Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

高度なポリシーベースのルーティング

APBR(高度なポリシーベースルーティング)は、アプリケーションベースルーティングとも呼ばれ、ジュニパーネットワークスのスイートに新たに追加され、アプリケーションに基づいてトラフィックを転送する機能を提供します。詳細については、以下のトピックを参照してください。

高度なポリシーベースルーティングについて

高度なポリシーベースのルーティング

ネットワーク上を通過する音声、データ、映像のトラフィックとアプリケーションが絶えず増加する中、ネットワークはトラフィックタイプを認識し、パフォーマンスや可用性を損なうことなく、トラフィックの優先順位付け、分離、ルーティングを効果的に行う必要があります。

Junos OS リリース 15.1X49-D60 以降、SRX シリーズ サービス ゲートウェイは高度なポリシーベース ルーティング(APBR)をサポートし、これらの課題に対処します。

高度なポリシーベースのルーティングは、セッションベースのアプリケーション認識型ルーティングの一種です。このメカニズムは、ポリシーベースのルーティングとアプリケーション認識型のトラフィック管理ソリューションを組み合わせたものです。APBRは、アプリケーションの属性に基づいてフローを分類し、これらの属性に基づいてフィルターを適用してトラフィックをリダイレクトすることを意味します。フロー分類メカニズムは、使用中のアプリケーションを表すパケットに基づいています。

APBRの実装:

  • AppIDのディープパケットインスペクションとパターンマッチング機能により、アプリケーショントラフィックやアプリケーション内のユーザーセッションを特定

  • アプリケーション タイプと対応する宛先 IP アドレス、宛先ポート、プロトコル タイプ、一致するルールのサービスの ASC でのルックアップ

一致するルールが見つかった場合、トラフィックは適切なルートと対応するインターフェイスまたはデバイスに送信されます。

APBRのメリット

  • アプリケーションに基づいてルーティング動作を定義できます。

  • より柔軟なトラフィック処理機能を提供し、アプリケーション属性に基づいてパケットを転送するためのきめ細かい制御を提供します。

APBRの仕組みを理解する

APBR の動作について話し合う前に、APBR コンポーネントについて理解しましょう。

  • APBRプロファイル(このドキュメントではアプリケーションプロファイルとも呼ばれます)を作成します。プロファイルには、複数のAPBRルールが含まれています。各ルールには、一致条件として複数のアプリケーションまたはアプリケーション グループが含まれています。トラフィックがルールのアプリケーショングループまたはアプリケーショングループのいずれかに一致する場合、ルールは一致と見なされ、プロファイルはアプリケーショントラフィックを関連するルーティングインスタンスに誘導します。

  • APBRプロファイルは、ルーティングインスタンスをAPBRルールに関連付けます。トラフィックがアプリケーション プロファイルに一致する場合、ルーティング インスタンスで定義された関連する静的ルートとネクスト ホップを使用して、特定のセッションのトラフィックをルーティングします。

  • アプリケーションプロファイルをイングレストラフィックに関連付けます。APBRプロファイルをAPBRポリシーにアタッチし、セッションのアプリケーションサービスとして適用できます。

APBRワークフローの理解を進め、APBRのミッドストリームサポートについて話し合い、次にAPBRの最初のパケット分類について話し合います。

APBRワークフロー

図 1 は、Junos OS リリース 21.3R1 以前の APBR の動作をまとめたものです。

図 1:APBR の動作 APBR Behavior

セキュリティ デバイスは、DPI を使用してアプリケーションの属性を識別し、APBR を使用してネットワーク上のトラフィックをルーティングします。サービス チェーンでは、デバイスが ABPR を適用する前にアプリケーション トラフィックが DPI を受けます。DPI を使用してアプリケーションを識別するプロセスでは、複数のパケットを分析する必要があります。このような場合、最初のトラフィックはデフォルトルート(非APBRルート)を通過して宛先に到達します。プロセスは引き続き DPI によってアプリケーションを識別します。DPI がアプリケーションを識別すると、APBR はセッションの残りの部分にルールを適用します。APBRプロファイルルールに従って、トラフィックはルートを通過します。

ソースNATに異なるNATプールを使用し、ミッドストリームAPBRを適用する場合、セッションのソースIPアドレスは、セッションがミッドストリームAPBRの前に使用していたアドレスと同じままになります。

APBRミッドストリームのサポート

Junos OS リリース 15.1X49-D110 および Junos OS リリース 17.4R1 以降、SRX シリーズ サービス ゲートウェイはセッションの途中で APBR をサポートします(ミッドストリーム サポートとも呼ばれます)。この機能強化により、APBRをキャッシュできないアプリケーションと、キャッシュ可能なアプリケーションの最初のセッションに適用できます。この拡張機能により、より柔軟なトラフィック処理機能が提供され、転送パケットのきめ細かい制御が可能になります。

セッションの最初のパケットは、ミッドストリームのリルーティングケースを通じて行われます。つまり、アプリケーションがまだ識別されていない場合、トラフィックは宛先へのデフォルト ルート(非 APBR ルート)を通過します。同時に、アプリケーションが識別されるまで DPI は続行されます。アプリケーションが識別されると、デバイスはAPBRプロファイルを適用し、残りのセッションパケットはAPBRプロファイルで定義されたルールに従ってルートを通過します。トラフィックは、アプリケーション シグネチャまたは ALG がアプリケーションを識別するまで、APBR 以外のルートを通過します。

ソースNATに異なるNATプールを使用し、ミッドストリームAPBRを適用する場合、セッションのソースIPアドレスは、セッションがミッドストリームAPBRの前に使用していたアドレスと同じままになります。

最初のパケット分類を使用したAPBR

Junos OSリリース21.3R1以降、APBRは最初のパケット分類を使用してネットワークトラフィック内のアプリケーションを識別します。APBRは、トラフィックフローの最初のパケットを調べることでアプリケーションを識別し、アプリケーション固有のルールを適用してトラフィックを転送します。

図 2 は、APBR が最初のパケット分類を使用してアプリケーションの詳細を取得する方法を示しています。

図 2:最初のパケット分類 APBR with First-Packet Classificationを使用した APBR

第 1 パケット分類では、静的 IP マッピングやアプリケーションのポートの詳細などの詳細が含まれるリポジトリを活用します。リポジトリは、アプリケーション署名パッケージ(JDPI)の一部です。

キャッシュ可能なアプリケーションの最初のセッションでは、APBRはASCにクエリーを実行して、フローのアプリケーションの詳細を取得します。アプリケーションのエントリーがASCで利用できない場合、APBRはJDPIにアプリケーションの詳細をクエリーします。APBRは、クエリーにIPアドレスとフローのポート詳細を使用します。アプリケーションマッピングが利用可能な場合、JDPIは詳細をAPBRに返します。アプリケーションの詳細を取得した後、APBRはアプリケーションの設定されたプロファイルを検索し、割り当てられたルーティングインスタンスを介してパケットをルーティングします。

同時に、JDPI は引き続きパケットを処理し、ASC を更新します(有効な場合)。後続のフローでは、APBRは、フローのASCに存在するアプリケーションエントリーに基づいてトラフィックのルーティングを実行します。

ファーストパケット分類では、キャッシュ可能なアプリケーションのAPBR設定で、ソースNATに異なるNATプールを使用できます。

最初のパケット分類のメリット

ファーストパケット分類により、ネットワーク上でトラフィックを正確かつ効率的に誘導し、ネットワークリンクの利用率を最適化し、パフォーマンスを向上させることができます。

制限

  • キャッシュできないアプリケーションでは、ソースNATに異なるNATプールを使用し、セッションの途中でAPBRを適用する場合、セッションのソースIPアドレスは、ミッドストリームにAPBRを適用した後も変わりません。

  • アプリケーションの IP アドレスとポート範囲の詳細が変更された場合、その変更がアプリケーション署名パッケージにすぐに反映されない場合があります。IP アドレスとポート範囲の最新の更新を取得するには、アプリケーション署名パッケージをインストールする必要があります。
  • クラウド上で OFFICE365 などの複数のアプリケーションをホストするマイクロサービスの場合、IP アドレスとポートの範囲をきめ細かく設定することはできません。このような場合、最初のパケット分類は親アプリケーションの詳細を返します。ネストされたアプリケーションと親アプリケーションを含むように、APBRプロファイルルールを設定する必要があります。例:動的アプリケーションを MS-TEAMS として使用する APBR ルールを作成し、最初のパケット分類に対して同じルールで OFFICE365-CREATE-CONVERSATION を追加します。

高度なポリシーベースルーティングオプション

以下のオプションを使用することで、APBRによるトラフィック処理を効率化できます。

  • Limit route change- 一部のセッションでは、アプリケーションシグネチャがアプリケーションを識別する中で、セッションの途中で継続的な分類を行います。アプリケーションがアプリケーションシグネチャによって識別されるたびに、APBRが適用され、その結果、トラフィックのルートが変更されます。ステートメントの オプションを使用することで、セッションのルート変更回数をmax-route-changetunables制限できます。

    set security advance-policy-based-routing tunables max-route-change value

    例:

    この例では、セッションごとのルート変更の数を5に制限します。セッションの途中でルートに変更が発生した場合、このカウントは4に減ります。このプロセスは、カウントが0に達するまで続きます。その後、セッションの途中でAPBRは適用されません。

    識別されたアプリケーションにASCにエントリーがある場合、APBR設定に従って指定されたルートでセッションが開始されたため、そのセッションのカウントは減りません。

  • Terminate session if APBR is bypassed- APBRがセッション中に適用されているゾーン間に不一致がある場合、セッションを終了できます。セッションの途中にAPBRを適用する場合、新しいエグレスインターフェイスと既存のエグレスインターフェイスの両方が同じゾーンの一部である必要があります。セッションの途中にあるインターフェイスのゾーンを変更した場合、デフォルトではAPBRは適用されず、トラフィックは既存のインターフェイスを通過し続けます。このデフォルト動作を変更するには、 ステートメントの オプションを使用することで、APBRをバイパスする同じルートをトラフィックが通過することを許可するのではなく、セッション全体をdrop-on-zone-mismatchtunables終了することができます。

    例:

  • Enable logging—例えば、インターフェイスのゾーンの変更によりAPBRがバイパスされた場合など、デバイスで発生する記録イベントへのロギングを有効にすることができます。ステートメントの オプションをenable-loggingtunables使用して、ログを設定できます。

    例:

  • Enable reverse reroute—ECMP ルートにトラフィックの対称性を必要とし、受信トラフィックがセッションの途中で切り替える必要がある導入では、セキュリティ ゾーンに固有の enable-reverse-reroute オプションを使用して、次のように再ルーティングを実行できます。

    例:

    [edit]

    set security zones security-zone zone-name enable-reverse-reroute

    受信パケットがインターフェイスに到着し、異なる発信/リターン インターフェイスを持つセキュリティ ゾーンで、上記の設定が有効になっている場合、インターフェイスの変更が検出され、再ルートがトリガーされます。リバース パスに対してルート ルックアップが実行され、パケットが到着したインターフェイスに優先設定が付与されます。

    リバース パス上のトラフィックに対してルート ルックアップに失敗した場合、特定のセッションでさらに処理が停止します。

    リバース リルーティングのサポートは、Junos OS リリース 15.1X49-D130 以降のリリースから利用できます。

  • Support for Layer 3 and Layer 4 ApplicationsJunos OS リリース 20.2R1 以降、APBR はレイヤー 3 およびレイヤー 4 カスタム アプリケーションをサポートします。以下の設定ステートメントを使用して、APBRでレイヤー3およびレイヤー4のカスタムアプリケーションルックアップを手動で無効にすることができます。
  • Application Tracking

    AppTrack を有効にすると、トラフィックを検査し、指定されたゾーンのアプリケーション フローの統計を収集できます。詳細については 、「 Understanding Application Tracking 」を参照してください。

導入事例

  • 複数の ISP リンクを使用する場合:

    • APBRは、複数のリンクが利用可能な場合に、重要なアプリケーションに広帯域で低レイテンシのリンクを選択するために使用できます。

    • APBRは、リンク障害が発生した場合の重要なトラフィックのフォールバックリンクを作成するために使用できます。複数のリンクが利用可能で、重要なアプリケーション トラフィックを伝送するメイン リンクが停止した場合、フォールバック リンクとして設定された他のリンクを使用してトラフィックを伝送できます。

    • APBRは、ディープインスペクションや分析用のトラフィックを分離するために使用できます。この機能を使用すると、ディープインスペクションと監査に必要なアプリケーションに基づいてトラフィックを分類できます。必要に応じて、そのようなトラフィックを別のデバイスにルーティングできます。

制限

APBRには以下の制限があります。

  • トラフィックのルートをリダイレクトすることは、アプリケーションシステムキャッシュ(ASC)内のエントリーの存在に依存します。ASCルックアップが成功した場合にのみ、ルーティングが成功します。最初のセッションでは、トラフィックにASCが存在しない場合、トラフィックは宛先へのデフォルトルート(非APBRルート)を通過します(この制限は、Junos OS 15.1X49-D110以前のリリースにのみ適用されます)。

  • アプリケーション署名パッケージがインストールされていない場合、またはアプリケーション識別が有効になっていない場合、APBRは機能しません。

ミッドストリームをサポートするAPBRには、以下の制限があります。

  • APBRは、転送トラフィックでのみ機能します。

  • APBRは、アクティブFTPなどの制御セッションからエンティティが開始するデータセッションでは機能しません。

  • ソースNATとミッドストリームAPBRに異なるNATプールを使用する場合、セッションのソースIPアドレスは、ミッドストリームAPBRを適用する前にセッションが使用していたアドレスと同じであり続けます。

  • ミッドストリームサポートを備えたAPBRは、すべてのエグレスインターフェイスが同じゾーンにある場合にのみ機能します。このため、APBRミッドストリームサポートを利用するには、転送および仮想ルーティングおよび転送(VRF)ルーティングインスタンスのみを使用できます。

例:アプリケーション認識型トラフィック管理ソリューション向けの高度なポリシーベースルーティングの設定

この例では、SRXシリーズデバイスでAPBRを設定する方法を示しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRX シリーズ デバイスにインストールされている有効なアプリケーション識別機能ライセンス。

  • Junos OS リリース 15.1X49-D60 以降を搭載した SRX シリーズ デバイス。この設定例は、Junos OS リリース 15.1X49-D60 でテストされています。

概要

この例では、ネクストホップIPアドレスで指定されたとおりに、TRUSTゾーンに到着したHTTP、ソーシャルネットワーキング、Yahooトラフィックを特定のデバイスまたはインターフェイスに転送します。

トラフィックがtrustゾーンに到着すると、APBRプロファイルで一致し、一致するルールが見つかった場合、パケットはルーティングインスタンスで指定されたとおりに静的ルートとネクストホップに転送されます。ネクストホップアドレスに到達可能になると、ルーティングテーブルに設定された静的ルートが転送テーブルに挿入されます。静的ルートを宛先とするすべてのトラフィックは、特定のデバイスまたはインターフェイスへのトランジットのためにネクストホップ アドレスに送信されます。

図 3 は、この設定例で使用するトポロジーを示しています。

図 3:高度なポリシーベース ルーティング(APBR) Topology For Advanced Policy-Based Routing (APBR)のトポロジー

表 1 は、この例で使用するパラメーターの詳細を示しています。

表 1:APBR 設定パラメータ

パラメーター

名前

説明

ルーティング インスタンス

  • インスタンス名 — R1

  • インスタンス タイプ - 転送

  • スタティック ルート— 192.168.0.0/16

  • ネクストホップ — 1.0.0.1

タイプ転送のルーティング インスタンスは、トラフィックの転送に使用されます。

静的ルートを宛先とするすべての認定トラフィック(例:192.168.0.0/16)は、ネクストホップ デバイスに転送されます(例:インターフェイスに 1.0.0.1 アドレスがある)。

  • インスタンス名 — R2

  • インスタンス タイプ - 転送

  • スタティック ルート— 192.168.0.0/16

  • ネクストホップ— 2.0.0.1

RIB グループ

apbr_group

ルーティング情報ベース(RIB)グループ(ルーティング テーブルとも呼ばれる)グループの名前。

このRIBグループは、inet.0、RI1.inet.0、RI2.inet.0、およびRI3.inet.0からインターフェイスルートエントリーをインポートするように設定されています。

APBRプロファイル

profile-1

APBRプロファイルの名前。このプロファイルは、アプリケーションとアプリケーション グループを照合し、ルート ルックアップのために、一致するトラフィックを指定されたルーティング インスタンス(例:R1)にリダイレクトします。プロファイルには複数のルールが含まれます。

ルール

  • ルール名 - ruleApp1

  • マッチング アプリケーション — junos:HTTP

  • 関連するルーティング インスタンス—R1

APBRプロファイルのルールを定義します。ルールを 1 つ以上のアプリケーション(HTTP の場合など)またはアプリケーション グループに関連付けます。アプリケーションがプロファイル内のルールのアプリケーション グループまたはアプリケーション グループのいずれかに一致する場合、アプリケーション プロファイル ルールは一致と見なされ、ルート ルックアップのルーティング インスタンス(例:R1)にトラフィックがリダイレクトされます。

  • ルール名 - ruleApp2

  • マッチング アプリケーション — junos:web:social-networking

  • ルーティング インスタンス - R2

ゾーン

信頼

APBRプロファイルを適用できるソースゾーンを指定します。

メモ:

APBRを使用してアプリケーションに基づいてトラフィックをリダイレクトするには、あるルーティングインスタンスから別のルーティングインスタンスにインターフェイスルートをインポートする必要がある場合があります。次のいずれかのメカニズムを使用できます。

  • インターフェイスルートをインポートするRIBグループ

  • インターフェイスルートをインポートするルーティングポリシー

ルーティングポリシーを使用してインターフェイスルートをインポートする場合、適切なアクションがルーティングポリシーに使用されていない場合、管理ローカルルート(fxp0を使用)がデフォルト以外のルーティングインスタンスにリークする可能性があります。デバイスがシャーシ クラスタ モードの場合、このようなシナリオでは制限により、RG0 フェイルオーバーが発生する可能性があります。fxp0ローカルルートは、デフォルト以外のルーティングインスタンスのルーティングテーブルに設定することは推奨しません。次のサンプルは、ポリシー オプションの設定例を示しています。リジェクト・アクションは、必要でないルートを排除するのに役立ちます。特定のルートを使用して fxp0 ルートを拒否できます。

メモ:

APBRは、フォワードパスでパケットをルーティングするために使用されます。リターントラフィックが同じパスを経由して到着するためには、次のサンプル設定に示すように、リモートSRXシリーズデバイスにECMP設定を設定し、ロードバランスルーティングポリシーを設定することをお勧めします。

構成

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

高度なポリシーベースルーティングの設定

手順

APBRを設定するには:

  1. ルーティング インスタンスを作成します。

  2. 1つ以上のルーティングテーブルをグループ化して、apbr_groupと呼ばれるRIBグループを形成し、ルーティングテーブルにルートをインポートします。

  3. APBRプロファイルを作成し、ルールを定義します。

  4. APBRプロファイルをセキュリティゾーンに適用します。

結果

設定モードから、 および show security zones コマンドを入力して設定をshow routing-instances確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

高度なポリシーベースのルーティング統計の検証

目的

アプリケーションベースルーティングで処理されたセッション数、セッションにAPBRが適用される回数など、APBRの統計を表示します。

アクション

設定モードから、 コマンドを show security advance-policy-based-routing statistics 入力します。

意味

コマンド出力には、以下の詳細が表示されます。

  • アプリケーションベースルーティングで処理されるセッション。

  • アプリケーショントラフィックがAPBRプロファイルに一致し、APBRが異なる基準に基づいてセッションに適用される回数。

  • AppID を調べてアプリケーション トラフィックを特定した回数。

  • デフォルトルートのセキュリティゾーンに不一致があり、APBRが選択したルートで、この不一致によりトラフィックがドロップされたインスタンスの数。

詳細については 、「 show security advance-policy-based-routing statistics 」を参照してください。

高度なポリシーベースルーティングの検証

目的

デバイス上でアクティブなセッションとパケット フローに関する情報(特定のセッションに関する詳細情報を含む)を表示します。

アクション

設定モードから、 コマンドを show security flow session 入力して、デバイス上で現在アクティブなすべてのセキュリティセッションに関する情報を表示します。

意味

コマンド出力には、以下の詳細が表示されます。

  • デバイス上のすべてのアクティブなセッションとパケット フロー

  • 受信および送信 IP フローのリスト(サービスを含む)

  • フローに関連付けられたセキュリティ属性(そのフローに属するトラフィックに適用されるポリシーなど)

  • セッションタイムアウト値、セッションがアクティブになったとき、セッションがアクティブになっている時間、セッションにアクティブなトラフィックがある場合

高度なポリシーベースルーティングポリシーの設定

Junos OSリリース18.2R1以降、送信元アドレス、宛先アドレス、アプリケーションを照合条件として定義することで、APBR(高度なポリシーベースルーティング)ポリシーを設定できるようになりました。一致が成功すると、設定されたAPBRプロファイルがセッションのアプリケーションサービスとして適用されます。Junos OSの以前のリリースでは、APBRプロファイルをイングレストラフィックの受信セキュリティゾーンに接続することができ、APBRはセキュリティゾーンごとに適用されていました。APBRポリシーをサポートすることで、受信セキュリティゾーン、送信元アドレス、宛先アドレス、アプリケーションに基づいて、トラフィックに異なるAPBRルールのセットを適用できるようになりました。

この拡張機能により、より柔軟なトラフィック処理機能が提供され、転送パケットのきめ細かい制御が可能になります。

サポートされている一致条件には、送信元アドレス、宛先アドレス、アプリケーションが含まれます。アプリケーションを使用して、プロトコルとレイヤー 4 ポートに基づいた照合条件をサポートできます。

セキュリティゾーンに1つ以上のAPBRポリシーが設定されている場合、セッション作成フェーズ中にポリシーが評価されます。ポリシー ルックアップは、セッションに一致するポリシーが選択されると終了します。一致に成功した後、APBRポリシーで設定されたAPBRプロファイルがセッションに使用されます。

APBRポリシーの仕組み

APBRポリシーはセキュリティゾーンに対して定義されます。ゾーンに関連付けられたAPBRポリシーが1つ以上ある場合、セキュリティゾーンから開始されたセッションはポリシーと一致します。

APBRポリシーによるトラフィックの照合と、定義されたパラメータ/ルールに基づいて高度なポリシーベースのルーティングを適用してトラフィックを転送するには、以下のシーケンスが含まれます。

  • トラフィックがイングレスゾーンに到着すると、APBRポリシールールに一致します。ポリシー一致条件には、送信元アドレス、宛先アドレス、アプリケーションが含まれます。

  • トラフィックがセキュリティポリシールールに一致する場合、APBRポリシーのアクションがトラフィックに適用されます。APBRポリシーアクションでAPBRプロファイル名を指定することで、APBRをアプリケーションサービスとして有効にすることができます。

  • APBRプロファイル設定では、一連の動的アプリケーションとダイヤミックアプリケーショングループを一致条件として含む一連のルールが含まれています。これらのルールのアクション部分には、トラフィックを転送する必要があるルーティングインスタンスが含まれています。ルーティング インスタンスには、静的ルートまたは動的学習ルートの設定を含めることができます。

  • 静的ルートを宛先とするすべてのトラフィックは、特定のデバイスまたはインターフェイスへのトランジットのためにネクストホップ アドレスに送信されます。

APBRポリシールールは端末であり、ポリシーによってトラフィックが一致すると、他のポリシーではそれ以上処理されません。

APBRポリシーに一致するトラフィックがあり、APBRプロファイルにルールに一致するトラフィックがない場合、APBRポリシーに一致するトラフィックはデフォルトのルーティングインスタンス[inet0]を経由して宛先に通過します。

レガシーAPBRプロファイルのサポート

Junos OSリリース18.2R1以前は、APBRプロファイルがセキュリティゾーンレベルで適用されていました。APBRポリシーのサポートにより、セキュリティゾーンレベルでのAPBR設定は、後方互換性と新しい設定に準拠する機会を提供するためにすぐに削除されるのではなく、将来非推奨となります。

ただし、ゾーンベースのAPBRを設定し、特定のセキュリティゾーンに対してAPBRポリシーを追加しようとすると、コミットが失敗する可能性があります。ゾーンのAPBRポリシーを設定するには、ゾーンベースの設定を削除する必要があります。同様に、APBRポリシーがセキュリティゾーンに設定され、ゾーンベースのAPBRを設定しようとすると、コミットエラーが発生します。

制限

  • APBRポリシールールで設定された特定のアドレスまたはアドレスを使用する場合は、グローバルアドレス帳を使用することをお勧めします。宛先ゾーンはポリシー評価時に分からないため、ゾーン固有のルールが宛先アドレスに適用されない可能性があるためです。

  • セキュリティ ゾーン junos-host ゾーンの APBR ポリシーの設定はサポートされていません。

例:高度なポリシーベースルーティングポリシーの設定

この例では、APBRポリシーを設定し、APBRポリシールールに一致するセッションにAPBRプロファイルを適用する方法を示しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • Junos OS リリース 18.2R1 以降を搭載した SRX シリーズ デバイス。この設定例は、Junos OSリリース18.2R1でテストされています。

  • SRX シリーズ デバイスにインストールされている有効なアプリケーション識別機能ライセンス。

概要

この例では、trustゾーンに到着したHTTPトラフィックを、ネクストホップIPアドレスで指定されたとおりに、特定のデバイスまたはインターフェイスに転送します。

トラフィックがtrustゾーンに到着すると、APBRポリシーに一致します。トラフィックがポリシーに一致すると、設定されたAPBRルールが許可されたトラフィックにアプリケーションサービスとして適用されます。パケットは、APBRルールに基づいて、ルーティングインスタンスで指定されたとおりに静的ルートとネクストホップに転送されます。ネクストホップアドレスに到達可能になると、ルーティングテーブルに設定された静的ルートが転送テーブルに挿入されます。静的ルートを宛先とするすべてのトラフィックは、特定のデバイスまたはインターフェイスへのトランジットのためにネクストホップ アドレスに送信されます。

この例では、以下の設定を完了する必要があります。

  • ルーティング インスタンスと RIB グループを定義します。

  • ABPR プロファイルを作成します。

  • セキュリティ ゾーンを作成します。

  • APBRポリシーを作成し、それにAPBRプロファイルをアタッチします。

構成

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

高度なポリシーベースルーティングの設定

手順

APBRポリシーに一致するトラフィックにAPBRを適用するには:

  1. ルーティング インスタンスを作成します。

  2. 1つ以上のルーティングテーブルをグループ化して、apbr_groupと呼ばれるRIBグループを形成し、ルーティングテーブルにルートをインポートします。

  3. APBRプロファイルを作成し、ルールを定義します。

  4. セキュリティ ゾーンを作成します。

  5. APBRポリシーを作成し、APBRプロファイルをセキュリティゾーンに適用します。

結果

設定モードから、 および show security zones コマンドを入力して設定をshow routing-instances確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

高度なポリシーベースのルーティング統計の検証

目的

アプリケーションベースルーティングで処理されたセッション数、セッションにAPBRが適用される回数など、APBRの統計を表示します。

アクション

設定モードから、 コマンドを show security advance-policy-based-routing statistics 入力します。

意味

コマンド出力には、以下の詳細が表示されます。

  • アプリケーションベースルーティングで処理されるセッション。

  • アプリケーショントラフィックがAPBRプロファイルと一致し、セッションにAPBRが適用される回数。

  • AppID を調べてアプリケーション トラフィックを特定した回数。

詳細については 、「 show security advance-policy-based-routing statistics 」を参照してください。

APBRポリシー設定の検証

目的

APBRポリシー、関連するAPBRプロファイルに関する情報を表示し、APBRポリシーヒットカウントに関する情報を表示します。

アクション

設定モードから、 コマンドを show security advanced-policy-based-routing 入力します。

設定モードから、 コマンドを show security advanced-policy-based-routing hit-count 入力します。

意味

コマンド出力には、以下の詳細が表示されます。

  • ポリシーのステータス、関連するAPBRプロファイルなどの詳細。

  • 受け取ったヒット数に応じて、ポリシーのユーティリティレートを表示します。

URL カテゴリーベースルーティングについて

Junos OSリリース18.3 R1以降、URLのカテゴリーベースルーティングは、SRXシリーズデバイスとvSRXインスタンスでサポートされています。URLカテゴリベースのルーティングでは、APBRプロファイルの一致条件としてURLカテゴリを使用できます。URL カテゴリーは宛先サーバーの IP アドレスに基づき、統合脅威管理(UTM)モジュールから取得した拡張 Web フィルタリング(EWF)およびローカル Web フィルタリングの結果からカテゴリー識別を活用します。

URL カテゴリベースのルーティングにより、Web トラフィック(HTTP および HTTPS)を特定し、特定の宛先に選択的にルーティングできます。

Webフィルタリングは、ホスト、URL、IPアドレスに基づいてWebサイトをカテゴリに分類し、それらのカテゴリーに基づいてフィルタリングを実行します。ルールの一致条件としてURLカテゴリを指定することで、APBRプロファイルを設定できます。APBRプロファイルルールは、指定された一致条件を持つトラフィックに一致し、一致に成功した後、設定されたAPBRプロファイルがセッションのアプリケーションサービスとして適用されます。たとえば、ソーシャル メディアなど、特定の Web サイト カテゴリに属するすべてのトラフィックを特定のネクスト ホップを介してルーティングしたいとします。この場合、ポリシーの一致条件として、Enhanced_Social_Web_Facebook、Enhanced_Social_Web_Linkedin、Enhanced_Social_Web_Twitter、またはEnhanced_Social_Web_YoutubeなどのURLカテゴリのリストを使用して、新しいAPBRプロファイルを作成できます。ルールで定義された URL カテゴリのいずれかに一致するトラフィックは、特定のルーティング インスタンスのルートを使用して転送されます。

APBRプロファイルがルールに含まれるURLカテゴリーとトラフィックを一致させると、APBRはWebフィルタリングモジュールにクエリーを実行して、URLカテゴリーの詳細を取得します。URLカテゴリがURLフィルタリングキャッシュで利用できない場合、セキュリティデバイスは、分類の詳細に対するWebフィルタリングで構成されたプライベートクラウドにリクエストを送信します。トラフィックがURLカテゴリーに一致しない場合、リクエストは未分類され、セッションは通常の処理(非APBRルート)を受けます。

メモ:

EWFで設定されたプライベートクラウドが3秒以内にURLカテゴリーリクエストに応答しない場合、セッションは通常の処理(非APBRルート)を受けます。

APBRプロファイルでのルール処理

アプリケーションの属性に基づいてトラフィックを分類し、これらの属性に基づいてポリシーを適用してトラフィックをリダイレクトすることで、高度なポリシーベースのルーティングを提供できます。そのためには、APBRプロファイルを定義し、APBRポリシーに関連付ける必要があります。APBRプロファイルを作成して、動的アプリケーション、アプリケーショングループ、またはその両方、またはURLカテゴリーのいずれかを一致条件として複数のルールを含めることができます。APBRプロファイルで設定されたルールには、以下のいずれかが含まれます。

  • 1 つ以上のアプリケーション、動的アプリケーション、またはアプリケーション グループ

  • URL カテゴリ(IP 宛先アドレス)— EWF またはローカル Web フィルタリング。

APBRプロファイルでは、両方の一致条件に対してルール検索が実行されます。利用可能な一致条件が 1 つだけの場合、利用可能な一致条件に基づいてルール ルックアップが実行されます。

APBRプロファイルには、トラフィックをアプリケーションまたはURLカテゴリーと一致させるルールと、一致するトラフィックをルート検索用に指定されたルーティングインスタンスにリダイレクトするアクションが含まれています。

Junos OS リリース 18.3R1 では、URL カテゴリの一致は宛先 IP アドレスに基づいて行われます。このため、URL カテゴリベースのルールの一致はセッションの最初のパケットで終了します。動的アプリケーションはセッションの途中で識別される可能性があるため、動的アプリケーション・ルールのマッチング・プロセスは、アプリケーション識別のプロセスが完了するまで続行されます。

URL カテゴリーベースルーティングのメリット

  • URL ベースのカテゴリを使用すると、Web トラフィックをきめ細かく制御できます。Webサイトの特定のカテゴリーに属するトラフィックは、異なるパスを介してリダイレクトされ、カテゴリーに基づいて、HTTPSトラフィックに対するSSL暗号化解除など、さらなるセキュリティ処理が行われます。

  • URL カテゴリに基づいたトラフィック処理機能により、選択した Web サイトに異なるパスを使用できます。異なるパスを使用すると、QoE(Quality of Experience)が向上し、利用可能な帯域幅を効果的に利用できます。

  • SD-WANソリューションは、動的なアプリケーションベースのルーティングに加えて、URLのカテゴリーベースルーティングを利用できます。

  • URL のカテゴリーベースのルーティングは、NAT 設定のソース変更に対応するため、ローカルのインターネット ブレークアウト ソリューションに使用できます。

URL カテゴリーベースルーティングの制限事項

APBRプロファイルでURLカテゴリを使用する場合、以下の制限があります。

  • APBRプロファイルのURLカテゴリー識別には、宛先IPアドレスのみが使用されます。ホスト、または URL または SNI フィールドに基づく URL カテゴリはサポートされていません。

  • APBRプロファイルルールの一致条件として、動的アプリケーションまたはURLカテゴリのいずれかを設定できます。URL カテゴリと動的アプリケーションの両方を使用してルールを設定すると、コミット エラーが発生します。

例:URL のカテゴリベース ルーティングの設定

この例では、URL のカテゴリベース ルーティングを設定する方法を示します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • Junos OS リリース 18.3 R1 以降を搭載した SRX シリーズ デバイス。この設定例は、Junos OS リリース 18.3 R1 でテストされています。

  • SRX シリーズ デバイスにインストールされている有効なアプリケーション識別機能ライセンス。

  • 拡張 Web フィルタリング(EWF)オプションでは、ジュニパーネットワークス Web フィルタリング ライセンスを購入する必要があります。ローカルWebフィルタリングにはライセンスは必要ありません。

概要

この例では、SRXシリーズデバイスでAPBRを設定し、trustゾーンに到着したソーシャルメディアトラフィックを、URLカテゴリベースルーティングを使用して特定のデバイスまたはインターフェイスに転送する方法を示します。

トラフィックが到着すると、APBRプロファイルによって照合され、一致するルールが見つかった場合、パケットはルーティングインスタンスで指定されたとおりに静的ルートとネクストホップIPアドレスに転送されます。ネクストホップアドレスに到達可能になると、ルーティングテーブルに設定された静的ルートが転送テーブルに追加されます。静的ルートを宛先とするすべてのトラフィックは、特定のデバイスまたはインターフェイスへのトランジットのためにネクストホップアドレスに送信されます。

この例では、以下の設定を完了します。

  • 次のいずれかの種類の Web フィルタリングを有効にします。

    • EWF(拡張Webフィルタリング):デバイスでEWFを有効にすると、EWFエンジンはHTTPとHTTPSリクエストを傍受し、URLを95以上の定義済みカテゴリーのいずれかに分類し、サイトレピュテーション情報も提供します。 ローカルWebフィルタリングを使用したURLベースルーティングの設定を参照してください。

    • ローカルWebフィルタリング — ローカルWebフィルタリングを有効にすると、複数のURLリストでカスタムURLカテゴリを設定し、許可、許可、ログ、ブロック、隔離などのアクションを使用してUTM Webフィルタリングプロファイルに適用できます。ローカル Web フィルタリングを使用するには、Web フィルタリング プロファイルを作成し、カテゴリ カスタムがプロファイルの一部であることを確認する必要があります。 EWFを使用したURLカテゴリベースルーティングの設定を参照してください。

  • ルーティングインスタンスとルーティング情報ベース(RIB、ルーティングテーブルグループとも呼ばれる)を定義します。

  • APBRプロファイルを定義し、APBRポリシーに関連付けます。

EWFを使用したURLカテゴリーベースルーティングの設定

このセクションでは、EWFを使用してURLカテゴリベースルーティングを設定する手順を説明します。 表 2 は、この例で使用するパラメーターの詳細を示しています。

表2: EWFを使用したURLカテゴリーベースルーティングの設定パラメーター

パラメーター

名前

説明

APBRプロファイル

apbr-pr1

APBRプロファイルの名前。

APBRポリシー

p1

APBRポリシーの名前。

ルール

  • ルール名 - ルール ルール-social-nw

  • 一致する URL カテゴリ — Enhanced_Facebook_Apps

  • ポリシーアクション—ルーティングインスタンスRI1に関連付ける

APBRプロファイルルールの名前。

APBRプロファイルルールは、トラフィックを定義されたURLカテゴリーに一致させ、ルート検索のために、一致するトラフィックを指定されたルーティングインスタンス(例:RI1)にリダイレクトします。

カテゴリ

Enhanced_Social_Web_Facebook

トラフィックに一致するAPBRプロファイルルールで定義されたカテゴリ。

ルーティング インスタンス

  • インスタンス名—RI1

  • インスタンス タイプ - 転送

  • スタティック ルート—1.0.0.254/8

  • ネクストホップ—1.0.0.1

タイプ転送のルーティング インスタンスは、トラフィックの転送に使用されます。

静的ルートを宛先とするすべての認定トラフィック(IP アドレス 1.0.0.254/8)は、ネクストホップ デバイス(IP アドレス 1.0.0.1)に転送されます。

RIB グループ

apbr_group

RIB グループの名前。

RIB グループは、インターフェイス ルートを転送ルーティング インスタンスと共有します。ネクストホップが解決可能であることを確認するために、メインルーティングテーブルからのインターフェイスルートは、ルーティングインスタンスで指定されたルーティングテーブルとRIBグループを介して共有されます。

EWFを使用してURLカテゴリベースのルーティングを実行するには、以下の手順を実行する必要があります。

拡張 Web フィルタリングの有効化

手順

APBRプロファイルの一致条件としてURLカテゴリを使用するには、UTMでEWFを有効にする必要があります。

メモ:

EWFオプションでは、ジュニパーネットワークスWebフィルタリングライセンスを購入する必要があります。ローカルWebフィルタリングにはライセンスは必要ありません。

  1. Webフィルタリングタイプを に juniper-enhanced指定してEWFを有効にします。

  2. キャッシュサイズを500に設定し、設定したEWFエンジンのキャッシュタイムアウトを1800秒に設定します。

    EWF設定の詳細については、 EWF(拡張Webフィルタリング)を参照してください。

ルーティング インスタンスと RIB グループの定義

手順

ルーティング インスタンスと RIB グループを定義します。

  1. 異なるネクストホップにトラフィックを転送するルーティングインスタンスを作成します。このステップでは、静的ルート1.0.0.254/8、ネクストホップアドレスを1.0.0.1として設定します。

  2. RIB グループを作成します。

    メインルーティングテーブル(inet.0)からのインターフェイスルートは、ルーティングインスタンスRI1.inet.0で指定されたルーティングテーブルとRIBグループを介して共有されます。

APBRプロファイルの設定

手順

Facebookアプリケーションのルールを作成し、一致するトラフィックをルーティングインスタンスRI1に転送します。

  1. APBRプロファイルを作成し、URLカテゴリの一致条件を定義します。

    APBRプロファイルルールは、定義されたURLカテゴリー(この例ではFacebookアプリケーション)にトラフィックを一致させます。

  2. URL カテゴリに一致するトラフィックのアクションを指定します。

    このステップでは、apbr-pr1ルールに一致するトラフィックをルーティングインスタンスRI1にリダイレクトすることを指定します。

APBRポリシーの設定とAPBRプロファイルのアタッチ

手順

アプリケーションプロファイルをAPBRポリシーに関連付けて、URLのカテゴリーベースルーティングを有効にします。

  1. APBRポリシーを定義します。送信元アドレス、宛先アドレス、およびアプリケーションに any 対して、ポリシー一致条件を指定します。

    トラフィックが到着すると、APBRポリシールールに一致します。

  2. APBRプロファイルをポリシーにアタッチします。

    トラフィックがAPBRポリシー(p1)ルールに一致すると、APBRプロファイルapbr-pr1がAPBRポリシーのアクションとしてトラフィックに適用されます。Facebookアプリケーションに一致するトラフィックは、APBRプロファイルルールルールscial-nwに従って、ルーティングインスタンスRI1にリダイレクトされます。

結果

設定モードから、 コマンドを入力して設定を show 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

[edit security]

[edit]

[edit]

デバイスの設定が完了したら、設定モードから を入力します commit

ローカルWebフィルタリングを使用したURLベースルーティングの設定

このセクションでは、ローカル Web フィルタリングを使用して URL カテゴリベース ルーティングを構成する手順を説明します。

表 3 は、この例で使用するパラメーターの詳細を示しています。

表3:ローカルWebフィルタリングを使用したURLカテゴリーベースルーティングのAPBR設定パラメーター

パラメーター

名前

説明

APBRプロファイル

apbr-pr2

APBRプロファイルの名前。

APBRポリシー

p2

APBRポリシーの名前。

ルール

  • ルール名 - rule2

  • 一致する URL カテゴリ — カスタム

  • ポリシーアクション—ルーティングインスタンスRI2に関連付ける

APBRプロファイルルールの名前。

APBRプロファイルルールは、トラフィックを定義されたURLカテゴリーに一致させ、ルート検索のために、一致するトラフィックを指定されたルーティングインスタンス(例:RI2)にリダイレクトします。

カスタム カテゴリ(URL パターン)

203.0.113.0

203.0.113.10

トラフィックに一致するAPBRプロファイルルールで定義されたカテゴリ。

ルーティング インスタンス

  • インスタンス名-RI2

  • インスタンス タイプ - 転送

  • 静的ルート—5.0.0.10

  • ネクストホップ—9.0.0.1

タイプ転送のルーティング インスタンスは、トラフィックの転送に使用されます。

静的ルートを宛先とするすべての認定トラフィック(IP アドレス 5.0.0.10)は、ネクストホップ デバイス(IP アドレス 9.0.0.1)に転送されます。

RIB グループ

apbr_group2

RIB グループの名前。

RIB グループは、インターフェイス ルートを転送ルーティング インスタンスと共有します。ネクストホップが解決可能であることを確認するために、メインルーティングテーブルからのインターフェイスルートは、ルーティングインスタンスで指定されたルーティングテーブルとRIBグループを介して共有されます。

ローカルWebフィルタリングを使用してURLカテゴリベースのルーティングを実行するには、次の手順を実行する必要があります。

ローカル Web フィルタリングの有効化

手順

APBRプロファイルでURLカテゴリを一致条件として使用するには、UTMでローカルWebフィルタリングを有効にする必要があります。

  1. として Web フィルタリングの種類 juniper-localを指定して、ローカル Web フィルタリングを有効にします。

  2. カスタム オブジェクトと URL パターン リストを作成します。

    このステップでは、HTTP 上の IP アドレス 203.0.113.0 または 203.0.113.10 と一致するパターンを作成します。

  3. カスタム URL カテゴリ リストを構成します。

    この例で指定された URL カテゴリはカスタムで、URL リストを追加できます。このステップでは、URL リストを追加します。URL リストlocal1には、ステップ 2 で作成されたアドレス 203.0.113.1 および 203.0.113.10 に一致するパターンが含まれています。

  4. Web フィルタリング プロファイルを設定します。

    Web フィルタリング プロファイルには、許可アクションを含むユーザー定義のカテゴリが含まれています。

    ローカルWebフィルタリング設定の詳細については、 ローカルWebフィルタリングを参照してください。

ルーティング インスタンスと RIB グループの定義

手順

ルーティング インスタンスと RIB グループを定義します。

  1. 異なるネクストホップにトラフィックを転送するルーティングインスタンスを作成します。この例では、ネクストホップ アドレス 9.0.0.1 を使用して静的ルート 5.0.0.0/10 を設定します。

  2. RIB グループを作成します。

    メインルーティングテーブル(inet.0)からのインターフェイスルートは、ルーティングインスタンス(RI2.inet.0)で指定されたルーティングテーブルとRIBグループを介して共有されます。

APBRプロファイルの設定

手順

カスタムURLパターンに一致するトラフィックをルーティングインスタンスRI2に転送するルールを作成します。

  1. APBRプロファイルを作成し、URLカテゴリの一致条件を定義します。

    APBRプロファイルルールは、定義されたカスタムURLカテゴリーにトラフィックを一致させます。つまり、URLパターンがアドレス203.0.113.1と203.0.113.10に一致するトラフィックです。

  2. URL カテゴリに一致するトラフィックのアクションを指定します。

    このステップでは、ルールと一致するトラフィックをルーティング・インスタンスRI2にリダイレクトすることを指定します。

APBRポリシーの設定とAPBRプロファイルのアタッチ

手順

APBRプロファイルをAPBRポリシーに関連付けて、URLカテゴリーベースのルーティングを有効にします。

  1. APBRポリシーを定義します。送信元アドレス、宛先アドレス、およびアプリケーションに any 対して、ポリシー一致条件を指定します。

    トラフィックが到着すると、APBRポリシールールに一致します。

  2. APBRプロファイルをポリシーにアタッチします。

    トラフィックがAPBRポリシー(p2)ルールに一致すると、APBRプロファイルapbr-pr2がAPBRポリシーのアクションとしてトラフィックに適用されます。Facebookアプリケーションと一致するトラフィックは、APBRプロファイルルールルール2に従って、ルーティングインスタンスRI2にリダイレクトされます。

結果

設定モードから、 コマンドを入力して設定を show 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

[edit security]

[edit]

[edit]

デバイスの設定が完了したら、設定モードから を入力します commit

検証

APBR統計の検証

目的

アプリケーションベースルーティングで処理されたセッション数、セッションにAPBRが適用される回数など、APBRの統計を表示します。

アクション

設定モードから、 コマンドを show security advance-policy-based-routing statistics 入力します。

user@host> show security advance-policy-based-routing statistics

意味

コマンド出力には、以下の詳細が表示されます。

  • アプリケーションベースルーティングで処理されるセッション

  • アプリケーション・システム・キャッシュ(ASC)内のエントリーの存在が見つかった回数

  • アプリケーショントラフィックがAPBRプロファイルと一致し、APBRがセッションに適用される回数

  • アプリケーション識別(AppID)を調べてアプリケーション トラフィックを特定した回数

  • セッションにAPBRが適用される回数

APBRルールでのアプリケーションサービスのバイパス

APBRプロファイルを作成して、動的アプリケーション、アプリケーショングループ、またはその両方、またはURLカテゴリをセキュリティデバイスの一致条件として複数のルールを含めることができます。URLカテゴリベースのルーティングにより、Webトラフィック(HTTPおよびHTTPS)を特定して選択的にルーティングできます。指定された宛先や、Webトラフィックのさらなる検査が必要な別のデバイスにルーティングできます。この場合、さらなる検査のためにデバイスに転送されるセッションで、アプリケーションサービスを適用またはバイパスしないことを選択できます。

Junos OSリリース19.1R1以降、APBRルールを使用して再ルーティングされるセッションのアプリケーションサービスをバイパスできるようになりました。

アプリケーション サービスのバイパスには、以下のシーケンスが含まれます。

  1. APBRは、アプリケーションの詳細を使用して、APBRプロファイル(アプリケーションプロファイル)で一致するルールを探します。

  2. 一致するAPBRルールが見つかった場合、トラフィックはルート検索のために指定されたルーティングインスタンスにリダイレクトされます。

  3. APBRルールのセッションでアプリケーションサービスをバイパスする オプションを設定した場合、セッションへのアプリケーションサービスのバイパスの試みが行われます。

  4. セッション上のアプリケーション・サービスのバイパスを示すために、ログ・メッセージが生成または更新されます。

APBRルールを使用して、セキュリティポリシー、アプリケーションサービス品質(AppQoS)、Juniper Sky ATP、IDP、セキュリティインテリジェンス(SecIntel)、UTMなどのアプリケーションサービスをバイパスできます。

バイパスを有効にするには、最初のパケットでAPBRルールが一致している必要があります。最初のパケットの後にルールが一致し、バイパスオプションが設定されている場合、バイパスオプションは無視され、アプリケーションサービスはバイパスされません。

ALGをバイパスすると、相関(データ)セッションが適切なセキュリティポリシーに一致しない可能性があるため、この機能によりALGサービスはバイパスされません。

例:APBRルールを使用したアプリケーションサービスのバイパス

この例では、APBRルールを使用してセッション上のアプリケーションサービスをバイパスする方法を示します。URLのカテゴリーベースルーティングを使用すると、Webトラフィック(HTTPおよびHTTPS)を特定して、特定の宛先または別のデバイスに選択的にルーティングできます。ここでは、Webトラフィックに対するさらなる検査が実行されるセッションで、アプリケーションサービスをバイパスするように設定することができます。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • Junos OS リリース 19.1R1 以降を搭載した SRX シリーズ デバイス。この設定例は、Junos OS リリース 19.1R1 でテストされています。

  • SRX シリーズ デバイスにインストールされている有効なアプリケーション識別機能ライセンス。

開始する前に、以下を行います。

  • ルーティング インスタンスと RIB グループを定義します。

  • トランジット トラフィックに対するルールの適用、デバイスを通過できるトラフィックの指定、およびトラフィックがデバイスを通過する場合に実行する必要のあるアクションを指定する適切なセキュリティ ポリシー。

概要

この例では、SRXシリーズデバイスでAPBRを設定し、trustゾーンに到着したソーシャルメディアトラフィックを特定のデバイスまたはURLカテゴリベースルーティングを使用してインターフェイスに転送し、同じセッションでアプリケーションサービスをバイパスする方法を示します。

この例では、以下の設定を完了します。

  • APBRプロファイルを定義し、APBRポリシーに関連付けます。APBRプロファイルには、トラフィックをアプリケーションとURLのカテゴリーと一致させるルールが含まれています。

  • 次に、APBRプロファイルルールのアクションを指定します。つまり、ルート ルックアップのために、一致するトラフィックを指定されたルーティング インスタンスにリダイレクトします。

  • 一致するトラフィックのアプリケーションバイパスオプションを指定します。

トラフィックが到着すると、APBRプロファイルで一致し、一致するルールが見つかった場合、パケットは静的ルートに転送されます。静的ルートを宛先とするすべてのトラフィックは、特定のデバイスまたはインターフェイスへのトランジットのためにネクストホップアドレスに送信されます。一致するトラフィックにアプリケーションバイパスオプションを設定したので、ネクストホップアドレスの特定のデバイスに転送されたトラフィックは、アプリケーションサービスには適用されません。

構成

このセクションでは、拡張Webフィルタリング(EWF)を使用してURLのカテゴリベースルーティングを設定する手順と、トラフィックにアプリケーションサービスを渡すことによって有効にする手順を説明します。

拡張 Web フィルタリングの有効化

手順

APBRプロファイルの一致条件としてURLカテゴリを使用するには、UTMでEWFを有効にする必要があります。

メモ:

EWFオプションでは、ジュニパーネットワークスWebフィルタリングライセンスを購入する必要があります。ローカルWebフィルタリングにはライセンスは必要ありません。

  1. Webフィルタリングタイプを に juniper-enhanced指定してEWFを有効にします。

  2. キャッシュサイズを500に設定し、設定したEWFエンジンのキャッシュタイムアウトを1800秒に設定します。

    EWF設定の詳細については、 EWF(拡張Webフィルタリング)を参照してください。

APBRルールの設定

手順

Facebookアプリケーションのルールを作成し、一致するトラフィックをルーティングインスタンスRI1に転送します。

  1. APBRプロファイルを作成し、URLカテゴリの一致条件を定義します。

    APBRプロファイルルールは、定義されたURLカテゴリー(この例ではFacebookアプリケーション)にトラフィックを一致させます。

  2. URL カテゴリに一致するトラフィックのアクションを指定します。

    このステップでは、apbr-pr1ルールに一致するトラフィックをルーティングインスタンスRI1にリダイレクトすることを指定します。

  3. APBRルールに一致するトラフィックのバイパスアプリケーションサービスを指定します。

    このステップでは、apbr-pr1ルールに一致するトラフィックがアプリケーションサービスをバイパスすることを指定します。

APBRポリシーの設定とAPBRプロファイルのアタッチ

手順

アプリケーションプロファイルをAPBRポリシーに関連付けて、URLのカテゴリーベースルーティングを有効にします。

  1. APBRポリシーを定義します。送信元アドレス、宛先アドレス、およびアプリケーションに any 対して、ポリシー一致条件を指定します。

    トラフィックが到着すると、APBRポリシールールに一致します。

  2. APBRプロファイルをポリシーにアタッチします。

    トラフィックがAPBRポリシー(p1)ルールに一致すると、APBRプロファイルapbr-pr1がAPBRポリシーのアクションとしてトラフィックに適用されます。Facebookアプリケーションに一致するトラフィックは、APBRプロファイルルールルールscial-nwに従って、ルーティングインスタンスRI1にリダイレクトされます。また、APBRプロファイルルールルールscialsion-nwで指定されているように、アプリケーションサービスはセッションに対してバイパスされます。

結果

設定モードから、 コマンドを入力して設定を show 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

[edit security]

デバイスの設定が完了したら、設定モードから を入力します commit

検証

APBR統計の検証

目的

アプリケーションベースルーティングで処理されたセッション数、セッションにAPBRが適用される回数など、APBRの統計を表示します。

アクション

設定モードから、 コマンドを show security advance-policy-based-routing statistics 入力します。

user@host> show security advance-policy-based-routing statistics

意味

コマンド出力には、以下の詳細が表示されます。

  • アプリケーションベースルーティングで処理されるセッション

  • アプリケーション・システム・キャッシュ(ASC)内のエントリーの存在が見つかった回数

  • アプリケーショントラフィックがAPBRプロファイルと一致し、APBRがセッションに適用される回数

  • アプリケーション識別(AppID)を調べてアプリケーション トラフィックを特定した回数

  • セッションにAPBRが適用される回数

  • セッションに対してアプリケーションサービスがバイパスされる回数

APBRポリシーにおけるユーザーソースIDのサポート

Junos OS リリース 19.1R1 以降では、送信元アドレス、宛先アドレス、アプリケーションとともに、一致条件の 1 つとしてユーザー ソース ID を定義することで、APBR(高度なポリシーベースルーティング)ポリシーを設定できるようになりました。一致に成功すると、APBRポリシーで設定されたAPBRプロファイルがセッションのアプリケーションサービスとして適用されます。ソースIDを使用すると、ユーザー識別テーブル(UIT)などのリポジトリに格納されているユーザー情報を活用できます。

送信元 ID フィールドは、ポリシーが適用されるユーザーとロールを指定します。一致条件としてポリシー内で送信元 ID フィールドを指定した場合、ポリシー ルックアップを実行する前にユーザーとロールの情報を取得する必要があります。APBRポリシーの一致条件として送信元IDオプションを使用することはオプションです。送信元 ID フィールドの値が のいずれかとして設定されている場合、または送信元 ID フィールドにエントリーがない場合、ユーザー情報とロール情報は必要なくなり、ポリシー ルックアップに他の一致条件が使用されます。

送信元 ID フィールドを使用して、以下のキーワードで 1 つ以上のユーザーまたはユーザー ロールを指定できます。

  • 認証済みユーザー — 認証されたユーザー。

  • 非認証ユーザー — 認証されていないユーザー。

  • 任意 — 認証ステータスに関係なく、すべてのユーザー。送信元 ID フィールドが構成されていない場合、またはいずれかのフィールドに設定されている場合は、他の一致条件のみが照合に使用されます。

  • unknown-user— 停電などの認証サーバーの切断によって認証できないユーザー。

セキュリティデバイスで、ユーザー識別テーブル(UIT)は、すでに認証されているアクティブユーザーのユーザーとロール情報を提供します。テーブルの各エントリーは、認証されたユーザーとロールにIPアドレスをマッピングします。

UITには、認証されたすべてのユーザーのIPアドレス、ユーザー名、ロール情報が含まれています。ユーザー識別テーブル内のエントリーは、IP アドレスによって順序付けされます。

セキュリティ デバイスでサポートされている UIT のタイプはローカル認証テーブルです。ローカル認証テーブルは、APBRポリシーで必要な情報の認証ソースとして機能します。ローカル認証テーブルは、CLIコマンドを使用して手動またはプログラムでデバイス上に作成された静的UITです。ローカル認証テーブルに含まれるすべてのユーザーは、認証済みユーザーと見なされます。ユーザーとロールの情報を取得するには、トラフィックに対応するIPアドレスを持つエントリーの認証テーブルで検索が実行されます。一致する IP アドレスが見つかった場合、ユーザーとロールの情報はテーブルエントリから取得され、トラフィックに関連付けられます。見つからない場合、そのユーザーは認証されていないユーザーに分類されます。

ユーザーとロールの情報は、デバイス上で手動で作成することも、サードパーティーの認証サーバーからポートすることもできますが、ローカル認証テーブルのデータはリアルタイムで更新されません。

APBRポリシー検索中に、APBRポリシーで設定されているユーザーロールとユーザーロールがローカル認証テーブルに存在しない場合、ポリシーは一致しません。受け取ったヒット数に応じてセキュリティ ポリシーのユーティリティ レートを表示するヒット 数の値は増加しません。

ユーザー ロールの取得とポリシー ルックアップ プロセスの詳細については、「 ユーザー ロール ファイアウォール セキュリティ ポリシー」を参照してください。

利点

  • より詳細なレベルでルーティング動作を定義し、ネットワークを通過するアプリケーショントラフィックに対してポリシーを安全に適用できるようにします。

  • より柔軟なトラフィック処理機能を提供し、ユーザーの役割とビジネス要件に基づいて、転送パケットをきめ細かく制御します。

ローカル認証テーブル

ローカル認証テーブルは、エントリーを追加または削除する CLI コマンドで管理できます。CLI コマンドを使用して、サードパーティの認証ソースからローカル認証テーブルに IP アドレス、ユーザー名、ロールをプログラムで追加できます。認証ソースでユーザーとグループが定義されている場合は、そのグループをロールとして構成し、通常どおりユーザーに関連付けることができます。

以下のコマンドを使用して、ローカル認証テーブルにエントリを追加します。テーブル内のエントリーは、IPアドレスを使用して入力されます。

例:

IP アドレス別またはユーザー名別にエントリを削除するには、次のコマンドを使用します。

ローカル認証テーブルをクリアするには、次のコマンドを使用します。

ローカル認証テーブルの内容を表示するには、次のコマンドを使用します。

詳細については、 ローカル認証テーブルを参照してください。

例:ソースアイデンティティを使用した高度なポリシーベースルーティングポリシーの設定

この例では、ソースIDでAPBRポリシーを設定する方法と、APBRポリシールールに一致するセッションにAPBRプロファイルを適用する方法を示しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • Junos OS リリース 19.1R1 以降を搭載した SRX シリーズ デバイス。この設定例は、Junos OS リリース 19.1R1 でテストされています。

  • SRX シリーズ デバイスにインストールされている有効なアプリケーション識別機能ライセンス。

概要

この例では、trustゾーンに到着したHTTPトラフィックを、ネクストホップIPアドレスで指定されたとおりに、特定のデバイスまたはインターフェイスに転送します。

トラフィックがtrustゾーンに到着すると、APBRポリシーに一致します。トラフィックがポリシーに一致すると、設定されたAPBRルールが許可されたトラフィックにアプリケーションサービスとして適用されます。パケットは、APBRルールに基づいて、ルーティングインスタンスで指定されたとおりに静的ルートとネクストホップに転送されます。ネクストホップアドレスに到達可能になると、ルーティングテーブルに設定された静的ルートが転送テーブルに挿入されます。静的ルートを宛先とするすべてのトラフィックは、特定のデバイスまたはインターフェイスへのトランジットのためにネクストホップ アドレスに送信されます。

この例では、以下の設定を完了する必要があります。

  • ルーティング インスタンスと RIB グループを定義します。

  • ABPR プロファイルを作成します。

  • APBRポリシーを作成し、それにAPBRプロファイルをアタッチします。

構成

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

高度なポリシーベースルーティングの設定

手順

ローカル認証テーブルにエントリを追加するには。

  1. ユーザー名、IPアドレス、ユーザーロールの詳細を入力します。

手順

APBRポリシーに一致するトラフィックにAPBRを適用するには:

  1. ルーティング インスタンスを作成します。

  2. 1つ以上のルーティングテーブルをグループ化して、apbr_groupと呼ばれるRIBグループを形成し、ルーティングテーブルにルートをインポートします。

  3. APBRプロファイルを作成し、ルールを定義します。

  4. セキュリティ ゾーンを作成します。

  5. APBRポリシーを作成し、APBRプロファイルをセキュリティゾーンに適用します。

結果

設定モードから、 および show security zones コマンドを入力して設定をshow routing-instances確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

APBRポリシー設定の検証

目的

APBRポリシー、関連するAPBRプロファイルに関する情報を表示し、APBRポリシーヒットカウントに関する情報を表示します。

アクション

設定モードから、 コマンドを show security advance-policy-based-routing detail 入力します。

意味

コマンド出力には、フィールドの送信元 ID の詳細が Source identities 表示されます。

APBR ルールで DSCP を一致条件として使用する

このトピックには、以下のセクションが含まれています。

導入

アプリケーション識別技術は、ディープ パケット インスペクション(DPI)に依存します。たとえば、暗号化されたトラフィックなど、DPI エンジンでアプリケーションを識別できない場合があります。このようなトラフィックにAPBRルールを適用すると、APBR機能を適用せずにトラフィックが正常に処理されます。

Junos OS リリース 19.3R1 以降、SRX シリーズ デバイスは、DSCP タグ付きトラフィックで APBR 機能を実行するための一致条件として、APBR ルール内の DSCP 値の設定をサポートしています。

動的アプリケーション、動的アプリケーション グループなど、APBR ルールの他の一致条件に加えて DSCP 値を設定できます。

APBRルールでDSCP値を設定することで、APBRサービスをDSCPマーキングを使用してトラフィックに拡張できます。

導入事例

DSCP を含む APBR ルールを、暗号化されたトラフィックの一致条件として使用できます。

制限

  • DSCP 値と URL カテゴリを持つルールを単一の APBR プロファイルで構成する場合、サポートは利用できません。

DSCP 値を一致条件として使用する場合の APBR ルール ルックアップ

APBR ルールでは、DSCP 値または動的アプリケーション、または両方の組み合わせを構成できます。

APBR ルールで DSCP と動的アプリケーションの両方を設定した場合、トラフィックがルールで指定されたすべての条件に一致するとルールは一致すると見なされます。APBR ルールに複数の DSCP 値が存在する場合、1 つの条件が一致すると、一致したと見なされます。

APBRプロファイルには、さまざまな一致条件を持つ複数のルールを含めることができます。

APBRプロファイルに複数のAPBRルールがある場合、ルールルックアップは以下の優先順序を使用します。

  1. DSCP + 動的アプリケーションを使用したルール

  2. 動的アプリケーションを使用したルール

  3. DSCP 値を持つルール

APBRプロファイルに複数のルールが含まれている場合、システムはルール検索を実行し、次の順序でルールを適用します。

  • システムは、セッションの最初のパケットに DSCP ベースのルールを適用します。

  • システムは、DPI 分類またはアプリケーション システム キャッシュ(ASC)から利用可能なアプリケーション情報があるかどうかを継続的に確認します。

  • セッションの途中で、DPI が新しいアプリケーションを識別すると、システムはルール ルックアップを実行し、新しいルール(アプリケーション ベース ルールまたは DSCP ベースのルールまたは両方の組み合わせ)を適用します。

  • アプリケーションとルールの検索は、DPI が最終的なアプリケーションまたは最大再ルート値に達するとアプリケーションを識別するまで続行されます。

  • ルールルックアップがルールに一致しない場合、それ以上のアクションは実行されません。

APBR がルール ルックアップを実行する方法を理解し、次の 2 つの例でルールを適用します。

例1

この例では、DSCP 値 30 の 3 つの APBR ルール、次のルール(アプリケーションを HTTP として使用)、3 つ目のルール(DSCP 値を 30 に、アプリケーションを HTTP)で構成します。最大ルート変更値を 1(デフォルト値)に設定します。

表 4 は、APBR がルール ルックアップを実行し、ルールを適用する方法を示しています。

表 4:DSCP と動的アプリケーションを使用した APBR ルール

セッション

トラフィック タイプ

ASCキャッシュ

DPI 分類

一致ルール

最初のセッション

DSCP=30

Na

Na

ルール 1

ミッドストリーム セッション

DSCP=30

アプリケーション = HTTP

はい

HTTP

ルール 3

ルール ルックアップが新しいルールに一致したため、トラフィックが切り替えます。

セッションの途中でルールの変更に基づいてトラフィックが切り替わった場合、ルート変更の最大回数は0に減少します。このシナリオでは、これ以上ルート変更は行われません。

例2

この例では、DSCP 値 30 を持つ 1 つ、DSCP 値 60 を持つ次のルール、DSCP 値を 30、アプリケーションを HTTP として 3 つ目のルールという 3 つの APBR ルールを設定します。

表 5 は、APBR がルール ルックアップを実行し、ルールを適用する方法を示しています。

表 5:DSCP 値のみの APBR ルール

セッション

トラフィック タイプ

ASCキャッシュ

DPI 分類

一致ルール

最初のセッション

DSCP=30

Na

Na

ルール 1

ミッドストリーム セッション

DSCP=60

アプリケーション = HTTP

はい

DSCP=60

HTTP

ルール 2

中ストリームで DSCP 値が 30 から 60 に変更されるため、ルール 3 はトラフィックと一致しません。

DSCP 値を一致条件として APBR ルールを設定する

この例では、DSCP 値を一致条件として APBR ルールを構成する方法を示します。

構成

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

DSCP と動的アプリケーションを一致条件として APBR ルールを構成します。

  1. セキュリティ ゾーンとインターフェイスを定義します。

  2. クライアントデバイスを接続するイングレスインターフェイスのインターフェイスとセキュリティゾーンを定義します。

  3. ルーティングインスタンスを設定します。

  4. 1つ以上のルーティングテーブルをグループ化してapbr-groupと呼ばれるRIBグループを形成し、ルーティングテーブルにルートをインポートします。

  5. 動的アプリケーション HTTP を一致条件として APBR ルールを定義します。

    APBRは、HTTPアプリケーションに一致するトラフィックをルーティングインスタンスRI1にルーティングします。

  6. DSCP および HTTP アプリケーション用の別のルールを作成します。

    APBRは、DSCP値56に一致するトラフィックをルーティングインスタンスRI2にルーティングします。

  7. DSCP 値 46 で 1 つ以上のルールを定義します。

    APBRは、DSCP値46に一致するトラフィックをルーティングインスタンスRI3にルーティングします。

  8. APBRプロファイルをセキュリティゾーンに適用します。

結果

設定モードから、 、 、 show routing-instancesコマンドを入力して設定をshow security advance-policy-based-routingshow security zones確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

設定を完了したら、設定モードから を入力します commit

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • Junos OS リリース 19.3R1 以降を搭載した SRX シリーズ デバイス。この設定例は、Junos OS リリース 19.3R1 でテストされています。

  • サポートされている SRX シリーズ デバイス。

  • SRX シリーズ デバイスにインストールされている有効なアプリケーション識別機能ライセンス。

概要

この例では、DSCP 値 56 と DSCP 値 46 でタグ付けされた HTTP トラフィックとトラフィックを、サイト 1、サイト 2、およびサイト 3 の特定のデバイスまたはインターフェイスに転送します。セキュリティ デバイスは、APBR 機能を使用して、アプリケーションまたは DSCP 値に基づくトラフィックを優先ルートに転送します。

トラフィックがtrustゾーンに到着すると、APBRは設定されたAPBRプロファイルルールを持つトラフィックを照合します。トラフィックがルールに一致する場合、APBRはAPBRルールで定義された特定の宛先にトラフィックを転送します。

例えば、以下で指定したアプリケーションのタイプに基づいて、異なる宛先にトラフィックをルーティングするようにAPBRを設定します。

  • ルール 1 —ネクストホップ アドレス 192.0.2.254 を使用して、クライアント 1 からサイト 1 に HTTP トラフィックを転送します。

  • ルール 2 — DSCP 値 56 と HTTP アプリケーションを持つトラフィックを、ネクストホップ デバイス 192.0.3.254 を使用してサイト 2 に転送します。

  • ルール 3 — ネクストホップ デバイス 192.0.4.254 を使用して、DSCP 値 46 のトラフィックをサイト 3 に転送します。

図 4 は、この例で使用するトポロジーを示しています。

図 4:APBR(高度なポリシーベース ルーティング)設定 Topology for Advanced Policy-Based Routing (APBR) Configurationのトポロジー

表 6 は、この例で使用するパラメーターの詳細を示しています。

表 6:設定パラメータ

パラメーター

関連するパラメーター

説明

APBRプロファイル

P1

APBRプロファイルの名前。

アプリケーションと DSCP 値に一致するルールでプロファイルを構成し、一致するトラフィックの宛先(例:ルーティングインスタンス)を指定します。

RIB グループ

RI1.inet.0

関連するルーティング インスタンス—RI1

inet.0、RI1.inet.0、RI2.inet.0、およびRI3.inet.0からインターフェイスルートエントリーをインポートするようにRIBグループを設定します。

RI1.inet.2

関連するルーティング インスタンス —RI2

RI1.inet.3

関連するルーティング インスタンス—RI3

ルーティング インスタンス

RI1

  • スタティック ルート— 192.0.0.0/16

  • ネクストホップ—192.0.2.254

ネクストホップIPアドレスを含むようにルーティングインスタンスを設定します。APBRは、静的ルートを宛先とする認定トラフィックを、サイト1、サイト2、およびサイト3のネクストホップデバイスアドレスに転送します。

RI2

  • 静的ルート—192.0.0.0/16

  • ネクストホップ-192.0.3.254

RI3

  • 静的ルート—192.0.0.0/16

  • ネクストホップ-192.0.4.254

APBRルール

R1

  • 一致するアプリケーション - junos:HTTP

  • 関連するルーティング インスタンス—RI1

APBRルールを設定し、動的アプリケーションまたはDSCP値を一致条件として指定します。

APBRは、一致するトラフィックを関連するルーティングインスタンスに転送します。

R2

  • 一致する DSCP 値—56 とアプリケーション—junos:HTTP。

  • 関連するルーティング インスタンス —RI2

R3

  • 一致する DSCP 値— 46

  • 関連するルーティング インスタンス—RI3

検証

高度なポリシーベースのルーティング統計の検証

目的

アプリケーションベースルーティングで処理されたセッション数、セッションにAPBRが適用される回数など、APBRの統計を表示します。

アクション

設定モードから、 コマンドを show security advance-policy-based-routing statistics 入力します。

意味

コマンド出力には、以下の詳細が表示されます。

  • アプリケーションベースルーティングで処理されるセッション。

  • アプリケーション トラフィックまたは DSCP タグ付きトラフィックが APBR プロファイルと一致する回数。

  • トラフィックがミッドストリーム内の異なるルートに切り替えられる回数。

高度なポリシーベースルーティングセッションの検証

目的

デバイス上でアクティブなセッションとパケット フローに関する情報(特定のセッションに関する詳細情報を含む)を表示します。

アクション

設定モードから、 コマンドを show security flow session 入力して、デバイス上で現在アクティブなすべてのセキュリティセッションに関する情報を表示します。

意味

コマンド出力には、以下の詳細が表示されます。

  • デバイス上のすべてのアクティブなセッションとパケット フロー。

  • サービスを含む、送受信される IP フローのリスト。

  • フローに関連付けられたセキュリティ属性(そのフローに属するトラフィックに適用されるポリシーなど)。

  • セッションタイムアウト値、セッションがアクティブになったとき、セッションがアクティブになっている時間、セッションにアクティブなトラフィックがある場合。

特定のAPBRルールのAPBRミッドストリームルーティングを無効にする

ミッドストリームルーティングを選択的に無効にする必要がある理由

セッションの中には、アプリケーションシグネチャがアプリケーションを識別する中で、セッションの途中で継続的な分類を行うものもあります。アプリケーションがアプリケーションシグネチャによって識別されるたびに、APBRが適用され、その結果、トラフィックのルートが変更されます。オプションを使用することで、セッションのルート変更回数を max-route-change 制限できます。このオプションを0に設定すると、特定のセッションに対してAPBRは無効になります。ただし、このオプションは、お使いのデバイスでAPBR機能をグローバルに無効にします。これは必須ではない可能性があります。

ミッドストリームにおけるAPBRの選択的無効化

Junos OSリリース19.4R1以降、残りのセッションのグローバルAPBR機能を保持しながら、特定のAPBRルールのセッション中にAPBRサービスを選択的にオフにすることができます。特定のAPBRルールのミッドストリームルーティングを無効にすると、対応するアプリケーショントラフィックにミッドストリームAPBRが適用されず、APBR以外のルートを介してトラフィックがルーティングされます。

ミッドストリームAPBRを選択的に無効にするには、[]階層レベルでedit security advance-policy-based-routing profile apbr-profile-name rule apbr-rule-nameミッドストリームルーティングオプション(disable-midstream-routing)を無効にしてAPBRルールを設定できます。

表 7 は 、選択的に無効にするミッドストリーム APBR オプションの動作を示しています。

表 7:さまざまなシナリオのミッドストリームにおける APBR の選択的無効化

トラフィック タイプ

トラフィックがAPBRルールに一致

結果

新規セッション(セッションにキャッシュ項目が存在しない場合)

オプションありdisable-midstream-routing

セッションはデフォルトルートを使用します。

この値は max-route-change デクリメントされません。

オプションなしdisable-midstream-routing

ミッドストリームAPBRの適用

最後のアプリケーションが識別されるか、 オプションで定義されるまでAPBRを max-route-change 適用します。

確立されたセッション(セッションにキャッシュエントリーが存在する場合)

オプションありdisable-midstream-routing

APBRを適用します。

今後のセッションに向けてAPBRを解除します。つまり、キャッシュヒット後にセッション内でさらにアプリケーションが識別された場合でも、APBRは適用されません。

オプションなしdisable-midstream-routing

APBRを適用します。

最後のアプリケーションが識別されるか、 オプションで定義されるまで、APBRを適用し max-route-change 続けます。

特定のAPBRルールのミッドストリームルーティングを無効にすると、デフォルトの非APBRルートを介してアプリケーショントラフィックが再ルーティングされます。

特定のAPBRルールに対してAPBRを選択的に無効にするミッドストリームルーティングオプションを使用する

特定のアプリケーションに対してAPBRルールをすでに設定しており、APBRミッドストリームルーティングを選択的に無効にする場合は、次のオプションを使用します。

例:

コマンドを show security advance-policy-based-routing statistics 使用してAPBRステータスを確認します。

このサンプル出力では、 フィールド Midstream disabled rule hit on cache hit Midstream disabled rule hit midstream は、定義されたアプリケーションを持つルールが一致し、無効なミッドストリームを持つルールがアプリケーション システム キャッシュ(ASC)に一致するエントリを持つ回数が、セッションの途中でルートに変更されない回数を示します。

APBRルールを介してトラフィックを転送するデフォルトメカニズム

Junos OS 20.1R1リリース以降、APBRルールで動的アプリケーションの一致条件として「任意」を設定できるようになりました。基準「任意」はワイルドカードとして機能し、任意の動的アプリケーションに適用されます。

APBRルールの他のパラメーターと一致するアプリケーショントラフィックは、動的アプリケーションタイプに関係なくポリシーに一致します。

APBRルールで動的アプリケーションのキーワードを any 使用する際は、次の点に注意してください。

  • APBRプロファイル内の動的アプリケーションのキーワードで any 設定できるAPBRルールは1つだけです。

  • キーワードを使用した DSCP および URL ベースのカテゴリーで同じ APBR ルールを any 構成することはサポートされていません。

  • として設定された any 動的アプリケーションを持つAPBRルールは、最初のパケット処理中にのみ適用されます。

  • 動的アプリケーション any と同じAPBRルールと他の動的アプリケーションまたは動的アプリケーショングループを設定することはサポートされていません。

リリース履歴テーブル
リリース
説明
21.3R1
最初のパケット インスペクションのサポートは、Junos OS リリース 21.3R1 以降のリリースから利用できます。
19.4R1
Junos OSリリース19.4R1以降、残りのセッションのグローバルAPBR機能を保持しながら、特定のAPBRルールに対するセッションの途中で、APBRサービスを選択的にオフにすることができます。
19.3R1
Junos OS リリース 19.3R1 以降、SRX シリーズ デバイスは、DSCP タグ付きトラフィックで APBR 機能を実行するための一致条件として、APBR ルール内の DSCP 値の設定をサポートしています。
19.1R1
Junos OSリリース19.1R1以降、APBRルールを使用して再ルーティングされるセッションのアプリケーションサービスをバイパスできるようになりました。
19.1R1
Junos OS リリース 19.1R1 以降では、送信元アドレス、宛先アドレス、アプリケーションとともに、一致条件の 1 つとしてユーザー ソース ID を定義することで、APBR(高度なポリシーベースルーティング)ポリシーを設定できるようになりました。
17.4
Junos OS リリース 15.1X49-D110 および Junos OS リリース 17.4R1 以降、SRX シリーズ サービス ゲートウェイは、セッションの途中で APBR を適用するための追加の機能強化により、高度なポリシーベース ルーティング(APBR)をサポートします(ミッドストリーム サポートとも呼ばれます)。
15.1X49-D60
Junos OS リリース 15.1X49-D60 以降、SRX シリーズ サービス ゲートウェイは高度なポリシーベース ルーティング(APBR)をサポートしています。
15.1X49-D123
リバース リルーティングのサポートは、Junos OS リリース 15.1X49-D130 以降のリリースから利用できます。