährleisten, der das Netzwerk durchquert.

• Bietet flexiblere Funktionen für die Verarbeitung von Datenverkehr und bietet eine granulare Steuerung für das Weiterleiten von Paketen auf Grundlage der Rollen und Geschäftsanforderungen der Benutzer.

Einleitung

Techniken zur Anwendungsidentifikation beruhen auf Deep Packet Inspection (DPI). Es gibt einige Fälle, in denen das DPI-Modul die Anwendung möglicherweise nicht identifizieren kann, z. B. verschlüsselter Datenverkehr. Wenn Sie APBR-Regeln auf einen solchen Datenverkehr anwenden, wird der Datenverkehr normal verarbeitet, ohne dass APBR-Funktionen auf ihn angewendet werden.

Ab Junos OS-Version 19.3R1 unterstützen Firewalls der SRX-Serie die Konfiguration von DSCP-Werten in einer APBR-Regel als Übereinstimmungskriterien für die Ausführung von APBR-Funktionen für den mit DSCP-Tags versehenen Datenverkehr.

Sie können den DSCP-Wert zusätzlich zu den anderen Übereinstimmungskriterien der APBR-Regel konfigurieren, z. B. dynamische Anwendung und dynamische Anwendungsgruppe.

Indem Sie den DSCP-Wert in einer APBR-Regel konfigurieren, können Sie den APBR-Dienst auf den Datenverkehr mit den DSCP-Markierungen erweitern.

Anwendungsfall

Sie können APBR-Regeln mit DSCP als Übereinstimmungskriterien für den verschlüsselten Datenverkehr verwenden.

Einschränkung

• Die Konfiguration von Regeln mit DSCP-Wert und URL-Kategorie in einem einzelnen APBR-Profil ist nicht verfügbar.

APBR-Regelsuche bei Verwendung eines DSCP-Werts als Übereinstimmungskriterium

In einer APBR-Regel können Sie einen DSCP-Wert oder dynamische Anwendungen oder eine Kombination aus beidem konfigurieren.

Wenn Sie sowohl DSCP als auch dynamische Anwendung in einer APBR-Regel konfiguriert haben, gilt die Regel als übereinstimmung, wenn der Datenverkehr allen in der Regel angegebenen Kriterien entspricht. Wenn mehrere DSCP-Werte in der APBR-Regel vorhanden sind, wird ein Kriterium als Übereinstimmung betrachtet.

Ein APBR-Profil kann mehrere Regeln enthalten, wobei jede Regel eine Vielzahl von Übereinstimmungsbedingungen aufweist.

Bei mehreren APBR-Regeln in einem APBR-Profil wird für die Regelsuche die folgende Prioritätsreihenfolge verwendet:

1. Regel mit DSCP + dynamischer Anwendung

2. Regel mit dynamischer Anwendung

3. Regel mit DSCP-Wert

Wenn ein APBR-Profil mehrere Regeln enthält, führt das System eine Regelsuche durch und wendet die Regel in der folgenden Reihenfolge an:

• Das System wendet die DSCP-basierten Regeln für das erste Paket der Sitzung an.

• Das System prüft weiterhin, ob Anwendungsinformationen entweder aus der DPI-Klassifizierung oder aus dem Anwendungssystem-Cache (ASC) verfügbar sind.

• Wenn DPI in der Mitte der Sitzung eine neue Anwendung identifiziert, führt das System eine Regelsuche durch und wendet je nach Bedarf eine neue Regel (anwendungsbasierte Regel oder DSCP-basierte Regel oder Kombination aus beiden) an.

• Die Identifizierung von Anwendungen und die Suche nach Regeln werden so lange fortgesetzt, bis der DPI eine Anwendung als endgültige Anwendung oder maximalen Umleitungswert identifiziert.

• Wenn die Regelsuche mit keiner Regel übereinstimmt, wird keine weitere Aktion ausgeführt.

Lassen Sie uns anhand der folgenden zwei Beispiele verstehen, wie APBR die Regelsuche durchführt und die Regeln anwendet:

• Beispiel 1
• Beispiel 2

Konfiguration

• CLI Schnellkonfiguration
• Schritt-für-Schritt-Anleitung
• Befund

Warum ist eine selektive Deaktivierung des Midstream-Routings erforderlich?

Einige Sitzungen durchlaufen eine kontinuierliche Klassifizierung in der Mitte der Sitzung, da Anwendungssignaturen die Anwendung identifizieren. Immer wenn eine Anwendung anhand der Anwendungssignaturen identifiziert wird, wird APBR angewendet, was zu einer Änderung der Route des Datenverkehrs führt. Sie können die Häufigkeit begrenzen, mit der sich eine Route für eine Sitzung ändern kann, indem Sie die max-route-change Option verwenden. Wenn Sie diese Option auf 0 setzen, wird der APBR für die jeweilige Sitzung deaktiviert. Mit dieser Option wird jedoch auch die APBR-Funktionalität global auf Ihrem Gerät deaktiviert, die möglicherweise nicht erforderlich ist.

Selektives Deaktivieren von APBR in der Mitte des Streams

Ab Junos OS Version 19.4R1 können Sie den APBR-Service während einer Sitzung für eine bestimmte APBR-Regel selektiv deaktivieren, während die globale APBR-Funktionalität für die verbleibenden Sitzungen erhalten bleibt. Wenn Sie das Midstream-Routing für eine bestimmte APBR-Regel deaktivieren, wendet das System Midstream-APBR nicht auf den entsprechenden Anwendungsdatenverkehr an und leitet den Datenverkehr über eine Nicht-APBR-Route.

Um den Midstream-APBR selektiv zu deaktivieren, können Sie die APBR-Regel mit der Option zum Deaktivieren des Midstream-Routings (disable-midstream-routing) auf der Hierarchieebene [edit security advance-policy-based-routing profile apbr-profile-name rule apbr-rule-name] konfigurieren.

Tabelle 7 zeigt das Verhalten der selektiv deaktivierenden Midstream-APBR-Option.

Durch das Deaktivieren des Midstream-Routings für eine bestimmte APBR-Regel wird der Anwendungsdatenverkehr über eine standardmäßige Nicht-APBR-Route zurückgeleitet.