Enrutamiento avanzado basado en políticas

Enrutamiento avanzado basado en políticas

El crecimiento incesante del tráfico de voz, datos y video y de las aplicaciones que atraviesan la red requiere que las redes reconozcan los tipos de tráfico para priorizar, segregar y enrutar el tráfico de manera efectiva sin comprometer el rendimiento ni la disponibilidad.

A partir de Junos OS versión 15.1X49-D60, los firewalls serie SRX admiten el enrutamiento avanzado basado en políticas (APBR) para abordar estos desafíos.

El enrutamiento avanzado basado en políticas es un tipo de enrutamiento basado en sesiones y adaptado a las aplicaciones. Este mecanismo combina el enrutamiento basado en políticas y la solución de administración de tráfico consciente de las aplicaciones. APBR implica clasificar los flujos en función de los atributos de las aplicaciones y aplicar filtros basados en estos atributos para redirigir el tráfico. El mecanismo de clasificación de flujo se basa en paquetes que representan la aplicación en uso.

APBR implementa:

• Capacidades de inspección profunda de paquetes y coincidencia de patrones de AppID para identificar el tráfico de aplicaciones o una sesión de usuario dentro de una aplicación

• Busque en ASC el tipo de aplicación y la dirección IP de destino, el puerto de destino, el tipo de protocolo y el servicio correspondientes para una regla coincidente

Si se encuentra una regla coincidente, el tráfico se dirige a una ruta adecuada y a la interfaz o dispositivo correspondiente.

Beneficios de APBR

• Permite definir el comportamiento del enrutamiento en función de las aplicaciones.

• Ofrece capacidades de manejo de tráfico más flexibles y ofrece control granular para reenviar paquetes según los atributos de la aplicación.

Comprender cómo funciona APBR

Vamos a entender acerca de los componentes de APBR antes de discutir el trabajo de APBR:

• Cree un perfil APBR (también denominado perfil de aplicación en este documento). El perfil incluye varias reglas APBR. Cada regla incluye varias aplicaciones o grupos de aplicaciones como criterios de coincidencia. Si el tráfico coincide con alguna de las aplicaciones o grupos de aplicaciones de una regla, la regla se considera una coincidencia y el perfil dirige el tráfico de la aplicación a la instancia de enrutamiento asociada.

• El perfil APBR asocia una instancia de enrutamiento a la regla APBR. Cuando el tráfico coincide con un perfil de aplicación, la ruta estática asociada y el salto siguiente definidos en la instancia de enrutamiento se utilizan para enrutar el tráfico de la sesión en particular.

• Asocie el perfil de aplicación al tráfico de entrada. Puede adjuntar un perfil APBR a una política APBR y aplicarlo como servicios de aplicación para la sesión.

Continuemos con la comprensión del flujo de trabajo de APBR y luego discutamos sobre el soporte de midstream de APBR y luego sobre la primera clasificación de paquetes en APBR.

Flujo de trabajo de APBR

La figura 1 resume el comportamiento de APBR antes de Junos OS versión 21.3R1.

Figura 1: Comportamiento de APBR

El dispositivo de seguridad utiliza DPI para identificar atributos de una aplicación y APBR para enrutar el tráfico a través de la red. En una cadena de servicios, el tráfico de la aplicación se somete a DPI antes de que el dispositivo aplique ABPR. El proceso de identificación de una aplicación mediante DPI requiere el análisis de varios paquetes. En tales casos, el tráfico inicial atraviesa una ruta predeterminada (ruta no APBR) para llegar al destino. El proceso continúa aún DPI identifica la aplicación. Una vez que DPI identifica la aplicación, APBR aplica reglas para el resto de la sesión. El tráfico atraviesa la ruta de acuerdo con la regla de perfil APBR.

Cuando se utilizan distintos grupos de NAT para la NAT de origen y se aplica APBR midstream, la dirección IP de origen de la sesión sigue siendo la misma con la que se utilizaba la sesión antes de la APBR de midstream.

• Soporte de APBR Midstream
• APBR con clasificación de primer paquete
• Beneficios de la clasificación de primeros paquetes
• Limitaciones

A partir de Junos OS versión 21.3R1, APBR utiliza la clasificación de primer paquete para identificar las aplicaciones en el tráfico de red. APBR identifica las aplicaciones examinando el primer paquete del flujo de tráfico y, a continuación, aplica reglas específicas de la aplicación para reenviar el tráfico.

La figura 2 muestra cómo APBR usa la clasificación del primer paquete para obtener detalles de la aplicación.

Figura 2: APBR con clasificación de primer paquete

La clasificación de primer paquete aprovecha el repositorio que incluye detalles como la asignación de IP estática y los detalles de puertos de las aplicaciones. El repositorio forma parte del paquete de firma de aplicaciones (JDPI).

Para la primera sesión de una aplicación almacenable en caché, APBR consulta al ASC para obtener detalles del flujo de la aplicación. Si la entrada de la aplicación no está disponible en el ASC, APBR consulta JDPI para obtener los detalles de la aplicación. APBR utiliza la dirección IP y los detalles del puerto del flujo para la consulta. Si la asignación de la aplicación está disponible, JDPI devuelve los detalles a APBR. Después de obtener los detalles de la aplicación, APBR busca el perfil configurado de la aplicación y enruta el paquete a través de la instancia de enrutamiento asignada.

Al mismo tiempo, JDPI continúa procesando los paquetes y actualiza el ASC (si está habilitado). Para los flujos posteriores, APBR realiza el enrutamiento del tráfico en función de la entrada de la aplicación presente en el ASC para el flujo.

Con la clasificación de primer paquete, puede usar diferentes grupos de NAT para NAT de origen en su configuración de APBR para aplicaciones almacenables en caché.

Opciones avanzadas de enrutamiento basado en políticas

Puede simplificar la gestión del tráfico con APBR mediante las siguientes opciones:

• Limit route change- Algunas sesiones pasan por una clasificación continua en la mitad de la sesión a medida que las firmas de la aplicación identifican la aplicación. Cada vez que una aplicación se identifica por las firmas de la aplicación, se aplica APBR, y esto da como resultado un cambio en la ruta del tráfico. Puede limitar el número de veces que una ruta puede cambiar para una sesión mediante la opción de la max-route-change tunables instrucción.

  set security advance-policy-based-routing tunables max-route-change value

  Ejemplo:

  En este ejemplo, desea limitar el número de cambios de ruta por sesión a 5. Cuando hay un cambio en la ruta en la mitad de la sesión, este recuento se reduce a 4. Este proceso continúa hasta que el recuento llega a 0. Después de eso, APBR no se aplica en medio de la sesión.

  Si una aplicación identificada tiene una entrada en el ASC, el recuento no se reduce para esa sesión, ya que la sesión comenzó con la ruta especificada según la configuración de APBR.

• Terminate session if APBR is bypassed–Puede finalizar la sesión si hay una discrepancia entre zonas cuando se aplica APBR en medio de la sesión. Cuando desee aplicar APBR en medio de una sesión, tanto la nueva interfaz de salida como la existente deben formar parte de la misma zona. Si cambia la zona de una interfaz en medio de una sesión, entonces, de forma predeterminada, APBR no se aplica y el tráfico continúa atravesando la interfaz existente. Para cambiar este comportamiento predeterminado, puede terminar la sesión por completo, en lugar de permitir que el tráfico pase por la misma ruta sin pasar por APBR, mediante la opción de la drop-on-zone-mismatch tunables instrucción.

  Ejemplo:

• Enable logging: puede habilitar el registro para registrar eventos que ocurren en el dispositivo, por ejemplo, cuando se omite APBR debido a un cambio en las zonas de las interfaces. Puede utilizar la opción de la enable-logging tunables instrucción para configurar el registro.

  Ejemplo:

• Enable reverse reroute—Para despliegues que requieren simetría de tráfico para rutas ECMP y el tráfico entrante necesita cambiar en medio de la sesión, el reenrutamiento se puede lograr mediante la opción habilitar-invertir-reenrutamiento específica de una zona de seguridad de la siguiente manera:

  Ejemplo:

  [edit]

  set security zones security-zone zone-name enable-reverse-reroute

  Cuando la configuración anterior está habilitada para una zona de seguridad, donde un paquete entrante llega a una interfaz y tiene una interfaz de salida/retorno diferente, se detecta un cambio en la interfaz y desencadena un reenrutamiento. Se realiza una búsqueda de ruta para la ruta inversa y se dará preferencia a la interfaz a la que ha llegado el paquete.

  El procesamiento adicional se detiene para una sesión determinada cuando se produce un error en una búsqueda de ruta para el tráfico en ruta inversa.

  La compatibilidad con el reenrutamiento inverso está disponible a partir de Junos OS versión 15.1X49-D130 y versiones posteriores.

• Support for Layer 3 and Layer 4 Applications—A partir de Junos OS versión 20.2R1, APBR admite aplicaciones personalizadas de capa 3 y capa 4. Puede deshabilitar manualmente la búsqueda de aplicaciones personalizadas de capa 3 y capa 4 en APBR mediante la siguiente instrucción de configuración:
• Application Tracking—

  Puede habilitar AppTrack para inspeccionar el tráfico y recopilar estadísticas para los flujos de aplicaciones en la zona especificada. Consulte Descripción del seguimiento de aplicaciones para obtener más información.

Caso de uso

• Cuando se utilizan varios enlaces de ISP:

  • APBR se puede utilizar para seleccionar enlaces de alto ancho de banda y baja latencia para aplicaciones importantes, cuando hay más de un enlace disponible.

  • APBR se puede utilizar para crear un vínculo de reserva para tráfico importante en caso de fallo del vínculo. Cuando hay varios vínculos disponibles y el vínculo principal que lleva el tráfico importante de la aplicación sufre una interrupción, el otro vínculo configurado como vínculo de reserva se puede usar para transportar tráfico.

  • APBR se puede utilizar para segregar el tráfico para una inspección o análisis profundos. Con esta función, puede clasificar el tráfico en función de las aplicaciones que deben someterse a una inspección y auditoría profundas. Si es necesario, dicho tráfico se puede enrutar a un dispositivo diferente.

Limitaciones

APBR tiene las siguientes limitaciones:

• La redirección de la ruta para el tráfico depende de la presencia de una entrada en la caché del sistema de aplicaciones (ASC). El enrutamiento solo se realizará correctamente si la búsqueda de ASC se realiza correctamente. Para la primera sesión, cuando el ASC no está presente para el tráfico, el tráfico atraviesa una ruta predeterminada (ruta no APBR) hasta el destino (esta limitación solo se aplica a las versiones anteriores a Junos OS 15.1X49-D110).

• APBR no funciona si no está instalado un paquete de firmas de aplicación o la identificación de aplicaciones no está habilitada.

APBR con soporte midstream tiene las siguientes limitaciones:

• APBR solo funciona para el tráfico de reenvío.

• APBR no funciona para sesiones de datos iniciadas por una entidad desde la sesión de control, como FTP activo.

• Cuando se aplican grupos NAT diferentes para NAT de origen y APBR midstream, la dirección IP de origen de la sesión sigue siendo la misma con la que la sesión se ha estado utilizando antes de aplicar la APBR midstream.

• APBR con soporte intermedio solo funciona cuando todas las interfaces de salida se encuentran en la misma zona. Por este motivo, solo se pueden usar las instancias de enrutamiento y enrutamiento y reenvío virtual (VRF) para aprovechar la compatibilidad con APBR midstream.

¿Cómo funciona la política APBR?

Las políticas de APBR se definen para una zona de seguridad. Si hay una o más políticas APBR asociadas a una zona, la sesión que se inicia desde la zona de seguridad pasa por la coincidencia de directivas.

Las siguientes secuencias están involucradas en la coincidencia del tráfico mediante una política APBR y en la aplicación de enrutamiento avanzado basado en políticas para reenviar el tráfico, según los parámetros o reglas definidos:

• Cuando el tráfico llega a la zona de entrada, coincide con las reglas de política de APBR. La condición de coincidencia de directiva incluye la dirección de origen, la dirección de destino y la aplicación.

• Cuando el tráfico coincide con las reglas de la política de seguridad, la acción de la política APBR se aplica al tráfico. Puede habilitar APBR como un servicio de aplicación en la acción de política APBR especificando el nombre del perfil APBR.

• La configuración del perfil APBR incluye el conjunto de reglas que contiene el conjunto de aplicaciones dinámicas y grupos de aplicaciones dinámicas como condición de coincidencia. La parte de acción de esas reglas contiene la instancia de enrutamiento a través de la cual se debe reenviar el tráfico. La instancia de enrutamiento puede incluir la configuración de rutas estáticas o rutas dinámicas aprendidas.

• Todo el tráfico destinado a la ruta estática se transmite a la dirección del salto siguiente para su tránsito a un dispositivo o interfaz específicos.

Las reglas de política de APBR son terminales, lo que significa que una vez que el tráfico coincide con una política, las otras políticas no lo procesan más.

Si una política APBR tiene el tráfico coincidente y el perfil APBR no tiene ningún tráfico que coincida con la regla, entonces el tráfico que coincide con la política APBR atraviesa una instancia de enrutamiento predeterminada [inet0] hasta el destino.

Compatibilidad con perfiles APBR heredados

Antes de Junos OS versión 18.2R1, el perfil APBR se aplicaba a nivel de zona de seguridad. Con la compatibilidad con la directiva APBR, la configuración de APBR en el nivel de zona de seguridad queda obsoleta en el futuro, en lugar de eliminarse inmediatamente para proporcionar compatibilidad con versiones anteriores y la oportunidad de que su configuración cumpla con la nueva configuración.

Sin embargo, si ha configurado un APBR basado en zona e intenta agregar una política APBR para la zona de seguridad en particular, es posible que se produzca un error en la confirmación. Debe eliminar la configuración basada en zona para configurar la directiva APBR para la zona. Del mismo modo, si se configura una directiva APBR para una zona de seguridad e intenta configurar APBR basada en zonas, se producirá un error de confirmación.

Limitación

• Cuando se utilice una dirección específica o una dirección establecida en la regla de política APBR, se recomienda utilizar la libreta de direcciones global. Porque es posible que las reglas específicas de la zona no sean aplicables a la dirección de destino, ya que la zona de destino no se conoce en el momento de la evaluación de la directiva.

• No se admite la configuración de la directiva APBR para la zona de seguridad junos-host.

Procesamiento de reglas en un perfil APBR

Puede proporcionar enrutamiento avanzado basado en políticas clasificando el tráfico en función de los atributos de las aplicaciones y aplicando políticas basadas en estos atributos para redirigir el tráfico. Para ello, debe definir el perfil APBR y asociarlo a una política APBR. Puede crear un perfil APBR para incluir varias reglas con aplicaciones dinámicas, grupos de aplicaciones o ambos, o una categoría de URL como criterios de coincidencia. Las reglas configuradas en el perfil APBR pueden incluir cualquiera de las siguientes opciones:

• Una o más aplicaciones, aplicaciones dinámicas o grupos de aplicaciones

• Categoría de URL (dirección de destino IP): filtrado web local o EWF.

En un perfil APBR, la búsqueda de reglas se realiza para ambos criterios de coincidencia. Si solo hay un criterio de coincidencia disponible, la búsqueda de reglas se realiza en función de los criterios de coincidencia disponibles.

El perfil APBR incluye las reglas para hacer coincidir el tráfico con aplicaciones o categorías de URL y la acción para redirigir el tráfico coincidente a la instancia de enrutamiento especificada para la búsqueda de ruta.

En Junos OS Release18.3R1, la coincidencia de categoría de URL se realiza en función de la dirección IP de destino; por este motivo, la coincidencia de reglas basada en categorías de URL finaliza en el primer paquete de la sesión. Como una aplicación dinámica puede identificarse en medio de la sesión, el proceso de coincidencia para las reglas de aplicación dinámica continúa hasta que se completa el proceso de identificación de la aplicación.

Beneficios del enrutamiento basado en categorías de URL

• El uso de categorías basadas en URL permite tener un control granular sobre el tráfico web. El tráfico que pertenece a categorías específicas de sitios web se redirige a través de diferentes rutas y, según la categoría, se somete a un procesamiento de seguridad adicional, incluido el descifrado SSL para el tráfico HTTPS.

• Las capacidades de gestión de tráfico basadas en categorías de URL le permiten utilizar diferentes rutas para sitios web seleccionados. El uso de diferentes rutas da como resultado una mejor calidad de experiencia (QoE) y también le permite utilizar el ancho de banda disponible de manera eficaz.

• Las soluciones SD-WAN pueden utilizar el enrutamiento basado en categorías de URL además del enrutamiento dinámico basado en aplicaciones.

• El enrutamiento basado en categorías de URL se puede usar para soluciones de ruptura de Internet local, ya que puede funcionar con cambios de configuración NAT de origen.

Limitaciones del enrutamiento basado en categorías de URL

El uso de categorías de URL en un perfil APBR tiene las siguientes limitaciones:

• Solo se utiliza la dirección IP de destino para la identificación de la categoría de URL en un perfil APBR. No se admiten categorías de URL basadas en el host, ni en la URL ni en el campo SNI.

• Puede configurar una aplicación dinámica o una categoría de URL como condición de coincidencia en una regla de perfil APBR. Al configurar una regla con la categoría de URL y la aplicación dinámica, se produce un error de confirmación.

Ventajas

• Permite definir el comportamiento de enrutamiento en niveles más granulares para garantizar el cumplimiento seguro de la directiva en el tráfico de aplicaciones que atraviesa la red.

• Proporciona capacidades de manejo de tráfico más flexibles y ofrece control granular para reenviar paquetes en función de las funciones y los requisitos empresariales de los usuarios.

Introducción

Las técnicas de identificación de aplicaciones se basan en la inspección profunda de paquetes (DPI). Hay algunos casos en los que el motor de DPI podría no ser capaz de identificar la aplicación, por ejemplo, tráfico cifrado. Si aplica reglas APBR a dicho tráfico, el tráfico se procesa normalmente sin la funcionalidad APBR aplicada en él.

A partir de la versión 19.3R1 de Junos OS, los firewalls de la serie SRX admiten la configuración de valores DSCP en una regla APBR como criterios de coincidencia para realizar la funcionalidad APBR en el tráfico etiquetado con DSCP.

Puede configurar el valor DSCP además de los otros criterios coincidentes de la regla APBR, como la aplicación dinámica y el grupo de aplicaciones dinámicas.

Al configurar el valor DSCP en una regla APBR, puede extender el servicio APBR al tráfico con las marcas DSCP.

Caso de uso

Puede utilizar reglas APBR con DSCP como criterios de coincidencia para el tráfico cifrado.

Limitación

• No se admite la configuración de reglas con valor DSCP y categoría de URL en un único perfil APBR.

Búsqueda de reglas APBR cuando se utiliza un valor DSCP como criterio de coincidencia

En una regla APBR, puede configurar un valor DSCP o aplicaciones dinámicas o una combinación de ambos.

Si ha configurado DSCP y la aplicación dinámica en una regla APBR, la regla se considera coincidente si el tráfico coincide con todos los criterios especificados en la regla. Si hay varios valores DSCP presentes en la regla APBR, si algún criterio coincide, se considera como coincidencia.

Un perfil APBR puede contener varias reglas, cada regla con una variedad de condiciones de coincidencia.

En el caso de varias reglas APBR en un perfil APBR, la búsqueda de reglas utiliza el siguiente orden de prioridad:

1. Regla con DSCP + aplicación dinámica

2. Regla con aplicación dinámica

3. Regla con valor DSCP

Si un perfil APBR contiene varias reglas, el sistema realiza la búsqueda de reglas y aplica la regla en el orden siguiente:

• El sistema aplica las reglas basadas en DSCP para el primer paquete de la sesión.

• El sistema continúa comprobando si hay información de aplicación disponible en la clasificación DPI o en la caché del sistema de aplicaciones (ASC).

• En medio de la sesión, si DPI identifica una nueva aplicación, el sistema realiza una búsqueda de reglas y aplica una nueva regla (regla basada en la aplicación o regla basada en DSCP o combinación de ambas) según corresponda.

• La identificación de la aplicación y la búsqueda de reglas continúa hasta que el DPI identifica una aplicación como la aplicación final o se alcanza el valor máximo de reenrutamiento.

• Si la búsqueda de reglas no coincide con ninguna regla, no se realiza ninguna otra acción.

Vamos a entender cómo APBR realiza la búsqueda de reglas y aplica las reglas con los dos ejemplos siguientes:

• Ejemplo 1
• Ejemplo 2

Configuración

• Configuración rápida de CLI
• Procedimiento paso a paso
• Resultados

¿Por qué es necesario deshabilitar selectivamente el enrutamiento midstream?

Algunas sesiones pasan por una clasificación continua en la mitad de la sesión, ya que las firmas de la aplicación identifican la aplicación. Cada vez que una aplicación se identifica por las firmas de la aplicación, se aplica APBR, y esto da como resultado un cambio en la ruta del tráfico. Puede limitar el número de veces que una ruta puede cambiar para una sesión mediante la max-route-change opción. Si establece esta opción en 0, el APBR se deshabilita para la sesión en particular. Sin embargo, esta opción también deshabilita la funcionalidad APBR globalmente en su dispositivo, lo que podría no ser necesario.

Deshabilitación selectiva de APBR en midstream

A partir de Junos OS versión 19.4R1, puede desactivar selectivamente el servicio APBR en medio de una sesión para una regla APBR específica, mientras conserva la funcionalidad APBR global para las sesiones restantes. Cuando se deshabilita el enrutamiento de midstream para una regla de APBR específica, el sistema no aplica APBR de midstream para el tráfico de aplicación correspondiente y enruta el tráfico a través de una ruta que no es APBR.

Para deshabilitar selectivamente el APBR midstream, puede configurar la regla APBR con la opción de desactivación de enrutamiento midstream (disable-midstream-routing) en el nivel de jerarquía [edit security advance-policy-based-routing profile apbr-profile-name rule apbr-rule-name].

La Tabla 7 muestra el comportamiento de la opción APBR de desactivación selectiva de midstream.

Si deshabilita el enrutamiento intermedio para una regla APBR específica, se redirigirá el tráfico de la aplicación a través de una ruta predeterminada que no sea APBR.