Routage multichemin basé sur les applications
Présentation du routage multichemin basé sur les applications
Le trafic vidéo et voix est sensible aux pertes de paquets, à la latence et à la gigue. La perte de paquets entraîne directement une dégradation de la qualité des appels vocaux et vidéo. en appels vocaux ou vidéo.
Pour garantir la livraison rapide de ce trafic applicatif sensible, le routage multichemin basé sur les applications (également appelé routage multichemin dans ce document) est pris en charge sur les équipements SRX Series pour permettre au périphérique émetteur de créer des copies de paquets, d’envoyer chaque copie via deux liaisons WAN ou plus.
Multipath identifie deux chemins ou plus en fonction de la configuration SLA et envoie une copie du trafic d’origine sur tous les chemins identifiés.
À l’autre extrémité, parmi les multiples copies du paquet reçu, le périphérique récepteur sélectionne le premier paquet reçu et abandonne les suivants. Sur le périphérique de réception, pendant que la copie du paquet est en cours, multipath calcule la gigue et la perte de paquets pour les liaisons combinées, puis estime la gigue et la perte de paquets pour le même trafic sur des liaisons individuelles. Vous pouvez comparer la réduction de la perte de paquets lorsque des liens combinés sont utilisés au lieu de liens individuels utilisés pour le trafic.
L’envoi de plusieurs copies du trafic de l’application garantit qu’en cas de perte ou de retard de paquet, l’autre lien peut toujours livrer le paquet au point de terminaison.
Les équipements SRX Series prennent en charge le routage multichemin basé sur les applications à partir de Junos OS version 15.1X49-D160 en mode autonome.
Les équipements SRX Series prennent en charge le routage multichemin basé sur les applications à partir de Junos OS version 19.2R1 et Junos OS version 15.1X49-D170 en mode cluster de châssis.
Le routage par trajets multiples exploite les fonctionnalités suivantes :
-
Détails d’identification des applications grâce à l’inspection approfondie des paquets (DPI)
-
Fonctionnalité APBR pour la fonction de transfert de paquets
-
Service AppQoE pour l’association SLA.
- Cas d’utilisation pris en charge
- Limitations
- Avantages du routage par trajets multiples
- Comprendre le flux de travail dans le routage par trajets multiples
Cas d’utilisation pris en charge
-
Topologie SD-WAN en étoile
-
Topologie de maillage SD-WAN
Limitations
-
Toutes les liaisons WAN sélectionnées doivent appartenir à des chemins ECMP pour une destination.
-
Toutes les interfaces WAN sélectionnées qui doivent faire partie des sessions de routage par trajets multiples doivent appartenir à une seule zone
-
La fonction de routage multichemin n’est prise en charge qu’entre deux périphériques de sécurité book-end.
Avantages du routage par trajets multiples
-
La prise en charge de chemins multiples dans le cas d’utilisation SD-WAN améliore l’expérience applicative en réduisant la perte de paquets, en accélérant la livraison des paquets et en réduisant la gigue, ce qui se traduit par une meilleure qualité de service pour le trafic, en particulier pour le trafic voix et vidéo.
Comprendre le flux de travail dans le routage par trajets multiples
Les séquences suivantes sont impliquées dans l’application du routage par trajets multiples :
-
L’identification des applications Junos OS identifie les applications et, une fois qu’une application est identifiée, ses informations sont enregistrées dans le cache du système d’application (ASC).
-
Le routage basé sur la stratégie d’application (APBR) interroge le module de cache système d’application (ASC) pour obtenir les détails des attributs de l’application.
-
L’APBR utilise les détails de l’application pour rechercher une règle correspondante dans le profil APBR (profil d’application). Si une règle correspondante est trouvée, le trafic est redirigé vers l’instance de routage spécifiée pour la recherche d’itinéraire.
-
AppQoE vérifie si un SLA est activé pour une session. Si la session est candidate pour une mesure SLA et si le routage multichemin est configuré, le routage multichemin est déclenché.
-
En fonction de la règle SLA, le routage multichemin obtient les types de liens sous-jacents et les superpositions correspondantes sur lesquels la duplication des paquets doit être effectuée. Le routage multichemin peut être déclenché en fonction de la configuration d’une règle SLA. Lorsque le routage multichemin est configuré dans une règle de SLA pour une application spécifique, la fonctionnalité AppQoE est désactivée pour toutes les sessions de cette application correspondant à la règle SLA.
-
En fonction du trafic de l’application et de la limite de bande passante configurée, le chemin multiple identifie deux chemins ou plus et déclenche une copie du trafic d’origine sur tous les chemins identifiés. La sélection des chemins de routage multichemins s’effectue sur les chemins de superposition. Les paramètres pour limiter la bande passante sont basés sur la vitesse de la liaison sous-jacente et la sélection est basée sur le type de liaison.
-
Sur le périphérique de réception, pendant que la copie du paquet est en cours, multipath calcule la gigue et la perte de paquets pour les liaisons combinées, puis estime la gigue et la perte de paquets pour le même trafic sur les liaisons individuelles.
-
Sur l’appareil récepteur, le routage multichemin accepte les paquets d’une session arrivant via différentes liaisons, maintient la séquence d’un paquet arrivant sur différentes files d’attente CoS et supprime tous les doublons.
Le routage multichemin copie les paquets sur tous les liens appartenant à une règle jusqu’à ce que la limite de bande passante soit atteinte. La limite de bande passante est calculée en fonction de la vitesse de liaison minimale identifiée pour cette règle. Ceci s’applique à toutes les sessions pour toutes les applications qui correspondent à cette règle de routage multichemin. Une fois la limite atteinte, le routage multichemin arrête la copie des paquets et démarre un minuteur pour une période définie dans l’option max-time-wait de la configuration de routage multichemin. Lorsque le minuteur expire, il redémarre la copie des paquets.
Améliorations de la RAM
À partir de Junos OS version 21.2R1, les améliorations suivantes sont introduites pour AMR :
- Prise en charge de l’AMR pour le trafic inverse
- Mécanisme de mise en file d’attente pour les paquets hors service
- Prise en charge de la RAM pour le profil APBR
- Sélection des liens
- AMR en mode de violation de SLA ou en mode autonome
- Prise en charge du trafic IPv6
- Prise en charge des sessions AMR sur IPsec et GRE (Generic Routing Encapsulation)
Prise en charge de l’AMR pour le trafic inverse
Vous pouvez appliquer une fonctionnalité de chemins multiples au trafic inverse. Désormais, le périphérique émetteur et le périphérique récepteur peuvent créer des copies de paquets et envoyer chaque copie via deux liaisons WAN vers le périphérique de destination. Cette amélioration garantit une livraison ininterrompue du trafic applicatif sensible dans les deux sens.
Par défaut, l’AMR pour le trafic inverse est désactivé. Vous pouvez l’activer avec l’option CLI suivante :
set security advance-policy-based-routing multipath-rule rule-name enable-reverse-wing
Pour désactiver AMR pour le trafic inverse, utilisez l’option CLI suivante :
delete security advance-policy-based-routing multipath-rule rule-name enable-reverse-wing
La prise en charge AMR pour le trafic de l’aile arrière est disponible lorsque les appareils fonctionnent en mode HA. Notez que les paquets de la file d’attente sont supprimés lors du basculement HA.
Mécanisme de mise en file d’attente pour les paquets hors service
À partir de Junos OS version 21.2R1, le mécanisme de mise en file d’attente pour les paquets hors service au niveau de l’équipement récepteur est amélioré.
Auparavant, le périphérique de réception AMR rejetait les paquets dans le désordre, ce qui entraînait une perte de paquets et une dégradation de la qualité de service. Avec le mécanisme de mise en file d’attente, lorsque le périphérique récepteur reçoit des paquets dans le désordre, il attend en outre que d’autres paquets arrivent, puis met ces paquets dans la file d’attente pendant une courte durée. Cette mise en mémoire tampon aide à réorganiser les paquets et empêche leur rejet.
Prise en charge de la RAM pour le profil APBR
À partir de Junos OS version 21.2R1, le périphérique de sécurité prend en charge l’AMR lorsqu’il est utilisé avec un profil APBR configuré avec une stratégie APBR. Vous pouvez créer la stratégie APBR en définissant les adresses source, les adresses de destination et les applications comme conditions de correspondance.
Dans les versions précédentes de Junos OS, vous pouviez attacher un profil APBR à une zone de sécurité entrante du trafic entrant. Dans ce cas, l’APBR a été appliqué par zone de sécurité.
L’exemple suivant montre l’extrait de configuration d’une stratégie APBR en définissant les adresses source, les adresses de destination et les applications comme conditions de correspondance. Une règle SLA est appliquée aux règles de stratégie APBR correspondant au trafic. Une règle de chemins multiples associée à la règle SLA est appliquée et la fonctionnalité de routage multichemin est activée pour la session.
set security advance-policy-based-routing multipath-rule amr-rule1 number-of-paths 2 set security advance-policy-based-routing multipath-rule amr-rule1 bandwidth-limit 30 set security advance-policy-based-routing multipath-rule amr-rule1 max-time-to-wait 60 set security advance-policy-based-routing multipath-rule amr-rule1 application junos:SSH set security advance-policy-based-routing multipath-rule amr-rule1 application junos:HTTP set security advance-policy-based-routing multipath-rule amr-rule1 link-type MPLS set security advance-policy-based-routing multipath-rule amr-rule1 link-type IP set security advance-policy-based-routing profile apbr1 rule rule1 match dynamic-application junos:RTP set security advance-policy-based-routing profile apbr1 rule rule1 then routing-instance TC1_VPN set security advance-policy-based-routing profile apbr1 rule rule1 then sla-rule sla1 set security advance-policy-based-routing sla-rule sla1 multipath-rule amr-rule1 set security zones security-zone trust advance-policy-based-routing-profile apbr1 set security advance-policy-based-routing from-zone trust policy sla_policy1 match source-address 10.4.0.1 set security advance-policy-based-routing from-zone trust policy sla_policy1 match destination-address 10.5.0.1 set security advance-policy-based-routing from-zone trust policy sla_policy1 match application junos-RTP set security advance-policy-based-routing from-zone trust policy sla_policy1 then application-services advance-policy-based-routing-profile apbr1
Sélection des liens
Dans les versions précédentes, pour le routage multichemin basé sur les applications, le mécanisme de sélection des liens était soit par défaut (l’un des deux premiers liens disponibles), soit basé sur la configuration du type de liaison (IP/MPLS) AppQoE underlay-interface.
À partir de Junos OS version 21.2R1, vous pouvez spécifier les options de préférence de liaison comme encapsulation de routage générique (GRE) et tunnel sécurisé (st). L’équipement sélectionne directement l’une des interfaces spécifiées pour le routage par trajets multiples.
Si vous n’avez pas configuré le , l’AMR link-preference
sélectionne les liens parmi les deux premiers liens disponibles dans les chemins configurés.
Vous pouvez spécifier des préférences de lien à l’aide de l’option CLI suivante :
set security advance-policy-based-routing multipath-rule rule-name link-preferences [st0.0 | st0.1}
AMR en mode de violation de SLA ou en mode autonome
À partir de Junos OS version 21.2R1, l’AMR est activé dans l’un des deux modes suivants :
-
Mode de violation de SLA : lorsque l’AppQoE détecte une violation de SLA sur tous les liens, elle active l’AMR. AMR est désactivé lorsque le SLA est respecté sur l’une des liaisons basées sur la configuration du minuteur.
-
Mode autonome : lorsque vous avez configuré AMR sans configurer de métriques SLA, l’AMR est activé indépendamment de l’état AppQoE. Dans ce mode, lorsque la limite de bande passante est atteinte, AMR est interrompu pendant une durée par défaut, puis redémarré.
Exemple:
Voici une configuration samp d’une métrique SLA. Les métriques SLA spécifient les paramètres d’exigence qui sont utilisés par AppQoE pour évaluer le SLA du lien. Pour respecter le SLA, AppQoE surveille le réseau à la recherche de sources de défaillance ou d’encombrement. Si les performances d’une liaison sont inférieures aux niveaux acceptables spécifiés dans le SLA, la situation est considérée comme une violation du SLA. Si la violation de LA est constatée sur tous les liens, AMR est activé en mode de violation SLA.
set security advance-policy-based-routing metrics-profile metric1 sla-threshold delay-round-trip 50000 set security advance-policy-based-routing metrics-profile metric1 sla-threshold jitter 10000 set security advance-policy-based-routing metrics-profile metric1 sla-threshold jitter-type egress-jitter set security advance-policy-based-routing metrics-profile metric1 sla-threshold packet-loss 4 set security advance-policy-based-routing metrics-profile metric1 sla-threshold match all set security advance-policy-based-routing sla-rule sla1 metrics-profile metric1
Si la configuration des mesures SLA (comme illustré dans l’exemple ci-dessus) n’est pas disponible dans la configuration AMR, AMR est activé en mode autonome.
Prise en charge du trafic IPv6
Le routage multichemin basé sur les applications prend en charge le trafic IPv6 :
- Trafic IPv6 sur tunnels IPv4 (Junos OS version 21.2R1)
- Trafic IPv6 sur tunnels IPv6 (Junos OS version 21.3R1)
Prise en charge des sessions AMR sur IPsec et GRE (Generic Routing Encapsulation)
- Routage multichemin basé sur les applications sur des tunnels IPsec directs sans GRE (Junos OS version 21.2R1)
- Routage multichemin basé sur les applications sur des tunnels GRE (Generic Routing Encapsulation) directs sans IPsec (Junos OS version 21.2R1)
- Routage multichemin basé sur les applications sur des tunnels IPsec directs sans GRE pour le trafic IPv6 (Junos OS version 21.3R1)
- Routage multichemin basé sur les applications sur des tunnels GRE directs sans IPsec pour le trafic IPv6 (Junos OS version 21.3R1)
- Routage multichemin basé sur les applications sur MPLS-over-GRE-over-IPsec pour le trafic IPv6 (Junos OS version 21.3R1)
Voir aussi
Exemple de configuration de routage multichemin basé sur les applications
Exemple de configuration de routage multichemin basée sur les applications (topologie en étoile)
Cette section présente un exemple de configuration de routage multichemin basée sur les applications pour la topologie en étoile. La configuration utilise le SLA défini par l’APBR et fonctionne indépendamment de l’APPQoE. Pour connaître le SLA APPQoE, reportez-vous à la section Qualité de l’expérience applicative . Vous pouvez configurer l’appareil pour des fonctionnalités supplémentaires telles que la sélection de liens en fonction des préférences, la sélection du chemin en fonction du type de liaison et la prise en charge du routage multichemin sur les tunnels IPsec et GRE. Le routage multichemin peut être configuré avec Contrail Service Orchestrator. Consultez le Guide de déploiement de Contrail Service Orchestration (CSO) pour plus de détails.
Configuration de base de l’appareil côté rayon
user@host#
set security advance-policy-based-routing profile profile1 rule r1 match dynamic-application junos:HTTPuser@host#
set security advance-policy-based-routing profile profile1 rule r1 match dynamic-application junos:SIPuser@host#
set security advance-policy-based-routing profile profile1 rule r1 then routing-instance TC1_VPNuser@host#
set security advance-policy-based-routing profile profile1 rule r1 sla-rule sla_rule1user@host#
set security advance-policy-based-routing sla-rule sla_rule1 multipath-rule mult1user@host#
set security advance-policy-based-routing multipath-rule mult1 number-of-paths 2user@host#
set security advance-policy-based-routing multipath-rule mult1 bandwidth-limit 90user@host#
set security advance-policy-based-routing multipath-rule mult1 application junos:HTTPuser@host#
set security advance-policy-based-routing multipath-rule mult1 application junos:SIP
Configuration de base de l’équipement côté hub
user@host#
set security advance-policy-based-routing multipath-rule mult1 number-of-paths 2user@host#
set security advance-policy-based-routing multipath-rule mult1 bandwidth-limit 90user@host#
set security advance-policy-based-routing multipath-rule mult1 enable-reverse-winguser@host#
set security advance-policy-based-routing multipath-rule mult1 application junos:HTTPuser@host#
sset security advance-policy-based-routing multipath-rule mult1 application junos:SIP
Configuration des préférences de lien
user@host#
set security advance-policy-based-routing multipath-rule mult1 link-preferences gr-0/0/0.0user@host#
set security advance-policy-based-routing multipath-rule mult1 link-preferences gr-0/0/0.1
Configuration de la sélection de chemin basée sur le type de lien
user@host#
set security advance-policy-based-routing multipath-rule mult1 link-type MPLSuser@host#
set security advance-policy-based-routing multipath-rule mult1 link-type IP
Configuration basée sur l’interface au niveau du routage multichemin basé sur les applications
user@host#
set security advance-policy-based-routing interface gr-0/0/0.0 link-tag IPuser@host#
set security advance-policy-based-routing interface gr-0/0/0.1 link-tag MPLS
Configuration VPN IPsec avec tunnels IPv6 et périphérique côté réseau IPv4 pour un routage multichemin basé sur les applications
user@host#
set groups ipsec-groups security ike proposal salausehdotp1 authentication-method pre-shared-keysuser@host#
set groups ipsec-groups security ike proposal salausehdotp1 dh-group group5user@host#
set groups ipsec-groups security ike proposal salausehdotp1 encryption-algorithm aes-256-gcmuser@host#
set groups ipsec-groups security ike policy salauspolitiikkap1 mode mainuser@host#
set groups ipsec-groups security ike policy salauspolitiikkap1 proposals salausehdotp1user@host#
set groups ipsec-groups security ike policy salauspolitiikkap1 pre-shared-key ascii-text "$9$1-7ESeLxd2oGdbPQnCB1-VwYgJDi.TF/aZ"user@host#
set groups ipsec-groups security ike gateway gateway1 ike-policy salauspolitiikkap1user@host#
set groups ipsec-groups security ike gateway gateway1 version v2-onlyuser@host#
set groups ipsec-groups security ipsec proposal salausehdotp2 protocol espuser@host#
set groups ipsec-groups security ipsec proposal salausehdotp2 encryption-algorithm aes-256-gcmuser@host#
set groups ipsec-groups security ipsec policy salauspolitiikkap2 perfect-forward-secrecy keys group5user@host#
set groups ipsec-groups security ipsec policy salauspolitiikkap2 proposals salausehdotp2user@host#
set groups ipsec-groups security ipsec vpn vpn1 df-bit clearuser@host#
set groups ipsec-groups security ipsec vpn vpn1 ike ipsec-policy salauspolitiikkap2user@host#
set groups ipsec-groups security ipsec vpn vpn1 establish-tunnels immediatelyuser@host#
set system host-name SRX345-2user@host#
set system root-authentication encrypted-password "$ABC123"user@host#
set system services ssh root-login allowuser@host#
set services application-identificationuser@host#
set security apply-groups ipsec-groupsuser@host#
set security ike gateway SRX345-1-A address fdf:a::1user@host#
set security ike gateway SRX345-1-A external-interface ge-0/0/0.0user@host#
set security ike gateway SRX345-1-B address fdf:b::1user@host#
set security ike gateway SRX345-1-B external-interface ge-0/0/1.0user@host#
set security ipsec vpn SRX345-1-A bind-interface st0.0user@host#
set security ipsec vpn SRX345-1-A ike gateway SRX345-1-Auser@host#
set security ipsec vpn SRX345-1-B bind-interface st0.1user@host#
set security ipsec vpn SRX345-1-B ike gateway SRX345-1-Buser@host#
set security application-tracking first-updateuser@host#
set security application-tracking session-update-interval 1user@host#
set security forwarding-options family inet6 mode flow-baseduser@host#
set security forwarding-options family mpls mode flow-baseduser@host#
set security flow allow-dns-replyuser@host#
set security flow allow-embedded-icmpuser@host#
set security flow sync-icmp-sessionuser@host#
set security flow tcp-mss all-tcp mss 1300user@host#
set security flow tcp-mss ipsec-vpn mss 1350user@host#
set security flow tcp-session no-syn-checkuser@host#
set security flow tcp-session no-syn-check-in-tunneluser@host#
set security flow tcp-session no-sequence-checkuser@host#
set security policies default-policy permit-alluser@host#
set security zones security-zone Untrust host-inbound-traffic system-services alluser@host#
set security zones security-zone Untrust host-inbound-traffic protocols alluser@host#
set security zones security-zone Untrust interfaces ge-0/0/0.0user@host#
set security zones security-zone Untrust interfaces ge-0/0/1.0user@host#
set security zones security-zone Untrust application-trackinguser@host#
set security zones security-zone Untrust enable-reverse-rerouteuser@host#
set security zones security-zone trust host-inbound-traffic system-services alluser@host#
set security zones security-zone trust host-inbound-traffic protocols alluser@host#
set security zones security-zone trust interfaces ge-0/0/6.0user@host#
set security zones security-zone trust application-trackinguser@host#
set security zones security-zone trust advance-policy-based-routing-profile apbruser@host#
set security zones security-zone trust enable-reverse-rerouteuser@host#
set security zones security-zone VPN host-inbound-traffic system-services alluser@host#
set security zones security-zone VPN host-inbound-traffic protocols alluser@host#
set security zones security-zone VPN interfaces st0.0user@host#
set security zones security-zone VPN interfaces st0.1user@host#
set security zones security-zone VPN application-trackinguser@host#
set security zones security-zone VPN enable-reverse-rerouteuser@host#
set security zones security-zone test interfaces ge-0/0/7.0 host-inbound-traffic system-services alluser@host#
set security zones security-zone test interfaces ge-0/0/7.0 host-inbound-traffic protocols alluser@host#
set security advance-policy-based-routing profile apbr rule r1 match dynamic-application junos:ICMPuser@host#
set security advance-policy-based-routing profile apbr rule r1 match dynamic-application junos:SSHuser@host#
set security advance-policy-based-routing profile apbr rule r1 match dynamic-application junos:ICMP-ECHOuser@host#
set security advance-policy-based-routing profile apbr rule r1 then routing-instance apbruser@host#
set security advance-policy-based-routing profile apbr rule r1 then sla-rule sla1user@host#
set security advance-policy-based-routing sla-rule sla1 multipath-rule amr-rule1user@host#
set security advance-policy-based-routing multipath-rule amr-rule1 number-of-paths 2user@host#
set security advance-policy-based-routing multipath-rule amr-rule1 bandwidth-limit 30user@host#
set security advance-policy-based-routing multipath-rule amr-rule1 enable-reverse-winguser@host#
set security advance-policy-based-routing multipath-rule amr-rule1 max-time-to-wait 60user@host#
set security advance-policy-based-routing multipath-rule amr-rule1 application junos:ICMPuser@host#
set security advance-policy-based-routing multipath-rule amr-rule1 application junos:SSHuser@host#
set security advance-policy-based-routing multipath-rule amr-rule1 application junos:ICMP-ECHOuser@host#
set security advance-policy-based-routing multipath-rule amr-rule1 link-preferences st0.0user@host#
set security advance-policy-based-routing multipath-rule amr-rule1 link-preferences st0.1user@host#
set interfaces ge-0/0/0 unit 0 family inet6 address fdf:a::2/64user@host#
set interfaces ge-0/0/1 unit 0 family inet6 address fdf:b::2/640user@host#
set interfaces ge-0/0/6 unit 0 family inet address 10.0.12.1/24user@host#
set interfaces ge-0/0/7 unit 0 family inet address 10.0.12.10/24user@host#
set interfaces fxp0 unit 0 family inet address 192.168.123.2/24user@host#
set interfaces st0 unit 0 family inet address 10.0.0.2/30user@host#
set interfaces st0 unit 1 family inet address 10.0.1.2/30user@host#
set policy-options policy-statement ecmp then load-balance per-packetuser@host#
set routing-instances IPSEC protocols ospf area 0.0.0.0 interface st0.0 interface-type p2puser@host#
set routing-instances IPSEC protocols ospf area 0.0.0.0 interface st0.1 interface-type p2puser@host#
set routing-instances IPSEC protocols ospf area 0.0.0.0 interface ge-0/0/6.0 passiveuser@host#
set routing-instances IPSEC interface ge-0/0/6.0user@host#
set routing-instances IPSEC interface st0.0user@host#
set routing-instances IPSEC interface st0.1user@host#
set routing-instances IPSEC instance-type virtual-routeruser@host#
set routing-instances IPSEC routing-options interface-routes rib-group inet apbr-groupuser@host#
set routing-instances apbr instance-type forwardinguser@host#
set routing-instances apbr routing-options static route 0.0.0.0/0 next-hop st0.0user@host#
set routing-instances apbr routing-options static route 0.0.0.0/0 next-hop st0.1user@host#
set routing-instances test interface ge-0/0/7.0user@host#
set routing-instances test instance-type virtual-routeruser@host#
set routing-instances test routing-options static route 0.0.0.0/0 next-hop 10.0.12.1user@host#
set routing-options rib-groups apbr-group import-rib IPSEC.inet.0user@host#
set routing-options rib-groups apbr-group import-rib apbr.inet.0user@host#
set routing-options forwarding-table export ecmp
Pour les tunnels GRE, remplacez ipsec
par gre
. Pour le tunnel IPv4, le trafic IPv4 et le trafic IPv6, remplacez la configuration par IPv4 et IPv6 de manière appropriée.
Exemple : configuration d’un routage multichemin basé sur une application
Cet exemple montre comment configurer le routage multichemin pour fournir une qualité d’expérience (QoE) en activant la surveillance en temps réel du trafic applicatif en fonction du SLA spécifié.
Exigences
-
Périphérique SRX Series pris en charge avec Junos OS version 15.1X49-D160, Junos OS version 19.2R1 ou ultérieure. Cet exemple de configuration est testé pour Junos OS version 15.1X49-D160.
-
Licence valide de fonctionnalité d’identification d’application installée sur un dispositif de sécurité.
-
Politiques de sécurité appropriées pour appliquer les règles applicables au trafic de transit, en termes de trafic pouvant transiter par l’équipement et d’actions qui doivent avoir lieu sur le trafic lorsqu’il passe par l’équipement.
-
Activez la prise en charge du suivi des applications activée pour la zone. Voir Suivi des applications.
-
Assurez-vous que les fonctionnalités suivantes sont configurées :
Aperçu
Pour garantir une livraison ininterrompue de ce trafic applicatif sensible, le routage multichemin basé sur les applications est pris en charge sur les périphériques de sécurité pour permettre à l’appareil émetteur de créer des copies de paquets et d’envoyer chaque copie via deux liaisons WAN vers la destination.
Le routage multichemin identifie deux chemins en fonction de la configuration SLA, crée une copie dupliquée du trafic de l’application et envoie le trafic simultanément sur des chemins physiques différents. Sur l’appareil récepteur, pendant que la copie du paquet est en cours, le routage multipath estime la réduction de la gigue, de la RTT et de la perte de paquets et analyse la qualité de service pour acheminer le trafic vers le meilleur lien pour fournir un SLA à l’utilisateur final. Cela aide également à estimer la réduction de la gigue, de la RTT et de la perte de paquets. Si les deux copies sont reçues à distance, le premier paquet reçu est considéré et abandonne les suivants.
Le tableau 1 détaille les paramètres utilisés dans cet exemple.
Paramètre |
Options |
Valeurs |
---|---|---|
Règle à trajets multiples (multi1) |
Nombre de chemins |
2 |
limite de bande passante |
60 |
|
Durée maximale d’attente |
60 |
|
Type de lien |
MPLS, IP |
|
Application |
junos :YAHOO, junos :GOOGLE |
|
groupe_applications |
junos :web |
|
Règle SLA (sla1) |
Règle de chemins multiples associée |
multi1 |
Profil APBR (apbr1) |
Faire correspondre les applications |
junos :YAHOO |
Règle APBR |
Règle 1 |
|
Règle SLA |
SLA1 |
|
Interface sous-jacente |
GE-0/0/2 et GE-0/0/3
|
Dans cet exemple, vous configurez des règles de chemins d’accès multiples pour le trafic applicatif junos :YAHOO et junos :GOOGLE. Configurez ensuite une règle SLA et associez des règles à chemins multiples à une règle à chemins multiples.
Ensuite, associez les règles SLA aux règles APBR créées pour l’application Yahoo. L’APBR utilise les détails de l’application pour rechercher une règle correspondante dans le profil APBR (profil d’application).
La règle de chemins multiples est appliquée au trafic correspondant à junos :YAHOO ou junos :GOOGLE, et transmise vers et l’adresse du saut suivant spécifiée dans l’instance de routage.
Le routage multichemin obtient les types de liens sous-jacents et les superpositions correspondantes sur lesquels la duplication des paquets est requise en fonction de la règle SLA. En fonction du trafic de l’application et de la limite de bande passante configurée, le chemin multiple identifie deux chemins ou plus et déclenche une copie du trafic d’origine sur tous les chemins identifiés.
Lorsque le trafic atteint la fin de réception, le périphérique récepteur accepte les paquets d’une session arrivant via différentes liaisons, maintient la séquence d’un paquet arrivant sur différentes files d’attente CoS et abandonne tous les paquets en double.
Assurez-vous que la configuration est la même sur tous les équipements, côté envoi et côté réception, de manière à ce que les appareils puissent agir à la fois en tant qu’expéditeur et récepteur.
Configuration
- Configurer des règles de chemins multiples pour le trafic applicatif (périphérique configuré pour envoyer du trafic)
- Configurer des règles de chemins multiples pour le trafic applicatif (appareil configuré pour recevoir du trafic))
Configurer des règles de chemins multiples pour le trafic applicatif (périphérique configuré pour envoyer du trafic)
Procédure étape par étape
Configurez des profils APBR pour le trafic des différentes applications et associez la règle SLA et la règle multichemin.
-
Créez des instances de routage.
user@host#
set routing-instances TC1_VPN instance-type vrfuser@host#
set routing-instances TC1_VPN route-distinguisher 10.150.0.1:101user@host#
set routing-instances TC1_VPN vrf-target target:100:101user@host#
set routing-instances TC1_VPN vrf-table-labeluser@host#
set routing-instances TC1_VPN routing-options static route 10.19.0.0/8 next-table Default_VPN.inet.0 -
Regroupez une ou plusieurs tables de routage pour former un groupe RIB et importez les routes dans les tables de routage.
user@host#
set routing-options rib-groups Default-VPN-to-TC1_VPN import-rib [ Default_VPN.inet.0 TC1_VPN.inet.0 ] -
Configurez AppQoE en tant que service. Vous devez configurer AppQoE en tant que service pour le trafic entrant de l’hôte pour une zone souhaitée.
user@host#
set security zones security-zone untrust1 host-inbound-traffic system-services appqoe -
Créez le profil APBR et définissez les règles.
user@host#
set security advance-policy-based-routing profile apbr1 rule rule1 match dynamic-application junos:GOOGLEuser@host#
set security advance-policy-based-routing profile apbr1 rule rule1 match dynamic-application junos:YAHOOuser@host#
set security advance-policy-based-routing profile apbr1 rule rule1 match dynamic-application-group junos:webuser@host#
set security advance-policy-based-routing profile apbr1 rule rule1 then routing-instance TC1_VPNuser@host#
set security advance-policy-based-routing profile apbr1 rule rule1 then sla-rule sla1 -
Configurez les paramètres de sonde active.
user@host#
set security advance-policy-based-routing active-probe-params probe1 settings data-fill juniperuser@host#
set security advance-policy-based-routing active-probe-params probe1 settings data-size 100user@host#
set security advance-policy-based-routing active-probe-params probe1 settings probe-interval 30user@host#
set security advance-policy-based-routing active-probe-params probe1 settings probe-count 30user@host#
set security advance-policy-based-routing active-probe-params probe1 settings burst-size 1user@host#
set security advance-policy-based-routing active-probe-params probe1 settings sla-export-interval 60user@host#
set security advance-policy-based-routing active-probe-params probe1 settings dscp-code-points 000110 -
Configurez le profil de métriques.
user@host#
set security advance-policy-based-routing metrics-profile metric1 sla-threshold delay-round-trip 120000user@host#
set security advance-policy-based-routing metrics-profile metric1 sla-threshold jitter 21000user@host#
set security advance-policy-based-routing metrics-profile metric1 sla-threshold jitter-type egress-jitteruser@host#
set security advance-policy-based-routing metrics-profile metric1 sla-threshold packet-loss 2 -
Configurez les interfaces sous-jacentes.
si link-type n’est pas configuré sous l’option underlay interfaces, l’IP de type de liaison par défaut est utilisée et la vitesse de liaison par défaut de 1000 Mbit/s est prise en compte.
user@host#
set security advance-policy-based-routing underlay-interface ge-0/0/2 unit 0 link-type MPLSuser@host#
set security advance-policy-based-routing underlay-interface ge-0/0/2 unit 0 speed 800user@host#
set security advance-policy-based-routing underlay-interface ge-0/0/3 unit 0 link-type MPLSuser@host#
set security advance-policy-based-routing underlay-interface ge-0/0/3 unit 0 speed 500 -
Configurez les chemins de superposition.
user@host#
set security advance-policy-based-routing overlay-path overlay-path1 tunnel-path local ip-address 10.40.1.2user@host#
set security advance-policy-based-routing overlay-path overlay-path1 tunnel-path remote ip-address 10.40.1.1user@host#
set security advance-policy-based-routing overlay-path overlay-path1 probe-path local ip-address 10.40.1.2user@host#
set security advance-policy-based-routing overlay-path overlay-path1 probe-path remote ip-address 10.40.1.1user@host#
set security advance-policy-based-routing overlay-path overlay-path2 tunnel-path local ip-address 10.41.1.2user@host#
set security advance-policy-based-routing overlay-path overlay-path2 tunnel-path remote ip-address 10.41.1.1user@host#
set security advance-policy-based-routing overlay-path overlay-path2 probe-path local ip-address 10.41.1.2user@host#
set security advance-policy-based-routing overlay-path overlay-path2 probe-path remote ip-address 10.41.1.1user@host#
set security advance-policy-based-routing overlay-path overlay-path3 tunnel-path local ip-address 10.42.1.2user@host#
set security advance-policy-based-routing overlay-path overlay-path3 tunnel-path remote ip-address 10.42.1.1user@host#
set security advance-policy-based-routing overlay-path overlay-path3 probe-path local ip-address 10.42.1.2user@host#
set security advance-policy-based-routing overlay-path overlay-path3 probe-path remote ip-address 10.42.1.1 -
Configurez les groupes de chemins de destination.
user@host#
set security advance-policy-based-routing destination-path-group site1 probe-routing-instance transituser@host#
set security advance-policy-based-routing destination-path-group site1 overlay-path overlay-path1user@host#
set security advance-policy-based-routing destination-path-group site1 overlay-path overlay-path2user@host#
set security advance-policy-based-routing destination-path-group site1 overlay-path overlay-path3 -
Configurez la règle de chemins multiples.
user@host#
set security advance-policy-based-routing multipath-rule multi1 bandwidth-limit 60user@host#
set security advance-policy-based-routing multipath-rule multi1 application junos:YAHOOuser@host#
set security advance-policy-based-routing multipath-rule multi1 application junos:GOOGLEuser@host#
set security advance-policy-based-routing multipath-rule multi1 application-group junos:webuser@host#
set security advance-policy-based-routing multipath-rule multi1 link-type MPLSuser@host#
set security advance-policy-based-routing multipath-rule multi1 link-type IPuser@host#
set security advance-policy-based-routing multipath-rule multi1 max-time-to-wait 30user@host#
set security advance-policy-based-routing multipath-rule multi1 number-of-paths 2 -
Configurez la règle SLA.
user@host#
set security advance-policy-based-routing sla-rule sla1 switch-idle-time 40user@host#
set security advance-policy-based-routing sla-rule sla1 metrics-profile metric1user@host#
set security advance-policy-based-routing sla-rule sla1 active-probe-params probe1user@host#
set security advance-policy-based-routing sla-rule sla1 passive-probe-params sampling-percentage 25user@host#
set security advance-policy-based-routing sla-rule sla1 passive-probe-params violation-count 2user@host#
set security advance-policy-based-routing sla-rule sla1 passive-probe-params sampling-period 60000user@host#
set security advance-policy-based-routing sla-rule sla1 passive-probe-params type book-ended -
Associez une règle SLA à une règle à trajets multiples.
user@host#
set security advance-policy-based-routing sla-rule sla1 multipath-rule multi1
Configurer des règles de chemins multiples pour le trafic applicatif (appareil configuré pour recevoir du trafic))
Procédure étape par étape
Les variables configurées dans cette étape sont les mêmes pour le périphérique d’envoi et le périphérique de réception.
-
Configurez la règle de chemins multiples sur l’appareil récepteur.
user@host#
set security advance-policy-based-routing multipath-rule multi1 bandwidth-limit 60user@host#
set security advance-policy-based-routing multipath-rule multi1 application junos:YAHOOuser@host#
set security advance-policy-based-routing multipath-rule multi1 application junos:GOOGLEuser@host#
set security advance-policy-based-routing multipath-rule multi1 application-group junos:webuser@host#
set security advance-policy-based-routing multipath-rule multi1 link-type MPLSuser@host#
set security advance-policy-based-routing multipath-rule multi1 link-type IP
Résultats
Depuis le mode configuration, confirmez votre configuration en entrant les show
commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Configuration des règles multichemins côté périphérique côté concentrateur
[edit security]
user@host#
show advance-policy-based-routing multipath-rule multi1 multipath-rule multi1 { bandwidth-limit 60; application [ junos:YAHOO junos:GOOGLE ]; application-group junos:web; link-type [ MPLS IP ]; number-of-paths 2; }
[edit security]
user@host#
show advance-policy-based-routing profile apbr1 { rule rule1 { match { dynamic-application [ junos:GOOGLE, junos:YAHOO ]; dynamic-application-group [ junos:web ]; } then { routing-instance TC1_VPN; sla-rule { sla1; } } } } active-probe-params probe1 { settings { data-fill { juniper; } data-size { 100; } probe-interval { 30; } probe-count { 30; } burst-size { 1; } sla-export-interval { 60; } dscp-code-points { 000110; } } } metrics-profile metric1 { sla-threshold { delay-round-trip { 120000; } jitter { 21000; } jitter-type { egress-jitter; } packet-loss { 2; } } } underlay-interface ge-0/0/2 { unit 0 { link-type MPLS; speed 800; } } underlay-interface ge-0/0/3 { unit 0 { link-type MPLS; speed 500; } } overlay-path overlay-path1 { tunnel-path { local { ip-address { 10.40.1.2; } } remote { ip-address { 10.40.1.1; } } } probe-path { local { ip-address { 10.40.1.2; } } remote { ip-address { 10.40.1.1; } } } } overlay-path overlay-path2 { tunnel-path { local { ip-address { 10.41.1.2; } } remote { ip-address { 10.41.1.1; } } } probe-path { local { ip-address { 10.41.1.2; } } remote { ip-address { 10.41.1.1; } } } } overlay-path overlay-path3 { tunnel-path { local { ip-address { 10.42.1.2; } } remote { ip-address { 10.42.1.1; } } } probe-path { local { ip-address { 10.42.1.2; } } remote { ip-address { 10.42.1.1; } } } } destination-path-group site1 { probe-routing-instance { transit; } overlay-path overlay-path1; overlay-path overlay-path2; overlay-path overlay-path3; } sla-rule sla1 { switch-idle-time { 40; } metrics-profile { metric1; } active-probe-params { probe1; } passive-probe-params { sampling-percentage { 25; } violation-count { 2; } sampling-period { 60000; } type { book-ended; } } multipath-rule { multi1; } } multipath-rule multi1 { bandwidth-limit 60; application [ junos:YAHOO junos:GOOGLE ]; application-group junos:web; link-type [ MPLS IP ]; number-of-paths 2; }
Si vous avez terminé de configurer l’appareil, entrez commit
à partir du mode de configuration.
Vérification
- Affichage de l’état des règles à chemins multiples
- Afficher des statistiques de règles à chemins multiples pour une application
- Affichage des stratégies de règles à chemins multiples
- Affichage de l’état des règles à chemins multiples
Affichage de l’état des règles à chemins multiples
But
Affichez les détails de la règle de chemins multiples sur l’appareil configuré pour envoyer du trafic.
Action
En mode opérationnel, saisissez la show security advance-policy-based-routing multipath rule
commande.
user@host>
show security advance-policy-based-routing multipath rule multi1
Multipath Rule Status:
Multipath Rule Information:
Multipath rule name multi1
Multipath rule type Packet-Copy
Multipath rule state Active
Configured number of paths 2
Configured application groups junos:web
Configured applications junos:GOOGLE, junos:YAHOO
Path Group Information:
Total path groups : 1
Path-Group-Id State Avl-Num-Paths
1 Active 3
Receiver Information:
Path Groups Information:
Total receiver path groups : 1
Path-Group-Id : 1, Avg-Pkt-Loss(%) : 0, Avg-Ingress-Jitter(us) : 171
Path Information:
Dst-IP Pkts-Rcvd Pkt-Loss(%) Ingress-Jitter(us) Reduction-Pkt-Loss(%) Reduction-Ingress-Jitter(us)
10.40.1.2 2442 0 165 0 -6
10.41.1.2 2442 0 158 0 -13
Cos Q Statistics:
Total receiver cos queues: 8
COS-Q-Id Pkts-Rcvd Out-Of-Seq-Drop
0 4884 2442
1 0 0
2 0 0
3 0 0
4 0 0
5 0 0
6 0 0
7 0 0
Sens
La sortie de la commande affiche les détails de la règle de chemins multiples.
Afficher des statistiques de règles à chemins multiples pour une application
But
Afficher les détails du trafic applicatif sur l’appareil configuré pour recevoir du trafic
Action
En mode opérationnel, saisissez la show security advance-policy-based-routing multipath rule rule-name application application-name
commande.
user@host>
show security advance-policy-based-routing multipath rule multi1 application junos:YAHOO
Multipath Rule Status:
Multipath Rule Information:
Multipath rule name multi1
Multipath rule type Packet-Copy
Multipath rule state Active
Configured number of paths 2
Configured applications junos:YAHOO
Sender Information:
Statistics:
Current Sessions 0
Ignored Sessions 1
Applications Matched 1
Applications Switched 0
Stopped due to Bandwidth Limit 0
Packets in path inactive state 0
Packets in path active state 627
Midstream Packets Ignored 0
Total Packets Processed 627
Total Packets Copied 627
Sens
La sortie de la commande affiche la règle de chemin d’accès multiple pour l’application.
Affichage des stratégies de règles à chemins multiples
But
Affichez les détails de la règle de chemins multiples sur l’appareil configuré pour envoyer du trafic.
Action
En mode opérationnel, saisissez la show security advance-policy-based-routing multipath rule
commande.
user@host>
show security advance-policy-based-routing multipath policy statistics application junos:YAHOO multipath-name multi1 profile apbr1 rule rule1 zone trust
Sender Information:
Statistics:
Current Sessions 0
Ignored Sessions 0
Applications Matched 1
Applications Switched 0
Stopped due to Bandwidth Limit 0
Packets in path inactive state 26
Packets in path active state 2416
Less than Configured Paths 0
Midstream Packets Ignored 0
Total Packets Processed 2442
Total Packets Copied 2442
Sens
La sortie de la commande affiche les détails du trafic traité avec la règle de chemins multiples appliquée.
Affichage de l’état des règles à chemins multiples
But
Afficher les détails de la règle de chemins multiples sur l’appareil configuré pour recevoir du trafic
Action
En mode opérationnel, saisissez la show security advance-policy-based-routing multipath rule
commande.
user@host>
show security advance-policy-based-routing multipath rule multi1
Multipath Rule Status:
Multipath Rule Information:
Multipath rule name multi1
Multipath rule type Packet-Copy
Multipath rule state Active
Configured number of paths 2
Configured application groups junos:web
Configured applications junos:GOOGLE, junos:YAHOO
Path Group Information:
Total path groups : 1
Path-Group-Id State Avl-Num-Paths
1 Active 3
Receiver Information:
Path Groups Information:
Total receiver path groups : 1
Path-Group-Id : 1, Avg-Pkt-Loss(%) : 0, Avg-Ingress-Jitter(us) : 171
Path Information:
Dst-IP Pkts-Rcvd Pkt-Loss(%) Ingress-Jitter(us) Reduction-Pkt-Loss(%) Reduction-Ingress-Jitter(us)
10.40.1.1 2442 0 165 0 -6
10.41.1.1 2442 0 158 0 -13
Cos Q Statistics:
Total receiver cos queues: 8
COS-Q-Id Pkts-Rcvd Out-Of-Seq-Drop
0 4884 2442
1 0 0
2 0 0
3 0 0
4 0 0
5 0 0
6 0 0
7 0 0
Sens
La sortie affiche les détails relatifs à la règle de chemins multiples.