Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

アプリケーションベースルーティングについて

ネットワークを通過する音声、データ、映像のトラフィックとアプリケーションが絶え間なく増大しているため、ネットワークはトラフィック タイプを認識して、パフォーマンスや可用性を損なうことなく、トラフィックの優先度設定、分離、ルーティングを効果的に行う必要があります。SRXシリーズサービスゲートウェイは、アプリケーションベースルーティングとしても知られる高度なポリシーベースルーティング(APBR)をサポートしており、これらの要件に対応しています。

手記:

APBRモニタリングウィジェットはSecurity Directorではサポートされていません。

APBRはセッションベースのアプリケーション認識型ルーティングの一種です。このメカニズムは、ポリシーベースのルーティングとアプリケーション認識型のトラフィック管理ソリューションを組み合わせたものです。APBRは、アプリケーションの属性に基づいてフローを分類し、これらの属性に基づいてフィルターを適用してトラフィックをリダイレクトすることを意味します。フロー分類メカニズムは、使用中のアプリケーションを表すパケットに基づいています。

APBRは以下を実装します。

  • ディープパケットインスペクション(DPI)とパターンマッチング機能により、アプリケーショントラフィックやアプリケーション内のユーザーセッションを特定することができます。

  • アプリケーション システム キャッシュ (ASC) 内のアプリケーション タイプと、対応する宛先 IP アドレス、宛先ポート、プロトコル タイプ、および一致ルールのサービスのルックアップ

一致するルールが見つかった場合、トラフィックは適切なルートと対応するインターフェイスまたはデバイスに送信されます。

APBRには以下のメリットがあります。

  • アプリケーションの属性に基づいてルーティング動作を定義できます。

  • アプリケーションの属性に基づいたパケット転送をきめ細かく制御することで、より柔軟なトラフィック処理機能を提供することで、静的ルートの範囲を拡張します。

APBRには、以下のワークフローが含まれます。

  • 別のネクストホップに誘導するトラフィックのタイプに一致するAPBRプロファイル(このドキュメントではアプリケーションプロファイルとも呼ばれます)を作成します。プロファイルには複数のルールが含まれています。各ルールには、複数のアプリケーションまたはアプリケーショングループを含めることができます。アプリケーションがプロファイル内のルールのアプリケーションまたはアプリケーショングループのいずれかと一致する場合、アプリケーションプロファイルルールは一致と見なされます。

  • ルーティング インスタンスとアプリケーション プロファイル ルールの関連付け。イングレスゾーンとインターフェイス上のトラフィックがアプリケーションプロファイルと一致する場合、ルーティング インスタンスで定義された関連する静的ルートとネクストホップを使用して、特定のセッションのトラフィックをルーティングします。

  • アプリケーション プロファイルとイングレス トラフィックを関連付ける。アプリケーション プロファイルは、セキュリティ ゾーンにアタッチすることも、セキュリティ ゾーンに関連付けられた特定の論理インターフェイスまたは物理インターフェイスにアタッチすることもできます。アプリケーション プロファイルがセキュリティ ゾーンに適用される場合、そのインターフェイスに特定の設定がすでに存在しない限り、そのゾーンに属するすべてのインターフェイスがデフォルトでアプリケーション プロファイルに付加されます。

図1 は、APBR技術が適用されるシーケンスを示しています。

図1:APBRフロー図 APBR Flow Diagram

以下の手順では、アプリケーションベースルーティングについて説明します。

  1. APBRは着信インターフェイスに基づいてパケットを評価し、セッションがアプリケーションベースルーティングの候補であるかどうかを判断します。トラフィックにアプリケーションベースルーティングのフラグが立てられていない場合、通常の処理(非APBRルート)が行われます。

  2. セッションにアプリケーションベースのルーティングが必要な場合、APBRはアプリケーションシステムキャッシュ(ASC)モジュールにクエリーを実行して、アプリケーション属性の詳細(IPアドレス、宛先ポート、プロトコルタイプ、サービス)を取得します。

    アプリケーションが見つかった場合、APBRプロファイルの一致ルールについてさらに処理されます(ステップ3を参照)。

  3. APBRは、アプリケーションの詳細を使用して、APBRプロファイル(アプリケーションプロファイル)で一致するルールを検索します。一致するルールが見つかった場合、トラフィックはルート検索のために指定されたルーティング インスタンスにリダイレクトされます。

関連資料