Parte 3: Configure la calidad de la experiencia de la aplicación con SD-WAN
Visión general
En esta sección, configure la experiencia de calidad de la aplicación (AppQoE) en el SRX. AppQoE mejora la experiencia del usuario a nivel de aplicación. Los sondeos de rendimiento monitorean constantemente la calidad de los parámetros de servicio y el cumplimiento del acuerdo de nivel de servicio (SLA) del tráfico de las aplicaciones. El resultado es que el tráfico de la aplicación siempre utiliza el vínculo más compatible con SLA disponible.
Consideremos las aplicaciones enumeradas en el Cuadro 1. En este ejemplo, las aplicaciones de Office365, Salesforce y Zoom se consideran esenciales para la empresa. Todas las aplicaciones críticas se deben enrutar a través del vínculo WAN privado cuando cumple con los requisitos de SLA de la aplicación. Las aplicaciones críticas también utilizan el vínculo LTE cuando todos los demás vínculos están apagados.
El resto de las aplicaciones utilizan el vínculo de acceso a Internet de banda ancha como vínculo principal. Dado que solo las aplicaciones críticas para el negocio pueden usar el vínculo de copia de seguridad de LTE, las aplicaciones no críticas son inaccesibles cuando solo la conexión LTE está disponible.
| Aplicación |
Vínculo principal |
Vínculo secundario |
¿Es fundamental para el negocio? |
|---|---|---|---|
| Office365 |
WAN privada |
Internet de banda ancha |
Sí |
| Salesforce |
WAN privada |
Internet de banda ancha |
Sí |
| Zoom |
WAN privada |
Internet de banda ancha |
Sí |
| Flojos |
Internet de banda ancha |
WAN privada |
No |
| Gotomeeting |
Internet de banda ancha |
WAN privada |
No |
| Dropbox |
Internet de banda ancha |
WAN privada |
No |
| Skype |
Internet de banda ancha |
WAN privada |
No |
| Youtube |
Internet de banda ancha |
WAN privada |
No |
Puede configurar AppQoE para una aplicación crítica para una empresa y una aplicación no crítica para mantener el ejemplo enfocado. Puede adaptar fácilmente la configuración para admitir aplicaciones adicionales especificando el tipo de sondeo deseado y el nombre de dominio de destino o la dirección IP.
Procedimiento paso a paso
-
Cree sondeos de supervisión de tiempo y rendimiento para Office 365. Office 365 es una aplicación crítica según la tabla 1. Configuramos un sondeo para probar la conectividad con la dirección IP utilizada por Office365, específicamente 40.97.223.114. El sondeo está configurado para enviar 5 sondeos basados en ping, con 6 segundos de diferencia en el vínculo WAN privado. También configuramos los umbrales que no se deben violar, como la pérdida de 5 sondeos sucesivos o un tiempo de tránsito de ida y vuelta (RTT) de la sonda que supere los 300000 microsegundos. La dirección IP de la puerta de enlace en la interfaz ge-0/0/3 es 192.168.220.1.
set services rpm probe office365_rpm_primary test office365_test_primary probe-type icmp-ping set services rpm probe office365_rpm_primary test office365_test_primary target address 40.97.223.114 set services rpm probe office365_rpm_primary test office365_test_primary probe-count 5 set services rpm probe office365_rpm_primary test office365_test_primary probe-interval 6 set services rpm probe office365_rpm_primary test office365_test_primary thresholds successive-loss 5 set services rpm probe office365_rpm_primary test office365_test_primary thresholds rtt 300000 set services rpm probe office365_rpm_primary test office365_test_primary destination-interface ge-0/0/3.0 set services rpm probe office365_rpm_primary test office365_test_primary next-hop 192.168.220.1
Propina:Puede introducir el destino del sondeo como dirección IP o mediante un nombre de dominio. Si se especifica un nombre, Junos Software lo resuelve automáticamente a la dirección IP correspondiente en la configuración. En este ejemplo, se muestran los sondeos basados en ICMP. Existen otros tipos de sondeo, por ejemplo, http-get. No todos los sitios responden a los mensajes de solicitud de eco ICMP (Ping). Asegúrese de usar un tipo de sondeo compatible con el proveedor de la aplicación.
-
Cree el segundo sondeo para la misma aplicación para probar el vínculo secundario mediante la interfaz secundaria. La dirección IP de la puerta de enlace predeterminada en el vínculo de Internet de banda ancha es 172.16.1.1.
set services rpm probe office365_rpm_secondary test office365_test_secondary probe-type icmp-ping set services rpm probe office365_rpm_secondary test office365_test_secondary target address 40.97.223.114 set services rpm probe office365_rpm_secondary test office365_test_secondary probe-count 5 set services rpm probe office365_rpm_secondary test office365_test_secondary probe-interval 6 set services rpm probe office365_rpm_secondary test office365_test_secondary thresholds successive-loss 5 set services rpm probe office365_rpm_secondary test office365_test_secondary thresholds rtt 300000 set services rpm probe office365_rpm_secondary test office365_test_secondary destination-interface ge-0/0/2.0 set services rpm probe office365_rpm_secondary test office365_test_secondary next-hop 172.16.1.1
-
De manera similar, se crean dos sondeos para la aplicación de Skype. Skype no es una aplicación crítica para la empresa según la tabla 1. Necesitamos una garantía de nivel de servicio más estricta para esta aplicación en tiempo real (pero no crítica). Específicamente, se configura un intervalo de sondeo más corto de 1 segundo y un umbral RTT más corto de 60000 microsegundos.
Nota:Configuramos los sondeos principales y secundarios en la interfaz en función de si la aplicación es crítica para el negocio. La interfaz y la dirección IP del sondeo principal para aplicaciones no críticas (Skype) es diferente que el sondeo de la aplicación crítica (Office365).
set services rpm probe skype_rpm_primary test skype_test_primary probe-type icmp-ping set services rpm probe skype_rpm_primary test skype_test_primary target address 13.107.8.2 set services rpm probe skype_rpm_primary test skype_test_primary probe-count 5 set services rpm probe skype_rpm_primary test skype_test_primary probe-interval 1 set services rpm probe skype_rpm_primary test skype_test_primary thresholds successive-loss 5 set services rpm probe skype_rpm_primary test skype_test_primary thresholds rtt 60000 set services rpm probe skype_rpm_primary test skype_test_primary destination-interface ge-0/0/2.0 set services rpm probe skype_rpm_primary test skype_test_primary next-hop 172.16.1.1 set services rpm probe skype_rpm_secondary test skype_test_secondary probe-type icmp-ping set services rpm probe skype_rpm_secondary test skype_test_secondary target address 13.107.8.2 set services rpm probe skype_rpm_secondary test skype_test_secondary probe-count 5 set services rpm probe skype_rpm_secondary test skype_test_secondary probe-interval 1 set services rpm probe skype_rpm_secondary test skype_test_secondary thresholds successive-loss 5 set services rpm probe skype_rpm_secondary test skype_test_secondary thresholds rtt 60000 set services rpm probe skype_rpm_secondary test skype_test_secondary destination-interface ge-0/0/3.0 set services rpm probe skype_rpm_secondary test skype_test_secondary next-hop 192.168.220.1
-
Cree una instancia de enrutamiento para cada aplicación. Configuramos la ruta de una aplicación para el vínculo principal con un valor de preferencia inferior al del vínculo de respaldo. Las rutas con un valor de preferencia inferior tienen preferencia sobre rutas de mayor valor. Incluye la interfaz de respaldo de LTE solo para las aplicaciones críticas para el negocio.
La instancia de enrutamiento para Office365 establece un valor de preferencia de ruta de 10 para la puerta de enlace WAN privada (la ruta más preferida). Un valor de preferencia de 20 para el vínculo de Internet de banda ancha (siguiente ruta preferida). Y un valor de preferencia de 30 para el vínculo de respaldo de LTE (la ruta menos preferida).
set routing-instances office365_RInstance instance-type forwarding set routing-instances office365_RInstance routing-options static route 0/0 qualified-next-hop 192.168.220.1 preference 10 set routing-instances office365_RInstance routing-options static route 0/0 qualified-next-hop 172.16.1.1 preference 20 set routing-instances office365_RInstance routing-options static route 0/0 qualified-next-hop dl0.0 preference 30
-
Configure las instancias de enrutamiento para la aplicación Slack en un patrón similar. Esta aplicación no crítica no incluye la interfaz LTE en la instancia de enrutamiento. Omitir la interfaz LTE es lo que impide que las aplicaciones no críticas usen el vínculo de copia de seguridad de LTE. También tenga en cuenta cómo las preferencias de ruta estática hacen que esta aplicación use la Internet de banda ancha como su vínculo principal.
set routing-instances slack_RInstance instance-type forwarding set routing-instances slack_RInstance routing-options static route 0/0 qualified-next-hop 172.16.1.1 preference 10 set routing-instances slack_RInstance routing-options static route 0/0 qualified-next-hop 192.168.220.1 preference 20
-
Configure las políticas de supervisión de IP para las aplicaciones. El objetivo de las políticas es cambiar dinámicamente la métrica de las rutas predeterminadas en las instancias de enrutamiento. Las políticas funcionan por sondeo.
En este paso, creamos la directiva de supervisión de IP para la aplicación office365. Para Office365, configuramos dos sondeos y creamos dos políticas, una para cada sondeo. Cuando el sondeo detecta que el tráfico de la aplicación ha infringido el umbral configurado en un vínculo, la política cambia la preferencia de las rutas. La política reduce la métrica del segundo mejor vínculo a 2. Este cambio dirige el tráfico de la instancia de enrutamiento al vínculo de copia de seguridad.
Por ejemplo, cuando el sondeo identifica que el vínculo principal de Office365, el vínculo WAN privado, no cumple los requisitos de RTT y pérdida, la política cambia la métrica de la puerta de enlace para el vínculo de Internet de banda ancha (próxima ruta preferida) a un valor de 2.
set services ip-monitoring policy office365_ipm_primary match rpm-probe office365_rpm_primary set services ip-monitoring policy office365_ipm_primary then preferred-route routing-instances office365_RInstance route 0/0 next-hop 172.16.1.1 set services ip-monitoring policy office365_ipm_primary then preferred-route routing-instances office365_RInstance route 0/0 preferred-metric 2
-
Configure la política de supervisión de IP para el sondeo secundario para Office365.
Nota:La dirección del próximo salto es la dirección IP del vínculo WAN privado principal.
set services ip-monitoring policy office365_ipm_secondary match rpm-probe office365_rpm_secondary set services ip-monitoring policy office365_ipm_secondary then preferred-route routing-instances office365_RInstance route 0/0 next-hop 192.168.220.1 set services ip-monitoring policy office365_ipm_secondary then preferred-route routing-instances office365_RInstance route 0/0 preferred-metric 2
-
Configure la política de supervisión de IP para la aplicación Slack.
set services ip-monitoring policy slack_ipm_primary match rpm-probe slack_rpm_primary set services ip-monitoring policy slack_ipm_primary then preferred-route routing-instances slack_RInstance route 0/0 next-hop 192.168.220.1 set services ip-monitoring policy slack_ipm_primary then preferred-route routing-instances slack_RInstance route 0/0 preferred-metric 2 set services ip-monitoring policy slack_ipm_secondary match rpm-probe slack_rpm_secondary set services ip-monitoring policy slack_ipm_secondary then preferred-route routing-instances slack_RInstance route 0/0 next-hop 172.16.1.1 set services ip-monitoring policy slack_ipm_secondary then preferred-route routing-instances slack_RInstance route 0/0 preferred-metric 2
-
Configure un perfil de enrutamiento avanzado basado en políticas (APBR). Su perfil APBR coincide con ambas aplicaciones utilizadas en este ejemplo. El perfil redirige el tráfico que coincide con su instancia de enrutamiento respectiva. El perfil utiliza reglas, con cada regla que cubre una aplicación y una instancia de enrutamiento. En este ejemplo, configuramos una regla denominada office365_rule para que coincida con todo el tráfico de la aplicación denominada "junos:OFFICE365-CREATE-CONVERSATION" y redirigir el tráfico a la instancia de enrutamiento denominada office365_RInstance. La aplicación Slack se entrega de manera similar.
Nota:APBR requiere una licencia appid-sig. Sin la licencia, recibirá un error de confirmación. Consulte la sección de requisitos para obtener más información.
set security advance-policy-based-routing tunables max-route-change 0 set security advance-policy-based-routing profile apbr_profile rule office365_rule match dynamic-application junos:OFFICE365-CREATE-CONVERSATION set security advance-policy-based-routing profile apbr_profile rule office365_rule then routing-instance office365_RInstance set security advance-policy-based-routing profile apbr_profile rule slack_rule match dynamic-application junos:SLACK set security advance-policy-based-routing profile apbr_profile rule slack_rule then routing-instance slack_RInstance
Nota:Para mantener la continuidad de la aplicación y no afectar a los usuarios, deseamos no permitir los cambios en la ruta de la sesión media para las sesiones establecidas. Establezca el
max-route-changeparámetro en 0 para evitar cambios en las sesiones establecidas.Propina:Junos Software es compatible con una amplia lista de aplicaciones reconocidas dinámicamente. La identificación de aplicaciones proporciona visibilidad de las aplicaciones en su red, lo que le muestra cómo funciona la aplicación, sus características de comportamiento y su riesgo relativo. App ID utiliza numerosos mecanismos para detectar las aplicaciones en su red. El ID de la aplicación funciona independientemente del puerto, el protocolo, el cifrado (TLS/SSL o SSH) u otras tácticas evasivas. Para obtener más información, consulte Identificación de aplicaciones.
-
Configure un grupo independiente de protocolos de tablas de enrutamiento. Esta configuración copia las rutas de interfaz a las distintas instancias de enrutamiento de aplicaciones. Las copias de estas rutas son lo que permite que una instancia determinada use la WAN privada o los vínculos de Internet de banda ancha. Recuerde que definió ambas interfaces en la instancia de enrutamiento principal.
set routing-options interface-routes rib-group inet apbr_rib_group set routing-options rib-groups apbr_rib_group import-rib inet.0 set routing-options rib-groups apbr_rib_group import-rib office365_RInstance.inet.0 set routing-options rib-groups apbr_rib_group import-rib slack_RInstance.inet.0
-
Agregue el perfil recién creado apbr_profile a la confianza de la zona de seguridad. Esta configuración aplica el perfil al tráfico de la zona.
set security zones security-zone trust advance-policy-based-routing-profile apbr_profile
-
Confirme la configuración y vuelva al modo operativo.
commit and quit
Verificar la calidad de la experiencia de la aplicación
Propósito
Confirme que APBR funciona según los objetivos de este ejemplo.
Acción
Genere una combinación de tráfico crítico y no crítico del negocio desde un cliente por cable o inalámbrico. A continuación, emita los comandos de esta sección para comprobar que ABPR funciona correctamente.
Comience por confirmar que los sondeos RPM son exitosos en vínculos primarios y secundarios. Para ahorrar espacio, solo mostramos los sondeos para la aplicación crítica. Todos los sondeos deberían tener éxito en este momento. Muestra los resultados de los sondeos RPM mediante los show services rpm probe-results owner office365_rpm_primary comandos (y secundarios).
root@Mist-SRX-GW# show services rpm probe-results owner office365_rpm_primary
Owner: office365_rpm_primary, Test: office365_test_primary
Target address: 40.97.223.114, Probe type: icmp-ping, Icmp-id: 79
Destination interface name: ge-0/0/3.0
Test size: 5 probes
Probe results:
Response received
Probe sent time: Mon Jun 7 15:58:28 2021
Probe rcvd/timeout time: Mon Jun 7 15:58:28 2021, No hardware timestamps
Rtt: 3321 usec, Round trip jitter: -185 usec
Round trip interarrival jitter: 1026 usec
. . .
root@Mist-SRX-GW# show services rpm probe-results owner office365_rpm_secondary
Owner: office365_rpm_secondary, Test: office365_test_secondary
Target address: 40.97.223.114, Probe type: icmp-ping, Icmp-id: 79
Destination interface name: ge-0/0/2.0
Test size: 5 probes
Probe results:
Response received
Probe sent time: Mon Jun 7 15:58:37 2021
Probe rcvd/timeout time: Mon Jun 7 15:58:37 2021, No hardware timestamps
Rtt: 3402 usec, Round trip jitter: 73 usec
Round trip interarrival jitter: 424 usec
. . .
El resultado confirma que los sondeos críticos de aplicaciones empresariales se están llevando a cabo correctamente en los vínculos principal y secundario. Espera resultados similares para los sondeos de aplicaciones no críticas, con las interfaces primarias y secundarias invertidas.
A continuación, muestra una instancia de enrutamiento para comprobar el estado de reenvío cuando las interfaces primarias y secundarias estén operativas. Ejecute el show route table <instance-name> comando para las aplicaciones críticas y no críticas.
root@Mist-SRX-GW# show route table office365_RInstance
office365_RInstance.inet.0: 13 destinations, 15 routes (13 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
0.0.0.0/0 *[Static/10] 03:34:36
> to 192.168.220.1 via ge-0/0/3.0
[Static/20] 03:11:34
> to 172.16.1.1 via ge-0/0/2.0
[Static/30] 03:34:36
> via dl0.0
10.10.20.0/24 *[Direct/0] 03:34:36
> via ge-0/0/4.20
10.10.20.1/32 *[Local/0] 03:34:36
Local via ge-0/0/4.20
10.10.30.0/24 *[Direct/0] 03:34:36
> via ge-0/0/4.30
. . .
root@Mist-SRX-GW# show route table office365_RInstance
slack_RInstance.inet.0: 13 destinations, 14 routes (13 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
0.0.0.0/0 *[Static/10] 03:23:32
> to 172.16.1.1 via ge-0/0/2.0
[Static/20] 03:46:34
> to 192.168.220.1 via ge-0/0/3.0
10.10.20.0/24 *[Direct/0] 03:46:34
> via ge-0/0/4.20
10.10.20.1/32 *[Local/0] 03:46:34
Local via ge-0/0/4.20
10.10.30.0/24 *[Direct/0] 03:46:34
> via ge-0/0/4.30
10.10.30.1/32 *[Local/0] 03:46:34
. . .
El resultado confirma que el tráfico clasificado como Office 365 usa el vínculo WAN privado. Como aplicación crítica para el negocio, la instancia de enrutamiento tiene un salto siguiente secundario y terciario. Cuando los dos primeros saltos siguientes pasan a ser tráfico crítico no disponible cae al módem LTE. Por el contrario, la aplicación no crítica utiliza el vínculo de Internet de banda ancha para reenviar el tráfico. Si ese salto siguiente deja de estar disponible, la instancia dirigirá el tráfico a la WAN privada. El módem LTE no se enumera en esta instancia de enrutamiento. Esta omisión impide que la aplicación no crítica use el vínculo LTE.
Recuerde que los sondeos de monitoreo de SLA fluyen a través de Internet al proveedor de aplicaciones. La naturaleza de extremo a extremo de los sondeos permite que el SRX mida el rendimiento de extremo a extremo de la aplicación. La medición de la "experiencia a nivel de aplicación" contrasta con la simple detección de fallas de vínculo o salto siguiente según el estado de la interfaz o la detección de reenvío bidireccional (BFD), respectivamente.
Opcional: interrumpir los sondeos RPM para confirmar que el tráfico crítico utiliza el vínculo de Internet de banda ancha. Puede simular errores de sondeo de SLA con un filtro de firewall aplicado en la dirección de salida en la interfaz WAN privada del dispositivo SRX.
set interfaces ge-0/0/3 unit 0 family inet filter output block_ping set firewall filter block_ping term 1 from destination-address 40.97.223.114/32 set firewall filter block_ping term 1 from protocol icmp set firewall filter block_ping term 1 then count ping set firewall filter block_ping term 1 then discard set firewall filter block_ping term 2 then accept
Con el filtro en su lugar en el vínculo WAN privado, espera encontrar la aplicación crítica reenviada a través del vínculo de Internet de banda ancha.
root@Mist-SRX-GW# show services rpm probe-results owner office365_rpm_primary
Owner: office365_rpm_primary, Test: office365_test_primary
Target address: 40.97.223.114, Probe type: icmp-ping, Icmp-id: 93
Destination interface name: ge-0/0/3.0
Test size: 5 probes
Probe results:
Internal error
Probe sent time: Mon Jun 7 16:49:14 2021
Probe rcvd/timeout time: Mon Jun 7 16:49:14 2021
Results over current test:
Probes sent: 4, Probes received: 0, Loss percentage: 100.000000
. . .
root@Mist-SRX-GW# show route table office365_RInstance
office365_RInstance.inet.0: 13 destinations, 16 routes (13 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
0.0.0.0/0 *[Static/2] 00:04:30, metric2 0
> to 172.16.1.1 via ge-0/0/2.0
[Static/10] 04:08:08
> to 192.168.220.1 via ge-0/0/3.0
[Static/20] 03:45:06
> to 172.16.1.1 via ge-0/0/2.0
[Static/30] 04:08:08
> via dl0.0
10.10.20.0/24 *[Direct/0] 04:08:08
> via ge-0/0/4.20
. . .
Ahora que los sondeos principales fallan, la política de supervisión del SLA ha ajustado la preferencia de ruta estática en la instancia crítica de enrutamiento de aplicaciones. El resultado es que el tráfico crítico fluye a través del vínculo de Internet de banda ancha. Este comportamiento confirma el funcionamiento correcto de la supervisión del rendimiento del SLA de IP.
No se olvide de revertir el cambio de filtro de firewall en el SRX! Una vez que se revierte, espera ver de nuevo el reenvío de la instancia crítica de enrutamiento de aplicaciones a través del vínculo WAN privado.
Puede supervisar estadísticas de tráfico APBR con el show security advance-policy-based-routing statistics comando.
user@host>show security advance-policy-based-routing statistics
Advance Profile Based Routing statistics:
Sessions Processed 1930640
App rule hit on cache hit 4540
App rule hit on HTTP Proxy/ALG 0
Midstream disabled rule hit on cache hit 0
URL cat rule hit on cache hit 0
DSCP rule hit on first packet 92693
App and DSCP hit on first packet 0
App rule hit midstream 0
Midstream disabled rule hit midstream 0
URL cat rule hit midstream 0
App and DSCP rule hit midstream 0
DSCP rule hit midstream 0
Route changed on cache hits 97233
Route changed on HTTP Proxy/ALG 0
Route changed midstream 0
Zone mismatch 0
Drop on zone mismatch 0
Next hop not found 0
Application services bypass 0
El resultado muestra los detalles estadísticos para APBR. Los detalles incluyen la cantidad de sesiones procesadas por la regla APR y la cantidad de veces que el tráfico de la aplicación coincide con el perfil APBR (golpe de regla).
Significado
Los comandos y el resultado mostrados en esta sección confirman que APBR funciona correctamente en la puerta de enlace de servicios SRX. Su nueva sucursal administrada por la nube de Juniper Mist está lista para el negocio.