Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Teil 3: Konfigurieren der Anwendungsqualität mit SD-WAN

Übersicht

In diesem Abschnitt konfigurieren Sie AppQoE (Application Quality Experience) auf der SRX. AppQoE verbessert die Benutzererfahrung auf Anwendungsebene. Leistungssonden überwachen ständig Die Quality of Service Parameter und die Einhaltung der Service Level Agreement (SLA) des Anwendungsdatenverkehrs. Das Ergebnis ist, dass der Anwendungsdatenverkehr immer den SLA-konformsten Link verwendet, der verfügbar ist.

Betrachten wir die in Tabelle 1 aufgeführten Anwendungen. In diesem Beispiel gelten die Anwendungen Office365, Salesforce und Zoom als geschäftskritisch für das Unternehmen. Alle kritischen Anwendungen sollten über den privaten WAN-Link geroutet werden, wenn dieser die SLA-Anforderungen der Anwendung erfüllt. Kritische Anwendungen nutzen auch den LTE-Link, wenn alle anderen Verbindungen ausfallen.

Die restlichen Anwendungen nutzen den Breitband-Internetzugangslink als primäre Verbindung. Da nur geschäftskritische Anwendungen den LTE-Backup-Link verwenden können, sind die nichtkritischen Anwendungen nicht zugänglich, wenn nur die LTE-Verbindung verfügbar ist.

Tabelle 1: Typische Anwendungen, die in zweigstellen verwendet werden

Anwendung

Primäre Verbindung

Sekundäre Verbindung

Geschäftskritisch?

Office365

Privates WAN

Breitband-Internet

Ja

Salesforce

Privates WAN

Breitband-Internet

Ja

Zoom

Privates WAN

Breitband-Internet

Ja

Slack

Breitband-Internet

Privates WAN

Nein

Gotomeeting

Breitband-Internet

Privates WAN

Nein

Dropbox

Breitband-Internet

Privates WAN

Nein

Skype

Breitband-Internet

Privates WAN

Nein

Youtube

Breitband-Internet

Privates WAN

Nein

Hinweis:

Sie konfigurieren AppQoE für eine geschäftskritische und eine nichtkritische Anwendung, um den Fokus auf das Beispiel zu behalten. Sie können die Konfiguration einfach anpassen, um zusätzliche Anwendungen zu unterstützen, indem Sie den gewünschten Sondierungstyp und den gewünschten Zieldomänennamen oder -ip-Adresse angeben.

Schritt-für-Schritt-Prozedur

  1. Erstellen Sie Zeitleistungsüberwachungssonden für Office 365. Office 365 ist eine wichtige Anwendung gemäß Tabelle 1. Wir haben eine Probe eingerichtet, um die Konnektivität zu der von Office365 verwendeten IP-Adresse, insbesondere 40.97.223.114, zu testen. Die Probe ist so konfiguriert, dass 5 Ping-basierte Sondierungen im Abstand von 6 Sekunden auf der privaten WAN-Verbindung gesendet werden. Wir konfigurieren auch die Schwellenwerte, die nicht verletzt werden sollten, wie z. B. den Verlust von 5 aufeinanderfolgenden Sondierungen oder eine Probe Round Trip Transit Time (RTT) über 300000 Mikrosekunden. Die IP-Adresse des Gateways auf der Schnittstelle ge-0/0/3 lautet 192.168.220.1.

    Tipp:

    Sie können das Probeziel als IP-Adresse oder mit einem Domänennamen eingeben. Wenn ein Name angegeben wird, löst die Junos Software diesen automatisch auf die entsprechende IP-Adresse in der Konfiguration auf. Dieses Beispiel zeigt ICMP-basierte Sondierungen. Es gibt andere Probetypen, z. B. http-get. Nicht alle Standorte reagieren auf ICMP Echo Request (Ping)-Nachrichten. Achten Sie darauf, einen Probetyp zu verwenden, der vom Anwendungsanbieter unterstützt wird.

  2. Erstellen Sie die zweite Probe für dieselbe Anwendung, um die sekundäre Verbindung mithilfe der sekundären Schnittstelle zu untersuchen. Die IP-Adresse des Standard-Gateways auf dem Breitband-Internet-Link ist 172.16.1.1.

  3. In ähnlicher Weise erstellen Sie zwei Sondierungen für die Skype-Anwendung. Skype ist gemäß Tabelle 1 keine geschäftskritische Anwendung. Wir benötigen eine strengere Servicelevel-Garantie für diese (aber nicht kritische) Echtzeitanwendung. Insbesondere konfigurieren Sie ein kürzeres Probe-Intervall von 1 Sekunde und einen kürzeren RTT-Schwellenwert von 6.000 Mikrosekunden.

    Hinweis:

    Wir richten die primären und sekundären Sondierungen auf der Schnittstelle basierend darauf ein, ob die Anwendung geschäftskritisch ist. Die Schnittstelle und die IP-Adresse für die primäre Probe für nichtkritische Anwendungen (Skype) unterscheiden sich von der Probe für die kritische Anwendung (Office365).

  4. Erstellen Sie für jede Anwendung eine Routing-Instanz. Wir konfigurieren die Route einer Anwendung für den primären Link mit einem niedrigeren Präferenzwert als der Backup-Link. Routen mit einem niedrigeren Präferenzwert haben vorrang vor Routen mit höherem Wert. Sie schließen die LTE-Backup-Schnittstelle nur für geschäftskritische Anwendungen ein.

    Die Routing-Instanz für Office365 legt einen Routeneinstellungswert von 10 für das private WAN-Gateway (bevorzugte Route) fest. Ein Bevorzugter Wert von 20 für den Breitband-Internet-Link (nächste bevorzugte Route). Und ein Bevorzugter Wert von 30 für den LTE-Backup-Link (die am wenigsten bevorzugte Route).

  5. Konfigurieren Sie die Routing-Instanzen für die Slack-Anwendung in einem ähnlichen Muster. Diese nichtkritische Anwendung umfasst nicht die LTE-Schnittstelle in der Routing-Instanz. Das Weglassen der LTE-Schnittstelle verhindert, dass nichtkritische Anwendungen den LTE-Backup-Link verwenden. Beachten Sie auch, wie die statischen Routeneinstellungen dazu führen, dass diese Anwendung das Breitband-Internet als primäre Verbindung verwendet.

  6. Konfigurieren Sie IP-Überwachungsrichtlinien für die Anwendungen. Ziel der Richtlinien ist es, die Metrik der Standardrouten in den Routing-Instanzen dynamisch zu ändern. Die Richtlinien werden pro Probe ausgeführt.

    In diesem Schritt erstellen wir die IP-Überwachungsrichtlinie für die Office365-Anwendung. Für Office365 konfigurieren wir zwei Sondierungen und erstellen zwei Richtlinien – eine für jeden Test. Wenn die Probe feststellt, dass der Anwendungsdatenverkehr den konfigurierten Schwellenwert für eine Verbindung überschritten hat, ändert die Richtlinie die Präferenz der Routen. Die Richtlinie reduziert die Metrik für den zweitbeste Link auf 2. Diese Änderung leitet den Datenverkehr in der Routing-Instanz an den Backup-Link.

    Wenn beispielsweise die Probe feststellt, dass die primäre Verbindung für Office365, der private WAN-Link, die Anforderungen für RTT und Verlust nicht erfüllt, ändert die Richtlinie die Kennzahl des Gateways für die Breitband-Internetverbindung (nächste bevorzugte Route) in einen Wert von 2.

  7. Konfigurieren Sie die IP-Überwachungsrichtlinie für die sekundäre Probe für Office365.

    Hinweis:

    Die Next-Hop-Adresse ist die IP-Adresse für den primären privaten WAN-Link.

  8. Konfigurieren Sie die IP-Überwachungsrichtlinie für die Slack-Anwendung.

  9. Konfigurieren Sie ein erweitertes richtlinienbasiertes Routing (APBR)-Profil. Ihr APBR-Profil entspricht beiden Anwendungen, die in diesem Beispiel verwendet werden. Das Profil leitet den abgleichenden Datenverkehr an die jeweilige Routing-Instanz weiter. Das Profil verwendet Regeln, wobei jede Regel eine Anwendung und eine Routing-Instanz abdeckt. In diesem Beispiel konfigurieren wir eine Regel namens office365_rule, die den gesamten Datenverkehr für die Anwendung mit dem Namen "junos:OFFICE365-CREATE-CONVERSATION" entspricht, und leiten den Datenverkehr an die Routing-Instanz mit dem Namen office365_RInstance. Die Slack-Anwendung wird wie in der Mode eingereicht.

    Hinweis:

    APBR erfordert eine appid-sig-Lizenz. Ohne die Lizenz erhalten Sie einen Commit-Fehler. Weitere Informationen finden Sie im Abschnitt "Anforderungen".

    Hinweis:

    Um die Anwendungskontinuität zu gewährleisten und die Benutzer nicht zu beeinträchtigen, möchten wir Änderungen des Pfads in der Mittleren Sitzung für etablierte Sitzungen ablehnen. Sie setzen den max-route-change Parameter auf 0, um Änderungen an etablierten Sitzungen zu verhindern.

    Tipp:

    Die Junos-Software unterstützt eine umfangreiche Liste dynamisch erkannter Anwendungen. Die Anwendungsidentifizierung bietet Einen Überblick über die Anwendungen in Ihrem Netzwerk und zeigt Ihnen die Funktionsweise der Anwendung, ihre Verhaltenseigenschaften und ihr relatives Risiko. App ID nutzt zahlreiche Mechanismen, um die Anwendungen in Ihrem Netzwerk zu erkennen. App-ID funktioniert unabhängig von Port, Protokoll, Verschlüsselung (TLS/SSL oder SSH) oder anderen Ausweichmanövern. Weitere Informationen finden Sie unter Anwendungsidentifizierung.

  10. Konfigurieren Sie eine protokollunabhängige Gruppe von Routing-Tabellen. Diese Konfiguration kopiert die Schnittstellenrouten zu den verschiedenen Anwendungs-Routing-Instanzen. Kopien dieser Route ermöglichen einer bestimmten Instanz die Nutzung des privaten WAN oder der Breitband-Internetverbindungen. Denken Sie daran, dass Sie beide Schnittstellen in der Hauptroutinginstanz definiert haben.

  11. Fügen Sie das neu erstellte Profil apbr_profile der Sicherheitszonen-Vertrauensstellung hinzu. Diese Konfiguration wendet das Profil auf den Datenverkehr in der Zone an.

  12. Commit der Konfiguration und Rückkehr in den Betriebsmodus.

Überprüfung der Anwendungsqualität

Zweck

Bestätigen Sie, dass APBR gemäß den Zielen dieses Beispiels funktioniert.

Aktion

Generieren Sie eine Mischung aus geschäftskritischem und nicht kritischem Datenverkehr von einem kabelgebundenen oder drahtlosen Client. Führen Sie dann die Befehle in diesem Abschnitt aus, um zu überprüfen, ob ABPR ordnungsgemäß funktioniert.

Beginnen Sie mit der Bestätigung, dass die RPM-Probes sowohl auf primären als auch auf sekundären Verbindungen erfolgreich sind. Um Platz zu sparen, zeigen wir nur die Sondierungen für die kritische Anwendung. Alle Sondierungen sollten zu diesem Zeitpunkt erfolgreich sein. Zeigen Sie die Ergebnisse der RPM-Probes mit den show services rpm probe-results owner office365_rpm_primary (und sekundären) Befehlen an.

Die Ausgabe bestätigt, dass die kritischen Sondierungen für Geschäftsanwendungen derzeit sowohl auf den primären als auch auf den sekundären Verbindungen erfolgreich sind. Sie erwarten ähnliche Ergebnisse für die nichtkritischen Anwendungssonden, wobei die primären und sekundären Schnittstellen umgekehrt sind.

Zeigen Sie als Nächstes eine Routing-Instanz an, um den Weiterleitungsstatus zu überprüfen, wenn sowohl primäre als auch sekundäre Schnittstellen in Betrieb sind. Gibt den show route table <instance-name> Befehl sowohl für kritische als auch für nichtkritische Anwendungen aus.

Die Ausgabe bestätigt, dass der als Office 365 klassifizierte Datenverkehr den privaten WAN-Link verwendet. Als geschäftskritische Anwendung verfügt die Routing-Instanz sowohl über einen sekundären als auch über einen tertiären next Hop. Wenn die ersten beiden nächsten Hops nicht mehr verfügbar sind, fällt der kritische Datenverkehr an das LTE-Modem. Im Gegensatz dazu nutzt die nichtkritische Anwendung den Breitband-Internet-Link, um den Datenverkehr weiterzuleiten. Wenn dieser nächste Hop ausfällt, leitet die Instanz den Datenverkehr an das private WAN. Das LTE-Modem ist in dieser Routing-Instanz nicht aufgeführt. Diese Auslassung verhindert, dass nichtkritische Anwendungen den LTE-Link verwenden.

Erinnern Sie sich daran, dass die SLA-Überwachungs-Sondierungen über das Internet zum Anwendungsanbieter laufen. Die End-to-End-Natur der Sondierungen ermöglicht es dem SRX, die End-to-End-Leistung der Anwendung zu messen. Die Messung der "Erfahrung auf Anwendungsebene" steht im Gegensatz dazu, einfach Link- oder Next-Hop-Ausfälle anhand des Schnittstellenstatus bzw. der bidirektionalen Weiterleitungserkennung (BFD) zu erkennen.

Optional: Unterbrechung der RPM-Sondierungen zur Bestätigung kritischer Datenverkehr über den Breitband-Internet-Link. Sie können SLA-Probe-Ausfälle mit einem Firewall-Filter simulieren, der in Ausgaberichtung auf die private WAN-Schnittstelle des SRX-Geräts angewendet wird.

Mit dem Filter auf dem privaten WAN-Link erwarten Sie, die kritische Anwendung über den Breitband-Internet-Link zu finden.

Da die primären Sondierungen nun ausfällt, hat die SLA-Überwachungsrichtlinie die statische Routenpräferenz in der kritischen Anwendungs-Routing-Instanz angepasst. Das Ergebnis sind die kritischen Datenverkehrsströme über den Breitband-Internet-Link. Dieses Verhalten bestätigt den ordnungsgemäßen Betrieb der IP SLA-Leistungsüberwachung.

Hinweis:

Vergessen Sie nicht, die Änderung der Firewall-Filter an der SRX zurück zu setzen! Nach dem Rollback erwarten Sie, dass die kritische Anwendungs-Routing-Instanz erneut über den privaten WAN-Link weitergeleitet wird.

Sie können apBR-Datenverkehrsstatistiken mit dem show security advance-policy-based-routing statistics Befehl überwachen.

Die Ausgabe zeigt die statistischen Details für APBR an. Die Details umfassen die Anzahl der Sitzungen, die von der APR-Regel verarbeitet werden, und die Anzahl der Male, wie der Anwendungsdatenverkehr mit dem APBR-Profil übereinstimmt (Regeltreffer).

Bedeutung

Die in diesem Abschnitt gezeigten Befehle und Ausgaben bestätigen, dass APBR auf dem SRX Services Gateway ordnungsgemäß funktioniert. Ihre neue Zweigstelle, die über die Juniper Mist Cloud verwaltet wird, ist bereit für den Geschäftsbetrieb.