고급 정책 기반 라우팅

고급 정책 기반 라우팅

네트워크를 통해 전송되는 음성, 데이터, 비디오 트래픽 및 애플리케이션이 끝없이 증가하기 위해서는 네트워크가 성능이나 가용성의 영향을 없이 효과적으로 트래픽의 우선순위를 지정하고 트래픽을 세분화하고 라우팅할 수 있도록 트래픽 유형을 인식해야 합니다.

릴리스 Junos OS 릴리스 15.1X49-D60 SRX 시리즈 서비스 게이트웨이는 이러한 과제를 해결하기 위해 고급 정책 기반 라우팅(APBR)을 제공합니다.

고급 정책 기반 라우팅은 세션 기반의 애플리케이션 인식 라우팅의 일종입니다. 이 메커니즘은 정책 기반 라우팅 및 애플리케이션 인식 트래픽 관리 솔루션을 결합합니다. APBR은 애플리케이션의 속성을 기반으로 플로우를 분류하고 이러한 속성을 기반으로 필터를 적용하여 트래픽을 리디렉션합니다. 플로우 분류 메커니즘은 사용 중 애플리케이션을 대표하는 패킷을 기반으로 합니다.

APBR 구현:

• 애플리케이션 내의 애플리케이션 트래픽 또는 사용자 세션을 식별하기 위한 AppID의 심층 패킷 검사 및 패턴 일치 기능

• 애플리케이션 유형 및 해당 대상 IP 주소, 대상 포트, 프로토콜 유형 및 매칭 규칙을 위한 ASC의 룩업

일치 규칙이 발견될 경우 트래픽은 적절한 경로와 해당 인터페이스 또는 장비로 연결됩니다.

APBR의 이점

• 애플리케이션을 기반으로 라우팅 동작을 정의할 수 있습니다.

• 보다 유연한 트래픽 처리 기능을 제공하며 애플리케이션 속성을 기반으로 패킷 포우링에 대한 세분적인 제어를 제공합니다.

APBR의 작동 방식 이해

APBR의 작동에 대해 논의하기 전에 APBR 구성 요소에 대해 이해할 수 있습니다.

• APBR 프로필을 생성합니다(이 문서에서 애플리케이션 프로파일이라고도 합니다). 프로필에는 여러 APBR 규칙이 포함되어 있습니다. 각 규칙에는 일치 조건으로 여러 애플리케이션 또는 애플리케이션 그룹이 포함됩니다. 트래픽이 규칙의 애플리케이션 또는 애플리케이션 그룹과 일치하면 규칙이 일치되는 것으로 간주하고 프로파일이 애플리케이션 트래픽을 관련 라우팅 인스턴스로 지시합니다.

• APBR 프로필은 라우팅 인스턴스를 APBR 규칙과 연관합니다. 트래픽이 애플리케이션 프로파일과 일치하면 라우팅 인스턴스에 정의된 관련 정적 경로 및 다음 홉을 사용하여 특정 세션의 트래픽을 라우팅합니다.

• 애플리케이션 프로파일을 ingress 트래픽에 연결합니다. APBR 프로필을 APBR 정책에 연결하고 세션에 애플리케이션 서비스로 적용할 수 있습니다.

APBR 워크플로우에 대한 이해를 이어가서 APBR 미드스트림 지원에 대해 논의한 다음, APBR의 첫 번째 패킷 분류에 대해 논의할 수 있습니다.

APBR 워크플로우

그림 1은 릴리스 21.3R1에 대한 Junos OS APBR 동작을 요약하고 있습니다.

그림 1: APBR 동작

보안 장비는 DPI를 사용하여 애플리케이션의 특성을 식별하고 APBR을 사용하여 네트워크를 통해 트래픽을 라우팅합니다. 서비스 체인에서 애플리케이션 트래픽은 디바이스가 ABPR을 적용하기 전에 DPI를 하게 됩니다. DPI를 사용하여 애플리케이션을 식별하는 프로세스에는 여러 패킷에 대한 분석이 필요합니다. 이 경우 초기 트래픽은 기본 경로(비 APBR 경로)를 통과하여 대상에 도달합니다. 프로세스는 여전히 DPI가 애플리케이션을 식별합니다. DPI가 애플리케이션을 식별하면 APBR은 나머지 세션에 대한 규칙을 적용합니다. 트래픽은 APBR 프로파일 규칙에 따라 경로를 통과합니다.

Source 네트워크 주소 변환(NAT) 서로 다른 네트워크 주소 변환(NAT) 풀을 사용하고 미드스트림 APBR을 적용하는 경우, 세션의 소스 IP 주소는 미드스트림 APBR 이전의 세션에서 사용하는 주소와 동일하게 유지됩니다.

• APBR 미드스트림 지원
• 첫 번째 패킷 분류를 적용한 APBR
• 최초 패킷 분류의 이점
• 제한

릴리스 21.Junos OS 릴리스 21.3R1에서 시작되는 APBR은 최초 패킷 분류를 사용하여 네트워크 트래픽에서 애플리케이션을 식별합니다. APBR은 트래픽 플로우에서 첫 번째 패킷을 검사하여 애플리케이션을 식별한 다음 애플리케이션별 규칙을 적용하여 트래픽을 전달합니다.

그림 2는 APBR이 최초 패킷 분류를 사용하여 애플리케이션 세부 정보를 얻을 수 있는 방법을 보여줍니다.

그림 2: First-Packet Classification를 적용한 APBR

First-packet 분류는 정적 IP 매핑과 같은 세부 사항과 애플리케이션의 포트 세부 사항을 포함하는 리포지토리에서 활용됩니다. 리파지토리는 JDPI(Application Signature Package)의 일부입니다.

캐시 가능한 애플리케이션의 첫 번째 세션의 경우 APBR은 ASC를 쿼리하여 플로우에 대한 애플리케이션 세부 정보를 얻습니다. 애플리케이션 엔트리를 ASC에서 사용할 수 없는 경우 APBR에서 애플리케이션 세부 사항을 위해 JDPI를 쿼리합니다. APBR은 IP 주소와 쿼리를 위한 플로우의 포트 세부 정보를 사용합니다. 애플리케이션 매핑이 가능한 경우 JDPI는 해당 세부 정보를 APBR로 반환합니다. 애플리케이션 세부 정보를 확인한 후 APBR은 애플리케이션의 구성된 프로파일을 검색하고 할당된 라우팅 인스턴스를 통해 패킷을 라우팅합니다.

동시에, JDPI는 계속해서 패킷을 처리하고 ASC(활성화된 경우)를 업데이트합니다. 후속 플로우의 경우, APBR은 플로우에 대한 ASC에 제시된 애플리케이션 엔트리를 기반으로 트래픽 라우팅을 실행합니다.

첫 번째 패킷 분류를 사용하면 APBR 구성에서 네트워크 주소 변환(NAT) 애플리케이션에 대해 서로 다른 네트워크 주소 변환(NAT) 풀을 사용할 수 있습니다.

고급 정책 기반 라우팅 옵션

APBR은 다음과 같은 옵션을 사용하여 트래픽 처리를 간소화할 수 있습니다.

• Limit route change- 애플리케이션 서명이 애플리케이션을 식별할 때 일부 세션은 세션 중간에서 지속적인 분류를 통과합니다. 애플리케이션 서명에 의해 애플리케이션이 식별될 때마다 APBR이 적용되고 그 결과 트래픽 경로가 변경됩니다. 명령문 옵션을 사용하여 세션에 대해 루트가 변경할 수 있는 횟수를 제한할 max-route-change 수 tunables 있습니다.

  set security advance-policy-based-routing tunables max-route-change value

  예제:

  이 예에서는 세션당 라우트 변경 수를 5개로 제한합니다. 세션 중간에 경로가 변경된 경우, 이 카운트는 4로 줄어듭시다. 이 프로세스는 카운트가 0에 도달할 때까지 계속됩니다. 그 이후에는 APBR이 세션 중간에 적용되지 않습니다.

  식별된 애플리케이션이 ASC에 입력된 경우, 세션이 APBR 구성에 따라 지정된 경로로 시작되어 해당 세션에 대해 그 수가 줄지 않습니다.

• Terminate session if APBR is bypassed–APBR이 세션 중간에 적용될 때 존 간에 불일치가 있는 경우 세션을 종료할 수 있습니다. 세션 중간에 APBR을 적용하려는 경우 새로운 Egress 인터페이스와 기존 Egress 인터페이스가 모두 동일한 존에 구성되어야 합니다. 세션 중간의 인터페이스에 대한 존을 변경하면 기본적으로 APBR이 적용되지 않을 수 있으며 트래픽은 계속해서 기존 인터페이스를 통해 통과합니다. 이러한 기본 동작을 변경하기 위해 명령문 옵션을 사용하여 트래픽이 APBR을 우회하는 동일한 루트를 통과할 수 있도록 허용하는 대신 세션을 완전히 종료할 수 drop-on-zone-mismatch tunables 있습니다.

  예제:

• Enable logging—로깅을 통해 인터페이스 존의 변경으로 APBR이 우회되는 경우 등 장비에서 발생하는 이벤트를 기록할 수 있습니다. 명령문 enable-logging 옵션을 사용하여 tunables 로깅을 구성할 수 있습니다.

  예제:

• Enable reverse reroute—ECMP 라우트에 대한 트래픽 대칭이 필요하고 세션 중간에 수신 트래픽이 전환해야 하는 구축의 경우, 다음과 같은 보안 존의 특정 활성화-리버스 리라우트(enable-reverse-reroute)를 사용하여 재라우밍을 달성할 수 있습니다.

  예제:

  [edit]

  set security zones security-zone zone-name enable-reverse-reroute

  보안 존을 위해 위 구성이 활성화되면 수신 패킷이 인터페이스에 도착하고 다른 발신/반환 인터페이스가 있는 경우 인터페이스의 변경이 탐지되어 리라우트(reroute)가 트리거됩니다. 경로 룩업이 리버스 경로에 대해 수행되어 패킷이 도착한 인터페이스에 기본 설정이 제공됩니다.

  경로 룩업이 역방향 경로의 트래픽에 대해 실패할 경우 특정 세션에 대한 추가 프로세싱이 중단됩니다.

  리버스 리버스 리라우트(reverse rerouting)는 Junos OS 릴리스 이후 15.1X49-D130 지원됩니다.

• Support for Layer 3 and Layer 4 Applications—릴리스 Junos OS 릴리스부터 20.2R1 레이어 3 및 레이어 4 맞춤형 애플리케이션을 지원합니다. APBR에서 Layer 3 및 Layer 4 사용자 지정 애플리케이션 룩업을 다음과 같은 구성 명령문을 사용하여 수동으로 비활성화할 수 있습니다.
• Application Tracking—

  AppTrack은 트래픽을 검사하고 지정된 존의 애플리케이션 플로우에 대한 통계를 수집하도록 지원할 수 있습니다. 자세한 내용은 애플리케이션 추적 이해를 참조하세요.

사용 사례

• 여러 ISP 링크가 사용되는 경우:

  • APBR은 두 개 이상의 링크를 사용할 수 있는 경우 중요한 애플리케이션을 위해 높은 대역폭과 저지연 링크를 선택하는 데 사용할 수 있습니다.

  • APBR은 링크 장애 시 중요한 트래픽에 대한 폴백 링크를 생성하는 데 사용할 수 있습니다. 여러 링크를 이용할 수 있으며 중요한 애플리케이션 트래픽을 전달하는 기본 링크가 정전으로 이어지는 경우, 폴백 링크로 구성된 다른 링크는 트래픽을 전달하는 데 사용할 수 있습니다.

  • APBR은 심층 검사 또는 분석을 위해 트래픽을분리하는 데 사용할 수 있습니다. 이 기능을 사용하면 심층 검사 및 감사를 통과하는 데 필요한 애플리케이션을 기반으로 트래픽을 분류할 수 있습니다. 필요한 경우 이러한 트래픽을 다른 디바이스로 라우팅할 수 있습니다.

제한

APBR은 다음과 같은 제한을 가지고 있습니다.

• 트래픽에 대한 경로 재지정은 ASC(Application System Cache)에 있는 엔트리의 존재 여부에 따라 달라지기 합니다. ASC 룩업에 성공한 경우만 라우팅이 성공할 수 있습니다. 첫 번째 세션의 경우, 트래픽에 대해 ASC가 없는 경우 트래픽은 기본 경로(비 APBR 경로)를 통해 목적지로 전달됩니다(이 제한은 네트워크 이전 릴리스에만 Junos OS 15.1X49-D110).

• 애플리케이션 서명 패키지를 설치하지 못하거나 애플리케이션 식별을 활성화하지 않은 경우 APBR이 작동하지 않습니다.

미드스트림 지원을 지원하는 APBR에는 다음과 같은 제한이 있습니다.

• APBR은 포우 트래픽에만 작동합니다.

• APBR은 활성 FTP와 같은 제어 세션에서 엔티티가 시작한 데이터 세션에서 작동하지 않습니다.

• 네트워크 주소 변환(NAT) 소스 네트워크 주소 변환(NAT) 및 미드스트림 APBR에 서로 다른 네트워크 주소 변환(NAT) 풀을 사용하는 경우, 세션의 소스 IP 주소는 미드스트림 APBR을 적용하기 전에 세션이 사용한 주소와 계속 동일합니다.

• 미드스트림 지원이 있는 APBR은 모든 Egress 인터페이스가 동일한 존에 있는 경우만 작동합니다. 이 때문에 포워더 및 VRF(Virtual Routing and Forwarding) 라우팅 인스턴스만 APBR 미드스트림 지원을 이용할 수 있습니다.

APBR 정책의 작동 방식

APBR 정책은 보안 존에 대해 정의됩니다. 존과 연관된 하나 이상의 APBR 정책이 있는 경우 보안 존에서 시작된 세션은 정책 일치를 통과합니다.

다음 시퀀스는 APBR 정책에 따라 트래픽을 매칭하고 정의된 매개 변수/규칙에 따라 트래픽을 포우링하기 위한 고급 정책 기반 라우팅 적용과 관련됩니다.

• 트래픽이 ingress 존에 도착하면 APBR 정책 규칙에 따라 일치합니다. 정책 일치 조건에는 소스 주소, 대상 주소 및 애플리케이션이 포함됩니다.

• 트래픽이 보안 정책 규칙과 일치하면 APBR 정책의 조치가 트래픽에 적용됩니다. APBR 프로필 이름을 지정하여 APBR 정책 작업에서 APBR을 애플리케이션 서비스로 사용할 수 있습니다.

• APBR 프로필 구성은 일치 조건에 따라 동적 애플리케이션 및 다이내믹 애플리케이션 그룹을 포함하는 규칙 세트를 인큐스드합니다. 이러한 규칙의 작업 부분에는 트래픽이 전달해야 하는 라우팅 인스턴스가 포함되어 있습니다. 라우팅 인스턴스는 정적 라우팅 또는 동적 학습 경로의 구성을 포함할 수 있습니다.

• 정적 경로로 전달되는 모든 트래픽은 특정 장치 또는 인터페이스로 전송될 수 있도록 다음 홉 주소로 전송됩니다.

APBR 정책 규칙은 터미널입니다. 즉, 트래픽이 정책에 따라 일치하면 다른 정책으로 더 이상 처리되지 않습니다.

APBR 정책에 일치하는 트래픽과 APBR 프로파일이 규칙과 일치하는 트래픽이 없는 경우, APBR 정책과 일치하는 트래픽은 기본 라우팅 인스턴스 [inet0]를 통해 대상에 전달됩니다.

레거시 APBR 프로필 지원

Junos OS Release 18.2R1 보안 존 수준에 APBR 프로파일이 적용되었습니다. APBR 정책을 지원하기만 하면 향후 보안 존 수준에서 APBR 구성이 즉시 제거되는 것이 아니라 새로운 구성을 준수할 수 있는 역호화(backward compatibility)와 의 컴플라이언스(configuration)를 제공할 수 있는 기회를 제공합니다.

그러나 존 기반 APBR을 구성하고 특정 보안 존에 대한 APBR 정책을 추가하려고 시도하는 경우 커밋이 실패할 수 있습니다. 해당 존에 대한 APBR 정책을 구성하려면 존 기반 구성을 삭제해야 합니다. 마찬가지로, APBR 정책이 보안 존에 대해 구성되면 존 기반 APBR을 구성하려고 시도하면 커밋 오류가 발생합니다.

제한

• APBR 정책 규칙에서 특정 주소 또는 주소를 사용하는 경우 글로벌 주소 책을 사용하는 것이 좋습니다. 그 이유는 정책 평가 시 대상 존을 알 수 있기 때문에 존별 규칙은 대상 주소에 적용될 수 없습니다.

• 보안 존에 대한 APBR 정책 구성 junos-host 존은 지원되지 않습니다.

APBR 프로파일의 규칙 처리

애플리케이션 속성을 기반으로 트래픽을 분류하고 이러한 속성을 기반으로 정책을 적용하여 트래픽을 리디렉션하여 고급 정책 기반 라우팅을 제공할 수 있습니다. 이를 위해 APBR 프로필을 정의하고 이를 APBR 정책에 연결해야 합니다. APBR 프로필을 생성하여 동적 애플리케이션, 애플리케이션 그룹 또는 둘 모두를 사용하는 여러 규칙을 포함하거나 URL 범주를 일치 조건으로 포함할 수 있습니다. APBR 프로파일에 구성된 규칙은 다음 중 하나를 포함할 수 있습니다.

• 1개 이상의 애플리케이션, 동적 애플리케이션 또는 애플리케이션 그룹

• URL 범주(IP 대상 주소)—EWF 또는 로컬 웹 필터링.

APBR 프로파일에서 두 일치 조건 모두에 대해 규칙 룩업이 수행됩니다. 단 하나의 일치 기준만 사용 가능한 경우, 규칙 룩업은 사용 가능한 일치 기준에 따라 수행됩니다.

APBR 프로필에는 트래픽과 애플리케이션 또는 URL 범주를 일치하기 위한 규칙과 일치되는 트래픽을 루트 룩업을 위해 지정된 라우팅 인스턴스로 리디렉션하는 작업이 포함됩니다.

Junos OS Release18.3R1에서 URL 범주 일치는 대상 IP 주소를 기반으로 수행됩니다. 이 때문에, URL 범주 기반 규칙 일치는 세션의 첫 번째 패킷에서 종료됩니다. 동적 애플리케이션은 세션 중간에 식별될 수 있습니다. 애플리케이션 식별 프로세스가 완료될 때까지 동적 애플리케이션 규칙에 대한 일치 프로세스는 계속됩니다.

URL 범주 기반 라우팅의 이점

• URL 기반 범주를 사용하면 웹 트래픽을 세부 제어할 수 있습니다. 특정 범주의 웹사이트에 속하는 트래픽은 서로 다른 경로를 통해 리디렉션되고 이 범주에 따라 HTTPS 트래픽에 대한 SSL 암호 해독을 비롯한 추가 보안 처리가 이루어 지게 됩니다.

• URL 범주에 기반한 트래픽 처리 기능을 사용하면 선택한 웹사이트에서 서로 다른 경로를 사용할 수 있습니다. 서로 다른 경로를 사용하면 더 나은 QoE(Quality of Experience)를 얻게 됩니다. 또한 가용 대역폭을 효과적으로 활용할 수 있습니다.

• SD WAN(Software-Defined Wide-Area Network) 솔루션은 동적 애플리케이션 기반 라우팅과 함께 URL 범주 기반 라우팅을 활용할 수 있습니다.

• URL 범주 기반 라우팅은 소스 및 구성 변경 시 사용할 수 있을 때 로컬 인터넷 브레이크아웃 솔루션에 네트워크 주소 변환(NAT) 있습니다.

URL 범주 기반 라우팅의 제한

APBR 프로필에서 URL 범주를 사용하려면 다음과 같은 제한이 있습니다.

• APBR 프로필의 URL 범주 식별에는 대상 IP 주소만 사용됩니다. 호스트 또는 URL 또는 SNI 필드에 기반한 URL 범주는 지원되지 않습니다.

• APBR 프로파일 규칙에서 동적 애플리케이션 또는 URL 범주를 일치 조건으로 구성할 수 있습니다. URL 범주 및 동적 애플리케이션을 모두 사용하여 규칙을 구성하면 커밋 오류가 발생합니다.

혜택

• 네트워크를 선회하는 애플리케이션 트래픽에 대한 안전한 정책 적용을 보장하기 위해 보다 세분화된 수준에서 라우팅 동작을 정의할 수 있습니다.

• 보다 유연한 트래픽 처리 기능을 제공하는 한편, 사용자 역할 및 비즈니스 요구 사항에 따라 패킷 포우링에 대한 세부적인 제어를 제공합니다.

소개

애플리케이션 식별 기술은 DPI(심층 패킷 검사)에 활용됩니다. DPI 엔진이 애플리케이션을 식별할 수 없는 경우(예: 암호화된 트래픽)가 있습니다. 이러한 트래픽에 APBR 규칙을 적용하면 해당 트래픽에 APBR 기능이 적용되지 않으면서 정상적인 프로세싱이 진행됩니다.

SRX 시리즈 디바이스는 Junos OS 릴리스 19.3R1 일치 조건으로 APBR 규칙에서 DSCP 값 구성을 지원하여 DSCP 태그 트래픽에서 APBR 기능을 수행할 수 있습니다.

동적 애플리케이션 및 동적 애플리케이션 그룹과 같은 APBR 규칙의 다른 일치 기준 외에도 DSCP 값을 구성할 수 있습니다.

APBR 규칙에서 DSCP 값을 구성하면 DSCP 마킹을 통해 APBR 서비스를 트래픽으로 확장할 수 있습니다.

사용 사례

암호화된 트래픽에 대한 일치 기준으로 DSCP와 APBR 규칙을 사용할 수 있습니다.

제한

• 단일 APBR 프로필에서 DSCP 값 및 URL 범주로 규칙을 구성할 수 없는 지원.

일치 조건으로 DSCP 값을 사용하는 경우 APBR 규칙 룩업

APBR 규칙에서 DSCP 값 또는 동적 애플리케이션 또는 둘의 조합을 구성할 수 있습니다.

APBR 규칙에서 DSCP와 동적 애플리케이션을 모두 구성한 경우 트래픽이 규칙에 지정된 모든 기준과 일치할 경우 규칙이 일치하는 것으로 간주됩니다. APBR 규칙에 여러 DSCP 값이 있는 경우, 한 기준이 일치하면 일치하는 것으로 간주됩니다.

APBR 프로파일은 다양한 일치 조건에 따라 각 규칙과 같은 여러 규칙을 포함할 수 있습니다.

APBR 프로파일에 있는 여러 APBR 규칙의 경우 규칙 룩업은 다음 우선 순위 순서를 따릅니다.

1. DSCP + 동적 애플리케이션을 통해 규칙 수

2. 동적 애플리케이션을 적용한 규칙

3. DSCP 값의 규칙

APBR 프로파일에 여러 규칙이 포함되어 있는 경우 시스템은 규칙 룩업을 수행하고 다음 순서로 규칙을 적용합니다.

• 시스템은 세션의 첫 번째 패킷에 대해 DSCP 기반 규칙을 적용합니다.

• 시스템은 DPI 분류 또는 ASC(Application System Cache)에서 사용할 수 있는 애플리케이션 정보가 있는지 지속적으로 검사합니다.

• 세션 중간에 DPI가 새 애플리케이션을 식별하면 시스템은 규칙 룩업을 수행하고 새로운 규칙(애플리케이션 기반 규칙 또는 DSCP 기반 규칙 또는 이 둘의 조합)을 적용합니다.

• DPI가 최종 애플리케이션 또는 최대 재라우트 값에 도달할 때 애플리케이션을 식별할 수까지 애플리케이션 및 규칙 룩업을 계속 식별합니다.

• 규칙 룩업이 규칙과 일치하지 않을 경우 추가 조치가 취해지지 않습니다.

APBR이 규칙 룩업을 수행하고 다음 두 예로 규칙을 적용하는 방법을 이해할 수 있습니다.

• 예 1
• 예 2

구성

• CLI 빠른 구성
• 단계별 절차
• 결과

미드스트림 라우팅을 선택적으로 비가시화해야 하는 이유

일부 세션은 애플리케이션 시그니처가 애플리케이션을 식별할 때 세션 중간에서 지속적인 분류를 통과합니다. 애플리케이션 서명에 의해 애플리케이션이 식별될 때마다 APBR이 적용되고 그 결과 트래픽 경로가 변경됩니다. 이 옵션을 사용하여 세션에 대해 루트가 변경할 수 있는 횟수를 제한할 수 max-route-change 있습니다. 이 옵션을 0으로 설정하면 특정 세션에서 APBR이 비활성화됩니다. 그러나 이 옵션은 필요 없는 장치에서 APBR 기능을 전 세계적으로 비활성화할 수도 있습니다.

미드스트림의 APBR 선택적 장애

릴리스 Junos OS 릴리스 19.4R1, 특정 APBR 규칙에 대한 세션 중간에 APBR 서비스를 선택적으로 해제하는 동시에 나머지 세션에 대한 글로벌 APBR 기능을 유지할 수 있습니다. 특정 APBR 규칙에 대한 미드스트림 라우팅을 비활성화하면 해당 애플리케이션 트래픽에 미드스트림 APBR이 적용되지 않는 시스템에서는 미드스트림 APBR이 적용되지 않습니다. 그리고 비 APBR 경로를 통해 트래픽을 라우팅합니다.

미드스트림 APBR을 선택적으로 비활성화하려면, 미드스트림 라우팅 비활성화 () [ 계층 수준에서 APBR disable-midstream-routing edit security advance-policy-based-routing profile apbr-profile-name rule apbr-rule-name 규칙을 구성할 수 있습니다.

표 7에는 선택적으로 미드스트림 APBR 옵션을 사용할 수 없습니다.

특정 APBR 규칙에 대한 미드스트림 라우팅을 금지하면 기본 비 APBR 경로를 통해 애플리케이션 트래픽을 다시 라우팅합니다.