了解基于应用程序的路由

语音、数据、视频流量和应用程序在网络中的持续增长要求网络识别流量类型，以便在不影响性能或可用性的情况下有效地确定流量的优先级、隔离和路由流量。SRX 系列服务网关支持基于策略的高级路由 （APBR）（也称为基于应用程序的路由），以满足这些要求。

注意：

APBR 监控小组件在 Security Director 中不受支持。

APBR 是一种基于会话的应用程序感知路由。此机制将基于策略的路由与应用程序感知流量管理解决方案相结合。APBR 意味着根据应用程序的属性对流进行分类，并根据这些属性应用过滤器来重定向流量。流分类机制基于表示正在使用的应用程序的数据包。

APBR 实现：

• 深度数据包检测 （DPI） 和应用程序识别模式匹配功能，用于识别应用程序流量或应用程序内的用户会话

• 在应用程序系统缓存 （ASC） 中查找应用程序类型以及匹配规则的相应目标 IP 地址、目标端口、协议类型和服务

如果找到匹配的规则，流量将定向到相应的路由和相应的接口或设备。

APBR 具有以下优势：

• 使您能够基于应用程序属性定义路由行为。

• 通过基于应用程序属性对转发数据包提供精细控制，提供更灵活的流量处理功能，从而扩展静态路由的范围。

APBR 涉及以下工作流程：

• 创建一个 APBR 配置文件（在本文档中也称为应用程序配置文件），该配置文件将与要定向到其他下一跃点的流量类型相匹配。配置文件包含多个规则。每个规则可以包含多个应用程序或应用程序组。如果应用程序与配置文件中某个规则的任何应用程序或应用程序组匹配，则应用程序配置文件规则被视为匹配。

• 将路由实例与应用程序配置文件规则相关联。当入口区域和接口上的流量与应用程序配置文件匹配时，路由实例中定义的关联静态路由和下一跃点将用于路由特定会话的流量。

• 将应用程序配置文件关联到入口流量。应用程序配置文件可以附加到安全区域，也可以连接到与安全区域关联的特定逻辑或物理接口。如果应用程序概要文件应用于安全区域，则默认情况下，属于该区域的所有接口都将附加到应用程序概要文件，除非该接口已存在特定配置。

图 1 显示了应用 APBR 技术的顺序。

以下过程说明基于应用程序的路由：

1. APBR 根据传入接口评估数据包，以确定会话是否是基于应用程序的路由的候选项。如果流量尚未标记为基于应用程序的路由，则会对其进行正常处理（非 APBR 路由）。

2. 如果会话需要基于应用程序的路由，APBR 将查询应用程序系统缓存 （ASC） 模块以获取应用程序属性详细信息（IP 地址、目标端口、协议类型和服务）。

   如果找到应用程序，则会在 APBR 配置文件中进一步处理匹配规则（请参阅步骤 3）。

3. APBR 使用应用程序详细信息在 APBR 配置文件（应用程序配置文件）中查找匹配的规则。如果找到匹配的规则，流量将重定向到指定的路由实例以进行路由查找。