Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

고급 정책 기반 라우팅

애플리케이션 기반 라우팅으로도 알려진 고급 정책 기반 라우팅(APBR주니퍼 네트웍스 제품군에 새롭게 추가된 APBR은 애플리케이션을 기반으로 트래픽을 포우링하는 기능을 제공합니다. 자세한 내용은 다음 항목을 참조하십시오.

고급 정책 기반 라우팅 이해

고급 정책 기반 라우팅

네트워크를 통해 전송되는 음성, 데이터, 비디오 트래픽 및 애플리케이션이 끝없이 증가하기 위해서는 네트워크가 성능이나 가용성의 영향을 없이 효과적으로 트래픽의 우선순위를 지정하고 트래픽을 세분화하고 라우팅할 수 있도록 트래픽 유형을 인식해야 합니다.

릴리스 Junos OS 릴리스 15.1X49-D60 SRX 시리즈 서비스 게이트웨이는 이러한 과제를 해결하기 위해 고급 정책 기반 라우팅(APBR)을 제공합니다.

고급 정책 기반 라우팅은 세션 기반의 애플리케이션 인식 라우팅의 일종입니다. 이 메커니즘은 정책 기반 라우팅 및 애플리케이션 인식 트래픽 관리 솔루션을 결합합니다. APBR은 애플리케이션의 속성을 기반으로 플로우를 분류하고 이러한 속성을 기반으로 필터를 적용하여 트래픽을 리디렉션합니다. 플로우 분류 메커니즘은 사용 중 애플리케이션을 대표하는 패킷을 기반으로 합니다.

APBR 구현:

  • 애플리케이션 내의 애플리케이션 트래픽 또는 사용자 세션을 식별하기 위한 AppID의 심층 패킷 검사 및 패턴 일치 기능

  • 애플리케이션 유형 및 해당 대상 IP 주소, 대상 포트, 프로토콜 유형 및 매칭 규칙을 위한 ASC의 룩업

일치 규칙이 발견될 경우 트래픽은 적절한 경로와 해당 인터페이스 또는 장비로 연결됩니다.

APBR의 이점

  • 애플리케이션을 기반으로 라우팅 동작을 정의할 수 있습니다.

  • 보다 유연한 트래픽 처리 기능을 제공하며 애플리케이션 속성을 기반으로 패킷 포우링에 대한 세분적인 제어를 제공합니다.

APBR의 작동 방식 이해

APBR의 작동에 대해 논의하기 전에 APBR 구성 요소에 대해 이해할 수 있습니다.

  • APBR 프로필을 생성합니다(이 문서에서 애플리케이션 프로파일이라고도 합니다). 프로필에는 여러 APBR 규칙이 포함되어 있습니다. 각 규칙에는 일치 조건으로 여러 애플리케이션 또는 애플리케이션 그룹이 포함됩니다. 트래픽이 규칙의 애플리케이션 또는 애플리케이션 그룹과 일치하면 규칙이 일치되는 것으로 간주하고 프로파일이 애플리케이션 트래픽을 관련 라우팅 인스턴스로 지시합니다.

  • APBR 프로필은 라우팅 인스턴스를 APBR 규칙과 연관합니다. 트래픽이 애플리케이션 프로파일과 일치하면 라우팅 인스턴스에 정의된 관련 정적 경로 및 다음 홉을 사용하여 특정 세션의 트래픽을 라우팅합니다.

  • 애플리케이션 프로파일을 ingress 트래픽에 연결합니다. APBR 프로필을 APBR 정책에 연결하고 세션에 애플리케이션 서비스로 적용할 수 있습니다.

APBR 워크플로우에 대한 이해를 이어가서 APBR 미드스트림 지원에 대해 논의한 다음, APBR의 첫 번째 패킷 분류에 대해 논의할 수 있습니다.

APBR 워크플로우

그림 1은 릴리스 21.3R1에 대한 Junos OS APBR 동작을 요약하고 있습니다.

그림 1: APBR 동작 APBR Behavior

보안 장비는 DPI를 사용하여 애플리케이션의 특성을 식별하고 APBR을 사용하여 네트워크를 통해 트래픽을 라우팅합니다. 서비스 체인에서 애플리케이션 트래픽은 디바이스가 ABPR을 적용하기 전에 DPI를 하게 됩니다. DPI를 사용하여 애플리케이션을 식별하는 프로세스에는 여러 패킷에 대한 분석이 필요합니다. 이 경우 초기 트래픽은 기본 경로(비 APBR 경로)를 통과하여 대상에 도달합니다. 프로세스는 여전히 DPI가 애플리케이션을 식별합니다. DPI가 애플리케이션을 식별하면 APBR은 나머지 세션에 대한 규칙을 적용합니다. 트래픽은 APBR 프로파일 규칙에 따라 경로를 통과합니다.

Source 네트워크 주소 변환(NAT) 서로 다른 네트워크 주소 변환(NAT) 풀을 사용하고 미드스트림 APBR을 적용하는 경우, 세션의 소스 IP 주소는 미드스트림 APBR 이전의 세션에서 사용하는 주소와 동일하게 유지됩니다.

APBR 미드스트림 지원

SRX 시리즈 서비스 게이트웨이는 Junos OS Release 15.1X49-D110 Junos OS Release 17.4R1 시작하여 세션 중간(미드스트림 지원)에서 APBR을 지원합니다. 이 향상을 통해 비 캐시할 수 있는 애플리케이션은 물론, 캐시 가능한 애플리케이션의 첫 번째 세션에 APBR을 적용할 수 있습니다. 이 향상을 통해 보다 유연한 트래픽 처리 기능을 제공하게 됐고, 포우링 패킷에 대한 세부적인 제어를 제공합니다.

첫 번째 세션 패킷은 미드스트림 재라우킹 케이스를 통과합니다. 즉, 애플리케이션이 식별되지 않은 경우 트래픽은 기본 경로(비 APBR 경로)를 통해 대상에 전달됩니다. 동시에, DPI는 애플리케이션이 식별될 수까지 계속됩니다. 애플리케이션이 확인되면 디바이스는 APBR 프로파일을 적용하고 나머지 세션 패킷은 APBR 프로파일에 정의된 규칙에 따라 경로를 통과합니다. 트래픽은 애플리케이션 시그니처 또는 ALG가 애플리케이션을 식별할 수 있도록 APBR 외 루트를 통과합니다.

Source 네트워크 주소 변환(NAT) 서로 다른 네트워크 주소 변환(NAT) 풀을 사용하고 미드스트림 APBR을 적용하는 경우, 세션의 소스 IP 주소는 미드스트림 APBR 이전의 세션에서 사용하는 주소와 동일하게 유지됩니다.

첫 번째 패킷 분류를 적용한 APBR

릴리스 21.Junos OS 릴리스 21.3R1에서 시작되는 APBR은 최초 패킷 분류를 사용하여 네트워크 트래픽에서 애플리케이션을 식별합니다. APBR은 트래픽 플로우에서 첫 번째 패킷을 검사하여 애플리케이션을 식별한 다음 애플리케이션별 규칙을 적용하여 트래픽을 전달합니다.

그림 2는 APBR이 최초 패킷 분류를 사용하여 애플리케이션 세부 정보를 얻을 수 있는 방법을 보여줍니다.

그림 2: First-Packet Classification를 APBR with First-Packet Classification 적용한 APBR

First-packet 분류는 정적 IP 매핑과 같은 세부 사항과 애플리케이션의 포트 세부 사항을 포함하는 리포지토리에서 활용됩니다. 리파지토리는 JDPI(Application Signature Package)의 일부입니다.

캐시 가능한 애플리케이션의 첫 번째 세션의 경우 APBR은 ASC를 쿼리하여 플로우에 대한 애플리케이션 세부 정보를 얻습니다. 애플리케이션 엔트리를 ASC에서 사용할 수 없는 경우 APBR에서 애플리케이션 세부 사항을 위해 JDPI를 쿼리합니다. APBR은 IP 주소와 쿼리를 위한 플로우의 포트 세부 정보를 사용합니다. 애플리케이션 매핑이 가능한 경우 JDPI는 해당 세부 정보를 APBR로 반환합니다. 애플리케이션 세부 정보를 확인한 후 APBR은 애플리케이션의 구성된 프로파일을 검색하고 할당된 라우팅 인스턴스를 통해 패킷을 라우팅합니다.

동시에, JDPI는 계속해서 패킷을 처리하고 ASC(활성화된 경우)를 업데이트합니다. 후속 플로우의 경우, APBR은 플로우에 대한 ASC에 제시된 애플리케이션 엔트리를 기반으로 트래픽 라우팅을 실행합니다.

첫 번째 패킷 분류를 사용하면 APBR 구성에서 네트워크 주소 변환(NAT) 애플리케이션에 대해 서로 다른 네트워크 주소 변환(NAT) 풀을 사용할 수 있습니다.

최초 패킷 분류의 이점

최초 패킷 분류를 사용하면 네트워크에서 트래픽을 정확하고 효율적으로 스티어링하여 네트워크 링크 활용도를 최적화하고 성능을 높일 수 있습니다.

제한

  • 캐시가 아닌 애플리케이션의 경우, 소스 네트워크 주소 변환(NAT) 서로 다른 네트워크 주소 변환(NAT) 풀을 사용하고 세션 중간에 APBR을 적용하면 미드스트림에 APBR을 적용한 후에도 세션의 소스 IP 주소는 계속 동일합니다.

  • 애플리케이션 변경에 대한 IP 주소 및 포트 범위 세부 정보의 경우 변경 사항이 애플리케이션 서명 패키지에 즉시 반영되지 않을 수 있습니다. 애플리케이션 서명 패키지를 설치하여 IP 주소 및 포트 범위에 대한 최신 업데이트를 제공해야 합니다.
  • 클라우드에서 OFFICE365와 같은 여러 애플리케이션을 호스팅하는 마이크로 서비스의 경우 IP 주소와 포트 범위가 세분화되어 있을 수 없습니다. 이러한 경우, 첫 번째 패킷 분류는 상위 애플리케이션 세부 정보를 반환합니다. 중첩 애플리케이션과 상위 애플리케이션을 포함하려면 APBR 프로파일 규칙을 구성해야 합니다. 예: MS-TEAMS와 같은 동적 애플리케이션을 사용하여 APBR 규칙을 생성하고 첫 번째 패킷 분류를 위한 동일한 규칙에 OFFICE365-CREATE-CONVERSATION 추가

고급 정책 기반 라우팅 옵션

APBR은 다음과 같은 옵션을 사용하여 트래픽 처리를 간소화할 수 있습니다.

  • Limit route change- 애플리케이션 서명이 애플리케이션을 식별할 때 일부 세션은 세션 중간에서 지속적인 분류를 통과합니다. 애플리케이션 서명에 의해 애플리케이션이 식별될 때마다 APBR이 적용되고 그 결과 트래픽 경로가 변경됩니다. 명령문 옵션을 사용하여 세션에 대해 루트가 변경할 수 있는 횟수를 제한할 max-route-changetunables 있습니다.

    set security advance-policy-based-routing tunables max-route-change value

    예제:

    이 예에서는 세션당 라우트 변경 수를 5개로 제한합니다. 세션 중간에 경로가 변경된 경우, 이 카운트는 4로 줄어듭시다. 이 프로세스는 카운트가 0에 도달할 때까지 계속됩니다. 그 이후에는 APBR이 세션 중간에 적용되지 않습니다.

    식별된 애플리케이션이 ASC에 입력된 경우, 세션이 APBR 구성에 따라 지정된 경로로 시작되어 해당 세션에 대해 그 수가 줄지 않습니다.

  • Terminate session if APBR is bypassed–APBR이 세션 중간에 적용될 때 존 간에 불일치가 있는 경우 세션을 종료할 수 있습니다. 세션 중간에 APBR을 적용하려는 경우 새로운 Egress 인터페이스와 기존 Egress 인터페이스가 모두 동일한 존에 구성되어야 합니다. 세션 중간의 인터페이스에 대한 존을 변경하면 기본적으로 APBR이 적용되지 않을 수 있으며 트래픽은 계속해서 기존 인터페이스를 통해 통과합니다. 이러한 기본 동작을 변경하기 위해 명령문 옵션을 사용하여 트래픽이 APBR을 우회하는 동일한 루트를 통과할 수 있도록 허용하는 대신 세션을 완전히 종료할 수 drop-on-zone-mismatch tunables 있습니다.

    예제:

  • Enable logging—로깅을 통해 인터페이스 존의 변경으로 APBR이 우회되는 경우 등 장비에서 발생하는 이벤트를 기록할 수 있습니다. 명령문 enable-logging 옵션을 사용하여 tunables 로깅을 구성할 수 있습니다.

    예제:

  • Enable reverse reroute—ECMP 라우트에 대한 트래픽 대칭이 필요하고 세션 중간에 수신 트래픽이 전환해야 하는 구축의 경우, 다음과 같은 보안 존의 특정 활성화-리버스 리라우트(enable-reverse-reroute)를 사용하여 재라우밍을 달성할 수 있습니다.

    예제:

    [edit]

    set security zones security-zone zone-name enable-reverse-reroute

    보안 존을 위해 위 구성이 활성화되면 수신 패킷이 인터페이스에 도착하고 다른 발신/반환 인터페이스가 있는 경우 인터페이스의 변경이 탐지되어 리라우트(reroute)가 트리거됩니다. 경로 룩업이 리버스 경로에 대해 수행되어 패킷이 도착한 인터페이스에 기본 설정이 제공됩니다.

    경로 룩업이 역방향 경로의 트래픽에 대해 실패할 경우 특정 세션에 대한 추가 프로세싱이 중단됩니다.

    리버스 리버스 리라우트(reverse rerouting)는 Junos OS 릴리스 이후 15.1X49-D130 지원됩니다.

  • Support for Layer 3 and Layer 4 Applications—릴리스 Junos OS 릴리스부터 20.2R1 레이어 3 및 레이어 4 맞춤형 애플리케이션을 지원합니다. APBR에서 Layer 3 및 Layer 4 사용자 지정 애플리케이션 룩업을 다음과 같은 구성 명령문을 사용하여 수동으로 비활성화할 수 있습니다.
  • Application Tracking

    AppTrack은 트래픽을 검사하고 지정된 존의 애플리케이션 플로우에 대한 통계를 수집하도록 지원할 수 있습니다. 자세한 내용은 애플리케이션 추적 이해를 참조하세요.

사용 사례

  • 여러 ISP 링크가 사용되는 경우:

    • APBR은 두 개 이상의 링크를 사용할 수 있는 경우 중요한 애플리케이션을 위해 높은 대역폭과 저지연 링크를 선택하는 데 사용할 수 있습니다.

    • APBR은 링크 장애 시 중요한 트래픽에 대한 폴백 링크를 생성하는 데 사용할 수 있습니다. 여러 링크를 이용할 수 있으며 중요한 애플리케이션 트래픽을 전달하는 기본 링크가 정전으로 이어지는 경우, 폴백 링크로 구성된 다른 링크는 트래픽을 전달하는 데 사용할 수 있습니다.

    • APBR은 심층 검사 또는 분석을 위해 트래픽을분리하는 데 사용할 수 있습니다. 이 기능을 사용하면 심층 검사 및 감사를 통과하는 데 필요한 애플리케이션을 기반으로 트래픽을 분류할 수 있습니다. 필요한 경우 이러한 트래픽을 다른 디바이스로 라우팅할 수 있습니다.

제한

APBR은 다음과 같은 제한을 가지고 있습니다.

  • 트래픽에 대한 경로 재지정은 ASC(Application System Cache)에 있는 엔트리의 존재 여부에 따라 달라지기 합니다. ASC 룩업에 성공한 경우만 라우팅이 성공할 수 있습니다. 첫 번째 세션의 경우, 트래픽에 대해 ASC가 없는 경우 트래픽은 기본 경로(비 APBR 경로)를 통해 목적지로 전달됩니다(이 제한은 네트워크 이전 릴리스에만 Junos OS 15.1X49-D110).

  • 애플리케이션 서명 패키지를 설치하지 못하거나 애플리케이션 식별을 활성화하지 않은 경우 APBR이 작동하지 않습니다.

미드스트림 지원을 지원하는 APBR에는 다음과 같은 제한이 있습니다.

  • APBR은 포우 트래픽에만 작동합니다.

  • APBR은 활성 FTP와 같은 제어 세션에서 엔티티가 시작한 데이터 세션에서 작동하지 않습니다.

  • 네트워크 주소 변환(NAT) 소스 네트워크 주소 변환(NAT) 및 미드스트림 APBR에 서로 다른 네트워크 주소 변환(NAT) 풀을 사용하는 경우, 세션의 소스 IP 주소는 미드스트림 APBR을 적용하기 전에 세션이 사용한 주소와 계속 동일합니다.

  • 미드스트림 지원이 있는 APBR은 모든 Egress 인터페이스가 동일한 존에 있는 경우만 작동합니다. 이 때문에 포워더 및 VRF(Virtual Routing and Forwarding) 라우팅 인스턴스만 APBR 미드스트림 지원을 이용할 수 있습니다.

예: 애플리케이션 인식 트래픽 관리 솔루션을 위한 고급 정책 기반 라우팅 구성

이 예에서는 SRX 시리즈 디바이스에서 APBR을 구성하는 방법을 보여줍니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • SRX 시리즈 디바이스에 설치된 유효한 애플리케이션 식별 기능 라이선스입니다.

  • 릴리스가 Junos OS SRX 시리즈 15.1X49-D60 디바이스. 이 구성 예는 Junos OS Release 15.1X49-D60.

개요

이 예에서는 트러스트 존에 도착하는 HTTP, 소셜 네트워킹 및 Yahoo 트래픽을 넥스트 홉 IP 주소에 지정된 특정 디바이스 또는 인터페이스로 전달하기를 원합니다.

트래픽이 트러스트 존에 도착하면 APBR 프로파일과 일치하며 일치 규칙이 발견될 경우 패킷은 라우팅 인스턴스에 지정된 따라 정적 경로 및 다음 홉으로 전달됩니다. 다음 홉 주소에 도달하면 라우팅 테이블에서 구성된 정적 경로가 포우링 테이블에 삽입됩니다. 정적 경로로 전달되는 모든 트래픽은 특정 장치 또는 인터페이스로 전송될 수 있도록 다음 홉 주소로 전송됩니다.

그림 3에는 이 구성 예제에서 사용된 토폴로지가 표시되어 있습니다.

그림 3: APBR(Advanced Policy-Based Routing)을 위한 Topology For Advanced Policy-Based Routing (APBR) 토폴로지

표 1은 이 예에서 사용된 매개 변수에 대한 세부 정보를 제공합니다.

표 1: APBR 구성 매개변수

매개 변수

이름

설명

라우팅 인스턴스

  • 인스턴스 이름—R1

  • 인스턴스 유형- 포우링

  • 정적 경로 - 1.0.0.254/8

  • Next-hop - 1.0.0.1

유형 포우링의 라우팅 인스턴스는 트래픽을 포우링하는 데 사용됩니다.

정적 라우트(예: 5.0.0.0/8)는 정적 경로로 전달되는 모든 적격 트래픽(예: 인터페이스의 7.0.0.1 주소)으로 전달됩니다.

  • 인스턴스 이름—R2

  • 인스턴스 유형- 포우링

  • 정적 경로 - 2.0.0.254/8

  • Next-hop - 2.0.0.1

RIB 그룹

apbr_group

RIB(Routing Information Base)(라우팅 테이블) 그룹의 이름.

이 RIB 그룹은 inet.0, RI1.inet.0, RI2.inet.0 및 RI3.inet.0에서 인터페이스 경로 엔트리를 가져오도록 구성됩니다.

APBR 프로필

프로필-1

APBR 프로필의 이름. 이 프로필은 애플리케이션 및 애플리케이션 그룹과 일치하며 라우팅 룩업을 위해 일치하는 트래픽을 지정된 라우팅 인스턴스(예: R1)로 리디렉션합니다. 프로필에는 여러 규칙이 포함되어 있습니다.

규칙

  • 규칙 이름—ruleApp1

  • 매칭 애플리케이션—junos:HTTP

  • 관련 라우팅 인스턴스—R1

APBR 프로파일에 대한 규칙을 정의합니다. 규칙을 하나 이상의 애플리케이션(예: HTTP) 또는 애플리케이션 그룹에 연결합니다. 애플리케이션이 프로파일에서 규칙의 애플리케이션 또는 애플리케이션 그룹과 일치하면 애플리케이션 프로파일 규칙이 일치되는 것으로 간주하고 트래픽은 라우팅 인스턴스(예: R1)로 재지정됩니다.

  • rule name—ruleApp2

  • 매칭 애플리케이션—junos:web:social-networking

  • 라우팅 인스턴스- R2

영역

신뢰

APBR 프로파일을 적용할 수 있는 소스 존을 지정합니다.

참고:

애플리케이션을 기반으로 트래픽을 리디렉션하기 위해 APBR을 사용하려면 한 라우팅 인스턴스에서 다른 라우팅 인스턴스로 인터페이스 경로를 임포트해야 할 수 있습니다. 다음과 같은 메커니즘 중 하나를 사용할 수 있습니다.

  • 인터페이스 경로를 가져오는 RIB 그룹

  • 인터페이스 경로를 가져오는 라우팅 정책

라우팅 정책을 사용하여 인터페이스 루트를 가져오는 경우, 라우팅 정책에 적절한 조치를 사용하지 않는 경우 관리 로컬 경로(fxp0 사용)가 비 기본 라우팅 인스턴스로 누출될 수 있습니다. 디바이스가 섀시 클러스터 모드인 경우 이러한 시나리오는 제한으로 인해 RG0 장애가 발생하게 될 수 있습니다. 기본이 아닌 라우팅 인스턴스의 라우팅 테이블에서 fxp0 로컬 루트를 구성하지 않는 것이 좋습니다. 다음 샘플은 정책 옵션의 샘플 구성을 설명하고 있습니다. 거부 조치는 필요하지 않은 경로를 제거하는 데 도움이 됩니다. 특정 경로를 사용하여 fxp0 경로를 거부할 수 있습니다.

참고:

APBR은 패킷을 포로 경로로 라우팅하는 데 사용됩니다. 반환 트래픽이 동일한 경로를 통해 도착하려면 다음과 같은 샘플 구성에 표시된와 같이 로드 런타이 라우팅 정책과 함께 ECMP 구성을 사용하여 원격 SRX 시리즈 디바이스를 구성하는 것이 좋습니다.

구성

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit] commit 입력합니다.

고급 정책 기반 라우팅 구성

단계별 절차

APBR 구성:

  1. 라우팅 인스턴스를 생성합니다.

  2. 하나 이상의 라우팅 테이블을 그룹화하여 라우팅 테이블로 apbr_group RIB 그룹을 형성하고 라우팅 테이블로 경로를 가져올 수 있습니다.

  3. APBR 프로필을 생성하고 규칙을 정의합니다.

  4. APBR 프로파일을 보안 존에 적용합니다.

결과

구성 모드에서 명령어를 입력하여 show routing-instances show security zones 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

확인

고급 정책 기반 라우팅 통계 검증

목적

애플리케이션 기반 라우팅을 위해 처리되는 세션 수, 해당 세션에 APBR이 적용된 횟수 등 APBR에 대한 통계를 표시합니다.

작업

구성 모드에서 명령을 show security advance-policy-based-routing statistics 입력합니다.

의미

명령 출력은 다음과 같은 세부 사항을 표시합니다.

  • 애플리케이션 기반 라우팅을 위한 세션 처리

  • 애플리케이션 트래픽이 APBR 프로파일과 일치하는 횟수와 APBR이 세션에 적용된 횟수입니다.

  • 애플리케이션 트래픽을 식별하기 위해 AppID를 컨설팅한 횟수입니다.

자세한 내용은 보안 사전 정책 기반 라우팅 통계를 표시하십시오.

고급 정책 기반 라우팅 검증

목적

특정 세션에 대한 상세 정보를 포함하여 디바이스에서 활성 상태의 세션 및 패킷 플로우에 대한 정보를 표시합니다.

작업

구성 모드에서 명령을 입력하여 디바이스에서 현재 활성 상태인 모든 보안 세션에 대한 show security flow session 정보를 표시합니다.

의미

명령 출력은 다음과 같은 세부 사항을 표시합니다.

  • 디바이스의 모든 활성 세션 및 패킷 플로우

  • 서비스를 포함한 수신 및출출 IP 플로우 목록

  • 플로우와 연관된 보안 속성(예: 해당 플로우에 속하는 트래픽에 적용되는 정책)

  • 세션 타임아웃 값, 세션이 활성화된 시기, 세션이 활성 상태인 기간 및 세션에 활성 트래픽이 있는 경우

고급 정책 기반 라우팅 정책 구성

Release Junos OS 릴리스부터 18.2R1 주소, 대상 주소 및 애플리케이션을 조건에 따라 정의하여 고급 정책 기반 라우팅(APBR) 정책을 구성할 수 있습니다. 매치에 성공하면 구성된 APBR 프로필이 세션에 애플리케이션 서비스로 적용됩니다. 이전 릴리스에서는 Junos OS 수신 트래픽의 수신 보안 존에 APBR 프로필을 첨부할 수 있으며, APBR은 보안 존에 따라 적용되었습니다. 이제 APBR 정책을 지원하여 수신 보안 존, 소스 주소, 대상 주소 및 애플리케이션을 기반으로 트래픽에 서로 다른 APBR 규칙 세트를 적용할 수 있습니다.

이 향상을 통해 보다 유연한 트래픽 처리 기능을 제공하게 됐고, 포우링 패킷에 대한 세부적인 제어를 제공합니다.

지원되는 일치 조건에는 소스 주소, 대상 주소 및 애플리케이션이 포함됩니다. 이 애플리케이션은 프로토콜 및 레이어 4 포트에 따라 일치 조건을 지원하는 데 사용할 수 있습니다.

보안 존에 대해 하나 이상의 APBR 정책이 구성된 경우, 해당 정책은 세션 생성 단계 동안 평가됩니다. 정책이 세션과 일치하는 정책을 선택하면 정책 룩업이 종료됩니다. 매치에 성공하면 APBR 정책으로 구성된 APBR 프로파일이 세션에 사용됩니다.

APBR 정책의 작동 방식

APBR 정책은 보안 존에 대해 정의됩니다. 존과 연관된 하나 이상의 APBR 정책이 있는 경우 보안 존에서 시작된 세션은 정책 일치를 통과합니다.

다음 시퀀스는 APBR 정책에 따라 트래픽을 매칭하고 정의된 매개 변수/규칙에 따라 트래픽을 포우링하기 위한 고급 정책 기반 라우팅 적용과 관련됩니다.

  • 트래픽이 ingress 존에 도착하면 APBR 정책 규칙에 따라 일치합니다. 정책 일치 조건에는 소스 주소, 대상 주소 및 애플리케이션이 포함됩니다.

  • 트래픽이 보안 정책 규칙과 일치하면 APBR 정책의 조치가 트래픽에 적용됩니다. APBR 프로필 이름을 지정하여 APBR 정책 작업에서 APBR을 애플리케이션 서비스로 사용할 수 있습니다.

  • APBR 프로필 구성은 일치 조건에 따라 동적 애플리케이션 및 다이내믹 애플리케이션 그룹을 포함하는 규칙 세트를 인큐스드합니다. 이러한 규칙의 작업 부분에는 트래픽이 전달해야 하는 라우팅 인스턴스가 포함되어 있습니다. 라우팅 인스턴스는 정적 라우팅 또는 동적 학습 경로의 구성을 포함할 수 있습니다.

  • 정적 경로로 전달되는 모든 트래픽은 특정 장치 또는 인터페이스로 전송될 수 있도록 다음 홉 주소로 전송됩니다.

APBR 정책 규칙은 터미널입니다. 즉, 트래픽이 정책에 따라 일치하면 다른 정책으로 더 이상 처리되지 않습니다.

APBR 정책에 일치하는 트래픽과 APBR 프로파일이 규칙과 일치하는 트래픽이 없는 경우, APBR 정책과 일치하는 트래픽은 기본 라우팅 인스턴스 [inet0]를 통해 대상에 전달됩니다.

레거시 APBR 프로필 지원

Junos OS Release 18.2R1 보안 존 수준에 APBR 프로파일이 적용되었습니다. APBR 정책을 지원하기만 하면 향후 보안 존 수준에서 APBR 구성이 즉시 제거되는 것이 아니라 새로운 구성을 준수할 수 있는 역호화(backward compatibility)와 의 컴플라이언스(configuration)를 제공할 수 있는 기회를 제공합니다.

그러나 존 기반 APBR을 구성하고 특정 보안 존에 대한 APBR 정책을 추가하려고 시도하는 경우 커밋이 실패할 수 있습니다. 해당 존에 대한 APBR 정책을 구성하려면 존 기반 구성을 삭제해야 합니다. 마찬가지로, APBR 정책이 보안 존에 대해 구성되면 존 기반 APBR을 구성하려고 시도하면 커밋 오류가 발생합니다.

제한

  • APBR 정책 규칙에서 특정 주소 또는 주소를 사용하는 경우 글로벌 주소 책을 사용하는 것이 좋습니다. 그 이유는 정책 평가 시 대상 존을 알 수 있기 때문에 존별 규칙은 대상 주소에 적용될 수 없습니다.

  • 보안 존에 대한 APBR 정책 구성 junos-host 존은 지원되지 않습니다.

예: 고급 정책 기반 라우팅 정책 구성

다음 예제에서는 APBR 정책을 구성하고 APBR 정책 규칙과 일치하는 세션에 APBR 프로파일을 적용하는 방법을 보여줍니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • SRX 시리즈 디바이스(Junos OS 릴리스 18.2R1 디바이스). 이 구성 예는 Junos OS Release 18.2R1.

  • SRX 시리즈 디바이스에 설치된 유효한 애플리케이션 식별 기능 라이선스입니다.

개요

이 예에서는 트러스트 존에 도착하는 HTTP 트래픽을 넥스트 홉 IP 주소에 지정된 특정 장비 또는 인터페이스로 전달하기를 원합니다.

트래픽이 트러스트 존에 도착하면 APBR 정책에 따라 일치합니다. 트래픽이 정책과 일치하면 구성된 APBR 규칙이 허용된 트래픽에 애플리케이션 서비스로 적용됩니다. 패킷은 APBR 규칙을 기반으로 정적 경로 및 라우팅 인스턴스에 지정된 다음 홉으로 전달됩니다. 다음 홉 주소에 도달하면 라우팅 테이블에서 구성된 정적 경로가 포우링 테이블에 삽입됩니다. 정적 경로로 전달되는 모든 트래픽은 특정 장치 또는 인터페이스로 전송될 수 있도록 다음 홉 주소로 전송됩니다.

이 예에서는 다음과 같은 구성을 완료해야 합니다.

  • 라우팅 인스턴스 및 RIB 그룹을 정의합니다.

  • ABPR 프로필을 생성합니다.

  • 보안 존을 생성합니다.

  • APBR 정책을 생성하고 APBR 프로필에 연결합니다.

구성

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit] commit 입력합니다.

고급 정책 기반 라우팅 구성

단계별 절차

APBR 정책에 일치하는 트래픽에 APBR을 적용하기 위해 다음을 합니다.

  1. 라우팅 인스턴스를 생성합니다.

  2. 하나 이상의 라우팅 테이블을 그룹화하여 라우팅 테이블로 apbr_group 라우팅 테이블로 경로를 가져오기 위한 RIB 그룹을 구성합니다.

  3. APBR 프로필을 생성하고 규칙을 정의합니다.

  4. 보안 존을 생성합니다.

  5. APBR 정책을 생성하고 APBR 프로필을 보안 존에 적용합니다.

결과

구성 모드에서 명령어를 입력하여 show routing-instances show security zones 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

확인

고급 정책 기반 라우팅 통계 검증

목적

애플리케이션 기반 라우팅을 위해 처리되는 세션 수, 해당 세션에 APBR이 적용된 횟수 등 APBR에 대한 통계를 표시합니다.

작업

구성 모드에서 명령을 show security advance-policy-based-routing statistics 입력합니다.

의미

명령 출력은 다음과 같은 세부 사항을 표시합니다.

  • 애플리케이션 기반 라우팅을 위한 세션 처리

  • 애플리케이션 트래픽이 APBR 프로파일과 일치하는 횟수와 APBR이 세션에 적용된 횟수입니다.

  • 애플리케이션 트래픽을 식별하기 위해 AppID를 컨설팅한 횟수입니다.

자세한 내용은 보안 사전 정책 기반 라우팅 통계를 표시하십시오.

APBR 정책 구성 검증

목적

APBR 정책, 관련 APBR 프로필에 대한 정보를 표시하고 APBR 정책 조회 수에 대한 정보를 표시합니다.

작업

구성 모드에서 명령을 show security advanced-policy-based-routing 입력합니다.

구성 모드에서 명령을 show security advanced-policy-based-routing hit-count 입력합니다.

의미

명령 출력은 다음과 같은 세부 사항을 표시합니다.

  • 정책 상태, 관련 APBR 프로필과 같은 세부 정보.

  • 수신 히트 수에 따라 정책 유틸리티 비율을 표시합니다.

URL 범주 기반 라우팅 이해

릴리스 18.Junos OS 18.3 R1에서 시작되는 URL 범주 기반 라우팅은 SRX 시리즈 디바이스와 여러 인스턴스에서 vSRX 지원됩니다. URL 범주 기반 라우팅을 사용하면 APBR 프로필에서 URL 범주를 일치 조건으로 사용할 수 있습니다. URL 범주는 대상 서버 IP 주소를 기반으로하며 범주 식별은 EWF(Enhanced Web Filtering) 및 UTM(Unified Threat Management)(Unified Threat Management) 모듈에서 얻은 로컬 웹 필터링 결과에서 활용됩니다.

URL 범주 기반 라우팅을 사용하면 웹 트래픽(HTTP 및 HTTPS)을 식별하고 선택적으로 특정 대상에 라우팅할 수 있습니다.

웹 필터링은 호스트, URL 또는 IP 주소에 따라 웹 사이트를 범주로 분류하고 해당 범주를 기준으로 필터링을 수행합니다. 규칙에서 URL 범주를 일치 조건으로 지정하여 APBR 프로파일을 구성할 수 있습니다. APBR 프로파일 규칙은 트래픽과 지정된 일치 기준을 일치하면 구성된 APBR 프로파일이 세션의 애플리케이션 서비스로 적용됩니다. 예를 들어 소셜 미디어와 같은 특정 웹 사이트 범주에 속하는 모든 트래픽을 특정 다음 홉을 통해 라우팅하려는 경우를 예로 들어 보겠습니다. 이 경우 정책에서 Enhanced_Social_Web_Facebook, Enhanced_Social_Web_Linkedin, Enhanced_Social_Web_Twitter 또는 Enhanced_Social_Web_Youtube 같은 URL 범주 목록과 함께 새로운 APBR 프로필을 생성할 수 있습니다. 규칙에서 정의된 URL 범주 중 하나와 일치하는 트래픽은 특정 라우팅 인스턴스의 경로를 사용하여 포상됩니다.

APBR 프로파일이 규칙에 포함된 URL 범주와 트래픽을 일치하면, APBR은 웹 필터링 모듈을 쿼리하여 URL 범주 세부 정보를 얻습니다. URL 필터링 캐시에서 URL 범주를 사용할 수 없는 경우 보안 디바이스는 범주화 세부 사항을 위해 웹 필터링으로 구성된 사설 클라우드로 요청을 전송합니다. 트래픽이 URL 범주와 일치하지 않을 경우 요청이 지정되지 않은 경우 세션이 정상적인 처리(비 APBR 경로)를 하게 됩니다.

참고:

EWF로 구성된 프라이빗 클라우드가 3초 간격 동안 URL 범주 요청에 응답하지 않는 경우 세션이 정상적인 처리(비 APBR 경로)를 하게 됩니다.

APBR 프로파일의 규칙 처리

애플리케이션 속성을 기반으로 트래픽을 분류하고 이러한 속성을 기반으로 정책을 적용하여 트래픽을 리디렉션하여 고급 정책 기반 라우팅을 제공할 수 있습니다. 이를 위해 APBR 프로필을 정의하고 이를 APBR 정책에 연결해야 합니다. APBR 프로필을 생성하여 동적 애플리케이션, 애플리케이션 그룹 또는 둘 모두를 사용하는 여러 규칙을 포함하거나 URL 범주를 일치 조건으로 포함할 수 있습니다. APBR 프로파일에 구성된 규칙은 다음 중 하나를 포함할 수 있습니다.

  • 1개 이상의 애플리케이션, 동적 애플리케이션 또는 애플리케이션 그룹

  • URL 범주(IP 대상 주소)—EWF 또는 로컬 웹 필터링.

APBR 프로파일에서 두 일치 조건 모두에 대해 규칙 룩업이 수행됩니다. 단 하나의 일치 기준만 사용 가능한 경우, 규칙 룩업은 사용 가능한 일치 기준에 따라 수행됩니다.

APBR 프로필에는 트래픽과 애플리케이션 또는 URL 범주를 일치하기 위한 규칙과 일치되는 트래픽을 루트 룩업을 위해 지정된 라우팅 인스턴스로 리디렉션하는 작업이 포함됩니다.

Junos OS Release18.3R1에서 URL 범주 일치는 대상 IP 주소를 기반으로 수행됩니다. 이 때문에, URL 범주 기반 규칙 일치는 세션의 첫 번째 패킷에서 종료됩니다. 동적 애플리케이션은 세션 중간에 식별될 수 있습니다. 애플리케이션 식별 프로세스가 완료될 때까지 동적 애플리케이션 규칙에 대한 일치 프로세스는 계속됩니다.

URL 범주 기반 라우팅의 이점

  • URL 기반 범주를 사용하면 웹 트래픽을 세부 제어할 수 있습니다. 특정 범주의 웹사이트에 속하는 트래픽은 서로 다른 경로를 통해 리디렉션되고 이 범주에 따라 HTTPS 트래픽에 대한 SSL 암호 해독을 비롯한 추가 보안 처리가 이루어 지게 됩니다.

  • URL 범주에 기반한 트래픽 처리 기능을 사용하면 선택한 웹사이트에서 서로 다른 경로를 사용할 수 있습니다. 서로 다른 경로를 사용하면 더 나은 QoE(Quality of Experience)를 얻게 됩니다. 또한 가용 대역폭을 효과적으로 활용할 수 있습니다.

  • SD WAN(Software-Defined Wide-Area Network) 솔루션은 동적 애플리케이션 기반 라우팅과 함께 URL 범주 기반 라우팅을 활용할 수 있습니다.

  • URL 범주 기반 라우팅은 소스 및 구성 변경 시 사용할 수 있을 때 로컬 인터넷 브레이크아웃 솔루션에 네트워크 주소 변환(NAT) 있습니다.

URL 범주 기반 라우팅의 제한

APBR 프로필에서 URL 범주를 사용하려면 다음과 같은 제한이 있습니다.

  • APBR 프로필의 URL 범주 식별에는 대상 IP 주소만 사용됩니다. 호스트 또는 URL 또는 SNI 필드에 기반한 URL 범주는 지원되지 않습니다.

  • APBR 프로파일 규칙에서 동적 애플리케이션 또는 URL 범주를 일치 조건으로 구성할 수 있습니다. URL 범주 및 동적 애플리케이션을 모두 사용하여 규칙을 구성하면 커밋 오류가 발생합니다.

예: URL 범주 기반 라우팅 구성

이 예에서는 URL 범주 기반 라우팅을 구성하는 방법을 보여줍니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • SRX 시리즈 디바이스(Junos OS 18.3 R1 이상) 이 구성 예는 Junos OS 18.3 R1에서 테스트됩니다.

  • SRX 시리즈 디바이스에 설치된 유효한 애플리케이션 식별 기능 라이선스입니다.

  • 강화된 웹 필터링(EWF) 옵션을 사용하려면 웹 필터링 라이선스를 주니퍼 네트웍스 수 있습니다. 로컬 웹 필터링에는 라이선스가 필요하지 않습니다.

개요

이 예에서는 SRX 시리즈 디바이스에서 APBR을 구성하여 트러스트 존에 도착하는 소셜 미디어 트래픽을 URL 범주 기반 라우팅을 사용하는 인터페이스로 전달하는 방법을 보여줍니다.

트래픽이 도착하면 APBR 프로파일과 일치하며 일치 규칙이 발견될 경우 라우팅 인스턴스에 지정된 지정된 따라 패킷이 정적 경로 및 넥프 IP 주소로 전달됩니다. 다음 홉 주소에 도달하면 라우팅 테이블에서 구성된 정적 경로가 포우링 테이블에 추가됩니다. 정적 경로로 전달되는 모든 트래픽은 특정 장비 또는 인터페이스로 전송될 수 있도록 다음 홉 주소로 전송됩니다.

이 예에서는 다음과 같은 구성을 완료합니다.

  • 다음 유형의 웹 필터링을 사용할 수 있습니다.

    • EWF(Enhanced Web Filtering)—장비에서 EWF를 활성화하면 EWF 엔진은 HTTP 및 HTTPS 요청을 가로채 URL을 사전 정의된 95개 이상의 범주 중 하나로 분류하고 사이트 평판 정보를 제공합니다. 로컬 웹 필터링을 사용하여 URL 기반 라우팅 구성을 확인합니다.

    • 로컬 웹 필터링—로컬 웹 필터링을 활성화할 경우 여러 URL 목록과 함께 맞춤형 URL 범주를 구성하고 허용, 로그, 차단 및 검리와 같은 UTM(Unified Threat Management) 웹 필터링 프로필에 적용할 수 있습니다. 로컬 웹 필터링을 사용하려면 웹 필터링 프로필을 생성하고 범주 사용자 지정이 프로필에 속하는지 확인해야 합니다. EWF를 사용하여 URL 범주 기반 라우팅 구성을 참조하세요.

  • 라우팅 인스턴스 및 라우팅 정보 베이스(RIB(Routing table group)를 정의합니다.

  • APBR 프로필을 정의하고 이를 APBR 정책에 연결합니다.

EWF를 사용하여 URL 범주 기반 라우팅 구성

이 섹션에서는 EWF를 사용하여 URL 범주 기반 라우팅을 구성하는 단계를 설명합니다. 표 2는 이 예에서 사용된 매개 변수에 대한 세부 정보를 제공합니다.

사용한 URL 범주 기반 라우팅의 구성 매개변수
표 2: EWF를

매개 변수

이름

설명

APBR 프로필

apbr-pr1

APBR 프로필의 이름.

APBR 정책

p1

APBR 정책의 이름.

규칙

  • 규칙 이름—규칙-social-nw

  • 일치하는 URL 카테고리—Enhanced_Facebook_Apps

  • 정책 작업—라우팅 인스턴스 RI1과 연결

APBR 프로파일 규칙의 이름.

APBR 프로파일 규칙은 트래픽을 정의된 URL 범주와 일치하고 라우팅 룩업을 위해 일치하는 트래픽을 지정된 라우팅 인스턴스(예: RI1)로 리디렉션합니다.

범주

Enhanced_Social_Web_Facebook

트래픽 매칭에 대한 APBR 프로파일 규칙에 정의된 범주

라우팅 인스턴스

  • 인스턴스 이름—RI1

  • 인스턴스 유형—포우링

  • 정적 경로—1.0.0.254/8

  • Next-hop—1.0.0.1

유형 포우링의 라우팅 인스턴스는 트래픽을 포우링하는 데 사용됩니다.

정적 라우트(IP 주소 1.0.0.254/8)로 전달되는 정적 트래픽은 모두 넥스 홉 디바이스(IP 주소 1.0.0.1)로 전달됩니다.

RIB 그룹

apbr_group

RIB 그룹의 이름.

RIB 그룹은 포링 라우팅 인스턴스와 인터페이스 경로를 공유합니다. 다음 홉을 확인하기 위해 기본 라우팅 테이블의 인터페이스 경로는 라우팅 인스턴스에 지정된 라우팅 테이블과 RIB 그룹을 통해 공유됩니다.

EWF를 사용하여 URL 범주 기반 라우팅을 수행하려면 다음 절차를 완료해야 합니다.

향상된 웹 필터링 지원

단계별 절차

APBR 프로필에서 URL 범주를 일치 조건으로 사용하려면 먼저 EWF를 활성화해야 UTM(Unified Threat Management).

참고:

EWF 옵션을 사용하려면 웹 필터링 라이선스를 주니퍼 네트웍스 필요합니다. 로컬 웹 필터링에는 라이선스가 필요하지 않습니다.

  1. 웹 필터링 유형을 으로 지정하여 EWF를 juniper-enhanced 활성화합니다.

  2. 구성된 EWF 엔진에 대해 캐시 크기를 500초 및 캐시 타임아웃(1800초)으로 설정합니다.

    EWF 구성에 대한 자세한 내용은 EWF(Enhanced Web Filtering)를 참조하십시오.

라우팅 인스턴스 및 RIB 그룹 정의

단계별 절차

라우팅 인스턴스 및 RIB 그룹을 정의합니다.

  1. 라우팅 인스턴스를 생성하여 트래픽을 다른 다음 홉으로 전달합니다. 이 단계에서는 정적 라우트 1.0.0.254/8을 구성하고 다음 홉 주소는 1.0.0.1로 구성합니다.

  2. RIB 그룹을 생성합니다.

    기본 라우팅 테이블(inet.0)의 인터페이스 경로는 라우팅 인스턴스 RI1.inet.0에 지정된 라우팅 테이블과 RIB 그룹을 통해 공유됩니다.

APBR 프로필 구성

단계별 절차

Facebook 애플리케이션에 대한 규칙을 생성하고 일치하는 트래픽을 라우팅 인스턴스 RI1로 전달합니다.

  1. APBR 프로필을 생성하고 URL 범주에 대한 일치 기준을 정의합니다.

    APBR 프로필 규칙은 정의된 URL 범주의 트래픽과 일치합니다. 즉, 이 예에서는 Facebook 애플리케이션과 일치합니다.

  2. URL 범주에 일치하는 트래픽에 대한 작업을 지정합니다.

    이 단계에서 apbr-pr1 규칙과 일치하는 트래픽이 라우팅 인스턴스 RI1로 리디렉션될 것으로 지정합니다.

APBR 정책 구성 및 APBR 프로필 연결

단계별 절차

URL 범주 기반 라우팅을 지원하기 위해 애플리케이션 프로필을 APBR 정책에 연결합니다.

  1. APBR 정책을 정의합니다. 소스 주소, 대상 주소 및 애플리케이션에 대해 정책 일치 조건을 any 지정합니다.

    트래픽이 도착하면 APBR 정책 규칙에 따라 일치합니다.

  2. APBR 프로필을 정책에 연결합니다.

    트래픽이 APBR 정책(p1) 규칙과 일치하면 APBR 프로필 apbr-pr1이 APBR 정책의 조치로 트래픽에 적용됩니다. Facebook 애플리케이션과 일치하는 트래픽은 APBR 프로파일 규칙-social-nw에 따라 라우팅 인스턴스 RI1로 리디렉션됩니다.

결과

구성 모드에서 명령을 입력하여 show 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

[edit security]

[edit]

[edit]

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

로컬 웹 필터링을 사용하여 URL 기반 라우팅 구성

이 섹션에서는 로컬 웹 필터링을 사용하여 URL 범주 기반 라우팅을 구성하는 단계를 설명합니다.

표 3은 이 예에서 사용된 매개 변수에 대한 세부 정보를 제공합니다.

웹 필터링을 사용한 URL 범주 기반 라우팅을 위한 APBR 구성 매개변수
표 3: 로컬

매개 변수

이름

설명

APBR 프로필

apbr-pr2

APBR 프로필의 이름.

APBR 정책

p2

APBR 정책의 이름.

규칙

  • 규칙 이름—rule2

  • 일치하는 URL 카테고리—사용자 지정

  • 정책 작업—라우팅 인스턴스 RI2와 연결

APBR 프로파일 규칙의 이름.

APBR 프로파일 규칙은 트래픽을 정의된 URL 범주와 일치하고 라우팅 룩업을 위해 일치하는 트래픽을 지정된 라우팅 인스턴스(예: RI2)로 리디렉션합니다.

사용자 지정 범주(URL 패턴)

203.0.113.0

203.0.113.10

트래픽 매칭에 대한 APBR 프로파일 규칙에 정의된 범주

라우팅 인스턴스

  • 인스턴스 이름—RI2

  • 인스턴스 유형—포우링

  • 정적 경로—5.0.0.10

  • Next-hop—9.0.0.1

유형 포우링의 라우팅 인스턴스는 트래픽을 포우링하는 데 사용됩니다.

정적 라우트(IP 주소 5.0.0.10)로 전달되는 정적 트래픽은 모두 다음 홉 디바이스(IP 주소 9.0.0.1)로 전달됩니다.

RIB 그룹

apbr_group2

RIB 그룹의 이름.

RIB 그룹은 포링 라우팅 인스턴스와 인터페이스 경로를 공유합니다. 다음 홉을 확인하기 위해 기본 라우팅 테이블의 인터페이스 경로는 라우팅 인스턴스에 지정된 라우팅 테이블과 RIB 그룹을 통해 공유됩니다.

로컬 웹 필터링을 사용하여 URL 범주 기반 라우팅을 수행하려면 다음 절차를 완료해야 합니다.

로컬 웹 필터링 지원

단계별 절차

APBR 프로필에서 URL 범주를 일치 조건으로 사용하려면, 로컬 웹 필터링을 네트워크에서 활성화해야 UTM(Unified Threat Management).

  1. 웹 필터링 유형을 으로 지정하여 로컬 웹 필터링을 juniper-local 활성화합니다.

  2. 사용자 지정 객체 및 URL 패턴 목록을 생성합니다.

    이 단계에서는 HTTP에서 IP 주소 203.0.113.0 또는 203.0.113.10과 일치하는 패턴을 생성합니다.

  3. 사용자 지정 URL 범주 목록을 구성합니다.

    이 예제에 지정된 URL 범주는 사용자 지정입니다. 여기서 URL 목록을 추가할 수 있습니다. 이 단계에서는 2단계에서 생성된 local1 주소 203.0.113.1 및 203.0.113.10과 일치하는 패턴을 포함하는 URL 목록을 추가합니다.

  4. 웹 필터링 프로필을 구성합니다.

    웹 필터링 프로필에는 허용 조치가 있는 사용자 정의 범주가 포함됩니다.

    로컬 웹 필터링 구성에 대한 자세한 내용은 로컬 웹 필터링 을 참조하십시오.

라우팅 인스턴스 및 RIB 그룹 정의

단계별 절차

라우팅 인스턴스 및 RIB 그룹을 정의합니다.

  1. 라우팅 인스턴스를 생성하여 트래픽을 다른 다음 홉으로 전달합니다. 이 예에서는 9.0.0.1의 다음 홉 주소를 사용하여 정적 라우트 5.0.0/10을 구성합니다.

  2. RIB 그룹을 생성합니다.

    기본 라우팅 테이블(inet.0)의 인터페이스 경로는 라우팅 인스턴스(RI2.inet.0)에 지정된 라우팅 테이블과 RIB 그룹을 통해 공유됩니다.

APBR 프로필 구성

단계별 절차

사용자 지정 URL 패턴과 일치하는 트래픽을 라우팅 인스턴스 RI2로 전달하기 위한 규칙을 생성합니다.

  1. APBR 프로필을 생성하고 URL 범주에 대한 일치 기준을 정의합니다.

    APBR 프로파일 규칙은 정의된 사용자 정의 URL 범주와 트래픽을 일치합니다. 즉, 이 예에서는 주소 203.0.113.1 및 203.0.113.10과 일치하는 URL 패턴이 있는 트래픽입니다.

  2. URL 범주에 일치하는 트래픽에 대한 작업을 지정합니다.

    이 단계에서 규칙과 일치하는 트래픽이 라우팅 인스턴스 RI2로 리디렉션될 것으로 지정합니다.

APBR 정책 구성 및 APBR 프로필 첨부

단계별 절차

APBR 프로필을 APBR 정책에 연결하여 URL 범주 기반 라우팅을 활성화합니다.

  1. APBR 정책을 정의합니다. 소스 주소, 대상 주소 및 애플리케이션에 대해 정책 일치 조건을 any 지정합니다.

    트래픽이 도착하면 APBR 정책 규칙에 따라 일치합니다.

  2. APBR 프로필을 정책에 연결합니다.

    트래픽이 APBR 정책(p2) 규칙과 일치하면 APBR 프로필 apbr-pr2가 APBR 정책의 조치로 트래픽에 적용됩니다. Facebook 애플리케이션과 일치하는 트래픽은 APBR 프로파일 규칙 규칙2에 따라 라우팅 인스턴스 RI2로 리디렉션됩니다.

결과

구성 모드에서 명령을 입력하여 show 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

[edit security]

[edit]

[edit]

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

확인

APBR 통계 검증

목적

애플리케이션 기반 라우팅을 위해 처리된 세션 수, 해당 세션에 APBR이 적용된 횟수 등 APBR에 대한 통계를 표시합니다.

작업

구성 모드에서 명령을 show security advance-policy-based-routing statistics 입력합니다.

user@host> show security advance-policy-based-routing statistics

의미

명령 출력은 다음과 같은 세부 사항을 표시합니다.

  • 애플리케이션 기반 라우팅을 위한 세션 처리

  • 애플리케이션 시스템 캐시(ASC)에 있는 엔트리의 존재를 발견한 횟수

  • 애플리케이션 트래픽이 APBR 프로파일과 일치하는 횟수와 APBR이 세션에 적용된 횟수

  • 애플리케이션 트래픽을 식별하기 위해 AppID(Application Identification) 횟수를 협의했습니다.

  • 세션에 APBR을 적용한 횟수

APBR 규칙의 애플리케이션 서비스 우회

APBR 프로필을 생성하여 동적 애플리케이션, 애플리케이션 그룹 또는 둘 모두를 사용하는 여러 규칙을 포함하거나 보안 디바이스의 일치 기준인 URL 범주를 포함할 수 있습니다. URL 범주 기반 라우팅을 사용하면 웹 트래픽(HTTP 및 HTTPS)을 식별하고 선택적으로 특정 대상 또는 웹 트래픽에 대한 추가 검사가 필요한 다른 디바이스로 라우팅할 수 있습니다. 이 경우 추가 검사를 위해 장비로 전달되는 세션에서 애플리케이션 서비스를 적용하거나 우회하지 않는 옵션을 선택할 수 있습니다.

릴리스 Junos OS 릴리스 19.1R1 APBR 규칙을 사용하여 다시 라우팅되는 세션의 애플리케이션 서비스를 우회할 수 있습니다.

다음 시퀀스는 애플리케이션 서비스를 우회하는 것입니다.

  1. APBR은 애플리케이션 세부 정보를 사용하여 APBR 프로필(애플리케이션 프로파일)에서 일치 규칙을 찾아야 합니다.

  2. 일치하는 APBR 규칙이 발견될 경우 트래픽은 루트 룩업을 위해 지정된 라우팅 인스턴스로 리디렉션됩니다.

  3. APBR 규칙에서 세션에서 애플리케이션 서비스를 우회하도록 옵션을 구성하면 애플리케이션 서비스를 세션으로 우회하려는 시도가 수행됩니다.

  4. 로그 메시지가 생성되거나 업데이트되어 세션에서 애플리케이션 서비스의 우회를 나타냅니다.

APBR 규칙을 사용하여 보안 정책, AppQoS(Application 서비스 품질), Juniper Sky ATP, 침입 탐지 및 방지(IDP), 보안 인텔리전스(SecIntel) UTM(Unified Threat Management) 애플리케이션 서비스를 우회할 수 있습니다.

우회가 효과를 내기 위해서는 APBR 규칙이 첫 번째 패킷에서 일치해야 합니다. 첫 번째 패킷 이후 규칙이 일치하고 규칙에 우회 옵션이 구성된 경우 우회 옵션이 무시되고 애플리케이션 서비스가 우회되지 않습니다.

ALG 서비스는 이 기능으로 인해 ALG를 우회할 수 없습니다. 이는 잠재적으로 적절한 보안 정책과 일치하지 않는 상관(데이터) 세션을 결과로 이어질 수 있습니다.

예: APBR 규칙을 사용하여 애플리케이션 서비스 우회

다음 예제에서는 APBR 규칙을 사용하여 세션에서 애플리케이션 서비스를 우회하는 방법을 보여줍니다. URL 범주 기반 라우팅을 사용하면 웹 트래픽(HTTP 및 HTTPS)을 식별하고 선택적으로 특정 대상 또는 다른 디바이스로 라우팅할 수 있습니다. 여기에서 웹 트래픽에 대한 추가 검사를 수행할 수 있는 세션의 애플리케이션 서비스를 우회하도록 구성할 수 있습니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • 릴리스가 Junos OS SRX 시리즈 19.1R1 디바이스. 이 구성 예는 Junos OS Release 19.1R1.

  • SRX 시리즈 디바이스에 설치된 유효한 애플리케이션 식별 기능 라이선스입니다.

시작하기 전에 다음을 할 수 있습니다.

  • 라우팅 인스턴스 및 RIB 그룹을 정의합니다.

  • 전송 트래픽에 대한 규칙을 적용하고, 디바이스를 통과할 수 있는 트래픽과 해당 트래픽이 장치를 통과할 때 트래픽에서 수행해야 하는 조치를 지정하는 적절한 보안 정책

개요

이 예에서는 SRX 시리즈 디바이스에서 APBR을 구성하여 트러스트 존에 도착하는 소셜 미디어 트래픽을 URL 범주 기반 라우팅을 사용하는 인터페이스로 전달하고 동일한 세션에서 애플리케이션 서비스를 우회하는 방법을 보여줍니다.

이 예에서는 다음과 같은 구성을 완료합니다.

  • APBR 프로필을 정의하고 이를 APBR 정책에 연결합니다. APBR 프로필에는 트래픽과 애플리케이션 및 URL 범주를 일치하기 위한 규칙이 포함되어 있습니다.

  • 다음으로 APBR 프로파일 규칙의 작업을 지정합니다. 즉, 루트 룩업을 위해 일치하는 트래픽을 지정된 라우팅 인스턴스로 리디렉션합니다.

  • 일치하는 트래픽에 대한 애플리케이션 우회 옵션을 지정합니다.

트래픽이 도착하면, APBR 프로파일과 일치하며, 일치 규칙이 발견된 경우 패킷은 정적 경로로 전달됩니다. 정적 경로로 전달되는 모든 트래픽은 특정 장비 또는 인터페이스로 전송될 수 있도록 다음 홉 주소로 전송됩니다. 매칭 트래픽에 대한 애플리케이션 우회 옵션을 구성한 이후, 넥스 홉 주소에서 특정 장비로 전달된 트래픽은 애플리케이션 서비스에 적용되지 않습니다.

구성

이 섹션에서는 향상된 EWF(Web Filtering)를 사용하고 트래픽에 애플리케이션 서비스를 전달하여 URL 범주 기반 라우팅을 구성하는 단계를 제공합니다.

향상된 웹 필터링 지원

단계별 절차

APBR 프로필에서 URL 범주를 일치 조건으로 사용하려면 먼저 EWF를 활성화해야 UTM(Unified Threat Management).

참고:

EWF 옵션을 사용하려면 웹 필터링 라이선스를 주니퍼 네트웍스 수 있습니다. 로컬 웹 필터링에는 라이선스가 필요하지 않습니다.

  1. 웹 필터링 유형을 으로 지정하여 EWF를 juniper-enhanced 활성화합니다.

  2. 구성된 EWF 엔진에 대해 캐시 크기를 500초 및 캐시 타임아웃(1800초)으로 설정합니다.

    EWF 구성에 대한 자세한 내용은 EWF(Enhanced Web Filtering)를 참조하십시오.

APBR 규칙 구성

단계별 절차

Facebook 애플리케이션에 대한 규칙을 생성하고 일치하는 트래픽을 라우팅 인스턴스 RI1로 전달합니다.

  1. APBR 프로필을 생성하고 URL 범주에 대한 일치 기준을 정의합니다.

    APBR 프로필 규칙은 정의된 URL 범주의 트래픽과 일치합니다. 즉, 이 예에서는 Facebook 애플리케이션과 일치합니다.

  2. URL 범주에 일치하는 트래픽에 대한 작업을 지정합니다.

    이 단계에서 apbr-pr1 규칙과 일치하는 트래픽이 라우팅 인스턴스 RI1로 리디렉션될 것으로 지정합니다.

  3. APBR 규칙과 일치하는 트래픽에 대해 우회 애플리케이션 서비스를 지정합니다.

    이 단계에서 apbr-pr1 규칙과 일치하는 트래픽이 애플리케이션 서비스를 우회하는지 지정합니다.

APBR 정책 구성 및 APBR 프로필 첨부

단계별 절차

URL 범주 기반 라우팅을 지원하기 위해 애플리케이션 프로필을 APBR 정책에 연결합니다.

  1. APBR 정책을 정의합니다. 소스 주소, 대상 주소 및 애플리케이션에 대해 정책 일치 조건을 any 지정합니다.

    트래픽이 도착하면 APBR 정책 규칙에 따라 일치합니다.

  2. APBR 프로필을 정책에 연결합니다.

    트래픽이 APBR 정책(p1) 규칙과 일치하면 APBR 프로필 apbr-pr1이 APBR 정책의 조치로 트래픽에 적용됩니다. Facebook 애플리케이션과 일치하는 트래픽은 APBR 프로파일 규칙-social-nw에 따라 라우팅 인스턴스 RI1로 리디렉션됩니다. 또한 APBR 프로파일 규칙 규칙-social-nw에 지정된 세션에 대한 애플리케이션 서비스는 우회됩니다.

결과

구성 모드에서 명령을 입력하여 show 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

[edit security]

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

확인

APBR 통계 검증

목적

애플리케이션 기반 라우팅을 위해 처리된 세션 수, 해당 세션에 APBR이 적용된 횟수 등 APBR에 대한 통계를 표시합니다.

작업

구성 모드에서 명령을 show security advance-policy-based-routing statistics 입력합니다.

user@host> show security advance-policy-based-routing statistics

의미

명령 출력은 다음과 같은 세부 사항을 표시합니다.

  • 애플리케이션 기반 라우팅을 위한 세션 처리

  • 애플리케이션 시스템 캐시(ASC)에 있는 엔트리의 존재를 발견한 횟수

  • 애플리케이션 트래픽이 APBR 프로파일과 일치하는 횟수와 APBR이 세션에 적용된 횟수

  • 애플리케이션 트래픽을 식별하기 위해 AppID(Application Identification) 횟수를 협의했습니다.

  • 세션에 APBR을 적용한 횟수

  • 세션에서 애플리케이션 서비스가 우회된 횟수

APBR 정책에서 사용자 소스 ID 지원

Junos OS Release 19.1R1 시작하여 사용자 소스 아이덴티티를 소스 주소, 대상 주소 및 애플리케이션과 함께 일치 기준 중 하나로 정의하여 고급 정책 기반 라우팅(APBR) 정책을 구성할 수 있습니다. 매치에 성공하면 APBR 정책으로 구성된 APBR 프로파일이 세션에 애플리케이션 서비스로 적용됩니다. 소스 ID를 사용하면 UIT(User Identification Table)같은 리포지토리에 저장된 사용자 정보를 활용할 수 있습니다.

소스 아이덴티티 필드는 정책이 적용되는 사용자와 역할을 지정합니다. 소스 아이덴티티 필드가 정책에 일치 기준으로 지정되는 경우, 정책 룩업이 진행되기 전에 사용자 및 역할 정보를 검색해야 합니다. APBR 정책에서 소스 아이덴티티 옵션을 일치 기준으로 사용하는 것은 선택 사항입니다. 소스 아이덴티티 필드의 값이 소스 아이덴티티 필드에 입력되지 않은 경우, 사용자 정보와 역할 정보가 필요하지 않습니다. 다른 일치 기준은 정책 룩업에 사용됩니다.

소스 아이덴티티 필드를 사용하여 다음 키워드를 사용하여 하나 이상의 사용자 또는 사용자 역할을 지정할 수 있습니다.

  • 인증된 사용자—인증된 사용자

  • 인증되지 않은 사용자—인증되지 않은 사용자

  • 모든 사용자들은 인증 상태에 관계없이 모든 사용자를 보호할 수 있습니다. 소스 아이덴티티 필드가 구성되지되거나 모든 필드로 설정된 경우, 다른 일치 기준만이

  • 알 수 없는 사용자—정전과 같은 인증 서버 연결이 해제된 경우 인증을 인증할 수 없는 사용자

보안 장비에서 UIT(User Identification Table)는 이미 인증된 활성 사용자에게 사용자 및 역할 정보를 제공합니다. 테이블의 각 엔트리는 IP 주소를 인증된 사용자 및 역할에 매핑합니다.

UIT에는 모든 인증된 사용자에 대한 IP 주소, 사용자 이름 및 역할 정보가 포함되어 있습니다. 사용자 ID 테이블의 항목은 IP 주소로 주문됩니다.

보안 디바이스에서 지원되는 UIT의 유형은 로컬 인증 테이블입니다. 로컬 인증 테이블은 APBR 정책에서 요구하는 정보에 대한 인증 소스의 역할을 합니다. 로컬 인증 테이블은 디바이스에서 생성된 정적 UIT로, 수동 또는 프로그래밍 CLI 있습니다. 로컬 인증 테이블에 포함된 모든 사용자는 인증된 사용자로 간주됩니다. 사용자 및 역할 정보를 검색하기 위해 트래픽에 해당하는 IP 주소가 있는 엔트리에 대한 인증 테이블에서 검색이 수행됩니다. 일치하는 IP 주소가 발견되면 사용자 및 역할 정보는 테이블 엔트리에서 검색하고 트래픽과 연관됩니다. 찾지 못하면 사용자로 분류됩니다.

사용자 및 역할 정보는 장비에서 수동으로 생성하거나 타사 인증 서버에서 이식할 수 있지만 로컬 인증 테이블의 데이터는 실시간으로 업데이트되지 않습니다.

APBR 정책 룩업 동안, APBR 정책에 구성된 사용자 및 사용자 역할이 있지만 엔트리가 로컬 인증 테이블에 없는 경우 정책이 일치하지 않습니다. 수신 히트 수에 따라 보안 정책 유틸리티 비율을 표시하는 히트 카운트(hit count) 값을 나타냈다.

사용자 역할 검색 및 정책 룩업 프로세스에 대한 자세한 내용은 사용자 역할 방화벽 보안 정책 을 참조하십시오.

혜택

  • 네트워크를 선회하는 애플리케이션 트래픽에 대한 안전한 정책 적용을 보장하기 위해 보다 세분화된 수준에서 라우팅 동작을 정의할 수 있습니다.

  • 보다 유연한 트래픽 처리 기능을 제공하는 한편, 사용자 역할 및 비즈니스 요구 사항에 따라 패킷 포우링에 대한 세부적인 제어를 제공합니다.

로컬 인증 테이블

항목을 추가하거나 삭제하는 CLI 로컬 인증 테이블을 관리할 수 있습니다. 타사 인증 소스에서 IP 주소, 사용자 이름 및 역할을 로컬 인증 테이블에 프로그래밍하여 CLI 수 있습니다. 인증 소스가 사용자 및 그룹을 정의하는 경우 그룹은 역할로 구성될 수 있으며 보통처럼 사용자와 연관될 수 있습니다.

다음 명령을 사용하여 로컬 인증 테이블에 엔트리를 추가합니다. 테이블의 엔트리는 IP 주소를 사용하여 입력됩니다.

예제:

다음 명령을 사용하여 IP 주소 또는 사용자 이름에 따라 엔트리 삭제

다음 명령을 사용하여 로컬 인증 테이블을 지우기:

로컬 인증 테이블의 컨텐트는 다음과 같습니다.

자세한 내용은 로컬 인증 표 를 참조하십시오.

예: 소스 아이덴티티를 기준으로 고급 정책 기반 라우팅 정책 구성

다음 예제에서는 소스 ID를 사용하여 APBR 정책을 구성하는 방법과 APBR 정책 규칙과 일치하는 세션에 APBR 프로파일을 적용하는 방법을 보여줍니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • 릴리스가 Junos OS SRX 시리즈 19.1R1 디바이스입니다. 이 구성 예는 Junos OS Release 19.1R1.

  • SRX 시리즈 디바이스에 설치된 유효한 애플리케이션 식별 기능 라이선스입니다.

개요

이 예에서는 트러스트 존에 도착하는 HTTP 트래픽을 넥스트 홉 IP 주소에 지정된 특정 장비 또는 인터페이스로 전달하기를 원합니다.

트래픽이 트러스트 존에 도착하면 APBR 정책에 따라 일치합니다. 트래픽이 정책과 일치하면 구성된 APBR 규칙이 허용된 트래픽에 애플리케이션 서비스로 적용됩니다. 패킷은 APBR 규칙을 기반으로 정적 경로 및 라우팅 인스턴스에 지정된 다음 홉으로 전달됩니다. 다음 홉 주소에 도달하면 라우팅 테이블에서 구성된 정적 경로가 포우링 테이블에 삽입됩니다. 정적 경로로 전달되는 모든 트래픽은 특정 장치 또는 인터페이스로 전송될 수 있도록 다음 홉 주소로 전송됩니다.

이 예에서는 다음과 같은 구성을 완료해야 합니다.

  • 라우팅 인스턴스 및 RIB 그룹을 정의합니다.

  • ABPR 프로필을 생성합니다.

  • APBR 정책을 생성하고 APBR 프로필에 연결합니다.

구성

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit] commit 입력합니다.

고급 정책 기반 라우팅 구성

단계별 절차

로컬 인증 테이블에 엔트리를 추가합니다.

  1. 사용자 이름, IP 주소 및 사용자 역할 세부 정보를 입력합니다.

단계별 절차

APBR 정책과 일치하는 트래픽에 APBR을 적용하기 위해 다음을 합니다.

  1. 라우팅 인스턴스를 생성합니다.

  2. 하나 이상의 라우팅 테이블을 그룹화하여 라우팅 테이블로 apbr_group RIB 그룹을 형성하고 라우팅 테이블로 경로를 가져올 수 있습니다.

  3. APBR 프로필을 생성하고 규칙을 정의합니다.

  4. 보안 존을 생성합니다.

  5. APBR 정책을 생성하고 APBR 프로필을 보안 존에 적용합니다.

결과

구성 모드에서 명령어를 입력하여 show routing-instances show security zones 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

확인

APBR 정책 구성 검증

목적

APBR 정책, 관련 APBR 프로필에 대한 정보를 표시하고 APBR 정책 조회 수에 대한 정보를 표시합니다.

작업

구성 모드에서 명령을 show security advance-policy-based-routing detail 입력합니다.

의미

명령 출력은 현장에서 소스 ID 세부 정보를 Source identities 표시합니다.

APBR 규칙에서 DSCP를 일치 조건으로 사용

이 주제에는 다음 섹션이 포함되어 있습니다.

소개

애플리케이션 식별 기술은 DPI(심층 패킷 검사)에 활용됩니다. DPI 엔진이 애플리케이션을 식별할 수 없는 경우(예: 암호화된 트래픽)가 있습니다. 이러한 트래픽에 APBR 규칙을 적용하면 해당 트래픽에 APBR 기능이 적용되지 않으면서 정상적인 프로세싱이 진행됩니다.

SRX 시리즈 디바이스는 Junos OS 릴리스 19.3R1 일치 조건으로 APBR 규칙에서 DSCP 값 구성을 지원하여 DSCP 태그 트래픽에서 APBR 기능을 수행할 수 있습니다.

동적 애플리케이션 및 동적 애플리케이션 그룹과 같은 APBR 규칙의 다른 일치 기준 외에도 DSCP 값을 구성할 수 있습니다.

APBR 규칙에서 DSCP 값을 구성하면 DSCP 마킹을 통해 APBR 서비스를 트래픽으로 확장할 수 있습니다.

사용 사례

암호화된 트래픽에 대한 일치 기준으로 DSCP와 APBR 규칙을 사용할 수 있습니다.

제한

  • 단일 APBR 프로필에서 DSCP 값 및 URL 범주로 규칙을 구성할 수 없는 지원.

일치 조건으로 DSCP 값을 사용하는 경우 APBR 규칙 룩업

APBR 규칙에서 DSCP 값 또는 동적 애플리케이션 또는 둘의 조합을 구성할 수 있습니다.

APBR 규칙에서 DSCP와 동적 애플리케이션을 모두 구성한 경우 트래픽이 규칙에 지정된 모든 기준과 일치할 경우 규칙이 일치하는 것으로 간주됩니다. APBR 규칙에 여러 DSCP 값이 있는 경우, 한 기준이 일치하면 일치하는 것으로 간주됩니다.

APBR 프로파일은 다양한 일치 조건에 따라 각 규칙과 같은 여러 규칙을 포함할 수 있습니다.

APBR 프로파일에 있는 여러 APBR 규칙의 경우 규칙 룩업은 다음 우선 순위 순서를 따릅니다.

  1. DSCP + 동적 애플리케이션을 통해 규칙 수

  2. 동적 애플리케이션을 적용한 규칙

  3. DSCP 값의 규칙

APBR 프로파일에 여러 규칙이 포함되어 있는 경우 시스템은 규칙 룩업을 수행하고 다음 순서로 규칙을 적용합니다.

  • 시스템은 세션의 첫 번째 패킷에 대해 DSCP 기반 규칙을 적용합니다.

  • 시스템은 DPI 분류 또는 ASC(Application System Cache)에서 사용할 수 있는 애플리케이션 정보가 있는지 지속적으로 검사합니다.

  • 세션 중간에 DPI가 새 애플리케이션을 식별하면 시스템은 규칙 룩업을 수행하고 새로운 규칙(애플리케이션 기반 규칙 또는 DSCP 기반 규칙 또는 이 둘의 조합)을 적용합니다.

  • DPI가 최종 애플리케이션 또는 최대 재라우트 값에 도달할 때 애플리케이션을 식별할 수까지 애플리케이션 및 규칙 룩업을 계속 식별합니다.

  • 규칙 룩업이 규칙과 일치하지 않을 경우 추가 조치가 취해지지 않습니다.

APBR이 규칙 룩업을 수행하고 다음 두 예로 규칙을 적용하는 방법을 이해할 수 있습니다.

예 1

이 예에서는 DSCP 값 30을 사용하는 3개의 APBR 규칙, HTTP로 애플리케이션을 사용하는 다음 규칙, DSCP 값을 30으로 설정한 세 번째 규칙, HTTP와 같은 애플리케이션을 사용하는 세 번째 규칙을 구성합니다. 최대 경로 변경 값을 1(기본 값)으로 구성합니다.

표 4는 APBR이 규칙 룩업을 수행하고 규칙을 적용하는 방법을 보여줍니다.

적용한 APBR 규칙
표 4: DSCP 및 동적 애플리케이션을

세션

트래픽 유형

ASC 캐시

DPI 분류

매칭 규칙

첫 번째 세션

DSCP=30

NA

NA

규칙 1

미드스트림 세션

DSCP=30

애플리케이션 = HTTP

HTTP

규칙 3

규칙 룩업이 새 규칙과 일치하기 때문에 트래픽 스위치.

세션 중간의 규칙 변경에 따라 트래픽 스위치가 변경될 경우 최대 경로 변경 횟수가 0으로 감소합니다. 이제 이 시나리오에서는 추가 라우트 변경이 없습니다.

예 2

이 예에서는 DSCP 값 30을 사용하는 3개의 APBR 규칙, DSCP 값 60을 사용하는 다음 규칙, DSCP 값을 30으로 설정한 세 번째 규칙과 HTTP로 애플리케이션을 모두 사용하는 세 번째 규칙을 구성합니다.

표 5는 APBR이 규칙 룩업을 수행하고 규칙을 적용하는 방법을 보여줍니다.

있는 APBR 규칙
표 5: DSCP 값만

세션

트래픽 유형

ASC 캐시

DPI 분류

매칭 규칙

첫 번째 세션

DSCP=30

NA

NA

규칙 1

미드스트림 세션

DSCP=60

애플리케이션 = HTTP

DSCP=60

HTTP

규칙 2

DSCP 값이 미드스트림에서 30에서 60으로 변경된 경우 규칙 3이 트래픽과 일치하지 않습니다.

일치 기준(Match Criteria)으로 DSCP 값으로 APBR 규칙 구성

이 예에서는 DSCP 값을 일치 조건으로 APBR 규칙을 구성하는 방법을 보여줍니다.

구성

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit] commit 입력합니다.

단계별 절차

DSCP 및 동적 애플리케이션을 일치 기준으로 APBR 규칙을 구성합니다.

  1. 보안 존 및 인터페이스를 정의합니다.

  2. 클라이언트 디바이스를 연결하는 ingress 인터페이스에 대한 인터페이스 및 보안 존을 정의합니다.

  3. 라우팅 인스턴스를 구성합니다.

  4. 하나 이상의 라우팅 테이블을 그룹화하여 apbr-group이라고 하는 RIB 그룹을 형성하고 라우팅 테이블로 경로를 임포트합니다.

  5. 동적 애플리케이션 HTTP를 일치 기준으로 APBR 규칙을 정의합니다.

    APBR은 HTTP 애플리케이션과 일치하는 트래픽을 라우팅 인스턴스 RI1에 라우팅합니다.

  6. DSCP 및 HTTP 애플리케이션에 대한 또 다른 규칙을 생성합니다.

    APBR은 DSCP 값 56과 일치하는 트래픽을 라우팅 인스턴스 RI2에 라우팅합니다.

  7. DSCP 값 46으로 한 번 더 규칙을 정의합니다.

    APBR은 DSCP 값 46과 일치하는 트래픽을 라우팅 인스턴스 RI3에 라우팅합니다.

  8. APBR 프로파일을 보안 존에 적용합니다.

결과

구성 모드에서 , 및 명령어를 입력하여 show security advance-policy-based-routing show routing-instances show security zones 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

구성을 완료한 후 구성 commit 모드에서 입력합니다.

요구 사항

이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 활용합니다.

  • 릴리스가 Junos OS SRX 시리즈 19.3R1 디바이스. 이 구성 예는 Junos OS Release 19.3R1.

  • 모든 지원 SRX 시리즈 디바이스.

  • SRX 시리즈 디바이스에 설치된 유효한 애플리케이션 식별 기능 라이선스입니다.

개요

이 예에서는 DSCP 값 56 및 DSCP 값 46으로 태그가 지정된 HTTP 트래픽 및 트래픽을 각각 Site 1, Site 2, Site 3의 특정 디바이스 또는 인터페이스로 전달해야 합니다. 보안 장치는 APBR 기능을 사용하여 애플리케이션 또는 DSCP 값을 기반으로 트래픽을 선호 경로로 전달합니다.

트래픽이 트러스트 존에 도착하면 APBR은 트래픽과 구성된 APBR 프로필 규칙과 일치합니다. 트래픽이 규칙과 일치하면 APBR 규칙에 정의된 특정 대상으로 트래픽을 전달합니다.

예를 들어, 다음과 같은 애플리케이션의 유형에 따라 트래픽을 다른 목적지로 라우팅하도록 APBR을 구성할 수 있습니다.

  • 규칙 1—다음 홉 주소 192.0.2.254를 사용하여 HTTP 트래픽을 클라이언트 1에서 Site 1로 전달합니다.

  • 규칙 2—넥넥트 홉 디바이스 192.0.3.254를 사용하여 DSCP 값 56 및 HTTP 애플리케이션을 사이트 2로 전달합니다.

  • 규칙 3—넥넥트 홉 디바이스 192.0.4.254를 사용하여 DSCP 값을 46에서 Site 3으로 전달합니다.

그림 4는 이 예에서 사용된 토폴로지입니다.

그림 4: APBR(고급 정책 기반 라우팅) 구성을 위한 토폴로지 Topology for Advanced Policy-Based Routing (APBR) Configuration

표 6은 이 예에서 사용된 매개 변수에 대한 세부 정보를 제공합니다.

표 6: 구성 매개 변수

매개 변수

관련 매개 변수

설명

APBR 프로필

P1

APBR 프로필의 이름.

애플리케이션 및 DSCP 값에 일치하도록 규칙을 사용하여 프로필을 구성하고 매칭 트래픽을 위해 목적지(예: 라우팅 인스턴스)를 지정합니다.

RIB 그룹

RI1.inet.0

관련 라우팅 인스턴스—RI1

INet.0, RI1.inet.0, RI2.inet.0 및 RI3.inet.0에서 인터페이스 경로 엔트리를 가져오도록 RIB 그룹을 구성합니다.

RI1.inet.2

관련 라우팅 인스턴스—RI2

RI1.inet.3

관련 라우팅 인스턴스—RI3

라우팅 인스턴스

RI1

  • 정적 경로 - 192.0.0.0/16

  • Next-hop—192.0.2.254

넥스홉 IP 주소를 포함하도록 라우팅 인스턴스를 구성합니다. APBR은 정적 경로로 전달되는 적격 트래픽을 Site 1, Site 2 및 Site 3의 넥스 홉 디바이스 주소로 전달합니다.

RI2

  • 정적 경로—192.0.0.0/16

  • Next-hop—192.0.3.254

RI3

  • 정적 경로—192.0.0.0/16

  • Next-hop—192.0.4.254

APBR 규칙

R1

  • 매칭 애플리케이션—junos:HTTP

  • 관련 라우팅 인스턴스—RI1

APBR 규칙을 구성하고 동적 애플리케이션 또는 DSCP 값을 일치 기준으로 지정합니다.

APBR은 일치하는 트래픽을 관련 라우팅 인스턴스로 전달합니다.

R2

  • DSCP 가치 - 56 및 애플리케이션 — junos:HTTP.

  • 관련 라우팅 인스턴스—RI2

R3

  • DSCP 가치 일치— 46

  • 관련 라우팅 인스턴스—RI3

확인

고급 정책 기반 라우팅 통계 검증

목적

애플리케이션 기반 라우팅을 위해 처리되는 세션 수, 해당 세션에 APBR이 적용된 횟수 등 APBR에 대한 통계를 표시합니다.

작업

구성 모드에서 명령을 show security advance-policy-based-routing statistics 입력합니다.

의미

명령 출력은 다음과 같은 세부 사항을 표시합니다.

  • 애플리케이션 기반 라우팅을 위한 세션 처리

  • 애플리케이션 트래픽 또는 DSCP 태그 트래픽이 APBR 프로파일과 일치하는 횟수입니다.

  • 트래픽이 미드스트림의 다른 루트로 전환되는 횟수

고급 정책 기반 라우팅 세션 검증

목적

특정 세션에 대한 상세 정보를 포함하여 디바이스에서 활성 상태의 세션 및 패킷 플로우에 대한 정보를 표시합니다.

작업

구성 모드에서 명령을 입력하여 디바이스에서 현재 활성 상태인 모든 보안 세션에 대한 show security flow session 정보를 표시합니다.

의미

명령 출력은 다음과 같은 세부 사항을 표시합니다.

  • 디바이스의 모든 활성 세션 및 패킷 플로우입니다.

  • 서비스를 포함한 수신 및출출 IP 플로우 목록.

  • 예를 들어 플로우와 연관된 보안 속성은 해당 플로우에 속하는 트래픽에 적용되는 정책입니다.

  • 세션 타임아웃 값. 세션이 활성화된 경우, 세션이 활성 상태인 기간 및 세션에 활성 트래픽이 있는 경우

특정 APBR 규칙에 대한 APBR 미드스트림 라우팅 비활성화

미드스트림 라우팅을 선택적으로 비가시화해야 하는 이유

일부 세션은 애플리케이션 시그니처가 애플리케이션을 식별할 때 세션 중간에서 지속적인 분류를 통과합니다. 애플리케이션 서명에 의해 애플리케이션이 식별될 때마다 APBR이 적용되고 그 결과 트래픽 경로가 변경됩니다. 이 옵션을 사용하여 세션에 대해 루트가 변경할 수 있는 횟수를 제한할 수 max-route-change 있습니다. 이 옵션을 0으로 설정하면 특정 세션에서 APBR이 비활성화됩니다. 그러나 이 옵션은 필요 없는 장치에서 APBR 기능을 전 세계적으로 비활성화할 수도 있습니다.

미드스트림의 APBR 선택적 장애

릴리스 Junos OS 릴리스 19.4R1, 특정 APBR 규칙에 대한 세션 중간에 APBR 서비스를 선택적으로 해제하는 동시에 나머지 세션에 대한 글로벌 APBR 기능을 유지할 수 있습니다. 특정 APBR 규칙에 대한 미드스트림 라우팅을 비활성화하면 해당 애플리케이션 트래픽에 미드스트림 APBR이 적용되지 않는 시스템에서는 미드스트림 APBR이 적용되지 않습니다. 그리고 비 APBR 경로를 통해 트래픽을 라우팅합니다.

미드스트림 APBR을 선택적으로 비활성화하려면, 미드스트림 라우팅 비활성화 () [ 계층 수준에서 APBR disable-midstream-routing edit security advance-policy-based-routing profile apbr-profile-name rule apbr-rule-name 규칙을 구성할 수 있습니다.

표 7에는 선택적으로 미드스트림 APBR 옵션을 사용할 수 없습니다.

표 7: 다양한 시나리오에 대해 미드스트림에서
APBR을 선택적으로 비가동

트래픽 유형

APBR 규칙과 일치하는 트래픽

결과

새 세션(캐시 엔트리가 세션에 존재하지 않는 경우)

옵션 disable-midstream-routing 사용

세션이 기본 경로를 사용됩니다.

max-route-change 가치는 감소되지 않습니다.

옵션 disable-midstream-routing 없는 경우

미드스트림 APBR 적용

마지막 애플리케이션이 식별되거나 옵션에서 정의될 수까지 APBR을 max-route-change 적용합니다.

설정된 세션(세션에 캐시 엔트리가 존재하는 경우)

옵션 disable-midstream-routing 사용

APBR을 적용합니다.

추가 세션을 위해 APBR을 해체합니다. 즉, 캐시 공격 후 세션에서 추가 애플리케이션이 확인되는 경우에도 APBR은 해당 애플리케이션에 적용되지 않습니다.

옵션 disable-midstream-routing 없는 경우

APBR을 적용합니다.

마지막 애플리케이션이 식별되거나 옵션에서 정의될까지 APBR을 계속 max-route-change 적용합니다.

특정 APBR 규칙에 대한 미드스트림 라우팅을 금지하면 기본 비 APBR 경로를 통해 애플리케이션 트래픽을 다시 라우팅합니다.

비활성화된 Midstream 라우팅 옵션을 사용하여 특정 APBR 규칙에 대해 APBR을 선택적으로 비활성화

특정 애플리케이션에 대한 APBR 규칙을 이미 구성한 경우, 이제 APBR 미드스트림 라우팅을 선택적으로 비활성화하려는 경우 다음 옵션을 사용합니다.

예제:

show security advance-policy-based-routing statistics명령어를 사용하여 APBR 상태를 검증합니다.

이 샘플 출력에서 필드는 정의된 애플리케이션을 매칭한 후 세션 중간에서 루트가 변경되지 않고 남아 있는 횟수와 비활성화된 미드스트림 규칙이 Midstream disabled rule hit on cache hit ASC(Application System Cache)에 일치하는 엔트리를 가지는 횟수를 나타냅니다. Midstream disabled rule hit midstream

APBR 규칙을 통해 트래픽을 전달하는 기본 메커니즘

릴리스에서는 Junos OS 20.1R1 APBR 규칙에서 동적 애플리케이션에 대한 일치 기준으로 "any"를 구성할 수 있습니다. "any" 기준은 와일드카드로 실행하며 모든 동적 애플리케이션에 적용됩니다.

예제

APBR 규칙의 다른 매개변수와 일치하는 애플리케이션 트래픽은 동적 애플리케이션 유형에 관계없이 정책과 일치합니다.

APBR 규칙에서 동적 애플리케이션에 키워드를 any 사용하는 동안 다음을 유의하십시오.

  • APBR 프로필에서 동적 애플리케이션에 대한 키워드를 사용하여 하나의 APBR 규칙만 any 구성할 수 있습니다.

  • 키워드를 사용하는 DSCP 및 URL 기반 범주와 동일한 APBR 규칙 구성은 any 지원되지 않습니다.

  • 첫 번째 패킷 처리 동안에만 적용될 수 있도록 구성된 동적 애플리케이션을 사용하는 APBR any 규칙입니다.

  • 동적 애플리케이션을 사용하는 동일한 APBR 규칙 구성 및 기타 동적 애플리케이션 또는 동적 애플리케이션 그룹은 any 지원되지 않습니다.

릴리스 내역 표
릴리스
설명
21.3R1
최초 패킷 검사는 Junos OS 릴리스 21.3R1 이상에서 지원됩니다.
19.4R1
Junos OS Release 19.4R1 시작하여 특정 APBR 규칙에 대한 세션 중간에 APBR 서비스를 선택적으로 해제하는 동시에 남은 세션에 대한 글로벌 APBR 기능을 유지할 수 있습니다.
19.3R1
SRX 시리즈 디바이스는 Junos OS 릴리스부터 19.3R1 DSCP 태그 트래픽에서 APBR 기능을 수행하기 위한 일치 조건으로 APBR 규칙에서 DSCP 값 구성을 지원합니다.
19.1R1
릴리스 Junos OS 릴리스 19.1R1 APBR 규칙을 사용하여 다시 라우팅되는 세션의 애플리케이션 서비스를 우회할 수 있습니다.
19.1R1
Junos OS Release 19.1R1 시작하여 소스 ID를 소스 주소, 대상 주소 및 애플리케이션과 함께 일치 기준 중 하나로 정의하여 고급 정책 기반 라우팅(APBR) 정책을 구성할 수 있습니다.
17.4
Junos OS Release 15.1X49-D110 및 Junos OS Release 17.4R1 시작으로, SRX 시리즈 서비스 게이트웨이는 세션 중간에 APBR을 적용하는 추가 개선 사항과 함께 APBR(고급 정책 기반 라우팅)을 지원(미드스트림 지원으로도 알려진)
15.1X49-D60
릴리스 Junos OS 릴리스 15.1X49-D60 SRX 시리즈 서비스 게이트웨이는 고급 정책 기반 라우팅(APBR)을 지원
15.1X49-D123
리버스 리버스 리라우트(reverse rerouting)는 Junos OS 릴리스 이후 15.1X49-D130 지원됩니다.