Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
НА ЭТОЙ СТРАНИЦЕ
 

Маршрутная маршрутка на основе дополнительных политик

Расширенные функции маршрутов на основе политик (APBR), также известные как маршруты на основе приложений, новый дополнение к пакету Juniper Networks, предоставляют возможность переад движение трафика на основе приложений. Дополнительные сведения см. в следующих темах:

Понимание маршрутов на основе дополнительных политик

Маршрутная маршрутка на основе дополнительных политик

Неумолимое увеличение числа голосовых, данных и видеопотоков и приложений, которые проходят по сети, требует, чтобы сети распознали типы трафика для эффективного приоритета, разделения и маршрутизации трафика без ущерба для производительности или доступности.

Начиная Junos OS выпуске 15.1X49-D60, шлюзы серия SRX Services поддерживают усовершенствование маршрутов на основе политик (APBR) для решения этих проблем.

Усовершенствованая маршрутная маршрутия на основе политик — это тип маршрутов на основе сессий, основанных на приложениях. Этот механизм объединяет решения для маршрутов на основе политик и управления трафиком, основанными на приложениях. APBR предусматривает классификацию потоков на основе атрибутов приложений и применение фильтров на основе этих атрибутов для перенаправления трафика. Механизм классификации потока основан на пакетах, представляющие используемую приложение.

APBR реализует:

  • Возможности AppID по глубокого анализу пакетов и проверке шаблонов для идентификации трафика приложения или сеанса пользователя в пределах приложения

  • Наведите в ASC на тип приложения и соответствующий IP-адрес назначения, порт назначения, тип протокола и службу для правила совпадения.

Если найдено правило совпадения, трафик направляется на соответствующий маршрут и на соответствующий интерфейс или устройство.

Преимущества APBR

  • Позволяет определить поведение маршрутов на основе приложений.

  • Обеспечивает более гибкие возможности обработки трафика и обеспечивает подробную обработку пакетов на основе атрибутов приложений.

Понимание работы APBR

Позволяет разобраться в компонентах APBR до обсуждения работы APBR:

  • Создание профиля APBR (также также именуемой профилем приложения в этом документе). Профиль содержит несколько правил APBR. Каждое правило включает в себя несколько приложений или групп приложений в качестве критериев соответствия. Если трафик соответствует какой-либо из групп приложений или групп приложений правила, это правило считается совпадением и профиль направляет трафик приложения на связанный экземпляр маршрутов.

  • Профиль APBR связывает экземпляр маршрутов с правилом APBR. Когда трафик соответствует профилю приложения, для маршрутов трафика для конкретного сеанса используется связанный статический маршрут и следующий переход, определенные в экземпляре маршрутов.

  • Связывать профиль приложения с внным трафиком. Можно прикрепить профиль APBR к политике APBR и применить его в качестве служб приложений для сеанса.

Давайте продолжить с пониманием относительно рабочего процесса APBR, а затем обсудим поддержку apBR в середине потока, а затем о первой классификация пакетов в APBR.

Процесс APBR

На рис. 1 приводится краткое поведение APBR перед Junos OS версии 21.3R1.

Рис. 1. Поведение APBR APBR Behavior

Устройство защиты использует DPI для идентификации атрибутов приложения и использует APBR для маршрутов трафика через сеть. В цепочке обслуживания трафик приложений подвергается DPI до того, как устройство использует ABPR. Процесс идентификации приложения с использованием DPI требует анализа нескольких пакетов. В таких случаях начальный трафик проходит через маршрут по умолчанию (не-APBR маршрут), чтобы достичь места назначения. Процесс продолжается, по-прежнему DPI идентифицирует приложение. Как только DPI идентифицирует приложение, APBR применяет правила для остальной части сеанса. Трафик проходит через маршрут в соответствии с правилом профиля APBR.

При использовании различных NAT пулов для исходных NAT и применении адресов APBR от NAT, ИСХОДНЫй IP-адрес сеанса остается тем же, с которым сеанс использовался до того, как APBR между потоками.

Поддержка apBR в линии

Начиная с Junos OS выпуска 15.1X49-D110 и Junos OS 17.4R1, шлюзы серия SRX Services поддерживают APBR в середине сеанса (который также известен как поддержка средней линии). Это усовершенствование может привести к применению APBR для не кэшируемых приложений, а также для первого сеанса кэшируемых приложений. Это усовершенствование обеспечивает более гибкие возможности обработки трафика, которые обеспечивают гранулярный контроль для перенаправки пакетов.

Первый пакет сеанса проходит через случай повторной маршрутки в середине потока. То есть, если приложение еще не идентифицировано, трафик проходит через стандартный маршрут (не-APBR маршрут) к месту назначения. В то же время, DPI продолжает работу, идентифицировано приложение приемоука. После определения приложения устройство применяет профиль APBR, а остальные пакеты сеанса проходят через маршрут в рамках правил, определенных в профиле APBR. Трафик проходит через подписи приложения маршрутов вне APBR или определяет приложение.

При использовании различных пулов NAT для исходных пулов NAT и использовании адресов APBR от NAT, ИСХОДНЫй IP-адрес сеанса остается тем же, с которым сеанс использовался до того, как APBR между потоками.

APBR с классификацией первого пакета

Начиная Junos OS 21.3R1, APBR использует первое классификация пакетов для определения приложений в сетевом трафике. APBR идентифицирует приложения, проверяя первый пакет в потоке трафика, а затем применяет для его переад доступа правила, определяющие приложения.

На рис. 2 показано, как APBR использует первое классификация пакетов для получения сведений о приложении.

Рис. 2. ApBR с классификацией по первому пакету APBR with First-Packet Classification

В первую классификация пакетов используют хранилище, которое содержит подробные сведения, такие как статическое сопоставление IP-адресов и сведения о портах приложений. Хранилище является частью пакета подписи приложения (JDPI).

При первом сеансе кэшируемых приложений APBR запрашивает ASC для получения сведений о потоке в приложениях. Если запись приложения в ASC недоступна, APBR запрашивает данные приложения у JDPI. APBR использует IP-адрес и данные порта потока для запроса. Если сопоставление приложений доступно, то JDPI возвращает данные в APBR. После получения сведений о приложении APBR ищет настроенный профиль приложения и маршрутит пакет через присвоенный экземпляр маршрутов.

В то же время JDPI продолжает обрабатывать пакеты и обновлять ASC (если включен). Для последующих потоков APBR выполняет маршрутизию трафика на основе записи приложения, присутствуют в ASC для потока.

При использовании первого классификация пакетов можно использовать разные NAT пулы для исходных NAT в конфигурации APBR для кэшируемых приложений.

Преимущества первой классификации пакетов

Благодаря первому классификация пакетов можно эффективно и точно управлять трафиком в сети, оптимизируем использование сетевых соединений и повышая производительность.

Ограничения

  • Для не кэшируемых приложений, при использовании различных NAT пулов для источника NAT и применении APBR в середине сеанса IP-адрес источника сеанса остается одинаковым даже после применения APBR на средней линии.

  • Если СВЕДЕНИЯ об IP-адресе и диапазоне портов приложений изменяются, это изменение может не отражаться сразу в пакете подписи приложения. Для получения последних обновлений IP-адресов и диапазонов портов необходимо установить пакет подписи приложения.
  • В случае микро-сервисов с несколькими приложениями, такими как OFFICE365 на облако, невозможно получить IP-адреса и порты в пределах детализации. В таких случаях первый классификация пакетов данные о родительском приложении. Необходимо настроить правило профиля APBR, чтобы включить вложенное приложение и родительское приложение. Пример: создайте правило APBR с динамическим приложением, как MS-TEAMS, и добавьте в то же правило OFFICE365-CREATE-CONVERSATION для первого классификация пакетов.

Дополнительные параметры маршрутов на основе политик

Можно оптимизировать обработку трафика с помощью APBR, используя следующие параметры:

  • Limit route change- Некоторые сеансы проходят постоянную классификацию в середине сеанса, так как подписи приложений определяют приложение. При обнаружении приложения подписями приложения применяется APBR, что приводит к изменению маршрута трафика. Можно ограничить количество раз, когда маршрут может измениться для сеанса с помощью max-route-change параметра tunables утверждения.

    set security advance-policy-based-routing tunables max-route-change value

    Примере:

    В данном примере необходимо ограничить количество изменений маршрута в сеансе до 5. Если в середине сеанса происходит изменение маршрута, это число уменьшается до 4. Этот процесс продолжается до тех пор, пока количество не достигнет 0. После этого APBR не применяется в середине сеанса.

    Если определенное приложение имеет запись в ASC, то число не уменьшается для этого сеанса, поскольку сеанс начался с указанного маршрута в соответствии с конфигурацией APBR.

  • Terminate session if APBR is bypassed-Сеанс можно завершить, если существует нео несоответствие между зонами, когда APBR был применен в середине сеанса. Если необходимо применить APBR в середине сеанса, то как новый, так и существующий интерфейс для отката должны быть частью одной зоны. Если изменить зону для интерфейса в середине сеанса, то по умолчанию APBR не применяется, и трафик продолжает проходить через существующий интерфейс. Чтобы изменить стандартное поведение, можно завершить сеанс полностью вместо того, чтобы разрешить трафику проходить через тот же маршрут, минуя APBR, с помощью параметра drop-on-zone-mismatch tunables утверждения.

    Примере:

  • Enable logging- Можно включить регистрацию событий, происходящих на устройстве, например, когда APBR обходят из-за изменения зон для интерфейсов. Для настройки журнала можно использовать параметр enable-logging tunables утверждения.

    Примере:

  • Enable reverse reroute— Для развертывания, для чего необходима симметричная маршруты ECMP, и для коммутации входящих трафика в середине сеанса можно перенастройка может быть достигнута с помощью параметра enable-reverse-reroute, специфическая для зоны безопасности следующим образом:

    Примере:

    [edit]

    set security zones security-zone zone-name enable-reverse-reroute

    Когда вышеуказанная конфигурация включена для зоны безопасности, когда входящий пакет поступает на интерфейс и имеет другой исходяющий/ответный интерфейс, обнаруживается изменение интерфейса и запускается перенастройка. Для обратного пути выполняется просмотр маршрута, и предпочтение отдается интерфейсу, на который был прибыл пакет.

    Дальнейшая обработка останавливается для конкретного сеанса, когда не удается отыск маршрута для трафика на обратном пути.

    Поддержка обратной реверсии доступна начиная с Junos OS 15.1X49-D130 и более поздних выпусках.

  • Support for Layer 3 and Layer 4 Applications— Начиная с Junos OS 20.2R1, APBR поддерживает пользовательские приложения уровней 3 и 4. Можно вручную отключить просмотр пользовательских приложений уровней 3 и 4 в APBR с помощью следующей инструкции конфигурации:
  • Application Tracking

    Можно включить AppTrack для проверки трафика и сбора статистики для потоков приложений в указанной зоне. Дополнительные сведения см. в "Отслеживание приложений".

Пример использования

  • Когда используется несколько линий Связи с Интернет-isp:

    • ApBR можно использовать для выбора каналов с высокой пропускной способностью и низкой задержкой для важных приложений при наличии более одного канала.

    • APBR можно использовать для создания ссылки отказа для важного трафика в случае сбоя соединения. Если доступно несколько линий связи и главный, несущий важные данные о трафике приложения, испытывает сб, для переноса трафика можно использовать другой линии связи, настроенный в качестве линии связи для перепада.

    • ApBR можно использовать для разделения трафика для глубокого анализа или анализа. С помощью этой функции можно классифицировать трафик на основе приложений, которые должны пройти глубокий аудит и проверку. При необходимости такой трафик можно маршрутить на другое устройство.

Ограничения

У APBR есть следующие ограничения:

  • Перенаправление маршрута для трафика зависит от наличия записи в кэше системы приложений (ASC). Маршрутная маршрутная маршрутка будет успешна только в случае успешного осмотра ASC. Для первого сеанса, когда ASC не присутствует для трафика, трафик проходит через маршрут по умолчанию (не-APBR маршрут) к месту назначения (это ограничение применимо только для версий до Junos OS 15.1X49-D110).

  • APBR не работает, если пакет подписи приложения не установлен или идентификация приложения не включена.

С поддержкой APBR на линии связи есть следующие ограничения:

  • APBR работает только для трафика forward.

  • APBR не работает для сеансов данных, инициированных объектом из контрольного сеанса, такого как активный FTP.

  • При использовании различных NAT пулов для исходных NAT и среднего APBR IP-адрес источника сеанса по-прежнему остается тем же, с которым сеанс использовался до применения APBR на средней линии.

  • APBR с поддержкой от линии связи работает только когда все выходящий интерфейсы находятся в одной зоне. По этой причине для поддержки APBR в режиме прямого потока могут использоваться только экземпляры маршрутов переадстройки и виртуальной маршрутной и прямой (VRF) маршрутов.

Пример: Настройка маршрутов на основе дополнительных политик для решения для управления трафиком, основанной на приложениях

В этом примере показано, как настроить APBR на устройстве серия SRX.

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Действующая лицензия на идентификацию приложений, установленная на серия SRX устройстве.

  • серия SRX устройство с Junos OS release 15.1X49-D60 или более поздним. В данном примере конфигурации проверяются Junos OS версии 15.1X49-D60.

Обзор

В данном примере необходимо перенаадлить трафик HTTP, соцсети и Yahoo, поступающий в зону доверия на определенное устройство или интерфейс, как указано IP-адресом следующего перехода.

Когда трафик поступает в зону доверия, он сопостается с профилем APBR, и при обнаружении правила совпадания пакеты перенаправить на статический маршрут и на следующий переход, как указано в экземпляре маршрутов. Статический маршрут, настроенный в таблице маршрутов, вставляется в таблицу таблица переадресации при достижении адреса следующего перехода. Весь трафик, предназначенный для статического маршрута, передается на адрес следующего перехода для передачи к определенному устройству или интерфейсу.

На рис. 3 показана топология, используемая в данном примере конфигурации.

Рис. 3. Топология для маршрутов на основе расширенных политик (APBR) Topology For Advanced Policy-Based Routing (APBR)

Таблица 1 содержит подробные сведения о параметрах, используемых в этом примере.

конфигурации APBR
Таблица 1. Параметры

Параметр

Имя

Описание

Экземпляр маршрутов

  • Имя экземпляра — R1

  • Тип экземпляра — переад.

  • Статический маршрут — 1.0.0.254/8

  • Следующий переход — 1.0.0.1

Экземпляр маршрутной маршрутки типа forwarding используется для переадки трафика.

Весь квалифицированный трафик, предназначенный для статического маршрута (например, 5.0.0.0/8), переадварована устройству следующего перехода (пример: с адресом 7.0.0.1 на своем интерфейсе).

  • Имя экземпляра — R2

  • Тип экземпляра — переад.

  • Статический маршрут — 2.0.0.254/8

  • Следующий переход — 2.0.0.1

RIB-группа

apbr_group

Имя группы сведений о маршруте (RIB) (также известной как таблица маршрутов).

Эта RIB-группа настроена на импорт записей маршрутов интерфейса из inet.0, RI1.inet.0, RI2.inet.0 и RI3.inet.0.

Профиль APBR

профиль-1

Имя профиля APBR. Данный профиль соответствует приложениям и группам приложений и перенаправляет совпадающий трафик на указанный экземпляр маршрутов (пример: R1) для осмотра маршрута. Профиль содержит несколько правил.

Правило

  • Rule name (Имя правила) — ruleApp1

  • приложение matching — junos:HTTP

  • Связанный экземпляр маршрутов — R1

Определите правила для профиля APBR. Связывать это правило с одним или более приложениями (например, для HTTP) или групп приложений. Если приложение соответствует какой-либо из групп приложений или групп приложений, которые соответствуют правилу в профиле, правило профиля приложения считается совпадением, и трафик будет перенаправлен на экземпляр маршрутов (пример: R1) для осмотра маршрута.

  • rule name —ruleApp2

  • приложение matching — junos:web:соцсети

  • Экземпляр маршрутов — R2

Зоны

Доверять

Укажите зону-источник, к которой может быть применен профиль APBR.

Примечание.

Чтобы использовать APBR для перенаправления трафика на основе приложений, импорт маршрутов интерфейса может потребоваться из одного экземпляра маршрутов в другой экземпляр маршрутов. Можно использовать один из следующих механизмов:

  • RIB-группы для импорта интерфейсных маршрутов

  • Политика маршрутов для импорта интерфейсных маршрутов

Если для импорта маршрутов интерфейса используется политика маршрутов, это может привести к утечке управляющих локальных маршрутов (с помощью fxp0) на экземпляр маршрутов по умолчанию, если для политики маршрутов не используется соответствующее действие. Когда устройства находятся в кластерном режиме шасси, подобные сценарии могут привести к переохавлеву RG0 из-за ограничений. Не рекомендуется настраивать локальный маршрут fxp0 в таблице маршрутов экземпляра маршрутов по умолчанию. В следующем примере показан пример конфигурации параметров политики. Обратите внимание, что действия по отказу помогают устранить не требующие маршруты. Можно использовать определенные маршруты, чтобы отклонить маршруты fxp0.

Примечание.

APBR используется для маршрутки пакетов по пути переад пути. Для поступления обратного трафика по этому же пути рекомендуется настроить удаленное серия SRX с конфигурацией ECMP наряду с политикой маршрутизаации баланса нагрузки, как показано в следующем примере конфигурации:

Конфигурации

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все обрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в конфигурацию на интерфейс командной строки иерархии, а затем войдите из режима [edit] commit конфигурации.

Настройка маршрутов на основе дополнительных политик

Пошаговая процедура

Для настройки APBR:

  1. Создайте экземпляры маршрутов.

  2. Сгруппировать одну или несколько таблиц маршрутов для формирования RIB-группа, apbr_group маршрутов и импорта маршрутов в таблицы маршрутов.

  3. Создайте профиль APBR и определите правила.

  4. Примените профиль APBR к зоне безопасности.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show routing-instances show security zones команд и команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Проверка статистики маршрутов на основе дополнительных политик

Цель

Отображение статистики для APBR, например число сеансов, обработанных для маршрутов на основе приложений, число раз, которое APBR применялось для сеанса и так далее.

Действий

В режиме конфигурации введите show security advance-policy-based-routing statistics команду.

Смысл

Выходные данные команды отображают следующие сведения:

  • Сеансы обрабатываются для маршрутов на основе приложений.

  • Количество совпадений трафика приложения с профилем APBR и для сеанса apBR.

  • Количество обращений к AppID для определения трафика приложений.

Дополнительные сведения см. в show security advance-policy-based-routing statistics.

Проверка маршрутов на основе дополнительных политик

Цель

Отображение данных сеансов и потоков пакетов, активных на устройстве, включая подробные сведения о конкретных сеансах.

Действий

В режиме конфигурации введите команду, чтобы отобразить информацию обо всех активных в данный момент show security flow session сеансах безопасности устройства.

Смысл

Выходные данные команды отображают следующие сведения:

  • Все активные сеансы и потоки пакетов на устройстве

  • Список входящих и исходяющих IP-потоков, включая сервисы

  • Атрибуты безопасности, связанные с потоком, например политики, применимые к трафику, относящемся к этому потоку

  • Значение времени и времени сеанса, когда сеанс стал активным, как долго он был активным, и если в этом сеансе есть активный трафик

Настройка дополнительных политик маршрутов на основе политик

Начиная с Junos OS выпуска 18.2R1, можно настроить дополнительные политики маршрутов (APBR), определив адреса источников, адреса назначения и приложения в качестве условий совпадения; и после успешного совпадения настроенный профиль APBR применяется в качестве службы приложений для сеанса. В предыдущих выпусках Junos OS, профиль APBR мог быть подключен к входящий зоне безопасности входящих трафика, и APBR был применен на основе зоны безопасности. Теперь, при поддержке политик APBR, вы можете применить другой набор правил APBR к трафику, основанный на входящих зонах безопасности, адресе источника, адресе назначения и приложении

Это усовершенствование обеспечивает более гибкие возможности обработки трафика, которые обеспечивают гранулярный контроль для перенаправки пакетов.

Поддерживаемые критерии соответствия включают адреса источников, адреса назначения и приложения. Приложения могут быть использованы для поддержки условий совпадения в зависимости от протокола и портов уровня 4.

Если одна или несколько политик APBR настроены для зоны безопасности, политика будет оцениваться во время фазы создания сеанса. Просмотр политики завершается после выбора политики, совпадая с сеансом. После успешного совпадения для сеанса используется профиль APBR, настроенный с помощью политики APBR.

Как работает политика APBR?

Политики APBR определяются для зоны безопасности. Если с зоной связана одна или несколько политик APBR, сеанс, инициированный из зоны безопасности, проходит через совпадение политики.

Для определения трафика с помощью политики APBR и применения дополнительных маршрутов на основе политик для переадад доступа к трафику, исходя из определенных параметров/правил, участвуют следующие последовательности:

  • Когда трафик поступает в ветвную зону, он сопоизмеется с правилами политики APBR. Условие совпадения политики включает в себя адрес источника, адрес назначения и приложение.

  • Если трафик соответствует правилам политики безопасности, действие политики APBR применяется к трафику. Можно включить APBR в качестве службы приложения в действии политики APBR, указав имя профиля APBR.

  • Конфигурация профиля APBR не соответствует набору правил, которые содержат в качестве условия совпадения набор динамических приложений и dyamic-групп приложений. Действие части этих правил содержит экземпляр маршрутов, через который должен быть переад движение трафика. Экземпляр маршрутов может включать конфигурацию статических маршрутов или динамических выученных маршрутов.

  • Весь трафик, предназначенный для статического маршрута, передается на адрес следующего перехода для передачи к определенному устройству или интерфейсу.

Правила политики APBR являются терминалами, что означает, что после совпадения трафика с политикой, он не обрабатывается далее другими политиками.

Если у политики APBR совпадающий трафик и профиль APBR не соответствует правилу, то трафик, совпадающий с политикой APBR, проходит через стандартный экземпляр маршрутов [inet0] к месту назначения.

Поддержка унаследованных профилей APBR

До выпуска Junos OS версии 18.2R1 профиль APBR применялся на уровне зоны безопасности. Благодаря поддержке политики APBR конфигурация APBR на уровне зоны безопасности будет удалена в будущем, а не будет незамедлительно удалена, чтобы обеспечить обратную совместимость и возможность привести конфигурацию в соответствие с новой конфигурацией.

Однако если вы настроили APBR на основе зоны и попытались добавить политику APBR для конкретной зоны безопасности, это может привести к сбойу. Необходимо удалить конфигурацию, основанную на зоне, чтобы настроить политику APBR для зоны. Аналогично, если политика APBR настроена для зоны безопасности и при попытке настроить APBR на основе зоны, это приводит к ошибке.

Ограничение

  • При использовании определенного адреса или адреса, задаемого в правиле политики APBR, рекомендуется использовать глобальную адресную книгу. Поскольку для адреса назначения могут оказаться не применимыми специальные правила зоны, поскольку зона назначения во время оценки политики неизвестна.

  • Настройка политики APBR для зоны безопасности junos-host не поддерживается.

Пример: Настройка дополнительных политик маршрутов на основе политик

В этом примере показано, как настроить политику APBR и применить профиль APBR к сеансу, который соответствует правилам политики APBR.

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • серия SRX устройство с Junos OS release 18.2R1 или более поздним. Этот пример конфигурации протестирован на Junos OS версии 18.2R1.

  • Действительная лицензия на идентификацию приложений, установленная на серия SRX устройстве.

Обзор

В данном примере необходимо переадлить HTTP-трафик, поступающий в trust-зону, на определенное устройство или интерфейс, как указано IP-адресом следующего перехода.

Когда трафик поступает в зону доверия, он сопопоется с политикой APBR. Если трафик соответствует политике, то настроенное правило APBR применяется к разрешенным трафику как к службам приложений. Пакеты, как заданное в экземпляре маршрутов, переадронируются на основе правила APBR на статический маршрут и на следующий переход. Статический маршрут, настроенный в таблице маршрутов, вставляется в таблицу таблица переадресации при достижении адреса следующего перехода. Весь трафик, предназначенный для статического маршрута, передается на адрес следующего перехода для передачи к определенному устройству или интерфейсу.

В данном примере необходимо выполнить следующие настройки:

  • Определите экземпляр маршрутов и RIB-группа.

  • Создание профиля ABPR.

  • Создайте зону безопасности.

  • Создайте политику APBR и прикрепляйте к ней профиль APBR.

Конфигурации

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit] commit конфигурации.

Настройка маршрутов на основе дополнительных политик

Пошаговая процедура

Применение APBR к трафику, совпадает с политикой APBR:

  1. Создайте экземпляры маршрутов.

  2. Сгруппировать одну или несколько таблиц маршрутов для формирования RIB-группа под названием apbr_group и импорта маршрутов в таблицы маршрутов.

  3. Создайте профиль APBR и определите правила.

  4. Создайте зону безопасности.

  5. Создайте политику APBR и примените профиль APBR к зоне безопасности.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show routing-instances show security zones команд и команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Проверка статистики маршрутов на основе дополнительных политик

Цель

Отображение статистики для APBR, например число сеансов, обработанных для маршрутов на основе приложений, число раз, которое APBR применялось для сеанса и так далее.

Действий

В режиме конфигурации введите show security advance-policy-based-routing statistics команду.

Смысл

Выходные данные команды отображают следующие сведения:

  • Сеансы обрабатываются для маршрутов на основе приложений.

  • Количество совпадений трафика приложения с профилем APBR и для сеанса apBR.

  • Количество обращений к AppID для определения трафика приложений.

Дополнительные сведения см. в show security advance-policy-based-routing statistics.

Проверка конфигурации политики APBR

Цель

Отображение сведений о политике APBR, связанном профиле APBR и выводе сведений о подсчете попаданий в политику APBR.

Действий

В режиме конфигурации введите show security advanced-policy-based-routing команду.

В режиме конфигурации введите show security advanced-policy-based-routing hit-count команду.

Смысл

Выходные данные команды отображают следующие сведения:

  • Подробная информация, например статус политики, связанный с профилем APBR.

  • Отображение полезной скорости политик в соответствии с количеством получаемых ими попаданий.

Понимание маршрутов по категориям URL-адресов

Начиная Junos OS 18.3 R1, маршрутка по категориям URL-адресов поддерживается на серия SRX устройствах и vSRX экземплярах. Маршрутия по категориям URL-адресов позволяет использовать категории URL в качестве критериев соответствия в профиле APBR. Категории URL-адресов основаны на IP-адресе сервера назначения, а идентификация категории опирается на данные модуля Enhanced Web Filtering (EWF) и локального веб-фильтрация, полученные с помощью модуля унифицированного управления угрозами (UTM).

Маршрутия на основе URL-адресов позволяет выборочно определять и определять веб-трафик (HTTP и HTTPS) в указанное место назначения.

веб-фильтрация классифицирует веб-сайты в соответствии с хостами, URL-адресами или IP-адресами и выполняет фильтрацию на основе этих категорий. Можно настроить профили APBR, указав категорию URL в качестве условия совпадения в правиле. Правило профиля APBR соответствует трафику с указанными критериями соответствия, и после успешного соответствия настроенный профиль APBR применяется в качестве услуги приложения для сеанса. Например, предположим, что необходимо перена пути всего трафика, принадлежащего к определенной категории веб-сайтов, например, к соцсетям, через определенный следующий переход. В этом случае можно создать новый профиль APBR со списком категорий URL, таких как Enhanced_Social_Web_Facebook, Enhanced_Social_Web_Linkedin, Enhanced_Social_Web_Twitter или Enhanced_Social_Web_Youtube или любой другой пользовательский URL в качестве критериев соответствия в политике. Трафик, который соответствует одной из определенных категорий URL-адреса в правиле, передается с использованием маршрутов конкретного экземпляра маршрутов.

Когда профиль APBR сопобирает трафик с категориями URL- адресов, включенными в правило, APBR запрашивает модуль веб-фильтрация для получения сведений о категории URL. Если категория URL-адреса недоступна в кэше фильтрации URL-адресов, устройство обеспечения безопасности отправляет запрос частное облако адресату, настроенного веб-фильтрация для сведений о классификации. Если трафик не соответствует категориям URL-адресов, запрос не обрабатывается, и в этом сеансе проводится обычная обработка (маршрут без APBR).

Примечание.

Если частное облако EWF не отвечает на запрос категории URL в течение 3 секунд, сеанс подвергается обычной обработке (маршрут без APBR).

Обработка правил в профиле APBR

Можно предоставить усовершенствованую маршрутную маршрутификацию на основе политик, классифицировать трафик на основе атрибутов приложений и применить политики на основе этих атрибутов для перенаправления трафика. Для этого необходимо определить профиль APBR и связать его с политикой APBR. Можно создать профиль APBR с несколькими правилами с динамическими приложениями, группами приложений или обоими или категорией URL-адреса в качестве критериев соответствия. Правила, настроенные в профиле APBR, могут включать в себя следующее:

  • одно или несколько приложений, динамических приложений или групп приложений.

  • Категория URL (IP-адрес назначения) — EWF или локальный веб-фильтрация.

В профиле APBR просмотр правил выполняется для обоих критериев соответствия. Если имеется только один критерий соответствия, то просмотр правила будет сделан на основе доступных критериев соответствия.

Профиль APBR содержит правила для совпадения трафика с приложениями или категориями URL-адреса, а также действия по перенаправлению совпадающих трафика на указанный экземпляр маршрутов для осмотра маршрута.

В Junos OS 18.3R1 соответствие категории URL-адреса происходит на основе IP-адреса назначения; по этой причине совпадение с правилом на основе URL-адреса завершается в первом пакете сеанса. Поскольку динамическое приложение может быть идентифицировано в середине сеанса, процесс определения динамических правил приложения продолжается до тех пор, пока процесс идентификации приложения не будет завершен.

Преимущества маршрутов по категориям URL-адресов

  • Использование категорий на основе URL-адресов позволяет получить гранулярный контроль над веб-трафиком. Трафик, принадлежащий определенным категориям веб-сайтов, перенаправляется по разным путям и, исходя из категории, подвергается дальнейшей обработке безопасности, включая расшифровку SSL для ТРАФИКА HTTPS.

  • Возможности обработки трафика на основе категорий URL позволяют использовать различные пути для выбранных веб-сайтов. Использование различных путей обеспечивает лучшее качество обслуживания (QoE) и позволяет эффективно использовать доступную полосу пропускания.

  • SD-WAN могут использовать маршрутную маршрутику по категориям URL в дополнение к динамической маршрутизке на основе приложений.

  • Маршруты по категориям URL-адресов можно использовать для локальных решений для размыкания Интернета, так как она может работать с изменениями NAT источника.

Ограничения маршрутов по категориям URL-адресов

Использование категорий URL в профиле APBR имеет следующие ограничения:

  • Для идентификации категории URL в профиле APBR используется только IP-адрес назначения. Категории URL-адресов, основанные на хосте, URL-адресе или поле SNI не поддерживаются.

  • В правиле профиля APBR можно настроить динамическое приложение или категорию URL-адреса в качестве условия совпадения. Настройка правила как с категорией URL, так и с динамическим приложением приводит к ошибке сфиксирования.

Пример: Настройка маршрутов по категориям URL-адресов

В этом примере показана настройка маршрутов на основе категорий URL.

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • серия SRX устройство с Junos OS версии 18.3 R1 или более поздней. Этот пример конфигурации протестирован на Junos OS версии 18.3 R1.

  • Действующая лицензия на идентификацию приложений, установленная на серия SRX устройстве.

  • Параметр Enhanced Web Filtering (EWF) требует приобретения лицензии Juniper Networks веб-фильтрация сети. Локализованная лицензия не требуется для веб-фильтрация.

Обзор

В этом примере показано, как настроить APBR на устройстве серия SRX для передачи трафика соцсети, припадающего в зону доверия, к определенному устройству или к интерфейсу с использованием маршрутов по категориям URL.

При прибытии трафика он сопопоется с профилем APBR, и при обнаружении правила совпадания пакеты перенаправить на статический маршрут и IP-адрес следующего перехода, как указано в экземпляре маршрутов. Статический маршрут, настроенный в таблице маршрутов, добавляется в таблицу таблица переадресации, когда адрес следующего перехода дойдет до адреса. Весь трафик, предназначенный для статического маршрута, передается на адрес следующего перехода для передачи к определенному устройству или к интерфейсу.

В данном примере вы завершаете следующие настройки:

  • В включается любой из следующих веб-фильтрация:

    • Расширенная веб-фильтрация (EWF)— при вделе EWF на устройстве механизм EWF перехватывает запросы HTTP и HTTPS и классифицывает URL-адрес в одну из 95 или более заранее заданной категорий, а также предоставляет информацию о репутации узла. См. "Настройка маршрутов на основе URL-адреса с помощью локальной веб-фильтрации".

    • Local веб-фильтрация — при в enable local веб-фильтрация, можно настроить пользовательские категории URL с несколькими списками URL-адресов и применить их к профилю UTM веб-фильтрация с действиями, такими как permit, permit и log, block и карантин. Чтобы использовать локальные веб-фильтрация, необходимо создать профиль веб-фильтрация и убедиться, что часть профиля является частью пользовательского по категориям. См. "Настройка маршрутов по категориям URL с помощью EWF".

  • Определите экземпляры маршрутов и информационную базу маршрутов (RIB; также известна как группа таблиц маршрутов).

  • Определение профиля APBR и ассоциировать его с политикой APBR.

Настройка маршрутов по категориям с помощью EWF

В данном разделе указаны действия по настройке маршрутов по категориям URL с использованием EWF. Таблица 2 содержит подробные сведения о параметрах, используемых в этом примере.

Таблица 2. Параметры конфигурации маршрутов на основе URL-адресов с использованием EWF

Параметры

Имя

Описание

Профиль APBR

apbr-pr1

Имя профиля APBR.

Политика APBR

p1

Имя политики APBR.

Правило

  • Rule name — правило-социум-nw

  • Соответствие категории URL-адресов — Enhanced_Facebook_Apps

  • Действие политики — связывание с экземпляром маршрутов RI1

Имя правила профиля APBR.

Правило профиля APBR соответствует трафику определенной категории URL и перенаправляет совпадающий трафик на указанный экземпляр маршрутов (пример: RI1) для осмотра маршрута.

Категории

Enhanced_Social_Web_Facebook

Категория, определяемая в правиле профиля APBR для определения совпадения с трафиком.

Экземпляр маршрутов

  • Имя экземпляра — RI1

  • Тип экземпляра — переад.

  • Статический маршрут — 1.0.0.254/8

  • Следующий переход — 1.0.0.1

Экземпляр маршрутной маршрутки типа forwarding используется для переадки трафика.

Весь квалифицированный трафик, предназначенный для статического маршрута (с IP-адресом 1.0.0.254/8), передается устройству следующего перехода (с IP-адресом 1.0.0.1).

RIB-группа

apbr_group

Имя RIB-группа.

Маршрутизатор RIB-группа разделяет интерфейсные маршруты с экземплярами маршрутной маршрутки. Чтобы убедиться в том, что следующий переход является разрешаемым, интерфейсные маршруты из основной таблицы маршрутов совместно RIB-группа с таблицами маршрутов, заданными в экземплярах маршрутов.

Для выполнения маршрутов по категориям с использованием EWF необходимо выполнить следующие процедуры:

Включение улучшенной веб-фильтрации

Пошаговая процедура

Чтобы использовать категории URL в качестве критериев соответствия в профиле APBR, необходимо включить EWF в UTM.

Примечание.

При EWF необходимо приобрести лицензию Juniper Networks веб-фильтрация лицензией. Локализованная лицензия не требуется для веб-фильтрация.

  1. Введите EWF, указав веб-фильтрация как juniper-enhanced .

  2. Установите размер кэша, как 500, и время ивеки кэша до 1800 секунд для настроенного яруса EWF.

    Дополнительные сведения о конфигурации EWF см. в улучшенной веб-фильтрации (EWF).

Определение экземпляра маршрутов и группы RIB

Пошаговая процедура

Определите экземпляр маршрутов и RIB-группа.

  1. Создайте экземпляр маршрутов для переадки трафика другим следующим переходам. На этом шаге необходимо настроить статический маршрут 1.0.0.254/8, а адрес следующего перехода – 1.0.0.1.

  2. Создайте RIB-группа.

    Маршруты интерфейса из основной таблицы маршрутов (inet.0) совместно RIB-группа с таблицей маршрутов, указанной в экземпляре маршрутов RI1.inet.0.

Настройка профиля APBR

Пошаговая процедура

Создайте правило для приложений Facebook и перенаправить совпадающий трафик на экземпляр маршрутов RI1.

  1. Создайте профиль APBR и определите критерии соответствия для категории URL.

    Правило профиля APBR соответствует трафику определенной категории URL- то есть приложению Facebook в этом примере.

  2. Укажите действие для трафика, совпадающих с категорией URL.

    На этом шаге необходимо указать, что трафик, который соответствует правилу apbr-pr1, должен быть перенаправлен на экземпляр маршрутов RI1.

Настройка политики APBR и присоединение профиля APBR

Пошаговая процедура

Связывание профиля приложения с политикой APBR для того, чтобы включить маршрутизию по категориям URL.

  1. Определите политику APBR. Укажите условие совпадения политики в том, что касается any адреса источника, адреса назначения и приложения.

    При прибытии трафика он сопопоется правилам политики APBR.

  2. Прикрепить профиль APBR к политике.

    Если трафик соответствует правилам политики APBR (p1), профиль APBR apbr-pr1 применяется к трафику в качестве действия политики APBR. Трафик, который соответствует приложению Facebook, перенаправляется на экземпляр маршрутов RI1 в соответствии с правилом профиля APBR -social-nw.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

[edit security]

[edit]

[edit]

После настройки устройства войдите в commit режим конфигурации.

Настройка маршрутов на основе URL-адресов с помощью локальной веб-фильтрации

В данном разделе указаны действия по настройке маршрутов по категориям URL-адресов с помощью локальных веб-фильтрация.

Таблица 3 содержит подробные сведения о параметрах, используемых в этом примере.

для маршрутов по категориям URL с использованием локальной веб-фильтрации
Таблица 3. Параметры конфигурации APBR

Параметры

Имя

Описание

Профиль APBR

apbr-pr2

Имя профиля APBR.

Политика APBR

p2

Имя политики APBR.

Правило

  • Rule name (Имя правила) — правило2

  • Соответствие категории URL-адресов — пользовательский

  • Действие политики — ассоциировано с экземпляром маршрутов RI2

Имя правила профиля APBR.

Правило профиля APBR соответствует трафику определенной категории URL и перенаправляет совпадающий трафик на указанный экземпляр маршрутов (пример: RI2) для осмотра маршрута.

Настраиваемая категория (шаблон URL-адреса)

203.0.113.0

203.0.113.10

Категория, определяемая в правиле профиля APBR для определения совпадения с трафиком.

Экземпляр маршрутов

  • Имя экземпляра — RI2

  • Тип экземпляра — переад.

  • Статический маршрут — 5.0.0.10

  • Следующий переход — 9.0.0.1

Экземпляр маршрутной маршрутки типа forwarding используется для переадки трафика.

Весь квалифицированный трафик, предназначенный для статического маршрута (с IP-адресом 5.0.0.10), передается устройству следующего перехода (с IP-адресом 9.0.0.1).

RIB-группа

apbr_group2

Имя RIB-группа.

Маршрутизатор RIB-группа интерфейсные маршруты вместе с экземплярами маршрутной маршрутки. Чтобы убедиться в том, что следующий переход является разрешаемым, интерфейсные маршруты из основной таблицы маршрутов совместно RIB-группа с таблицами маршрутов, заданными в экземплярах маршрутов.

Для выполнения маршрутов по категориям с использованием локальных веб-фильтрация, необходимо выполнить следующие процедуры:

Включение локальной веб-фильтрации

Пошаговая процедура

Чтобы использовать категории URL в качестве критериев соответствия в профиле APBR, необходимо включить локальные адреса веб-фильтрация в UTM.

  1. Введите local веб-фильтрация, указав веб-фильтрация как juniper-local .

  2. Создайте пользовательские объекты и списки шаблонов URL-адресов.

    На этом шаге создается шаблон, который соответствует IP-адресу 203.0.113.0 или 203.0.113.10 для HTTP.

  3. Настройте пользовательский список категорий URL-адресов.

    Категория URL, заданная в этом примере, является пользовательской, при которой можно добавлять списки URL-адресов. На этом шаге добавляется список URL-адресов, который содержит шаблоны, совпадающие с адресами local1 203.0.113.1 и 203.0.113.10, созданные на шаге 2.

  4. Настройте профиль веб-фильтрация конфигурации.

    Профиль веб-фильтрация включает в себя определяемую пользователем категорию с действием permit.

    Дополнительные сведения о настройке локальных веб-фильтрация см. в local Web Filtering.

Определение экземпляра маршрутов и группы RIB

Пошаговая процедура

Определите экземпляр маршрутов и RIB-группа.

  1. Создайте экземпляр маршрутов для переадки трафика другим следующим переходам. В этом примере настраивается статический маршрут 5.0.0.0/10, используя адрес следующего перехода 9.0.0.1.

  2. Создайте RIB-группа.

    Маршруты интерфейса из основной таблицы маршрутов (inet.0) совместно RIB-группа с таблицей маршрутов, указанной в экземпляре маршрутов (RI2.inet.0).

Настройка профиля APBR

Пошаговая процедура

Создайте правило перенаправить трафик, совпадающий с пользовательским шаблоном URL-адреса, на экземпляр маршрутов RI2.

  1. Создайте профиль APBR и определите критерии соответствия для категории URL.

    Правило профиля APBR соответствует трафику определенной пользовательской категории URL- то есть трафик с шаблонами URL- адресов 203.0.113.1 и 203.0.113.10 в этом примере.

  2. Укажите действие для трафика, совпадающих с категорией URL.

    На этом шаге необходимо указать, что трафик, который соответствует правилу, должен быть перенаправлен на экземпляр маршрутов RI2.

Настройка политики APBR и присоединение профиля APBR

Пошаговая процедура

Связывание профиля APBR с политикой APBR для того, чтобы включить маршрутизию по категориям URL.

  1. Определите политику APBR. Укажите условие совпадения политики в том, что касается any адреса источника, адреса назначения и приложения.

    При поступлениях трафика правила политики APBR совпадают.

  2. Прикрепить профиль APBR к политике.

    Если трафик соответствует правилам политики APBR (p2), профиль APBR apbr-pr2 применяется к трафику в качестве действия политики APBR. Трафик, который соответствует приложению Facebook, перенаправляется на экземпляр маршрутов RI2 согласно правилу профиля APBR2.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

[edit security]

[edit]

[edit]

После настройки устройства войдите в commit режим конфигурации.

Проверки

Проверка статистики APBR

Цель

Отображение статистики для APBR, например число сеансов, обрабатываемых для маршрутов на основе приложений, количество обращений APBR к сеансу и так далее.

Действий

В режиме конфигурации введите show security advance-policy-based-routing statistics команду.

user@host> show security advance-policy-based-routing statistics

Смысл

Выходные данные команды отображают следующие сведения:

  • Сеансы, обработанные для маршрутов на основе приложений

  • Количество найденных записей в кэше системы приложений (ASC)

  • Количество совпадений трафика приложения с профилем APBR и для сеанса APBR

  • Количество раз, когда с идентификацией приложений (AppID) обращались для идентификации трафика приложений

  • Количество раз, когда APBR применяется к сеансу

Обход служб приложений в правиле APBR

Можно создать профиль APBR, включив в себя несколько правил с динамическими приложениями, группами приложений или и того, и другим, или категорией URL в качестве критериев соответствия на устройствах безопасности. Маршрутия на основе URL-адресов позволяет определять и выборочно определять веб-трафик (HTTP и HTTPS) к указанному месту назначения или к другому устройству, где требуется дальнейшая проверка веб-трафика. В таких случаях можно не применять или не обходить службы приложений для сеанса, который будет перена пути к устройству для дальнейшей проверки.

Начиная Junos OS версии 19.1R1, можно обойти службы приложений для сеанса, который перенаправить с помощью правила APBR.

При обходе служб приложений задействованы следующие последовательности:

  1. APBR использует данные приложения для найти правило совпадения в профиле APBR (профиль приложения).

  2. При обнаружении совпадающих правил APBR трафик перенаправляется на указанный экземпляр маршрутов для искомого маршрута.

  3. Если настроить возможность обхода служб приложений на сеансах в правиле APBR, то будет предпринята попытка обойти службы приложений для этого сеанса.

  4. Создается или обновляется сообщение журнала для сообщения об обходе служб приложений в этом сеансе.

Можно обойти такие службы приложений, как политики безопасности, качество обслуживания приложений (AppQoS), Juniper Sky ATP, IDP, Security Intelligence (SecIntel) и UTM при помощи правила APBR.

Для эффективного обхода необходимо, чтобы правило APBR было совпано в первом пакете. Если после первого пакета совпадает правило и настроен параметр обхода, параметр обхода игнорируется, а службы приложений не обходяются.

Служба ALG не обошелся из-за этой функции, так как обход ALG может привести к сопоставлению коррелирующих сеансов (данных) с соответствующей политикой безопасности.

Пример: Обход служб приложений с помощью правила APBR

В этом примере показано, как обойти службы приложений в этом сеансе с помощью правила APBR. С помощью маршрутов по категориям URL-адресов можно определять и выборочно определять веб-трафик (HTTP и HTTPS) к указанному месту назначения или к другому устройству. В данном случае можно настроить обход служб приложений на сеансе, где можно выполнять дополнительную проверку web-трафика.

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • серия SRX устройство с Junos OS выпуском 19.1R1 или более поздним. Этот пример конфигурации протестирован на Junos OS версии 19.1R1.

  • Действительная лицензия на идентификацию приложений, установленная на серия SRX устройству.

Перед началом работы:

  • Определите экземпляр маршрутов и RIB-группа.

  • Соответствующие политики безопасности для применения правил для транзитного трафика, для указания того, какой трафик может проходить через устройство, и действия, которые должны выполняться в трафике по мере его передачи через устройство.

Обзор

В этом примере показано, как настроить APBR на устройстве серия SRX чтобы перенаходить трафик соцсети, поступающий в зону доверия, к определенному устройству или к интерфейсу, использующему маршруты по категориям URL и обход сервисов приложений на одном сеансе.

В данном примере вы завершаете следующие настройки:

  • Определить профиль APBR и связать его с политикой APBR. Профиль APBR содержит правила, которые соответствуют трафику с приложениями и категориями URL-адресов.

  • Затем укажите действие правила профиля APBR. То есть для перенаправления совпадающих трафика на указанный экземпляр маршрутов для осмотра маршрута.

  • Укажите параметр обхода приложения для совпадающих трафика.

При прибытии трафика он сопопоется с профилем APBR, и при обнаружении правила совпадения пакеты переададают на статический маршрут. Весь трафик, предназначенный для статического маршрута, передается на адрес следующего перехода для передачи к определенному устройству или к интерфейсу. Поскольку для совпадающего трафика настроен параметр обхода приложения, трафик, перена который будет передавался конкретному устройству по адресу следующего перехода, не применяется к службам приложений.

Конфигурации

Этот раздел содержит шаги по настройке маршрутов на основе URL-адресов с помощью улучшенной веб-фильтрация (EWF), а также возможности передачи служб приложений по трафику.

Включение улучшенной веб-фильтрации

Пошаговая процедура

Чтобы использовать категории URL в качестве критериев соответствия в профиле APBR, необходимо включить EWF в UTM.

Примечание.

При EWF необходимо приобрести лицензию Juniper Networks веб-фильтрация лицензией. Локализованная лицензия не требуется для веб-фильтрация.

  1. Введите EWF, указав веб-фильтрация как juniper-enhanced .

  2. Установите размер кэша, как 500, и время и времени кэша, как 1800 секунд для настроенного яруса EWF.

    Дополнительные сведения о конфигурации EWF см. в улучшенной веб-фильтрации (EWF).

Настройка правила APBR

Пошаговая процедура

Создайте правило для приложений Facebook и перенаправить совпадающий трафик на экземпляр маршрутов RI1.

  1. Создайте профиль APBR и определите критерии соответствия для категории URL.

    Правило профиля APBR соответствует трафику определенной категории URL- то есть приложению Facebook в этом примере.

  2. Укажите действие для трафика, совпадающих с категорией URL.

    На этом шаге необходимо указать, что трафик, который соответствует правилу apbr-pr1, должен быть перенаправлен на экземпляр маршрутов RI1.

  3. Укажите службы обхода приложений для трафика, совпадающих с правилом APBR.

    На этом шаге необходимо указать, что трафик, который соответствует правилу apbr-pr1, должен быть обошел службы приложений.

Настройка политики APBR и присоединение профиля APBR

Пошаговая процедура

Связывание профиля приложения с политикой APBR для того, чтобы включить маршрутизию по категориям URL.

  1. Определите политику APBR. Укажите условие совпадения политики в том, что касается any адреса источника, адреса назначения и приложения.

    При прибытии трафика он сопопоется правилам политики APBR.

  2. Прикрепить профиль APBR к политике.

    Если трафик соответствует правилам политики APBR (p1), профиль APBR apbr-pr1 применяется к трафику в качестве действия политики APBR. Трафик, который соответствует приложению Facebook, перенаправляется на экземпляр маршрутов RI1 в соответствии с правилом профиля APBR -social-nw. Кроме того, службы приложений пропускаются для сеанса, как указано в правиле профиля APBR rule-social-nw.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

[edit security]

После настройки устройства войдите в commit режим конфигурации.

Проверки

Проверка статистики APBR

Цель

Отображение статистики для APBR, например число сеансов, обработанных для маршрутов на основе приложений, количество обращений APBR к сеансу и так далее.

Действий

В режиме конфигурации введите show security advance-policy-based-routing statistics команду.

user@host> show security advance-policy-based-routing statistics

Смысл

Выходные данные команды отображают следующие сведения:

  • Сеансы, обработанные для маршрутов на основе приложений

  • Количество найденных записей в кэше системы приложений (ASC)

  • Количество совпадений трафика приложения с профилем APBR и apBR для сеанса

  • Количество раз, когда с идентификацией приложений (AppID) обращались для идентификации трафика приложений

  • Количество раз, когда APBR применяется к сеансу

  • Количество обходов служб приложений в течение сеанса

Поддержка идентификации источника пользователя в политиках APBR

Начиная с Junos OS выпуска 19.1R1, можно настроить дополнительные политики маршрутификации (APBR), определив идентификатор источника пользователя в качестве одного из критериев соответствия наряду с адресами источников, адресами назначения и приложениями. После успешного совпадения профиль APBR, настроенный с помощью политики APBR, применяется в качестве услуги приложения для сеанса. Идентификация источника позволяет использовать пользовательские данные, хранимые в хранилище, например, в таблице идентификации пользователя (UIT).

В поле source-identity указаны пользователи и роли, к которым применяется политика. Если поле "source-identity" определено в политике как критерий совпадения, данные о пользователе и роли должны быть извлечены перед тем, как можно продолжить просмотр политики. Использование параметра идентификации источника в качестве критерия совпадения в политике APBR необязательно. Если значение в поле "source-identity" настроено как any или в поле удостоверения источника нет записи, информация о пользователе и о роли не требуется, а для поиска политики используются другие критерии соответствия.

В поле "Source-identity" (Идентификация источника) можно указать одного или более пользователей или роли пользователей с помощью следующих ключевых слов:

  • authenticated-user — пользователи, аутентификация пользователей.

  • unauthenticated-user — пользователи, не аутентификация пользователей.

  • any — все пользователи, независимо от состояния аутентификации. Если поле идентификации источника не настроено или настроено на any, для поиска соответствия используются только другие критерии поиска соответствия.

  • unknown-user — пользователи, которые не могут быть аутентификацией из-за отключения сервера аутентификации, например, отключения питания.

На устройство обеспечения безопасности таблица идентификации пользователя (UIT) содержит сведения о пользователе и роли для активного пользователя, уже аутентификация которого уже была аутентификацией. Каждая запись в таблице отоносят IP-адрес аутентификацию пользователя и какую-либо роль.

UIT содержит IP-адрес, имя пользователя и сведения о роли для всех аутентификационированных пользователей. Записи в таблице идентификации пользователя упорядочены по IP-адресу.

На устройство обеспечения безопасности тип поддерживаемого UIT - локская таблица аутентификации. Локализованная таблица аутентификации служит источником аутентификации для информации, необходимой политиками APBR. Локализованная таблица аутентификации – это статический UIT, созданный на устройстве вручную или программным образом с интерфейс командной строки команд. Все пользователи, включенные в локовую таблицу аутентификации, считаются аутентификацией. Для получения информации о пользователе и роли в таблице аутентификации записи с IP-адресом, соответствующим трафику, выполняется поиск. При обнаружении совпадающих IP-адресов сведения о пользователе и роли извлекаются из записи таблицы и связаны с трафиком. Если пользователь не найден, он классифицируется как неавтуированный пользователь.

Сведения о пользователе и роли могут создаваться на устройстве вручную или через порт со сторонного сервера аутентификации, но данные в локальной таблице аутентификации не обновляются в реальном времени.

Во время проверки политики APBR, если пользователь и роль пользователя, настроенные в политике APBR, но запись не присутствует в локальной таблице аутентификации, политика не совпадает. Значение hit count, отображает скорость обслуживания политик безопасности в соответствии с количеством получаемых попаданий, не приращений.

Дополнительные сведения о выявке роли пользователя и процедуре их искомого политик см. в "Политиках безопасности на основе межсетевых экранов для пользовательских ролей".

Преимущества

  • Позволяет определить поведение маршрутов на более подробном уровне для обеспечения безопасного применения политики на трафике приложений, проходите по сети.

  • Обеспечивает более гибкие возможности обработки трафика и предоставляет гранулярный контроль для переадад частью пакетов в зависимости от ролей и бизнес-требований пользователей.

Локализованная таблица аутентификации

Локализованную таблицу аутентификации можно управлять интерфейс командной строки, которые добавляют или удаляют записи. IP-адреса, имена пользователей и роли сторонних источников аутентификации можно добавлять к локальной таблице аутентификации программным образом с помощью интерфейс командной строки команд. Если источник аутентификации определяет пользователей и группы, группы могут быть настроены как роли и связаны с пользователем в обычном режиме.

Используйте следующую команду для добавления записи в локовую таблицу аутентификации. Записи в таблице вписались с использованием IP-адреса.

Примере:

Используйте следующую команду для удаления записи по IP-адресу или имени пользователя.

Используйте следующую команду для очистки локальной таблицы аутентификации:

Для отображения содержимого локальной таблицы аутентификации используйте следующую команду:

Дополнительные сведения см. в локальной таблице аутентификации.

Пример: Настройка дополнительных политик маршрутификации на основе политик с идентификацией источника

В этом примере показано, как настроить политику APBR с идентификацией источника и как применить профиль APBR к сеансу, который соответствует правилам политики APBR.

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Устройство серия SRX версии Junos OS или 19.1R1 более поздней версии. Этот пример конфигурации протестирован на Junos OS версии 19.1R1.

  • Действующая лицензия на идентификацию приложений, установленная на серия SRX устройстве.

Обзор

В данном примере необходимо переадлить HTTP-трафик, поступающий в trust-зону, на определенное устройство или интерфейс, как указано IP-адресом следующего перехода.

Когда трафик поступает в зону доверия, он сопопоется с политикой APBR. Если трафик соответствует политике, то настроенное правило APBR применяется к разрешенного трафику как к службам приложений. Пакеты, как заданное в экземпляре маршрутов, переадронируются на основе правила APBR на статический маршрут и на следующий переход. Статический маршрут, настроенный в таблице маршрутов, вставляется в таблицу таблица переадресации при достижении адреса следующего перехода. Весь трафик, предназначенный для статического маршрута, передается на адрес следующего перехода для передачи к определенному устройству или интерфейсу.

В данном примере необходимо выполнить следующие настройки:

  • Определите экземпляр маршрутов и RIB-группа.

  • Создание профиля ABPR.

  • Создайте политику APBR и прикрепляйте к ней профиль APBR.

Конфигурации

интерфейс командной строки быстрой конфигурации

Для быстрой настройки этого примера, скопируйте следующие команды, введите их в текстовый файл, удалите все обрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды на интерфейс командной строки иерархии, а затем войдите из режима [edit] commit конфигурации.

Настройка маршрутов на основе дополнительных политик

Пошаговая процедура

Добавление записи в локовую таблицу аутентификации.

  1. Введите имя пользователя, IP-адрес и сведения о роли пользователя.

Пошаговая процедура

Применение APBR к трафику, который соответствует политике APBR:

  1. Создайте экземпляры маршрутов.

  2. Сгруппировать одну или несколько таблиц маршрутов для формирования RIB-группа, apbr_group маршрутов и импорта маршрутов в таблицы маршрутов.

  3. Создайте профиль APBR и определите правила.

  4. Создайте зону безопасности.

  5. Создайте политику APBR и примените профиль APBR к зоне безопасности.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show routing-instances show security zones команд и команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Проверка конфигурации политики APBR

Цель

Отображение сведений о политике APBR, связанном профиле APBR и выводе сведений о подсчете попаданий в политику APBR.

Действий

В режиме конфигурации введите show security advance-policy-based-routing detail команду.

Смысл

Выходные данные команды отображают данные идентификации источника в Source identities поле.

Использование DSCP в качестве критерия соответствия в правилах APBR

Данная тема включает в себя следующие разделы:

Введение

Технологии идентификации приложений зависят глубокий анализ пакетов (DPI). В некоторых случаях механизм DPI может не идентифицировать приложение, например шифрованный трафик. При применении правил APBR к такому трафику обработка трафика происходит в нормальном режиме без применения к нем функциональности APBR.

Начиная с Junos OS 19.3R1, серия SRX поддерживают настройку значений DSCP в правиле APBR в качестве критериев соответствия для выполнения функции APBR в трафике, помеченного DSCP.

Значение DSCP можно настроить в дополнение к другим критериям правила APBR, таким как динамическое приложение и динамическая группа приложений.

За счет настройки значения DSCP в правиле APBR можно расширить службу APBR на трафик с маркировкой DSCP.

Пример использования

Правила APBR с DSCP можно использовать в качестве критериев соответствия шифрованному трафику.

Ограничение

  • Поддержка отсутствует для настройки правил со значением DSCP и категорией URL в одном профиле APBR.

Вид правила APBR при использовании значения DSCP в качестве критерия соответствия

В правиле APBR можно настроить значение DSCP или динамические приложения или комбинацию обоих значений.

Если в правиле APBR настроены как DSCP, так и динамическое приложение, это правило считается совпадать, если трафик соответствует всем критериям, указанным в правиле. Если в правиле APBR присутствует несколько значений DSCP, то при совпадении по одному критерию он считается совпадать.

Профиль APBR может содержать несколько правил, каждое правило с различными условиями совпадения.

В случае применения нескольких правил APBR в профиле APBR при просмотре правил используется следующий порядок приоритета:

  1. Правило с DSCP + динамическим приложением

  2. Правило с динамическим приложением

  3. Правило со значением DSCP

Если профиль APBR содержит несколько правил, система выполняет просмотр правил и применяет правило в следующем порядке:

  • Система применяет правила на основе DSCP для первого пакета сеанса.

  • Система продолжает проверку на получение информации о приложениях из классификации DPI или кэша системы приложений (ASC).

  • В середине сеанса, если DPI идентифицирует новое приложение, система выполняет просмотр правил и применяет новое правило (правило на основе приложений или правило на основе DSCP или сочетание обоих правил).

  • Определение приложения и правила продолжает работать, DPI определяет приложение как конечное или максимальное значение перенастройки.

  • Если просмотр правила не совпадает ни с любым правилом, дальнейших действий не происходит.

Позволяет понять, как APBR выполняет просмотр правил и применяет правила в следующих двух примерах:

Пример 1

В этом примере вы настраивали три правила APBR с: одним со значением DSCP 30, следующее правило с приложением как HTTP, и третье правилом со значением DSCP, как 30, и приложением как HTTP. Настройте максимальное значение изменения маршрута, как 1 (значение по умолчанию).

Таблица 4 показывает, как APBR выполняет просмотр правил и применяет правила.

Таблица 4. Правила APBR с DSCP и динамическим приложением

Сессии

Тип трафика

Кэш ASC

Классификация DPI

Правило совпадения

Первый сеанс

DSCP=30

NA

NA

Правило 1

Сеанс в середине потока

DSCP=30

Приложение = HTTP

Да

HTTP

Правило 3

Коммутаторы трафика, поскольку просмотр правил соответствует новому правилу.

Когда коммутаторы трафика, основанные на изменении правила в середине сеанса, отсчет максимального изменения маршрута уменьшается до 0. В этом сценарии дальнейших изменений маршрутов не происходит.

Пример 2

В этом примере вы настраивали три правила APBR с: одним со значением DSCP 30, следующим правилом со значением DSCP 60 и третьим правилом со значением DSCP как 30 и приложением как HTTP.

Таблица 5 показывает, как APBR выполняет просмотр правил и применяет правила.

DSCP
Таблица 5. Правила APBR с только значениями

Сессии

Тип трафика

Кэш ASC

Классификация DPI

Правило совпадения

Первый сеанс

DSCP=30

NA

NA

Правило 1

Сеанс в середине потока

DSCP=60

Приложение = HTTP

Да

DSCP=60

HTTP

Правило 2

Правило 3 не соответствует трафику, поскольку значение DSCP меняется с 30 на 60 в центральном потоке.

Настройка правил APBR с значениями DSCP в качестве критериев соответствия

В данном примере показано, как настраивать правила APBR со значениями DSCP в качестве критериев соответствия.

Конфигурации

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit] commit конфигурации.

Пошаговая процедура

Настройте правило APBR с DSCP и динамическим приложением в качестве критериев соответствия.

  1. Определите зоны безопасности и интерфейсы.

  2. Определите интерфейс и зоны безопасности для вного интерфейса, соединяющего клиентские устройства.

  3. Настройте экземпляры маршрутов.

  4. Сгруппировать одну или несколько таблиц маршрутов для формирования RIB-группа группы apbr и импорта маршрутов в таблицы маршрутов.

  5. Определите правило APBR с динамическим http приложения в качестве критерия соответствия.

    APBR маршрутизирует трафик, совпадающий с ПРИЛОЖЕНИЕм HTTP, на экземпляр маршрутов RI1.

  6. Создайте другое правило для приложений DSCP и HTTP.

    APBR маршрутизирует трафик, совпадающий со значением DSCP 56, на экземпляр маршрутов RI2.

  7. Определите еще одно правило со значением DSCP 46.

    APBR маршрутизирует трафик, совпадающий со значением DSCP 46, на экземпляр маршрутов RI3.

  8. Примените профиль APBR к зоне безопасности.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show security advance-policy-based-routing команд show routing-instances и show security zones команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

Завершив настройку, перейдите commit из режима конфигурации.

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • серия SRX устройство с Junos OS release 19.3R1 или более поздним. Этот пример конфигурации протестирован на Junos OS версии 19.3R1.

  • Любое поддерживаемые серия SRX устройства.

  • Действующая лицензия на идентификацию приложений, установленная на серия SRX устройству.

Обзор

В данном примере необходимо перенаграть HTTP-трафик и трафик, маркированный значениями DSCP 56 и значением DSCP 46, определенному устройству или интерфейсам на узлах 1, 2 и Site 3 соответственно. Устройство защиты передает трафик на основе значения DSCP или приложения на предпочитаемый маршрут с помощью функции APBR.

Когда трафик поступает в зону доверия, APBR сопопоснобьется трафику с настроенными правилами профиля APBR. Если трафик соответствует правилу, APBR перенаправление трафика в определенное место назначения, как определено в правиле APBR.

Например, можно настроить APBR на маршрут трафика по разным местам назначения в зависимости от типа приложения, как указано ниже:

  • Правило 1 — перенаправить HTTP-трафик с клиента 1 на узел 1, используя адрес следующего перехода 192.0.2.254.

  • Правило 2 — перенаправить трафик со значением DSCP 56 и HTTP-приложением на узел 2, используя устройство следующего перехода 192.0.3.254.

  • Правило 3. Перенаправить трафик со значением DSCP 46 на узел 3 с помощью устройства следующего перехода 192.0.4.254.

На рис. 4 показана топология, используемая в данном примере.

Рис. 4. Топология конфигурации маршрутов на основе расширенных политик (APBR) Topology for Advanced Policy-Based Routing (APBR) Configuration

Таблица 6 содержит подробные сведения о параметрах, используемых в этом примере.

Таблица 6. Параметры конфигурации

Параметр

Значение

Связанный параметр

Описание

Профиль APBR

P1

Имя профиля APBR.

Настройте в профиле правила, которые соответствуют значениям приложений и DSCP, и укажите место назначения (пример: экземпляры маршрутов) для совпадающих трафика.

RIB-группа

RI1.inet.0

Связанный экземпляр маршрутов — RI1

Настройте RIB-группа импорта записей маршрутов интерфейса из inet.0, RI1.inet.0, RI2.inet.0 и RI3.inet.0.

RI1.inet.2

Связанный экземпляр маршрутов — RI2

RI1.inet.3

Связанный экземпляр маршрутов — RI3

Экземпляр маршрутов

RI1

  • Статический маршрут — 192.0.0.0/16

  • Следующий переход — 192.0.2.254

Настройте экземпляры маршрутов, включив в них IP-адрес следующего перехода. APBR передает квалифицированный трафик, предназначенный для статического маршрута, на адрес устройства следующего узла в узлах 1, 2 и 3.

RI2

  • Статический маршрут 192.0.0.0/16

  • Следующий переход — 192.0.3.254

RI3

  • Статический маршрут 192.0.0.0/16

  • Следующий переход — 192.0.4.254

Правило APBR

R1

  • Приложение для совпадения — junos:HTTP

  • Связанный экземпляр маршрутов — RI1

Настройте правила APBR и укажите динамические значения приложения или DSCP в качестве критериев соответствия.

APBR перенаносит совпадающий трафик на связанный экземпляр маршрутов.

R2

  • соответствует значению DSCP — 56 и приложению — junos:HTTP.

  • Связанный экземпляр маршрутов — RI2

R3

  • соответствует значению DSCP — 46

  • Связанный экземпляр маршрутов — RI3

Проверки

Проверка статистики маршрутов на основе дополнительных политик

Цель

Отображение статистики для APBR, например число сеансов, обработанных для маршрутов на основе приложений, число раз, которое APBR применялось для сеанса и так далее.

Действий

В режиме конфигурации введите show security advance-policy-based-routing statistics команду.

Смысл

Выходные данные команды отображают следующие сведения:

  • Сеансы обрабатываются для маршрутов на основе приложений.

  • Количество трафика приложения или трафика, помеченного DSCP, соответствует профилю APBR.

  • Количество перена коммутаторов трафика на другой маршрут в середине потока.

Проверка сессий маршрутов на основе дополнительных политик

Цель

Отображение данных сеансов и потоков пакетов, активных на устройстве, включая подробные сведения о конкретных сеансах.

Действий

В режиме настройки введите команду, чтобы отобразить информацию обо всех активных в данный момент сеансах безопасности show security flow session устройства.

Смысл

Выходные данные команды отображают следующие сведения:

  • Все активные сеансы и пакеты течет на устройстве.

  • Список входящих и исходяющих IP-потоков, включая службы.

  • Атрибуты безопасности, связанные с потоком, например политики, применимые к трафику, принадлежащем этому потоку.

  • Значение времени, затеветь сеанс, время его активности и активный трафик в сеансе.

Отключение маршрутной маршрутки APBR в прямом потоке для конкретного правила APBR

Почему требуется выборочное отключение маршрутов между промежуточными маршрутами?

Некоторые сеансы проходят постоянную классификацию в середине сеанса, так как подписи приложений определяют приложение. При обнаружении приложения подписями приложения применяется APBR, что приводит к изменению маршрута трафика. Можно ограничить количество раз, когда маршрут может измениться для сеанса с помощью max-route-change параметра. Если установить для этого параметра значение 0, apBR для конкретного сеанса будет отключен. Однако этот параметр также глобально отключает функции APBR на устройстве, что может не потребоваться.

Выборочное отключение APBR на средней линии

Начиная с Junos OS 19.4R1, можно выборочно отключить службу APBR в середине сеанса для конкретного правила APBR, сохранив при этом глобальную функциональность APBR для остальных сеансов. При отключке маршрутов средней линии для конкретного правила APBR система не применяет apBR со средней линии к соответствующему трафику приложений и маршрутит трафик через маршрут, не относющийся к APBR.

Чтобы отключать промежуточный APBR, можно настроить правило APBR с помощью параметра маршрутов на уровне "средний" () на disable-midstream-routing edit security advance-policy-based-routing profile apbr-profile-name rule apbr-rule-name [] иерархии.

В таблице 7 показано поведение выборочного отключения параметра APBR на линии.

линии для различных сценариев
Таблица 7. Выборочная отключение APBR во средней

Тип трафика

Трафик соответствует правилу APBR

Результат

Новые сеансы (если запись кэша для этого сеанса не существует)

С disable-midstream-routing параметром

Сеанс использует маршрут по умолчанию.

Значение max-route-change не декрементно.

Без disable-midstream-routing выбора

Применим промежуточный APBR

Примените подмену APBR Последнее приложение определяется или как определено в max-route-change параметре.

Установленные сеансы (когда запись кэша существует для этого сеанса)

С disable-midstream-routing параметром

Примените APBR.

Отсоединяя APBR для дальнейших сеансов. То есть, даже если дальнейшие приложения идентифицированы в сеансе после попадания в кэш, APBR к ним не применяется.

Без disable-midstream-routing выбора

Примените APBR.

Продолжайте применять ненадеговую работу APBR последнее приложение, которое определено или определено в max-route-change параметре.

Отключение промежуточных маршрутов для конкретного правила APBR перенаправить трафик приложения через маршрут по умолчанию, не-APBR.

Использование параметра отключения маршрутов средней линии для выборочного отключения APBR для конкретного правила APBR

Если вы уже настроили правило APBR для конкретного приложения и хотите выборочно отключить маршрутную маршрутную маршрутку между apBR, используйте следующий параметр:

Примере:

Используйте эту show security advance-policy-based-routing statistics команду для проверки состояния APBR:

В этом примере выходных данных поля и показывают, сколько раз маршрут остается неизменным в середине сеанса после того, как было совпано правило с определенным приложением, и число раз, когда правило с отключенным промежуточным потоком имеет совпадающие записи в кэше системы приложений Midstream disabled rule hit on cache hit Midstream disabled rule hit midstream (ASC).

Механизм по умолчанию для передачи трафика через правило APBR

Начиная с Junos OS 20.1R1, в правиле APBR можно настроить "any" в качестве критерия соответствия динамическому приложению. Критерий "any" действует как поддиавный знак и применяется к любому динамическое приложение.

Примере

Трафик приложения, который соответствует другим параметрам правила APBR, соответствует политике вне зависимости от типа динамического приложения.

Обратите внимание на следующее при использовании any ключевого слова для динамических приложений в правиле APBR:

  • Можно настроить только одно правило APBR с ключевым словом any для динамического приложения в профиле APBR.

  • Не поддерживается настройка того же правила APBR с категориями DSCP и URL-адреса с ключевым any словом.

  • Правило APBR с настроенными динамическими приложениями, применяемыми только во any время первой обработки пакетов.

  • Не поддерживается настройка того же правила APBR с динамическим приложением, как и с другими динамическими приложениями или any динамическими группами приложений.

Таблица истории релизов
Выпуска
Описание
21.3R1
Поддержка первой проверки пакетов доступна начиная с Junos OS 21.3R1 и более поздних версий.
19.4R1
Начиная Junos OS выпуске 19.4R1, можно выборочно отключить службу APBR в середине сеанса для конкретного правила APBR, сохранив при этом глобальную функциональность APBR для остальных сеансов.
19.3R1
Начиная Junos OS выпуске 19.3R1, серия SRX поддерживают настройку значений DSCP в правиле APBR в качестве критериев соответствия для выполнения функции APBR в трафике, помеченного DSCP.
19.1R1
Начиная Junos OS версии 19.1R1, можно обойти службы приложений для сеанса, который перенаправить с помощью правила APBR.
19.1R1
Начиная с Junos OS 19.1R1, можно настроить дополнительные политики маршрутификации (APBR) путем определения идентификатора источника пользователя в качестве одного из критериев соответствия наряду с адресами источников, адресами назначения и приложениями.
17.4
Начиная с Junos OS 15.1X49-D110 и Junos OS выпуска 17.4R1, шлюзы серия SRX Services поддерживают дополнительную маршрутную систему на основе политик (APBR) с дополнительным усовершенствованием, чтобы применить APBR в середине сеанса (который также известен как поддержка средней линии)
15.1X49-D60
Начиная с Junos OS выпуска 15.1X49-D60, шлюзы серия SRX Services поддерживают усовершенствование маршрутов на основе политик (APBR)
15.1X49-D123
Поддержка обратной реверсии доступна начиная с Junos OS 15.1X49-D130 и более поздних выпусках.