このページ
パート 3:SD-WAN を使用してアプリケーションのエクスペリエンス品質を設定する
概要
このセクションでは、SRX でアプリケーション品質エクスペリエンス(AppQoE)を設定します。AppQoE は、アプリケーション レベルでのユーザー エクスペリエンスを向上させます。パフォーマンスプローブは、アプリケーショントラフィックのサービス品質パラメータとSLA(サービスレベル契約)のコンプライアンスを絶えず監視します。その結果、アプリケーション トラフィックは常に最も SLA 準拠のリンクを使用します。
表 1 に示すアプリケーションについて考えてみましょう。この例では、Office365、Salesforce、Zoomアプリケーションは、組織にとってビジネスクリティカルと見なされます。アプリケーションのSLA要件を満たす場合、すべての重要なアプリケーションはプライベートWANリンクを介してルーティングする必要があります。重要なアプリケーションは、他のすべてのリンクがダウンしている場合にもLTEリンクを使用します。
残りのアプリケーションは、プライマリ リンクとしてブロードバンド インターネット アクセス リンクを使用します。LTE バックアップ リンクを使用できるのはビジネスクリティカルなアプリケーションだけなので、LTE 接続のみが使用可能な場合、重要でないアプリケーションにはアクセスできません。
アプリケーション |
プライマリ リンク |
セカンダリ リンク |
ビジネス上の重要な課題 |
---|---|---|---|
Office365 |
プライベートWAN |
ブロードバンド インターネット |
はい |
Salesforce |
プライベートWAN |
ブロードバンド インターネット |
はい |
ズーム |
プライベートWAN |
ブロードバンド インターネット |
はい |
たるみ |
ブロードバンド インターネット |
プライベートWAN |
いいえ |
GoToMeeting |
ブロードバンド インターネット |
プライベートWAN |
いいえ |
Dropbox |
ブロードバンド インターネット |
プライベートWAN |
いいえ |
Skype |
ブロードバンド インターネット |
プライベートWAN |
いいえ |
Youtube |
ブロードバンド インターネット |
プライベートWAN |
いいえ |
AppQoE は、1 つのビジネス クリティカルなアプリケーションと 1 つの重要でないアプリケーションに対して設定し、その例を中心に保ちます。必要なプローブタイプとターゲットドメイン名またはIPアドレスを指定することで、設定を簡単に適応させて追加のアプリケーションをサポートできます。
手順を順を追って
-
Office 365 の時間パフォーマンス監視プローブを作成します。Office 365 は、 表 1 に従って重要なアプリケーションです。プローブを設定して、Office365、特に 40.97.223.114 で使用される IP アドレスへの接続をテストします。このプローブは、プライベートWANリンク上で6秒離れた5 pingベースのプローブを送信するように設定されています。また、5 回連続するプローブの損失、または 3,0000 マイクロ秒を超える RTT(プローブラウンドトリップトランジット時間)など、違反しないしきい値も設定します。インターフェイス ge-0/0/3 上のゲートウェイの IP アドレスは、192.168.220.1 です。
set services rpm probe office365_rpm_primary test office365_test_primary probe-type icmp-ping set services rpm probe office365_rpm_primary test office365_test_primary target address 40.97.223.114 set services rpm probe office365_rpm_primary test office365_test_primary probe-count 5 set services rpm probe office365_rpm_primary test office365_test_primary probe-interval 6 set services rpm probe office365_rpm_primary test office365_test_primary thresholds successive-loss 5 set services rpm probe office365_rpm_primary test office365_test_primary thresholds rtt 300000 set services rpm probe office365_rpm_primary test office365_test_primary destination-interface ge-0/0/3.0 set services rpm probe office365_rpm_primary test office365_test_primary next-hop 192.168.220.1
ヒント:プローブ ターゲットを IP アドレスとして入力するか、ドメイン名を使用して入力できます。名前が指定されている場合、Junos ソフトウェアは自動的に設定内の対応する IP アドレスに解決します。この例では、ICMP ベースのプローブを示しています。HTTP get など、その他のプローブ タイプが存在します。すべてのサイトが ICMP エコー要求(Ping)メッセージに応答するわけではありません。必ず、アプリケーション・プロバイダーがサポートするプローブ・タイプを使用してください。
-
同じアプリケーションの 2 番目のプローブを作成し、セカンダリ インターフェイスを使用してセカンダリ リンクをプローブします。ブロードバンド インターネット リンク上のデフォルト ゲートウェイの IP アドレスは 172.16.1.1 です。
set services rpm probe office365_rpm_secondary test office365_test_secondary probe-type icmp-ping set services rpm probe office365_rpm_secondary test office365_test_secondary target address 40.97.223.114 set services rpm probe office365_rpm_secondary test office365_test_secondary probe-count 5 set services rpm probe office365_rpm_secondary test office365_test_secondary probe-interval 6 set services rpm probe office365_rpm_secondary test office365_test_secondary thresholds successive-loss 5 set services rpm probe office365_rpm_secondary test office365_test_secondary thresholds rtt 300000 set services rpm probe office365_rpm_secondary test office365_test_secondary destination-interface ge-0/0/2.0 set services rpm probe office365_rpm_secondary test office365_test_secondary next-hop 172.16.1.1
-
同様の方法で、Skype アプリケーションの 2 つのプローブを作成します。Skype は、 表 1 のようにビジネスクリティカルなアプリケーションではありません。このリアルタイム(まだ重要ではない)アプリケーションには、より厳しいサービスレベル保証が必要です。具体的には、プローブ間隔を 1 秒に短縮し、RTT しきい値を 6,0000 マイクロ秒短く設定します。
メモ:アプリケーションがビジネスクリティカルかどうかに基づいて、インターフェイス上にプライマリプローブとセカンダリプローブを設定します。重要ではないアプリケーション (Skype) のプライマリ プローブのインターフェイスと IP アドレスは、重要なアプリケーション (Office365) のプローブとは異なります。
set services rpm probe skype_rpm_primary test skype_test_primary probe-type icmp-ping set services rpm probe skype_rpm_primary test skype_test_primary target address 13.107.8.2 set services rpm probe skype_rpm_primary test skype_test_primary probe-count 5 set services rpm probe skype_rpm_primary test skype_test_primary probe-interval 1 set services rpm probe skype_rpm_primary test skype_test_primary thresholds successive-loss 5 set services rpm probe skype_rpm_primary test skype_test_primary thresholds rtt 60000 set services rpm probe skype_rpm_primary test skype_test_primary destination-interface ge-0/0/2.0 set services rpm probe skype_rpm_primary test skype_test_primary next-hop 172.16.1.1 set services rpm probe skype_rpm_secondary test skype_test_secondary probe-type icmp-ping set services rpm probe skype_rpm_secondary test skype_test_secondary target address 13.107.8.2 set services rpm probe skype_rpm_secondary test skype_test_secondary probe-count 5 set services rpm probe skype_rpm_secondary test skype_test_secondary probe-interval 1 set services rpm probe skype_rpm_secondary test skype_test_secondary thresholds successive-loss 5 set services rpm probe skype_rpm_secondary test skype_test_secondary thresholds rtt 60000 set services rpm probe skype_rpm_secondary test skype_test_secondary destination-interface ge-0/0/3.0 set services rpm probe skype_rpm_secondary test skype_test_secondary next-hop 192.168.220.1
-
各アプリケーションのルーティング インスタンスを作成します。プライマリ リンクに対するアプリケーションのルートは、バックアップ リンクよりも優先度の低い値で設定します。優先度の低いルートは、より高い値のルートよりも優先されます。LTE バックアップ インターフェイスは、ビジネスクリティカルなアプリケーションに対してのみ含めます。
Office365 のルーティング インスタンスは、プライベート WAN ゲートウェイ(最も優先ルート)のルート優先度値 10 を設定します。ブロードバンド インターネット リンクの優先度値 20(次の優先ルート)。LTE バックアップ リンクの優先値は 30 です(最も優先ルート)。
set routing-instances office365_RInstance instance-type forwarding set routing-instances office365_RInstance routing-options static route 0/0 qualified-next-hop 192.168.220.1 preference 10 set routing-instances office365_RInstance routing-options static route 0/0 qualified-next-hop 172.16.1.1 preference 20 set routing-instances office365_RInstance routing-options static route 0/0 qualified-next-hop dl0.0 preference 30
-
Slackアプリケーションのルーティングインスタンスを同様のパターンで設定します。この重要ではないアプリケーションには、ルーティング インスタンスに LTE インターフェイスは含まれません。LTE インターフェイスを省略すると、重要ではないアプリケーションが LTE バックアップ リンクを使用できなくなります。また、静的ルート設定により、このアプリケーションがブロードバンド インターネットをプライマリ リンクとして使用する方法にも注意してください。
set routing-instances slack_RInstance instance-type forwarding set routing-instances slack_RInstance routing-options static route 0/0 qualified-next-hop 172.16.1.1 preference 10 set routing-instances slack_RInstance routing-options static route 0/0 qualified-next-hop 192.168.220.1 preference 20
-
アプリケーションの IP 監視ポリシーを設定します。ポリシーの目標は、ルーティング インスタンス内のデフォルト ルートのメトリックを動的に変更することです。ポリシーはプローブごとに動作します。
このステップでは、Office365 アプリケーションの IP 監視ポリシーを作成します。Office365 では、2 つのプローブを構成し、2 つのポリシー(プローブごとに 1 つ)を作成します。アプリケーション トラフィックがリンク上の設定されたしきい値に違反したことをプローブが検出すると、ポリシーによってルートの優先度が変更されます。ポリシーにより、2 番目の最適なリンクのメトリックが 2 に減少します。この変更により、ルーティング インスタンスのトラフィックがバックアップ リンクに誘導されます。
たとえば、プライベート WAN リンクである Office365 のプライマリ リンクが RTT と損失の要件を満たしていないとプローブが特定すると、ブロードバンド インターネット リンク(次の優先ルート)のゲートウェイのメトリックが 2 に変更されます。
set services ip-monitoring policy office365_ipm_primary match rpm-probe office365_rpm_primary set services ip-monitoring policy office365_ipm_primary then preferred-route routing-instances office365_RInstance route 0/0 next-hop 172.16.1.1 set services ip-monitoring policy office365_ipm_primary then preferred-route routing-instances office365_RInstance route 0/0 preferred-metric 2
-
Office365 のセカンダリ プローブの IP 監視ポリシーを構成します。
メモ:ネクスト ホップ アドレスは、プライマリ プライベート WAN リンクの IP アドレスです。
set services ip-monitoring policy office365_ipm_secondary match rpm-probe office365_rpm_secondary set services ip-monitoring policy office365_ipm_secondary then preferred-route routing-instances office365_RInstance route 0/0 next-hop 192.168.220.1 set services ip-monitoring policy office365_ipm_secondary then preferred-route routing-instances office365_RInstance route 0/0 preferred-metric 2
-
Slack アプリケーションの IP 監視ポリシーを設定します。
set services ip-monitoring policy slack_ipm_primary match rpm-probe slack_rpm_primary set services ip-monitoring policy slack_ipm_primary then preferred-route routing-instances slack_RInstance route 0/0 next-hop 192.168.220.1 set services ip-monitoring policy slack_ipm_primary then preferred-route routing-instances slack_RInstance route 0/0 preferred-metric 2 set services ip-monitoring policy slack_ipm_secondary match rpm-probe slack_rpm_secondary set services ip-monitoring policy slack_ipm_secondary then preferred-route routing-instances slack_RInstance route 0/0 next-hop 172.16.1.1 set services ip-monitoring policy slack_ipm_secondary then preferred-route routing-instances slack_RInstance route 0/0 preferred-metric 2
-
APBR(高度なポリシーベースルーティング)プロファイルを設定します。APBRプロファイルは、この例で使用されている両方のアプリケーションと一致します。このプロファイルは、一致するトラフィックをそれぞれのルーティング インスタンスにリダイレクトします。プロファイルはルールを使用し、各ルールは 1 つのアプリケーションと 1 つのルーティング インスタンスを対象とします。この例では、「junos:OFFICE365-CREATE-CONVERSATION」という名前のアプリケーションのすべてのトラフィックを照合するようにoffice365_ruleという名前のルールを設定し、トラフィックをoffice365_RInstanceという名前のルーティング インスタンスにリダイレクトします。Slack アプリケーションは、同じように受け渡されます。
メモ:APBRにはappid-sigライセンスが必要です。ライセンスがなければ、コミット エラーが発生します。詳細については、要件セクションを参照してください。
set security advance-policy-based-routing tunables max-route-change 0 set security advance-policy-based-routing profile apbr_profile rule office365_rule match dynamic-application junos:OFFICE365-CREATE-CONVERSATION set security advance-policy-based-routing profile apbr_profile rule office365_rule then routing-instance office365_RInstance set security advance-policy-based-routing profile apbr_profile rule slack_rule match dynamic-application junos:SLACK set security advance-policy-based-routing profile apbr_profile rule slack_rule then routing-instance slack_RInstance
メモ:アプリケーションの継続性を維持し、ユーザーに影響を与えないように、確立されたセッションのセッション途中のパス変更を禁止したいと考えています。確立されたセッションに
max-route-change
対する変更を防止するには、パラメーターを 0 に設定します。ヒント:Junos ソフトウェアは、動的に認識されるアプリケーションの広範なリストをサポートします。アプリケーション識別は、ネットワーク上のアプリケーションを可視化し、アプリケーションの仕組み、動作特性、相対的なリスクを示します。App ID は、多数のメカニズムを使用してネットワーク上のアプリケーションを検出します。アプリケーションIDは、ポート、プロトコル、暗号化(TLS/SSLまたはSSH)、またはその他の回避戦術に関係なく機能します。詳細については、「 アプリケーション識別」を参照してください。
-
ルーティング テーブルのプロトコル非依存グループを設定します。この設定では、インターフェイス ルートがさまざまなアプリケーション ルーティング インスタンスにコピーされます。これらのルートのコピーは、特定のインスタンスがプライベートWANまたはブロードバンドインターネットリンクを使用できるようにするものです。これらのインターフェイスの両方をメイン ルーティング インスタンスで定義したことを思い出してください。
set routing-options interface-routes rib-group inet apbr_rib_group set routing-options rib-groups apbr_rib_group import-rib inet.0 set routing-options rib-groups apbr_rib_group import-rib office365_RInstance.inet.0 set routing-options rib-groups apbr_rib_group import-rib slack_RInstance.inet.0
-
新しく作成したプロファイル apbr_profileをセキュリティ ゾーンの信頼に追加します。この設定は、プロファイルをゾーン内のトラフィックに適用します。
set security zones security-zone trust advance-policy-based-routing-profile apbr_profile
-
設定をコミットし、動作モードに戻ります。
commit and quit
アプリケーションのエクスペリエンス品質の検証
目的
この例の目的に従ってAPBRが機能していることを確認します。
アクション
有線クライアントまたは無線クライアントから、ビジネスクリティカルなトラフィックと重要でないトラフィックの混在を生成します。次に、このセクションのコマンドを発行して、ABPR が正しく機能していることを確認します。
まず、RPM プローブがプライマリ リンクとセカンダリ リンクの両方で正常に実行されていることを確認します。スペースを節約するために、重要なアプリケーションのプローブのみを表示します。現時点では、すべてのプローブが正常に実行されます。(および 2 次) コマンドを使用して RPM プローブの show services rpm probe-results owner office365_rpm_primary
結果を表示します。
root@Mist-SRX-GW# show services rpm probe-results owner office365_rpm_primary Owner: office365_rpm_primary, Test: office365_test_primary Target address: 40.97.223.114, Probe type: icmp-ping, Icmp-id: 79 Destination interface name: ge-0/0/3.0 Test size: 5 probes Probe results: Response received Probe sent time: Mon Jun 7 15:58:28 2021 Probe rcvd/timeout time: Mon Jun 7 15:58:28 2021, No hardware timestamps Rtt: 3321 usec, Round trip jitter: -185 usec Round trip interarrival jitter: 1026 usec . . . root@Mist-SRX-GW# show services rpm probe-results owner office365_rpm_secondary Owner: office365_rpm_secondary, Test: office365_test_secondary Target address: 40.97.223.114, Probe type: icmp-ping, Icmp-id: 79 Destination interface name: ge-0/0/2.0 Test size: 5 probes Probe results: Response received Probe sent time: Mon Jun 7 15:58:37 2021 Probe rcvd/timeout time: Mon Jun 7 15:58:37 2021, No hardware timestamps Rtt: 3402 usec, Round trip jitter: 73 usec Round trip interarrival jitter: 424 usec . . .
この出力は、重要なビジネス アプリケーション プローブが現在、プライマリ リンクとセカンダリ リンクの両方で成功していることを確認します。プライマリ インターフェイスとセカンダリ インターフェイスが逆の場合、重要ではないアプリケーション プローブでも同様の結果が得られます。
次に、プライマリ インターフェイスとセカンダリ インターフェイスの両方が動作している場合に転送状態を検証するルーティング インスタンスを表示します。 show route table <instance-name>
重要なアプリケーションと重要でないアプリケーションの両方に対してコマンドを発行します。
root@Mist-SRX-GW# show route table office365_RInstance office365_RInstance.inet.0: 13 destinations, 15 routes (13 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 *[Static/10] 03:34:36 > to 192.168.220.1 via ge-0/0/3.0 [Static/20] 03:11:34 > to 172.16.1.1 via ge-0/0/2.0 [Static/30] 03:34:36 > via dl0.0 10.10.20.0/24 *[Direct/0] 03:34:36 > via ge-0/0/4.20 10.10.20.1/32 *[Local/0] 03:34:36 Local via ge-0/0/4.20 10.10.30.0/24 *[Direct/0] 03:34:36 > via ge-0/0/4.30 . . . root@Mist-SRX-GW# show route table office365_RInstance slack_RInstance.inet.0: 13 destinations, 14 routes (13 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 *[Static/10] 03:23:32 > to 172.16.1.1 via ge-0/0/2.0 [Static/20] 03:46:34 > to 192.168.220.1 via ge-0/0/3.0 10.10.20.0/24 *[Direct/0] 03:46:34 > via ge-0/0/4.20 10.10.20.1/32 *[Local/0] 03:46:34 Local via ge-0/0/4.20 10.10.30.0/24 *[Direct/0] 03:46:34 > via ge-0/0/4.30 10.10.30.1/32 *[Local/0] 03:46:34 . . .
出力により、Office 365 に分類されたトラフィックがプライベート WAN リンクを使用していることが確認されます。ビジネスクリティカルなアプリケーションとして、ルーティング インスタンスにはセカンダリ ネクスト ホップとターシャリ ネクスト ホップの両方があります。最初の 2 つのネクスト ホップが使用不能になると、重要なトラフィックが LTE モデムに渡ります。対照的に、重要でないアプリケーションは、ブロードバンド インターネット リンクを使用してトラフィックを転送しています。そのネクスト ホップが使用不能になった場合、インスタンスはトラフィックをプライベート WAN に誘導します。LTE モデムは、このルーティング インスタンスには表示 されません 。この省略は、重要ではないアプリケーションが LTE リンクを使用するのを防ぎます。
SLA 監視プローブがインターネットを通ってアプリケーション プロバイダに流れるのを思い出してください。プローブのエンドツーエンドの性質により、SRXはアプリケーションのエンドツーエンドのパフォーマンスを測定できます。「アプリケーションレベルエクスペリエンス」の測定は、インターフェイスステータスまたはBFD(双方向転送検出)に基づいて、それぞれリンク障害またはネクストホップ障害を検出するだけの場合とは対照的です。
オプション: RPM プローブを中断して、重要なトラフィックがブロードバンド インターネット リンクを使用することを確認します。SRX デバイスのプライベート WAN インターフェイスで出力方向にファイアウォール フィルタを適用することで、SLA プローブの障害をシミュレーションできます。
set interfaces ge-0/0/3 unit 0 family inet filter output block_ping set firewall filter block_ping term 1 from destination-address 40.97.223.114/32 set firewall filter block_ping term 1 from protocol icmp set firewall filter block_ping term 1 then count ping set firewall filter block_ping term 1 then discard set firewall filter block_ping term 2 then accept
プライベート WAN リンクにフィルターを設定すると、ブロードバンド インターネット リンクを介して転送される重要なアプリケーションが見つかるでしょう。
root@Mist-SRX-GW# show services rpm probe-results owner office365_rpm_primary Owner: office365_rpm_primary, Test: office365_test_primary Target address: 40.97.223.114, Probe type: icmp-ping, Icmp-id: 93 Destination interface name: ge-0/0/3.0 Test size: 5 probes Probe results: Internal error Probe sent time: Mon Jun 7 16:49:14 2021 Probe rcvd/timeout time: Mon Jun 7 16:49:14 2021 Results over current test: Probes sent: 4, Probes received: 0, Loss percentage: 100.000000 . . . root@Mist-SRX-GW# show route table office365_RInstance office365_RInstance.inet.0: 13 destinations, 16 routes (13 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 *[Static/2] 00:04:30, metric2 0 > to 172.16.1.1 via ge-0/0/2.0 [Static/10] 04:08:08 > to 192.168.220.1 via ge-0/0/3.0 [Static/20] 03:45:06 > to 172.16.1.1 via ge-0/0/2.0 [Static/30] 04:08:08 > via dl0.0 10.10.20.0/24 *[Direct/0] 04:08:08 > via ge-0/0/4.20 . . .
プライマリ プローブが失敗すると、SLA 監視ポリシーによって、重要なアプリケーション ルーティング インスタンスにおける静的ルートの優先度が調整されました。その結果、ブロードバンド インターネット リンク上の重要なトラフィック フローが発生します。この動作により、IP SLA パフォーマンス監視が適切に動作していることを確認します。
SRX でファイアウォール フィルターの変更をロールバックすることを忘れないでください。ロールバックすると、重要なアプリケーションルーティングインスタンスがプライベートWANリンクを介して再び転送されます。
コマンドを使用してAPBRトラフィック統計情報を show security advance-policy-based-routing statistics
監視できます。
user@host>show security advance-policy-based-routing statistics
Advance Profile Based Routing statistics:
Sessions Processed 1930640
App rule hit on cache hit 4540
App rule hit on HTTP Proxy/ALG 0
Midstream disabled rule hit on cache hit 0
URL cat rule hit on cache hit 0
DSCP rule hit on first packet 92693
App and DSCP hit on first packet 0
App rule hit midstream 0
Midstream disabled rule hit midstream 0
URL cat rule hit midstream 0
App and DSCP rule hit midstream 0
DSCP rule hit midstream 0
Route changed on cache hits 97233
Route changed on HTTP Proxy/ALG 0
Route changed midstream 0
Zone mismatch 0
Drop on zone mismatch 0
Next hop not found 0
Application services bypass 0
出力には、APBR の統計詳細が表示されます。詳細には、APR ルールによって処理されたセッションの数と、アプリケーション トラフィックが APBR プロファイルと一致する回数(ルール ヒット)が含まれます。
意味
このセクションに示すコマンドと出力は、APBRがSRXサービスゲートウェイで正しく機能していることを確認します。Juniper Mistクラウドで管理されている新しい支社は、ビジネスの準備が整いました。