アプリケーションベースのマルチパスルーティング
アプリケーションベースのマルチパスルーティングの概要
ビデオと音声のトラフィックは、パケットロス、レイテンシ、ジッターに敏感です。パケット損失は、音声およびビデオ 通話の品質の低下を直接招きます。音声通話やビデオ通話で利用できます。
これらの機密性の高いアプリケーション トラフィックをタイムリーに配信するために、アプリケーションベースのマルチパス ルーティング(このドキュメントではマルチパス ルーティングとも呼ばれます)が SRX シリーズ デバイスでサポートされており、送信デバイスがパケットのコピーを作成し、各コピーを 2 つ以上の WAN リンクを介して送信できるようにします。
マルチパスは、SLA 設定に基づいて 2 つ以上のパスを識別し、識別されたすべてのパスに元のトラフィックのコピーを送信します。
もう一方の端では、受信したパケットの複数のコピーの中で、受信デバイスは最初に受信したパケットを選択し、後続のパケットをドロップします。受信デバイスで、パケットのコピーが進行中である間、マルチパスは結合されたリンクのジッターとパケット ロスを計算し、個々のリンク上の同じトラフィックのジッターとパケット ロスを見積もります。トラフィックに使用される個々のリンクではなく、結合リンクを使用した場合のパケットロスの削減を比較できます。
アプリケーション トラフィックの複数コピーを送信することで、パケットの損失や遅延が発生しても、もう一方のリンクが依然としてパケットをエンドポイントに配信する可能性があります。
SRXシリーズデバイスは、Junos OSリリース15.1X49-D160以降のスタンドアロンモードで、アプリケーションベースのマルチパスルーティングをサポートします。
SRX シリーズ デバイスは、シャーシ クラスタ モードで Junos OS リリース 19.2R1 および Junos OS リリース 15.1X49-D170 から始まるアプリケーションベースのマルチパス ルーティングをサポートします。
マルチパスルーティングは、以下の機能を活用します。
-
ディープ パケット インスペクション(DPI)によるアプリケーション識別の詳細
-
パケット転送機能のAPBR機能
-
SLA アソシエーション向け AppQoE サービス。
サポートされている使用事例
-
SD-WAN ハブアンドスポークトポロジー
-
SD-WAN メッシュ トポロジー
制限
-
選択したすべての WAN リンクは、宛先の ECMP パスである必要があります。
-
マルチパスルーティングセッションの一部である必要がある選択されたすべてのWANインターフェイスは、1つのゾーンに属している必要があります
-
マルチパス ルーティング機能は、ブックエンド セキュリティ デバイス 2 台間でのみサポートされます。
マルチパス ルーティングのメリット
-
SD-WANのユースケースにおけるマルチパスサポートにより、パケットロスの削減、パケット配信の高速化、ジッターの低減により、特に音声およびビデオトラフィックのトラフィックのサービス品質が向上し、アプリケーションエクスペリエンスが向上します。
マルチパス ルーティングのワークフローについて
マルチパスルーティングの適用には、以下のシーケンスが含まれます。
-
Junos OSアプリケーション識別はアプリケーションを識別し、アプリケーションが識別されると、その情報はアプリケーションシステムキャッシュ(ASC)に保存されます。
-
アプリケーションポリシーベースルーティング(APBR)は、アプリケーションシステムキャッシュ(ASC)モジュールにクエリーを実行して、アプリケーション属性の詳細を取得します。
-
APBRは、アプリケーションの詳細を使用して、APBRプロファイル(アプリケーションプロファイル)で一致するルールを探します。一致するルールが見つかった場合、トラフィックはルート ルックアップのために指定されたルーティング インスタンスにリダイレクトされます。
-
AppQoE は、セッションに対して SLA が有効かどうかをチェックします。セッションがSLA測定の候補であり、マルチパスルーティングが設定されている場合、マルチパスルーティングがトリガーされます。
-
SLA ルールに基づいて、マルチパス ルーティングによってアンダーレイ リンク タイプと、パケット重複を実行する必要がある対応するオーバーレイが取得されます。マルチパス ルーティングは、SLA ルールの設定に基づいてトリガーできます。特定のアプリケーションの SLA ルール内でマルチパス ルーティングが構成されている場合、そのアプリケーションの SLA ルールに一致するすべてのセッションに対して AppQoE 機能は無効になります。
-
マルチパスは、アプリケーショントラフィックと設定された帯域幅制限に基づいて、2つ以上のパスを識別し、識別されたすべてのパス上で元のトラフィックのコピーをトリガーします。マルチパス ルーティング パスの選択は、オーバーレイ パスで行われます。帯域幅を制限するパラメーターはアンダーレイのリンク速度に基づき、選択はリンクタイプに基づきます。
-
受信デバイスで、パケットのコピーが進行中である間、マルチパスは結合されたリンクのジッターとパケット ロスを計算し、個々のリンク上の同じトラフィックのジッターとパケット ロスを見積もります。
-
受信デバイスでは、マルチパスルーティングは、異なるリンクを介して到着するセッションのパケットを受け入れ、異なるCoSキューに到着するパケットのシーケンスを維持し、重複するパケットをドロップします。
マルチパスルーティングは、帯域幅制限に達するまでルールに属するすべてのリンクでパケットをコピーします。帯域幅制限は、そのルールで特定された最小リンク速度に基づいて計算されます。これは、マルチパス ルーティング ルールに一致するすべてのアプリケーションのすべてのセッションに適用されます。制限に達すると、マルチパスルーティングはパケットのコピーを停止し、マルチパスルーティング設定の最大時間待機オプションで設定された一定時間タイマーを開始します。タイマーが終了すると、パケットのコピーを再び再起動します。
AMR の改善
Junos OS リリース 21.2R1 以降、AMR では以下の機能強化が導入されました。
- リバース トラフィックに対する AMR サポート
- アウトオブオーダーパケットのキューイングメカニズム
- APBRプロファイルのAMRサポート
- リンク選択
- SLA 違反モードまたはスタンドアロン モードの AMR
- IPv6 トラフィックのサポート
- IPsecおよび GRE(汎用ルーティングカプセル化)セッション上のAMRをサポート
リバース トラフィックに対する AMR サポート
逆トラフィックにマルチパス機能を適用できますこれにより、送信デバイスと受信デバイスの両方がパケットのコピーを作成し、各コピーを2つのWANリンクを介して宛先デバイスに送信できます。この強化により、機密性の高いアプリケーション トラフィックを双方向で中断することなく配信できます。
デフォルトでは、リバース トラフィックの AMR は無効になっています。以下のCLIオプションで有効にすることができます。
set security advance-policy-based-routing multipath-rule rule-name enable-reverse-wing
リバース トラフィックの AMR を無効にするには、以下の CLI オプションを使用します。
delete security advance-policy-based-routing multipath-rule rule-name enable-reverse-wing
デバイスがHAモードで動作している場合、リバースウィングトラフィックのAMRサポートが利用可能です。HA フェイルオーバー時にキュー内のパケットがドロップされることに注意してください。
アウトオブオーダーパケットのキューイングメカニズム
Junos OS リリース 21.2R1 以降、受信デバイスでのアウトオブオーダー パケットのキューイング メカニズムが改善されました。
以前は、AMR受信デバイスは、パケットの損失とサービス品質の低下をもたらす順序外のパケットを破棄しました。キューイングメカニズムでは、受信デバイスが順序外のパケットを受信すると、さらにいくつかのパケットが到着するのを待ってから、キュー内のこれらのパケットを短時間バッファリングします。このバッファリングは、パケットの並べ替えに役立ち、パケットの廃棄を防ぎます。
APBRプロファイルのAMRサポート
Junos OSリリース21.2R1以降、セキュリティデバイスは、APBRポリシーで設定されたAPBRプロファイルで使用された場合、AMRをサポートします。APBRポリシーは、送信元アドレス、宛先アドレス、アプリケーションを照合条件として定義することで作成できます。
Junos OS の以前のリリースでは、APBR プロファイルをイングレス トラフィックの受信セキュリティ ゾーンにアタッチできました。この場合、APBRはセキュリティゾーンごとに適用されました。
次の例では、送信元アドレス、宛先アドレス、アプリケーションを照合条件として定義することで、APBRポリシーの構成スニペットを示します。APBRポリシールールに一致するトラフィックにSLAルールが適用されます。SLA ルールに関連付けられたマルチパス ルールが適用され、セッションに対してマルチパス ルーティング機能が有効になります。
set security advance-policy-based-routing multipath-rule amr-rule1 number-of-paths 2 set security advance-policy-based-routing multipath-rule amr-rule1 bandwidth-limit 30 set security advance-policy-based-routing multipath-rule amr-rule1 max-time-to-wait 60 set security advance-policy-based-routing multipath-rule amr-rule1 application junos:SSH set security advance-policy-based-routing multipath-rule amr-rule1 application junos:HTTP set security advance-policy-based-routing multipath-rule amr-rule1 link-type MPLS set security advance-policy-based-routing multipath-rule amr-rule1 link-type IP set security advance-policy-based-routing profile apbr1 rule rule1 match dynamic-application junos:RTP set security advance-policy-based-routing profile apbr1 rule rule1 then routing-instance TC1_VPN set security advance-policy-based-routing profile apbr1 rule rule1 then sla-rule sla1 set security advance-policy-based-routing sla-rule sla1 multipath-rule amr-rule1 set security zones security-zone trust advance-policy-based-routing-profile apbr1 set security advance-policy-based-routing from-zone trust policy sla_policy1 match source-address 10.4.0.1 set security advance-policy-based-routing from-zone trust policy sla_policy1 match destination-address 10.5.0.1 set security advance-policy-based-routing from-zone trust policy sla_policy1 match application junos-RTP set security advance-policy-based-routing from-zone trust policy sla_policy1 then application-services advance-policy-based-routing-profile apbr1
リンク選択
以前のリリースでは、アプリケーションベースのマルチパス ルーティングでは、リンク選択メカニズムはデフォルト(最初の 2 つの利用可能なリンクのうちの 1 つ)か、AppQoE アンダーレイ インターフェイス設定に基づいていました。
Junos OS Release 21.2R1以降、リンク・プリファレンス・オプションを一般ルーティング・カプセル化(GRE)およびセキュア・トンネル(st)として指定できるようになりました。デバイスは、マルチパスルーティングに指定されたインターフェイスの1つを直接選択します。
が設定されていない場合、AMRは設定された link-preference
パスから最初の2つの利用可能なリンクからリンクを選択します。
リンクプリファレンスは、以下のCLIオプションを使用して指定できます。
set security advance-policy-based-routing multipath-rule rule-name link-preferences [st0.0 | st0.1}
SLA 違反モードまたはスタンドアロン モードの AMR
Junos OS リリース 21.2R1 以降、AMR は次の 2 つのモードのいずれかで有効になっています。
-
SLA違反モード—AppQoEがすべてのリンクでSLA違反を検出すると、AMRが有効になります。タイマー設定に基づいて、いずれかのリンクで SLA が満たされた場合、AMR は無効になります。
-
スタンドアロンモード—SLAメトリックを設定せずにAMRを設定した場合、AMRはAppQoEステータスから独立して有効になります。このモードでは、帯域幅制限に達すると、AMRはデフォルトの期間一時停止してから再起動されます。
例:
SLAメトリックのSamp設定を以下に示します。SLA メトリックは、要件パラメーターを指定します。これは、AppQoE がリンクの SLA を評価するために使用します。Sla を実現するために、AppQoE はネットワークの障害や輻輳の原因を監視します。SLA で指定された通り、リンクのパフォーマンスが許容可能なレベルを下回る場合、状況は SLA 違反と見なされます。すべてのリンクでLA違反が通知された場合、AMRはSLA違反モードで有効になります。
set security advance-policy-based-routing metrics-profile metric1 sla-threshold delay-round-trip 50000 set security advance-policy-based-routing metrics-profile metric1 sla-threshold jitter 10000 set security advance-policy-based-routing metrics-profile metric1 sla-threshold jitter-type egress-jitter set security advance-policy-based-routing metrics-profile metric1 sla-threshold packet-loss 4 set security advance-policy-based-routing metrics-profile metric1 sla-threshold match all set security advance-policy-based-routing sla-rule sla1 metrics-profile metric1
上記の例のようにSLAメトリック設定がAMR設定で利用できない場合、AMRはスタンドアロンモードで有効になります。
IPv6 トラフィックのサポート
アプリケーションベースのマルチパスルーティングは、IPv6トラフィックをサポートします。
- IPv4 トンネルを介した IPv6 トラフィック(Junos OS リリース 21.2R1)
- IPv6 トンネルを介した IPv6 トラフィック(Junos OS リリース 21.3R1)
IPsecおよび GRE(汎用ルーティングカプセル化)セッション上のAMRをサポート
- GREなしの直接IPsecトンネルを介したアプリケーションベースのマルチパスルーティング(Junos OSリリース21.2R1)
- IPsecなしの直接汎用ルーティングカプセル化(GRE)トンネルを介したアプリケーションベースのマルチパスルーティング(Junos OSリリース21.2R1)
- IPv6トラフィックに対するGREなしの直接IPsecトンネル上のアプリケーションベースのマルチパスルーティング(Junos OSリリース21.3R1)
- IPsec を使用しない、IPv6 トラフィック用の直接 GRE トンネルを介したアプリケーションベースのマルチパス ルーティング(Junos OS リリース 21.3R1)
- IPv6トラフィック向けMPLS-over-GRE-over-IPsec上のアプリケーションベースのマルチパスルーティング(Junos OSリリース21.3R1)
「」も参照
アプリケーションベースのマルチパス ルーティングの設定例
アプリケーションベースのマルチパス ルーティング構成の例(ハブアンドスポークトポロジー)
このセクションでは、ハブアンドスポークトポロジー向けのアプリケーションベースのマルチパスルーティング構成の例について説明します。設定はAPBRによって設定されたSLAを使用し、APPQoEとは独立して動作します。APPQoE SLAについては、 アプリケーションのエクスペリエンス品質を 参照してください。デバイスに、優先度に基づいたリンク選択、リンクタイプに基づくパス選択、IPsecおよびGREトンネルでのマルチパスルーティングサポートなどの追加機能を設定できます。マルチパスルーティングは、Contrail Service Orchestratorで設定できます。詳細については、 Contrail Service Orchestration(CSO)導入ガイド を参照してください。
スポークサイドデバイスの基本設定
user@host#
set security advance-policy-based-routing profile profile1 rule r1 match dynamic-application junos:HTTPuser@host#
set security advance-policy-based-routing profile profile1 rule r1 match dynamic-application junos:SIPuser@host#
set security advance-policy-based-routing profile profile1 rule r1 then routing-instance TC1_VPNuser@host#
set security advance-policy-based-routing profile profile1 rule r1 sla-rule sla_rule1user@host#
set security advance-policy-based-routing sla-rule sla_rule1 multipath-rule mult1user@host#
set security advance-policy-based-routing multipath-rule mult1 number-of-paths 2user@host#
set security advance-policy-based-routing multipath-rule mult1 bandwidth-limit 90user@host#
set security advance-policy-based-routing multipath-rule mult1 application junos:HTTPuser@host#
set security advance-policy-based-routing multipath-rule mult1 application junos:SIP
ハブ側デバイスの基本設定
user@host#
set security advance-policy-based-routing multipath-rule mult1 number-of-paths 2user@host#
set security advance-policy-based-routing multipath-rule mult1 bandwidth-limit 90user@host#
set security advance-policy-based-routing multipath-rule mult1 enable-reverse-winguser@host#
set security advance-policy-based-routing multipath-rule mult1 application junos:HTTPuser@host#
sset security advance-policy-based-routing multipath-rule mult1 application junos:SIP
リンクプリファレンス設定
user@host#
set security advance-policy-based-routing multipath-rule mult1 link-preferences gr-0/0/0.0user@host#
set security advance-policy-based-routing multipath-rule mult1 link-preferences gr-0/0/0.1
リンクタイプベースのパス選択設定
user@host#
set security advance-policy-based-routing multipath-rule mult1 link-type MPLSuser@host#
set security advance-policy-based-routing multipath-rule mult1 link-type IP
アプリケーションベースマルチパスルーティングレベルでのインターフェイスベース設定
user@host#
set security advance-policy-based-routing interface gr-0/0/0.0 link-tag IPuser@host#
set security advance-policy-based-routing interface gr-0/0/0.1 link-tag MPLS
アプリケーションベースのマルチパスルーティング向けの、スポークサイドデバイスでのIPv6トンネルとIPv4トラフィックを使用したIPsec VPN設定
user@host#
set groups ipsec-groups security ike proposal salausehdotp1 authentication-method pre-shared-keysuser@host#
set groups ipsec-groups security ike proposal salausehdotp1 dh-group group5user@host#
set groups ipsec-groups security ike proposal salausehdotp1 encryption-algorithm aes-256-gcmuser@host#
set groups ipsec-groups security ike policy salauspolitiikkap1 mode mainuser@host#
set groups ipsec-groups security ike policy salauspolitiikkap1 proposals salausehdotp1user@host#
set groups ipsec-groups security ike policy salauspolitiikkap1 pre-shared-key ascii-text "$9$1-7ESeLxd2oGdbPQnCB1-VwYgJDi.TF/aZ"user@host#
set groups ipsec-groups security ike gateway gateway1 ike-policy salauspolitiikkap1user@host#
set groups ipsec-groups security ike gateway gateway1 version v2-onlyuser@host#
set groups ipsec-groups security ipsec proposal salausehdotp2 protocol espuser@host#
set groups ipsec-groups security ipsec proposal salausehdotp2 encryption-algorithm aes-256-gcmuser@host#
set groups ipsec-groups security ipsec policy salauspolitiikkap2 perfect-forward-secrecy keys group5user@host#
set groups ipsec-groups security ipsec policy salauspolitiikkap2 proposals salausehdotp2user@host#
set groups ipsec-groups security ipsec vpn vpn1 df-bit clearuser@host#
set groups ipsec-groups security ipsec vpn vpn1 ike ipsec-policy salauspolitiikkap2user@host#
set groups ipsec-groups security ipsec vpn vpn1 establish-tunnels immediatelyuser@host#
set system host-name SRX345-2user@host#
set system root-authentication encrypted-password "$ABC123"user@host#
set system services ssh root-login allowuser@host#
set services application-identificationuser@host#
set security apply-groups ipsec-groupsuser@host#
set security ike gateway SRX345-1-A address fdf:a::1user@host#
set security ike gateway SRX345-1-A external-interface ge-0/0/0.0user@host#
set security ike gateway SRX345-1-B address fdf:b::1user@host#
set security ike gateway SRX345-1-B external-interface ge-0/0/1.0user@host#
set security ipsec vpn SRX345-1-A bind-interface st0.0user@host#
set security ipsec vpn SRX345-1-A ike gateway SRX345-1-Auser@host#
set security ipsec vpn SRX345-1-B bind-interface st0.1user@host#
set security ipsec vpn SRX345-1-B ike gateway SRX345-1-Buser@host#
set security application-tracking first-updateuser@host#
set security application-tracking session-update-interval 1user@host#
set security forwarding-options family inet6 mode flow-baseduser@host#
set security forwarding-options family mpls mode flow-baseduser@host#
set security flow allow-dns-replyuser@host#
set security flow allow-embedded-icmpuser@host#
set security flow sync-icmp-sessionuser@host#
set security flow tcp-mss all-tcp mss 1300user@host#
set security flow tcp-mss ipsec-vpn mss 1350user@host#
set security flow tcp-session no-syn-checkuser@host#
set security flow tcp-session no-syn-check-in-tunneluser@host#
set security flow tcp-session no-sequence-checkuser@host#
set security policies default-policy permit-alluser@host#
set security zones security-zone Untrust host-inbound-traffic system-services alluser@host#
set security zones security-zone Untrust host-inbound-traffic protocols alluser@host#
set security zones security-zone Untrust interfaces ge-0/0/0.0user@host#
set security zones security-zone Untrust interfaces ge-0/0/1.0user@host#
set security zones security-zone Untrust application-trackinguser@host#
set security zones security-zone Untrust enable-reverse-rerouteuser@host#
set security zones security-zone trust host-inbound-traffic system-services alluser@host#
set security zones security-zone trust host-inbound-traffic protocols alluser@host#
set security zones security-zone trust interfaces ge-0/0/6.0user@host#
set security zones security-zone trust application-trackinguser@host#
set security zones security-zone trust advance-policy-based-routing-profile apbruser@host#
set security zones security-zone trust enable-reverse-rerouteuser@host#
set security zones security-zone VPN host-inbound-traffic system-services alluser@host#
set security zones security-zone VPN host-inbound-traffic protocols alluser@host#
set security zones security-zone VPN interfaces st0.0user@host#
set security zones security-zone VPN interfaces st0.1user@host#
set security zones security-zone VPN application-trackinguser@host#
set security zones security-zone VPN enable-reverse-rerouteuser@host#
set security zones security-zone test interfaces ge-0/0/7.0 host-inbound-traffic system-services alluser@host#
set security zones security-zone test interfaces ge-0/0/7.0 host-inbound-traffic protocols alluser@host#
set security advance-policy-based-routing profile apbr rule r1 match dynamic-application junos:ICMPuser@host#
set security advance-policy-based-routing profile apbr rule r1 match dynamic-application junos:SSHuser@host#
set security advance-policy-based-routing profile apbr rule r1 match dynamic-application junos:ICMP-ECHOuser@host#
set security advance-policy-based-routing profile apbr rule r1 then routing-instance apbruser@host#
set security advance-policy-based-routing profile apbr rule r1 then sla-rule sla1user@host#
set security advance-policy-based-routing sla-rule sla1 multipath-rule amr-rule1user@host#
set security advance-policy-based-routing multipath-rule amr-rule1 number-of-paths 2user@host#
set security advance-policy-based-routing multipath-rule amr-rule1 bandwidth-limit 30user@host#
set security advance-policy-based-routing multipath-rule amr-rule1 enable-reverse-winguser@host#
set security advance-policy-based-routing multipath-rule amr-rule1 max-time-to-wait 60user@host#
set security advance-policy-based-routing multipath-rule amr-rule1 application junos:ICMPuser@host#
set security advance-policy-based-routing multipath-rule amr-rule1 application junos:SSHuser@host#
set security advance-policy-based-routing multipath-rule amr-rule1 application junos:ICMP-ECHOuser@host#
set security advance-policy-based-routing multipath-rule amr-rule1 link-preferences st0.0user@host#
set security advance-policy-based-routing multipath-rule amr-rule1 link-preferences st0.1user@host#
set interfaces ge-0/0/0 unit 0 family inet6 address fdf:a::2/64user@host#
set interfaces ge-0/0/1 unit 0 family inet6 address fdf:b::2/640user@host#
set interfaces ge-0/0/6 unit 0 family inet address 10.0.12.1/24user@host#
set interfaces ge-0/0/7 unit 0 family inet address 10.0.12.10/24user@host#
set interfaces fxp0 unit 0 family inet address 192.168.123.2/24user@host#
set interfaces st0 unit 0 family inet address 10.0.0.2/30user@host#
set interfaces st0 unit 1 family inet address 10.0.1.2/30user@host#
set policy-options policy-statement ecmp then load-balance per-packetuser@host#
set routing-instances IPSEC protocols ospf area 0.0.0.0 interface st0.0 interface-type p2puser@host#
set routing-instances IPSEC protocols ospf area 0.0.0.0 interface st0.1 interface-type p2puser@host#
set routing-instances IPSEC protocols ospf area 0.0.0.0 interface ge-0/0/6.0 passiveuser@host#
set routing-instances IPSEC interface ge-0/0/6.0user@host#
set routing-instances IPSEC interface st0.0user@host#
set routing-instances IPSEC interface st0.1user@host#
set routing-instances IPSEC instance-type virtual-routeruser@host#
set routing-instances IPSEC routing-options interface-routes rib-group inet apbr-groupuser@host#
set routing-instances apbr instance-type forwardinguser@host#
set routing-instances apbr routing-options static route 0.0.0.0/0 next-hop st0.0user@host#
set routing-instances apbr routing-options static route 0.0.0.0/0 next-hop st0.1user@host#
set routing-instances test interface ge-0/0/7.0user@host#
set routing-instances test instance-type virtual-routeruser@host#
set routing-instances test routing-options static route 0.0.0.0/0 next-hop 10.0.12.1user@host#
set routing-options rib-groups apbr-group import-rib IPSEC.inet.0user@host#
set routing-options rib-groups apbr-group import-rib apbr.inet.0user@host#
set routing-options forwarding-table export ecmp
GRE トンネルの場合は、 にgre
置き換えられますipsec
。IPv4 トンネル、IPv4 トラフィック、IPv6 トラフィックの場合は、設定を適切に IPv4 および IPv6 に置き換えます。
例:アプリケーションベースのマルチパスルーティングの設定
この例では、指定されたSLAに従ってアプリケーショントラフィックをリアルタイムに監視することで、QoE(Quality of Experience)を提供するマルチパスルーティングを設定する方法を示します。
要件
-
Junos OS リリース 15.1X49-D160、Junos OS リリース 19.2R1 以降でサポートされている SRX シリーズ デバイス。この設定例は、Junos OS リリース 15.1X49-D160 でテストされています。
-
セキュリティ デバイスにインストールされている有効なアプリケーション識別機能ライセンス。
-
デバイスを通過できるトラフィックや、デバイスを通過するトラフィックに対して実行する必要のあるアクションという点で、トランジットトラフィックのルールを適用するための適切なセキュリティポリシー。
-
ゾーンで有効になっているアプリケーション追跡サポートを有効にします。 アプリケーション・トラッキングを参照してください。
-
以下の機能が設定されていることを確認します。
概要
これらの機密性の高いアプリケーション トラフィックを中断することなく配信できるように、アプリケーションベースのマルチパス ルーティングがセキュリティ デバイスでサポートされており、送信デバイスがパケットのコピーを作成し、各コピーを 2 つの WAN リンクを介して宛先に送信できます。
マルチパスルーティングは、SLA設定に基づいて2つのパスを識別し、アプリケーショントラフィックの複製コピーを作成し、トラフィックを異なる物理パスに同時に送信します。受信デバイスでは、パケットのコピーが進行中の間、マルチパス ルーティングはジッター、RTT、パケットロスの減少を見積もり、トラフィックを最適なリンクにルーティングしてエンドユーザーに SLA を提供するためのサービス品質を分析します。また、ジッター、RTT、パケットロスの低減を予測するのにも役立ちます。両方のコピーがリモートエンドで受信された場合、最初に受信したパケットが考慮され、後続のパケットがドロップされます。
表 1 は、この例で使用するパラメーターの詳細を示しています。
パラメーター |
オプション |
値 |
---|---|---|
マルチパス ルール(マルチ1) |
パス数 |
2 |
帯域幅制限 |
60 |
|
最大待機時間 |
60 |
|
リンク タイプ |
MPLS、IP |
|
アプリケーション |
junos:YAHOO、junos:GOOGLE |
|
アプリケーショングループ |
junos:Web |
|
SLA ルール(sla1) |
関連するマルチパス ルール |
マルチ1 |
APBRプロファイル(apbr1) |
アプリケーションを一致させる |
junos:YAHOO |
APBRルール |
ルール1 |
|
SLA ルール |
sla1 |
|
アンダーレイ インターフェイス |
ge-0/0/2 および ge-0/0/3
|
この例では、junos:YAHOO および junos:GOOGLE アプリケーション トラフィックのマルチパス ルールを設定します。次に、SLAルールを設定し、マルチパスルールをマルチパスルールに関連付けます。
次に、SLAルールをYahooアプリケーション用に作成されたAPBRルールに関連付けます。APBRは、アプリケーションの詳細を使用して、APBRプロファイル(アプリケーションプロファイル)で一致するルールを探します。
マルチパスルールは、junos:YAHOOまたはjunos:GOOGLEに一致するトラフィックに適用され、ルーティングインスタンスで指定されたとおりに、 に転送され、ネクストホップアドレスになります。
マルチパスルーティングは、SLAルールに基づいて、アンダーレイリンクタイプと、パケット重複が必要なオーバーレイを取得します。マルチパスは、アプリケーショントラフィックと設定された帯域幅制限に基づいて、2つ以上のパスを識別し、識別されたすべてのパス上で元のトラフィックのコピーをトリガーします。
トラフィックが受信側に達すると、受信デバイスは異なるリンクを介して到着するセッションのパケットを受け入れ、異なるCoSキューに到着するパケットのシーケンスを維持し、重複するパケットをドロップします。
送信側と受信側の両方のデバイスで設定が同じであることを確認し、デバイスが送信者と受信者の両方として機能できるようにします。
構成
- アプリケーション トラフィックのマルチパス ルールの設定(トラフィックを送信するように設定されたデバイス)
- アプリケーション トラフィックのマルチパス ルールの設定(トラフィックを受信するように設定されたデバイス)
アプリケーション トラフィックのマルチパス ルールの設定(トラフィックを送信するように設定されたデバイス)
手順
さまざまなアプリケーショントラフィックに対してAPBRプロファイルを設定し、SLAルールとマルチパスルールを関連付けます。
-
ルーティング インスタンスを作成します。
user@host#
set routing-instances TC1_VPN instance-type vrfuser@host#
set routing-instances TC1_VPN route-distinguisher 10.150.0.1:101user@host#
set routing-instances TC1_VPN vrf-target target:100:101user@host#
set routing-instances TC1_VPN vrf-table-labeluser@host#
set routing-instances TC1_VPN routing-options static route 10.19.0.0/8 next-table Default_VPN.inet.0 -
1つ以上のルーティングテーブルをグループ化してRIBグループを形成し、ルーティングテーブルにルートをインポートします。
user@host#
set routing-options rib-groups Default-VPN-to-TC1_VPN import-rib [ Default_VPN.inet.0 TC1_VPN.inet.0 ] -
AppQoE をサービスとして設定します。目的のゾーンのホスト インバウンド トラフィックのサービスとして AppQoE を設定する必要があります。
user@host#
set security zones security-zone untrust1 host-inbound-traffic system-services appqoe -
APBRプロファイルを作成し、ルールを定義します。
user@host#
set security advance-policy-based-routing profile apbr1 rule rule1 match dynamic-application junos:GOOGLEuser@host#
set security advance-policy-based-routing profile apbr1 rule rule1 match dynamic-application junos:YAHOOuser@host#
set security advance-policy-based-routing profile apbr1 rule rule1 match dynamic-application-group junos:webuser@host#
set security advance-policy-based-routing profile apbr1 rule rule1 then routing-instance TC1_VPNuser@host#
set security advance-policy-based-routing profile apbr1 rule rule1 then sla-rule sla1 -
アクティブプローブパラメータを設定します。
user@host#
set security advance-policy-based-routing active-probe-params probe1 settings data-fill juniperuser@host#
set security advance-policy-based-routing active-probe-params probe1 settings data-size 100user@host#
set security advance-policy-based-routing active-probe-params probe1 settings probe-interval 30user@host#
set security advance-policy-based-routing active-probe-params probe1 settings probe-count 30user@host#
set security advance-policy-based-routing active-probe-params probe1 settings burst-size 1user@host#
set security advance-policy-based-routing active-probe-params probe1 settings sla-export-interval 60user@host#
set security advance-policy-based-routing active-probe-params probe1 settings dscp-code-points 000110 -
メトリックプロファイルを設定します。
user@host#
set security advance-policy-based-routing metrics-profile metric1 sla-threshold delay-round-trip 120000user@host#
set security advance-policy-based-routing metrics-profile metric1 sla-threshold jitter 21000user@host#
set security advance-policy-based-routing metrics-profile metric1 sla-threshold jitter-type egress-jitteruser@host#
set security advance-policy-based-routing metrics-profile metric1 sla-threshold packet-loss 2 -
アンダーレイ インターフェイスを設定します。
アンダーレイ インターフェイス オプションでリンクタイプが設定されていない場合、デフォルトのリンクタイプ IP が使用され、デフォルトのリンク速度が 1000 Mbps と見なされます。
user@host#
set security advance-policy-based-routing underlay-interface ge-0/0/2 unit 0 link-type MPLSuser@host#
set security advance-policy-based-routing underlay-interface ge-0/0/2 unit 0 speed 800user@host#
set security advance-policy-based-routing underlay-interface ge-0/0/3 unit 0 link-type MPLSuser@host#
set security advance-policy-based-routing underlay-interface ge-0/0/3 unit 0 speed 500 -
オーバーレイパスを設定します。
user@host#
set security advance-policy-based-routing overlay-path overlay-path1 tunnel-path local ip-address 10.40.1.2user@host#
set security advance-policy-based-routing overlay-path overlay-path1 tunnel-path remote ip-address 10.40.1.1user@host#
set security advance-policy-based-routing overlay-path overlay-path1 probe-path local ip-address 10.40.1.2user@host#
set security advance-policy-based-routing overlay-path overlay-path1 probe-path remote ip-address 10.40.1.1user@host#
set security advance-policy-based-routing overlay-path overlay-path2 tunnel-path local ip-address 10.41.1.2user@host#
set security advance-policy-based-routing overlay-path overlay-path2 tunnel-path remote ip-address 10.41.1.1user@host#
set security advance-policy-based-routing overlay-path overlay-path2 probe-path local ip-address 10.41.1.2user@host#
set security advance-policy-based-routing overlay-path overlay-path2 probe-path remote ip-address 10.41.1.1user@host#
set security advance-policy-based-routing overlay-path overlay-path3 tunnel-path local ip-address 10.42.1.2user@host#
set security advance-policy-based-routing overlay-path overlay-path3 tunnel-path remote ip-address 10.42.1.1user@host#
set security advance-policy-based-routing overlay-path overlay-path3 probe-path local ip-address 10.42.1.2user@host#
set security advance-policy-based-routing overlay-path overlay-path3 probe-path remote ip-address 10.42.1.1 -
宛先パス グループを設定します。
user@host#
set security advance-policy-based-routing destination-path-group site1 probe-routing-instance transituser@host#
set security advance-policy-based-routing destination-path-group site1 overlay-path overlay-path1user@host#
set security advance-policy-based-routing destination-path-group site1 overlay-path overlay-path2user@host#
set security advance-policy-based-routing destination-path-group site1 overlay-path overlay-path3 -
マルチパスルールを設定します。
user@host#
set security advance-policy-based-routing multipath-rule multi1 bandwidth-limit 60user@host#
set security advance-policy-based-routing multipath-rule multi1 application junos:YAHOOuser@host#
set security advance-policy-based-routing multipath-rule multi1 application junos:GOOGLEuser@host#
set security advance-policy-based-routing multipath-rule multi1 application-group junos:webuser@host#
set security advance-policy-based-routing multipath-rule multi1 link-type MPLSuser@host#
set security advance-policy-based-routing multipath-rule multi1 link-type IPuser@host#
set security advance-policy-based-routing multipath-rule multi1 max-time-to-wait 30user@host#
set security advance-policy-based-routing multipath-rule multi1 number-of-paths 2 -
SLA ルールを設定します。
user@host#
set security advance-policy-based-routing sla-rule sla1 switch-idle-time 40user@host#
set security advance-policy-based-routing sla-rule sla1 metrics-profile metric1user@host#
set security advance-policy-based-routing sla-rule sla1 active-probe-params probe1user@host#
set security advance-policy-based-routing sla-rule sla1 passive-probe-params sampling-percentage 25user@host#
set security advance-policy-based-routing sla-rule sla1 passive-probe-params violation-count 2user@host#
set security advance-policy-based-routing sla-rule sla1 passive-probe-params sampling-period 60000user@host#
set security advance-policy-based-routing sla-rule sla1 passive-probe-params type book-ended -
SLA ルールをマルチパス ルールに関連付けます。
user@host#
set security advance-policy-based-routing sla-rule sla1 multipath-rule multi1
アプリケーション トラフィックのマルチパス ルールの設定(トラフィックを受信するように設定されたデバイス)
手順
このステップで設定された変数は、送受信デバイスの両方で同じです。
-
受信デバイスにマルチパスルールを設定します。
user@host#
set security advance-policy-based-routing multipath-rule multi1 bandwidth-limit 60user@host#
set security advance-policy-based-routing multipath-rule multi1 application junos:YAHOOuser@host#
set security advance-policy-based-routing multipath-rule multi1 application junos:GOOGLEuser@host#
set security advance-policy-based-routing multipath-rule multi1 application-group junos:webuser@host#
set security advance-policy-based-routing multipath-rule multi1 link-type MPLSuser@host#
set security advance-policy-based-routing multipath-rule multi1 link-type IP
結果
設定モードから、 コマンドを入力して設定を show
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
ハブサイドデバイスマルチパスルール設定
[edit security]
user@host#
show advance-policy-based-routing multipath-rule multi1 multipath-rule multi1 { bandwidth-limit 60; application [ junos:YAHOO junos:GOOGLE ]; application-group junos:web; link-type [ MPLS IP ]; number-of-paths 2; }
[edit security]
user@host#
show advance-policy-based-routing profile apbr1 { rule rule1 { match { dynamic-application [ junos:GOOGLE, junos:YAHOO ]; dynamic-application-group [ junos:web ]; } then { routing-instance TC1_VPN; sla-rule { sla1; } } } } active-probe-params probe1 { settings { data-fill { juniper; } data-size { 100; } probe-interval { 30; } probe-count { 30; } burst-size { 1; } sla-export-interval { 60; } dscp-code-points { 000110; } } } metrics-profile metric1 { sla-threshold { delay-round-trip { 120000; } jitter { 21000; } jitter-type { egress-jitter; } packet-loss { 2; } } } underlay-interface ge-0/0/2 { unit 0 { link-type MPLS; speed 800; } } underlay-interface ge-0/0/3 { unit 0 { link-type MPLS; speed 500; } } overlay-path overlay-path1 { tunnel-path { local { ip-address { 10.40.1.2; } } remote { ip-address { 10.40.1.1; } } } probe-path { local { ip-address { 10.40.1.2; } } remote { ip-address { 10.40.1.1; } } } } overlay-path overlay-path2 { tunnel-path { local { ip-address { 10.41.1.2; } } remote { ip-address { 10.41.1.1; } } } probe-path { local { ip-address { 10.41.1.2; } } remote { ip-address { 10.41.1.1; } } } } overlay-path overlay-path3 { tunnel-path { local { ip-address { 10.42.1.2; } } remote { ip-address { 10.42.1.1; } } } probe-path { local { ip-address { 10.42.1.2; } } remote { ip-address { 10.42.1.1; } } } } destination-path-group site1 { probe-routing-instance { transit; } overlay-path overlay-path1; overlay-path overlay-path2; overlay-path overlay-path3; } sla-rule sla1 { switch-idle-time { 40; } metrics-profile { metric1; } active-probe-params { probe1; } passive-probe-params { sampling-percentage { 25; } violation-count { 2; } sampling-period { 60000; } type { book-ended; } } multipath-rule { multi1; } } multipath-rule multi1 { bandwidth-limit 60; application [ junos:YAHOO junos:GOOGLE ]; application-group junos:web; link-type [ MPLS IP ]; number-of-paths 2; }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
マルチパス ルールステータスの表示
目的
トラフィックを送信するように設定されたデバイス上のマルチパス ルールの詳細を表示します。
アクション
動作モードから、 コマンドを show security advance-policy-based-routing multipath rule
入力します。
user@host>
show security advance-policy-based-routing multipath rule multi1
Multipath Rule Status:
Multipath Rule Information:
Multipath rule name multi1
Multipath rule type Packet-Copy
Multipath rule state Active
Configured number of paths 2
Configured application groups junos:web
Configured applications junos:GOOGLE, junos:YAHOO
Path Group Information:
Total path groups : 1
Path-Group-Id State Avl-Num-Paths
1 Active 3
Receiver Information:
Path Groups Information:
Total receiver path groups : 1
Path-Group-Id : 1, Avg-Pkt-Loss(%) : 0, Avg-Ingress-Jitter(us) : 171
Path Information:
Dst-IP Pkts-Rcvd Pkt-Loss(%) Ingress-Jitter(us) Reduction-Pkt-Loss(%) Reduction-Ingress-Jitter(us)
10.40.1.2 2442 0 165 0 -6
10.41.1.2 2442 0 158 0 -13
Cos Q Statistics:
Total receiver cos queues: 8
COS-Q-Id Pkts-Rcvd Out-Of-Seq-Drop
0 4884 2442
1 0 0
2 0 0
3 0 0
4 0 0
5 0 0
6 0 0
7 0 0
意味
コマンド出力には、マルチパス ルールの詳細が表示されます。
アプリケーションのマルチパス ルール統計情報の表示
目的
トラフィックを受信するように設定されたデバイス上のアプリケーション トラフィックの詳細を表示します。
アクション
動作モードから、 コマンドを show security advance-policy-based-routing multipath rule rule-name application application-name
入力します。
user@host>
show security advance-policy-based-routing multipath rule multi1 application junos:YAHOO
Multipath Rule Status:
Multipath Rule Information:
Multipath rule name multi1
Multipath rule type Packet-Copy
Multipath rule state Active
Configured number of paths 2
Configured applications junos:YAHOO
Sender Information:
Statistics:
Current Sessions 0
Ignored Sessions 1
Applications Matched 1
Applications Switched 0
Stopped due to Bandwidth Limit 0
Packets in path inactive state 0
Packets in path active state 627
Midstream Packets Ignored 0
Total Packets Processed 627
Total Packets Copied 627
意味
コマンド出力には、アプリケーションのマルチパス ルールが表示されます。
マルチパス ルール ポリシーの表示
目的
トラフィックを送信するように設定されたデバイス上のマルチパス ルールの詳細を表示します。
アクション
動作モードから、 コマンドを show security advance-policy-based-routing multipath rule
入力します。
user@host>
show security advance-policy-based-routing multipath policy statistics application junos:YAHOO multipath-name multi1 profile apbr1 rule rule1 zone trust
Sender Information:
Statistics:
Current Sessions 0
Ignored Sessions 0
Applications Matched 1
Applications Switched 0
Stopped due to Bandwidth Limit 0
Packets in path inactive state 26
Packets in path active state 2416
Less than Configured Paths 0
Midstream Packets Ignored 0
Total Packets Processed 2442
Total Packets Copied 2442
意味
コマンド出力には、マルチパス ルールを適用して処理されたトラフィックの詳細が表示されます。
マルチパス ルールステータスの表示
目的
トラフィックを受信するように設定されたデバイス上のマルチパス ルールの詳細を表示します。
アクション
動作モードから、 コマンドを show security advance-policy-based-routing multipath rule
入力します。
user@host>
show security advance-policy-based-routing multipath rule multi1
Multipath Rule Status:
Multipath Rule Information:
Multipath rule name multi1
Multipath rule type Packet-Copy
Multipath rule state Active
Configured number of paths 2
Configured application groups junos:web
Configured applications junos:GOOGLE, junos:YAHOO
Path Group Information:
Total path groups : 1
Path-Group-Id State Avl-Num-Paths
1 Active 3
Receiver Information:
Path Groups Information:
Total receiver path groups : 1
Path-Group-Id : 1, Avg-Pkt-Loss(%) : 0, Avg-Ingress-Jitter(us) : 171
Path Information:
Dst-IP Pkts-Rcvd Pkt-Loss(%) Ingress-Jitter(us) Reduction-Pkt-Loss(%) Reduction-Ingress-Jitter(us)
10.40.1.1 2442 0 165 0 -6
10.41.1.1 2442 0 158 0 -13
Cos Q Statistics:
Total receiver cos queues: 8
COS-Q-Id Pkts-Rcvd Out-Of-Seq-Drop
0 4884 2442
1 0 0
2 0 0
3 0 0
4 0 0
5 0 0
6 0 0
7 0 0
意味
出力には、マルチパス ルールに関連する詳細が表示されます。