このページの目次
高度なポリシーベースルーティング
APBR(高度ポリシーベースルーティング)は、アプリケーションベースルーティングとも呼ばれ、トラフィックをアプリケーションに基づいて転送する機能です。このAPBRが、ジュニパーネットワークスのスイートに新たに追加されました。詳細については、次のトピックを参照してください。
高度なポリシーベースルーティングについて
高度なポリシーベースルーティング
ネットワークを通過する音声、データ、映像のトラフィックやアプリケーションが絶えず増加する中、ネットワークはトラフィックタイプを認識して、パフォーマンスや可用性を損なうことなく、トラフィックの優先順位付け、分離、ルーティングを効果的に行う必要があります。
Junos OSリリース15.1X49-D60以降、SRXシリーズファイアウォールは、これらの課題に対処するための高度なポリシーベースルーティング(APBR)をサポートしています。
高度なポリシーベースルーティングは、セッションベースのアプリケーション認識型ルーティングの一種です。このメカニズムは、ポリシーベースのルーティングとアプリケーション認識型のトラフィック管理ソリューションを組み合わせたものです。APBRは、アプリケーションの属性に基づいてフローを分類し、これらの属性に基づいてフィルターを適用してトラフィックをリダイレクトすることを意味します。フロー分類メカニズムは、使用中のアプリケーションを表すパケットに基づいています。
APBRは以下を実装します。
-
アプリケーショントラフィックやアプリケーション内のユーザーセッションを特定するAppIDのディープパケットインスペクション機能とパターンマッチング機能
-
ASC でアプリケーションの種類と、一致する規則に対応する宛先 IP アドレス、宛先ポート、プロトコルの種類、およびサービスを検索します。
一致するルールが見つかった場合、トラフィックは適切なルートと対応するインターフェイスまたはデバイスに転送されます。
APBRのメリット
-
アプリケーションに基づいてルーティング動作を定義できます。
-
より柔軟なトラフィック処理機能を提供し、アプリケーションの属性に基づいてパケット転送をきめ細かく制御します。
APBRの仕組みを理解する
APBRの動作について説明する前に、APBRコンポーネントについて理解しましょう。
-
APBR プロファイル (このドキュメントではアプリケーション プロファイルとも呼ばれます) を作成します。プロファイルには、複数の APBR ルールが含まれています。各ルールには、一致条件として複数のアプリケーションまたはアプリケーション グループが含まれます。トラフィックがルールのアプリケーションまたはアプリケーショングループのいずれかに一致する場合、ルールは一致したものとみなされ、プロファイルはアプリケーショントラフィックを関連するルーティングインスタンスに転送します。
-
APBRプロファイルは、ルーティングインスタンスをAPBRルールに関連付けます。トラフィックがアプリケーション プロファイルに一致する場合、ルーティング インスタンスで定義された関連する静的ルートとネクスト ホップが、特定のセッションのトラフィックのルーティングに使用されます。
-
アプリケーション プロファイルをイングレス トラフィックに関連付けます。APBRプロファイルをAPBRポリシーにアタッチし、セッションのアプリケーション・サービスとして適用できます。
APBRワークフローについて理解してから、APBRミッドストリームのサポートについて説明し、次にAPBRの最初のパケット分類について説明します。
APBR ワークフロー
図1 は、Junos OSリリース21.3R1以前のAPBRの動作をまとめたものです。
セキュリティデバイスは、DPIを使用してアプリケーションの属性を識別し、APBRを使用してネットワーク経由でトラフィックをルーティングします。サービスチェーンでは、デバイスがABPRを適用する前に、アプリケーショントラフィックがDPIを受けます。DPI を使用してアプリケーションを識別するプロセスでは、複数のパケットを分析する必要があります。このような場合、最初のトラフィックはデフォルトルート(非APBRルート)を通過して宛先に到達します。プロセスは続行されますが、DPIはアプリケーションを識別します。DPI がアプリケーションを識別すると、APBR はセッションの残りの部分にルールを適用します。トラフィックは、APBRプロファイルルールに従ってルートを通過します。
ソース NAT に異なる NAT プールを使用し、ミッドストリーム APBR を適用した場合、セッションのソース IP アドレスは、ミッドストリーム APBR の前にセッションが使用していたアドレスと同じままです。
APBRミッドストリームサポート
Junos OSリリース15.1X49-D110およびJunos OSリリース17.4R1以降、SRXシリーズファイアウォールはセッションの途中でAPBRをサポートします(これはミッドストリームサポートとも呼ばれます)。この機能拡張により、キャッシュ不能アプリケーションおよびキャッシュ可能アプリケーションの最初のセッションに APBR を適用できます。この機能強化により、パケット転送のきめ細かな制御を提供する、より柔軟なトラフィック処理機能が提供されます。
セッションの最初のパケットは、ミッドストリームの再ルーティングケースを通過します。つまり、アプリケーションがまだ識別されていない場合、トラフィックは宛先へのデフォルトルート(非APBRルート)を通過します。同時に、DPIはアプリケーションが識別されるまで続きます。アプリケーションが識別されると、デバイスはAPBRプロファイルを適用し、残りのセッションパケットはAPBRプロファイルで定義されたルールに従ってルートを通過します。トラフィックは、アプリケーション シグネチャまたは ALG によってアプリケーションを識別するまで、非 APBR ルートを通過します。
ソース NAT に異なる NAT プールを使用し、ミッドストリーム APBR を適用した場合、セッションのソース IP アドレスは、ミッドストリーム APBR の前にセッションが使用していたアドレスと同じままです。
最初のパケット分類でのAPBR
Junos OSリリース21.3R1以降、APBRはファーストパケット分類を使用してネットワークトラフィック内のアプリケーションを識別します。APBRは、トラフィックフローの最初のパケットを調べてアプリケーションを識別し、アプリケーション固有のルールを適用してトラフィックを転送します。
最初のパケット分類機能は、DNSキャッシュや静的IPマッピングの可用性などの要因を考慮して、キャッシュ可能なアプリケーションのサブセットで動作します。
図2 は、APBRが最初のパケット分類を使用してアプリケーションの詳細を取得する方法を示しています。
を使用した APBR
ファーストパケット分類では、アプリケーションの静的IPマッピングやポートの詳細などの詳細を含むリポジトリを利用します。リポジトリは、アプリケーション署名パッケージ (JDPI) の一部です。
キャッシュ可能なアプリケーションの最初のセッションでは、APBR は ASC に照会して、フローのアプリケーションの詳細を取得します。アプリケーションのエントリーが ASC で使用できない場合、APBR は JDPI にアプリケーションの詳細を照会します。APBR は、フローの IP アドレスとポートの詳細をクエリに使用します。アプリケーション・マッピングが使用可能な場合、JDPI は詳細を APBR に戻します。アプリケーションの詳細を取得した後、APBR はアプリケーションの構成済みプロファイルを検索し、割り当てられたルーティング・インスタンスを介してパケットをルーティングします。
同時に、JDPI はパケットの処理を継続し、ASC を更新します(有効な場合)。後続のフローでは、APBR はフローの ASC に存在するアプリケーション エントリに基づいてトラフィックのルーティングを実行します。
最初のパケット分類では、キャッシュ可能なアプリケーションのAPBR構成で、ソースNATに異なるNATプールを使用できます。
最初のパケット分類の利点
ファーストパケット分類により、トラフィックを正確かつ効率的にネットワーク上で誘導し、ネットワークリンクの利用を最適化し、パフォーマンスを向上させることができます。
制限
-
キャッシュ不可能なアプリケーションの場合、ソース NAT に異なる NAT プールを使用し、セッションの途中で APBR を適用すると、途中で APBR を適用した後も、セッションのソース IP アドレスは同じままです。
- アプリケーションの IP アドレスとポート範囲の詳細が変更された場合、その変更がアプリケーション署名パッケージにすぐに反映されない場合があります。IP アドレスとポート範囲の最新の更新プログラムを取得するには、アプリケーション署名パッケージをインストールする必要があります。
- クラウド上のOFFICE365など、複数のアプリケーションをホストするマイクロサービスの場合、IPアドレスとポート範囲をきめ細かく設定することはできません。このような場合、最初のパケット分類で親アプリケーションの詳細が返されます。ネストされたアプリケーションと親アプリケーションを含むようにAPBRプロファイルルールを設定する必要があります。例:動的アプリケーションをMS-TEAMSとしてAPBRルールを作成し、最初のパケット分類のために同じルールにOFFICE365-CREATE-CONVERSATIONを追加します。
高度なポリシーベースルーティングオプション
以下のオプションを使用することで、APBR でトラフィック処理を合理化できます。
Limit route change- 一部のセッションは、アプリケーション シグネチャがアプリケーションを識別するため、セッションの途中で連続的に分類されます。アプリケーションがアプリケーション・シグニチャーによって識別されるたびに、APBR が適用され、これによりトラフィックの経路が変更されます。セッションのルートを変更できる回数を制限するには、 ステートメントのオプション
tunablesを使用しますmax-route-change。set security advance-policy-based-routing tunables max-route-change value例:
[edit]set security advance-policy-based-routing tunables max-route-change 5この例では、セッションごとのルート変更数を 5 に制限します。セッションの途中でルートに変更が発生した場合、このカウントは 4 に減らされます。このプロセスは、カウントが 0 に達するまで続きます。その後、セッションの途中でAPBRは適用されません。
識別されたアプリケーションがASCにエントリーを持っている場合、セッションはAPBR構成に従って指定されたルートで開始されるため、そのセッションのカウントは減少しません。
Terminate session if APBR is bypassed–セッションの途中でAPBRが適用されているときにゾーン間に不一致がある場合は、セッションを終了できます。セッションの途中でAPBRを適用する場合、新しいエグレスインターフェイスと既存のエグレスインターフェイスの両方が同じゾーンの一部である必要があります。セッションの途中でインターフェイスのゾーンを変更した場合、デフォルトではAPBRは適用されず、トラフィックは引き続き既存のインターフェイスを通過します。このデフォルトの動作を変更するには、トラフィックがAPBRをバイパスして同じルートを通過できるようにする代わりに、 ステートメントのオプション
tunablesを使用することでdrop-on-zone-mismatch、セッションを完全に終了します。例:
[edit]set security advance-policy-based-routing tunables drop-on-zone-mismatchEnable logging- ロギングを有効にして、例えば、インターフェイスのゾーンの変更によりAPBRがバイパスされた場合などに、デバイスで発生するイベントを記録できます。ステートメントの
tunablesオプションを使用してenable-logging、ロギングを設定できます。例:
[edit]set security advance-policy-based-routing tunables enable-loggingEnable reverse reroute—ECMP ルートのトラフィック対称性を必要とし、着信トラフィックをセッションの途中で切り替える必要がある展開では、次のようにセキュリティ ゾーンに固有のオプション enable-reverse-reroute を使用して再ルーティングを実現できます。
例:
[edit]set security zones security-zone zone-name enable-reverse-reroute着信パケットがインターフェイスに到着し、発信/戻りインターフェイスが異なるセキュリティ ゾーンで上記の設定が有効になっている場合、インターフェイスの変更が検出され、再ルートがトリガーされます。リバースパスに対してルート検索が実行され、パケットが到着したインターフェイスが優先されます。
リバース パス上のトラフィックのルート ルックアップに失敗すると、特定のセッションで以降の処理が停止します。
リバース再ルーティングのサポートは、Junos OSリリース15.1X49-D130以降のリリースから利用できます。
- Support for Layer 3 and Layer 4 Applications—Junos OSリリース20.2R1以降、APBRはレイヤー3およびレイヤー4のカスタムアプリケーションをサポートします。以下の構成ステートメントを使用して、APBRでレイヤー3およびレイヤー4のカスタムアプリケーション検索を手動で無効にすることができます。
user@host# set security advance-policy-based-routing tunables no-l3l4-app-lookup
- Application Tracking—
AppTrack を有効にして、トラフィックを検査し、指定したゾーン内のアプリケーション フローの統計情報を収集できます。詳細については、「 アプリケーション トラッキングについて 」を参照してください。
ユースケース
複数の ISP リンクを使用する場合:
APBRは、複数のリンクが使用可能な場合に、重要なアプリケーション用の広帯域で低遅延のリンクを選択するために使用できます。
APBRは、リンク障害が発生した場合に、重要なトラフィックのフォールバックリンクを作成するために使用できます。複数のリンクが使用可能な場合に、重要なアプリケーショントラフィックを伝送するメインリンクが停止した場合、フォールバックリンクとして設定された別のリンクを使用してトラフィックを伝送することができます。
APBRは、ディープインスペクションや分析のためのトラフィックを分離するために使用できます。この機能を使用すると、ディープインスペクションと監査を受ける必要があるアプリケーションに基づいてトラフィックを分類できます。必要に応じて、このようなトラフィックを別のデバイスにルーティングできます。
制限
APBR には以下の制限があります。
トラフィックのルートのリダイレクトは、アプリケーション システム キャッシュ(ASC)にエントリが存在するかどうかによって異なります。ルーティングは、ASC 参照が成功した場合にのみ成功します。最初のセッションでは、トラフィックに ASC が存在しない場合、トラフィックはデフォルト ルート(非 APBR ルート)を経由して宛先に到達します(この制限は、Junos OS 15.1X49-D110 より前のリリースにのみ適用されます)。
アプリケーション署名パッケージがインストールされていない場合、またはアプリケーション識別が有効になっていない場合、APBR は機能しません。
ミッドストリームをサポートするAPBRには、次の制限があります。
APBRは、転送トラフィックに対してのみ機能します。
APBR は、アクティブ FTP などの制御セッションからエンティティーによって開始されたデータ・セッションでは機能しません。
ソース NAT に異なる NAT プールを使用し、ミッドストリーム APBR が適用される場合、セッションの送信元 IP アドレスは、ミッドストリーム APBR を適用する前にセッションが使用していたアドレスと同じままになります。
ミッドストリームをサポートするAPBRは、すべてのエグレスインターフェイスが同じゾーンにある場合にのみ機能します。このため、APBRミッドストリームサポートを利用するために使用できるのは、転送および仮想ルーティングおよび転送(VRF)ルーティングインスタンスのみです。
関連項目
例:アプリケーション認識型トラフィック管理ソリューション向けの高度なポリシーベース ルーティングの設定
この例では、SRXシリーズファイアウォールでAPBRを設定する方法を示しています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRXシリーズファイアウォールにインストールされている有効なアプリケーション識別機能のライセンス。
Junos OSリリース15.1X49-D60以降を搭載したSRXシリーズファイアウォール。この構成例は、Junos OS リリース 15.1X49-D60 でテスト済みです。
概要
この例では、trustゾーンに到着したHTTP、ソーシャルネットワーキング、Yahooのトラフィックを、ネクストホップIPアドレスで指定された特定のデバイスまたはインターフェイスに転送します。
トラフィックがtrustゾーンに到着すると、APBRプロファイルと照合されます。一致するルールが見つかった場合、パケットはルーティングインスタンスで指定された静的ルートとネクストホップに転送されます。ルーティング テーブルに設定されたスタティック ルートは、ネクストホップ アドレスが到達可能になると、転送テーブルに挿入されます。スタティック ルートを宛先とするすべてのトラフィックは、特定のデバイスまたはインターフェイスへのトランジットのためにネクストホップ アドレスに送信されます。
図 3 に、この構成例で使用されるトポロジを示します。
のトポロジー
表 1 に、この例で使用されるパラメーターの詳細を示します。
パラメーター |
名前 |
説明 |
|---|---|---|
ルーティングインスタンス |
|
トラフィックの転送には、転送タイプのルーティングインスタンスが使用されます。 スタティック ルート(例: 192.168.0.0/16)を宛先とするすべての修飾されたトラフィックは、ネクストホップ デバイスに転送されます(例: インターフェイスに 1.0.0.1 アドレスを持つ)。 |
|
||
リブグループ |
apbr_group |
ルーティング情報ベース(RIB)(ルーティングテーブルとも呼ばれます)グループの名前。 このRIBグループは、inet.0、RI1.inet.0、RI2.inet.0、RI3.inet.0からインターフェイスルートエントリーをインポートするように構成されています。 |
APBRプロファイル |
プロファイル-1 |
APBR プロファイルの名前。このプロファイルは、アプリケーションとアプリケーショングループを照合し、ルート検索のために、一致するトラフィックを指定されたルーティングインスタンス(例:R1)にリダイレクトします。プロファイルには複数のルールが含まれています。 |
ルール |
|
APBR プロファイルのルールを定義します。ルールを 1 つ以上のアプリケーション (例: HTTP の場合) またはアプリケーション グループに関連付けます。アプリケーションがプロファイル内のルールのアプリケーションまたはアプリケーション グループのいずれかと一致する場合、アプリケーション プロファイル ルールは一致と見なされ、トラフィックはルート検索のためにルーティング インスタンス(例:R1)にリダイレクトされます。 |
|
||
ゾーン |
信頼 |
APBRプロファイルを適用できるソース・ゾーンを指定します。 |
アプリケーションに基づいてトラフィックをリダイレクトするためにAPBRを使用するには、あるルーティングインスタンスから別のルーティングインスタンスへのインターフェイスルートのインポートが必要になる場合があります。次のいずれかのメカニズムを使用できます。
インターフェイスルートをインポートするRIBグループ
インターフェイスルートをインポートするルーティングポリシー
ルーティングポリシーを使用してインターフェイスルートをインポートする際、ルーティングポリシーに適切なアクションを使用しないと、管理ローカルルート(fxp0を使用)がデフォルト以外のルーティングインスタンスにリークする可能性があります。デバイスがシャーシ クラスタ モードの場合、このようなシナリオでは、制限により RG0 フェールオーバーが発生する可能性があります。デフォルト以外のルーティング インスタンスのルーティング テーブルに fxp0 ローカル ルートを設定しないことが推奨されます。次のサンプルは、ポリシー オプションの構成例を示しています。拒否アクションは、不要なルートを削除するのに役立つことに注意してください。特定のルートを使用して、fxp0 ルートを拒否することができます。
policy-statement statement-name {
term 1 {
from {
instance master;
route-filter route-filter-ip-address exact;
}
then accept;
}
then reject;
}
APBRは、パケットをフォワードパスでルーティングするために使用されます。リターントラフィックが同じパスを経由して到着するには、次の設定例に示すように、ECMP設定とロードバランスルーティングポリシーを使用してリモートSRXシリーズファイアウォールを設定することをお勧めします。
user@host> set routing-options static route ip-address next-hop ip-address user@host> set routing-options static route ip-address next-hop ip-address user@host> set policy-options policy-statement load-balance-policy then load-balance per-packet user@host> set routing-options forwarding-table export load-balance-policy
構成
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit 。
set routing-instances R1 instance-type forwarding set routing-instances R1 routing-options static route 192.168.0.0/16 next-hop 1.0.0.1 set routing-instances R2 instance-type forwarding set routing-instances R2 routing-options static route 192.168.0.0/16 next-hop 2.0.0.1 set routing-options interface-routes rib-group inet apbr_group set routing-options rib-groups apbr_group import-rib inet.0 set routing-options rib-groups apbr_group import-rib RI1.inet.0 set routing-options rib-groups apbr_group import-rib RI2.inet.0 set security advance-policy-based-routing profile profile1 rule rule-app1 match dynamic-application junos:HTTP set security advance-policy-based-routing profile profile1 rule rule-app1 then routing-instance R1 set security advance-policy-based-routing profile profile1 rule rule-app2 match dynamic-application-group junos:web:social-networking set security advance-policy-based-routing profile profile1 rule rule-app2 then routing-instance R2 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone trust advance-policy-based-routing-profile profile1
高度なポリシーベースルーティングの設定
手順
APBRを設定するには:
ルーティングインスタンスを作成します。
[edit] user@host# set routing-instances R1 instance-type forwarding user@host# set routing-instances R1 routing-options static route 192.168.0.0/16 next-hop 1.0.0.1 user@host# set routing-instances R2 instance-type forwarding user@host# set routing-instances R2 routing-options static route 192.168.0.0/16 next-hop 2.0.0.1
1つ以上のルーティングテーブルをグループ化して、apbr_groupと呼ばれるRIBグループを形成し、ルーティングテーブルにルートをインポートします。
[edit] set routing-options interface-routes rib-group inet apbr_group set routing-options rib-groups apbr_group import-rib inet.0 set routing-options rib-groups apbr_group import-rib RI1.inet.0 set routing-options rib-groups apbr_group import-rib RI2.inet.0
APBR プロファイルを作成し、ルールを定義します。
[edit] user@host# set security advance-policy-based-routing profile profile1 rule rule-app1 match dynamic-application junos:HTTP user@host# set security advance-policy-based-routing profile profile1 rule rule-app1 then routing-instance R1 user@host# set security advance-policy-based-routing profile profile1 rule rule-app2 match dynamic-application-group junos:web:social-networking user@host# set security advance-policy-based-routing profile profile1 rule rule-app2 then routing-instance R2
APBR プロファイルをセキュリティ ゾーンに適用します。
[edit] user@host# set security zones security-zone trust host-inbound-traffic system-services all user@host# set security zones security-zone trust host-inbound-traffic protocols all user@host# set security zones security-zone trust interfaces ge-0/0/0.0 user@host# set security zones security-zone trust advance-policy-based-routing-profile profile1
結果
設定モードから、 および show security zones コマンドを入力してshow routing-instances設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show routing-instances
R1 {
instance-type forwarding;
routing-options {
static {
route 192.168.0.0/16 next-hop 1.0.0.1;
}
}
}
R2 {
instance-type forwarding;
routing-options {
static {
route 192.168.0.0/16 next-hop 2.0.0.1;
}
}
}
[edit]
user@host# show routing-options
interface-routes {
rib-group inet apbr_group;
}
rib-groups {
apbr_group {
import-rib [ inet.0 RI1.inet.0 RI2.inet.0 ];
}
}
[edit]
user@host# show security advance-policy-based-routing
profile profile1 {
rule rule-app1 {
match {
dynamic-application junos:HTTP;
}
then {
routing-instance R1;
}
}
rule rule-app2 {
match {
dynamic-application-group junos:web:social-networking;
}
then {
routing-instance R2;
}
}
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
advance-policy-based-routing-profile {
profile1;
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
高度なポリシーベースルーティング統計の確認
目的
アプリケーション・ベースの経路指定で処理されたセッションの数、セッションに APBR が適用された回数などの APBR の統計を表示します。
アクション
設定モードから コマンド show security advance-policy-based-routing statistics を入力します。
user@host> show security advance-policy-based-routing statistics Advance Profile Based Routing statistics: Sessions Processed 9 App rule hit on cache hit 0 App rule hit on HTTP Proxy/ALG 0 Midstream disabled rule hit on cache hit 2 URL cat rule hit on cache hit 0 DSCP rule hit on first packet 2 App and DSCP hit on first packet 0 App rule hit midstream 1 Default rule match 0 Midstream disabled rule hit midstream 1 URL cat rule hit midstream 0 App and DSCP rule hit midstream 0 DSCP rule hit midstream 0 Route changed on cache hits 2 Route changed on HTTP Proxy/ALG 0 Route changed midstream 0 Default rule applied 0 Zone mismatch 0 Drop on zone mismatch 0 Next hop not found 0 Application services bypass 0
意味
コマンド出力は、以下の詳細を表示します。
アプリケーションベースのルーティングで処理されたセッション。
アプリケーション・トラフィックがAPBRプロファイルと一致し、異なる基準に基づいてAPBRがセッションに適用される回数。
アプリケーション トラフィックを識別するために AppID が照会された回数。
-
デフォルトルートとAPBR選択ルートのセキュリティゾーンに不一致があり、この不一致によりトラフィックがドロップされたインスタンスの数。
詳細については、「 show security-advance-policy-based-routing statistics 」を参照してください。
高度なポリシーベースルーティングの検証
目的
特定のセッションに関する詳細情報を含む、デバイスでアクティブなセッションおよびパケットフローに関する情報を表示します。
アクション
設定モードから、 コマンドを入力して show security flow session 、デバイス上で現在アクティブなすべてのセキュリティ セッションに関する情報を表示します。
意味
コマンド出力は、以下の詳細を表示します。
デバイス上のすべてのアクティブなセッションとパケットフロー
サービスを含む、送受信 IP フローのリスト
フローに関連付けられたセキュリティ属性(例えば、そのフローに属するトラフィックに適用されるポリシー)
セッションタイムアウト値、セッションがアクティブになった日時、セッションがアクティブであった時間、セッションにアクティブなトラフィックがあるかどうか
高度なポリシーベースのルーティング ポリシーの設定
Junos OSリリース18.2R1以降、送信元アドレス、宛先アドレス、アプリケーションを一致条件として定義することで、高度なポリシーベースのルーティング(APBR)ポリシーを設定できます。一致が成功すると、設定されたAPBRプロファイルがセッションのアプリケーションサービスとして適用されます。Junos OSの以前のリリースでは、APBRプロファイルをイングレストラフィックの受信セキュリティゾーンにアタッチでき、APBRはセキュリティゾーン単位で適用されていました。APBRポリシーのサポートにより、受信セキュリティゾーン、送信元アドレス、宛先アドレス、およびアプリケーションに基づいて、トラフィックに異なるAPBRルールセットを適用できるようになりました
この機能拡張により、パケット転送のきめ細かな制御を提供する、より柔軟なトラフィック処理機能が提供されます。
サポートされている一致条件には、送信元アドレス、宛先アドレス、およびアプリケーションが含まれます。アプリケーションを使用して、プロトコルおよびレイヤー4ポートに基づく照合条件をサポートできます。
セキュリティ・ゾーンに1つ以上のAPBRポリシーが設定されている場合、そのポリシーはセッション作成フェーズ中に評価されます。ポリシールックアップは、セッションに一致するポリシーが選択されると終了します。一致が成功すると、APBRポリシーで構成されたAPBRプロファイルがセッションに使用されます。
APBRポリシーの仕組み
APBRポリシーは、セキュリティゾーンに対して定義されます。ゾーンに関連付けられたAPBRポリシーが1つ以上ある場合、セキュリティ・ゾーンから開始されたセッションはポリシー一致を通過します。
APBRポリシーによるトラフィックの照合と、定義されたパラメーター/ルールに基づく高度なポリシーベースのルーティングの適用には、次のシーケンスが含まれます。
トラフィックがイングレスゾーンに到着すると、APBRポリシールールと照合されます。ポリシー一致条件には、送信元アドレス、宛先アドレス、およびアプリケーションが含まれます。
トラフィックがセキュリティ ポリシー ルールに一致すると、APBR ポリシーのアクションがトラフィックに適用されます。APBR プロファイル名を指定することにより、APBR ポリシー・アクションでアプリケーション・サービスとして APBR を有効にすることができます。
APBR プロファイル構成には、動的アプリケーションと dyamic アプリケーション・グループのセットを含むルール・セットが一致条件として含まれています。これらのルールのアクション部分には、トラフィックを転送する必要があるルーティング インスタンスが含まれています。ルーティングインスタンスは、静的ルートまたは動的に学習されたルートの設定を含むことができます。
スタティック ルートを宛先とするすべてのトラフィックは、特定のデバイスまたはインターフェイスへのトランジットのためにネクストホップ アドレスに送信されます。
APBRポリシールールはターミナルルールであり、トラフィックがポリシーに一致すると、他のポリシーによってそれ以上処理されないことを意味します。
APBRポリシーに一致するトラフィックがあり、APBRプロファイルにルールに一致するトラフィックがない場合、APBRポリシーに一致するトラフィックは、デフォルトのルーティングインスタンス[inet0]を経由して宛先に到達します。
従来のAPBRプロファイルのサポート
Junos OS リリース 18.2R1 より前は、APBR プロファイルはセキュリティ ゾーン レベルで適用されていました。APBR ポリシーのサポートにより、セキュリティゾーンレベルの APBR 設定は、下位互換性と設定を新しい設定に準拠させる機会を提供するためにすぐに削除されるのではなく、将来的に非推奨になります。
ただし、ゾーンベースの APBR を構成していて、特定のセキュリティゾーンの APBR ポリシーを追加しようとすると、コミットが失敗する可能性があります。ゾーンのAPBRポリシーを設定するには、ゾーンベースの設定を削除する必要があります。同様に、APBR ポリシーがセキュリティ・ゾーン用に構成されている場合に、ゾーン・ベースの APBR を構成しようとすると、コミット・エラーが発生します。
制限
特定のアドレスまたはAPBRポリシールールで設定されたアドレスを使用する場合は、グローバルアドレス帳を使用することをお勧めします。なぜなら、ポリシーの評価時に宛先ゾーンがわからないため、ゾーン固有のルールが宛先アドレスに適用されない可能性があるからです。
セキュリティゾーンjunosホストゾーンのAPBRポリシーの設定はサポートされていません。
例:高度なポリシーベースのルーティング ポリシーの設定
この例では、APBRポリシーを設定し、APBRポリシー・ルールに一致するセッションにAPBRプロファイルを適用する方法を示します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
Junos OSリリース18.2R1以降を搭載したSRXシリーズファイアウォール。この設定例は、Junos OS Release 18.2R1でテストされています。
SRXシリーズファイアウォールにインストールされている有効なアプリケーション識別機能のライセンス。
概要
この例では、trustゾーンに到着したHTTPトラフィックを、ネクストホップIPアドレスで指定された特定のデバイスまたはインターフェイスに転送します。
トラフィックがtrustゾーンに到着すると、APBRポリシーによって照合されます。トラフィックがポリシーに一致すると、設定されたAPBRルールがアプリケーションサービスとして許可されたトラフィックに適用されます。パケットは、APBRルールに基づいて、ルーティングインスタンスで指定された静的ルートとネクストホップに転送されます。ルーティング テーブルに設定されたスタティック ルートは、ネクストホップ アドレスが到達可能になると、転送テーブルに挿入されます。スタティック ルートを宛先とするすべてのトラフィックは、特定のデバイスまたはインターフェイスへのトランジットのためにネクストホップ アドレスに送信されます。
この例では、次の設定を完了する必要があります。
ルーティングインスタンスとRIBグループを定義します。
ABPR プロファイルを作成します。
セキュリティ ゾーンを作成します。
APBR ポリシーを作成し、それに APBR プロファイルをアタッチします。
構成
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit 。
set routing-instances R1 instance-type forwarding set routing-instances R1 routing-options static route 5.0.0.0/24 next-hop 3.0.0.2 set routing-options interface-routes rib-group inet fbf-group set routing-options rib-groups fbf-group import-rib inet.0 set routing-options rib-groups fbf-group import-rib RI1.inet.0 set security advance-policy-based-routing profile profile1 rule rule-app1 match dynamic-application junos:HTTP set security advance-policy-based-routing profile profile1 rule rule-app1 then routing-instance R1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/1.0 set security advance-policy-based-routing from-zone trust policy SLA1 match source-address any set security advance-policy-based-routing from-zone trust policy SLA1 match destination-address any set security advance-policy-based-routing from-zone trust policy SLA1 match application any set security advance-policy-based-routing from-zone trust policy SLA1 then application-services advance-policy-based-routing-profile profile1
高度なポリシーベースルーティングの設定
手順
APBRポリシーに一致するトラフィックにAPBRを適用するには:
ルーティングインスタンスを作成します。
[edit]
user@host#set routing-instances R1 instance-type forwardinguser@host#set routing-instances R1 routing-options static route 5.0.0.0/24 next-hop 3.0.0.21つ以上のルーティングテーブルをグループ化して、apbr_groupと呼ばれるRIBグループを形成し、ルーティングテーブルにルートをインポートします。
[edit]
user@host#set routing-options interface-routes rib-group inet fbf-groupuser@host#set routing-options rib-groups fbf-group import-rib inet.0user@host#set routing-options rib-groups fbf-group import-rib RI1.inet.0APBR プロファイルを作成し、ルールを定義します。
[edit]
user@host#set security advance-policy-based-routing profile profile1 rule rule-app1 match dynamic-application junos:HTTPuser@host#set security advance-policy-based-routing profile profile1 rule rule-app1 then routing-instance R1セキュリティ ゾーンを作成します。
[edit]
user@host#set security zones security-zone trust host-inbound-traffic system-services alluser@host#set security zones security-zone trust host-inbound-traffic protocols alluser@host#set security zones security-zone trust interfaces ge-0/0/1.0APBRポリシーを作成し、APBRプロファイルをセキュリティ・ゾーンに適用します。
[edit]
user@host#set security advance-policy-based-routing from-zone trust policy SLA1 match source-address anyuser@host#set security advance-policy-based-routing from-zone trust policy SLA1 match destination-address anyuser@host#set security advance-policy-based-routing from-zone trust policy SLA1 match application anyuser@host#set security advance-policy-based-routing from-zone trust policy SLA1 then application-services advance-policy-based-routing-profile profile1
結果
設定モードから、 および show security zones コマンドを入力してshow routing-instances設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show routing-instances
R1 {
instance-type forwarding;
routing-options {
static {
route 5.0.0.0/24 next-hop 3.0.0.2;
}
}
}
[edit]
user@host# show routing-options
interface-routes {
rib-group inet fbf_group;
}
rib-groups {
fbf_group {
import-rib [ inet.0 RI1.inet.0];
}
}
[edit]
user@host# show security advance-policy-based-routing
from-zone trust {
policy SLA1 {
match {
source-address any;
destination-address any;
application any;
}
then {
application-services {
advanced-policy-based-routing-profile profile1;
}
}
}
}
profile profile1 {
rule rule-app1 {
match {
dynamic-application junos:HTTP;
}
then {
routing-instance R1;
}
}
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
高度なポリシーベースルーティング統計の確認
目的
アプリケーション・ベースの経路指定で処理されたセッションの数、セッションに APBR が適用された回数などの APBR の統計を表示します。
アクション
設定モードから コマンド show security advance-policy-based-routing statistics を入力します。
Sessions Processed 18994 AppID cache hits 18994 AppID requested 0 Rule matches 0 Route changed on cache hits 0 Route changed midstream 0 Zone mismatch 0 Drop on zone mismatch 0 Next hop not found 0
意味
コマンド出力は、以下の詳細を表示します。
アプリケーションベースのルーティングで処理されたセッション。
アプリケーション・トラフィックがAPBRプロファイルと一致し、APBRがセッションに適用される回数。
アプリケーション トラフィックを識別するために AppID が照会された回数。
詳細については、「 show security-advance-policy-based-routing statistics 」を参照してください。
APBRポリシー設定の検証
目的
APBR ポリシー、関連付けられた APBR プロファイルに関する情報を表示し、APBR ポリシーのヒット カウントに関する情報を表示します。
アクション
設定モードから コマンド show security advanced-policy-based-routing を入力します。
user@host> show security advanced-policy-based-routing policy-name SLA1
From zone: trust
Policy: SLA1, State: enabled, Index: 7, Sequence number: 1
Source addresses: any
Destination addresses: any
Applications: any
APBR profile: profile1
設定モードから コマンド show security advanced-policy-based-routing hit-count を入力します。
user@host> show security advanced-policy-based-routing hit-count
Logical system: root-logical-system
Index From zone Name Hit count
1 trust SLA1 3
2 trust SLA2 0
3 trust SLA1 0
Number of policy: 3
意味
コマンド出力は、以下の詳細を表示します。
ポリシーのステータス、関連付けられたAPBRプロファイルなどの詳細。
受信したヒット数に応じたポリシーのユーティリティ率を表示します。
URL カテゴリベース ルーティングについて
Junos OSリリース18.3 R1以降、URLカテゴリベースのルーティングがSRXシリーズファイアウォールとvSRX仮想ファイアウォールインスタンスでサポートされます。URLカテゴリーベースのルーティングでは、URLカテゴリーをAPBRプロファイルの一致条件として使用できます。URL カテゴリは宛先サーバの IP アドレスに基づいており、カテゴリの識別は、拡張 Web フィルタリング(EWF)およびコンテンツ セキュリティ モジュールから取得したローカル Web フィルタリングの結果から活用されます。
URL カテゴリベースのルーティングを使用すると、Web トラフィック (HTTP および HTTPS) を識別し、指定した宛先に選択的にルーティングできます。
Webフィルタリングは、ホスト、URL、またはIPアドレスに従ってWebサイトをカテゴリに分類し、それらのカテゴリに基づいてフィルタリングを実行します。ルールの一致条件として URL カテゴリーを指定することにより、APBR プロファイルを構成できます。APBRプロファイルルールは、指定された一致基準でトラフィックを照合し、一致が成功すると、設定されたAPBRプロファイルがセッションのアプリケーションサービスとして適用されます。例えば、ソーシャルメディアなどの特定のWebサイトカテゴリーに属するすべてのトラフィックを、特定のネクストホップ経由でルーティングしたいとします。この場合、Enhanced_Social_Web_Facebook、Enhanced_Social_Web_Linkedin、Enhanced_Social_Web_Twitter、Enhanced_Social_Web_YoutubeなどのURLカテゴリのリスト、またはその他のカスタムURLをポリシーの一致条件として使用して、新しいAPBRプロファイルを作成できます。ルールで定義された URL カテゴリのいずれかに一致するトラフィックは、特定のルーティング インスタンスのルートを使用して転送されます。
APBR プロファイルがルールに含まれる URL カテゴリとトラフィックを照合すると、APBR は Web フィルタリング モジュールにクエリを実行して URL カテゴリの詳細を取得します。URL カテゴリが URL フィルタリング キャッシュで使用できない場合、セキュリティ デバイスは、Web フィルタリングが設定されたプライベート クラウドに分類の詳細に関する要求を送信します。トラフィックがどのURLカテゴリーにも一致しない場合、リクエストは未分類となり、セッションは通常どおりの処理(非APBRルート)を受けます。
EWFで設定されたプライベートクラウドが3秒以内にURLカテゴリリクエストに応答しない場合、セッションは通常の処理(非APBRルート)を受けます。
APBR プロファイルでのルール処理
アプリケーションの属性に基づいてトラフィックを分類し、その属性に基づいてポリシーを適用してトラフィックをリダイレクトすることで、高度なポリシーベースのルーティングを提供できます。これを行うには、APBR プロファイルを定義し、それを APBR ポリシーに関連付ける必要があります。APBR プロファイルを作成して、動的アプリケーション、アプリケーション・グループ、またはその両方、または URL カテゴリーを一致基準として持つ複数のルールを含めることができます。APBR プロファイルで構成されるルールには、次のいずれかを含めることができます。
1 つ以上のアプリケーション、動的アプリケーション、またはアプリケーション グループ
URL カテゴリ(IP 宛先アドレス)—EWF またはローカル Web フィルタリング。
APBR プロファイルでは、両方の一致基準に対してルール検索が実行されます。使用可能な一致基準が 1 つしかない場合、使用可能な一致基準に基づいてルール検索が実行されます。
APBR プロファイルには、トラフィックをアプリケーションまたは URL カテゴリーと突き合わせるためのルールと、ルート検索のために、一致するトラフィックを指定されたルーティング・インスタンスにリダイレクトするアクションが含まれています。
Junos OSリリース18.3R1では、URLカテゴリの照合は宛先IPアドレスに基づいて行われます。このため、URL カテゴリベースのルール一致は、セッションの最初のパケットで終了します。動的アプリケーションはセッションの途中で識別される可能性があるため、動的アプリケーション・ルールのマッチング・プロセスは、アプリケーション識別プロセスが完了するまで続行されます。
URL カテゴリベース ルーティングのメリット
URL ベースのカテゴリを使用すると、Web トラフィックをきめ細かく制御できます。Webサイトの特定のカテゴリに属するトラフィックは、さまざまなパスを介してリダイレクトされ、カテゴリに基づいて、HTTPSトラフィックのSSL復号化を含む、さらなるセキュリティ処理の対象となります。
URLカテゴリに基づくトラフィック処理機能を使用すると、選択したWebサイトに異なるパスを使用できます。異なるパスを使用することで、QoE(Quality of Experience)が向上し、利用可能な帯域幅を効果的に活用できるようになります。
SD-WAN ソリューションでは、動的なアプリケーションベースのルーティングに加えて、URL カテゴリーベースのルーティングを利用できます。
URLカテゴリベースのルーティングは、ソースNAT設定の変更に対応できるため、ローカルインターネットブレイクアウトソリューションに使用できます。
URL カテゴリベース ルーティングの制限
APBR プロファイルでの URL カテゴリーの使用には、以下の制限があります。
APBR プロファイルの URL カテゴリー識別には、宛先 IP アドレスのみが使用されます。ホスト、または URL または SNI フィールドに基づく URL カテゴリはサポートされていません。
動的アプリケーションまたはURLカテゴリーのいずれかをAPBRプロファイル・ルールの一致条件として構成できます。URL カテゴリと動的アプリケーションの両方でルールを設定すると、コミット エラーが発生します。
例:URL カテゴリベース ルーティングの設定
この例では、URL カテゴリベースのルーティングを設定する方法を示します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
Junos OSリリース18.3 R1以降を搭載したSRXシリーズファイアウォール。この設定例は、Junos OS Release 18.3 R1でテストされています。
SRXシリーズファイアウォールにインストールされている有効なアプリケーション識別機能ライセンス。
拡張Webフィルタリング(EWF)オプションを使用するには、ジュニパーネットワークスのWebフィルタリングライセンスを購入する必要があります。ローカル Web フィルタリングにライセンスは必要ありません。
概要
この例では、URLカテゴリベースのルーティングを使用して、trustゾーンに到着したソーシャルメディアトラフィックを特定のデバイスまたはインターフェイスに転送するように、SRXシリーズファイアウォールでAPBRを設定する方法を示しています。
トラフィックが到着すると、APBR プロファイルと照合され、一致するルールが見つかった場合、パケットはルーティング インスタンスで指定された静的ルートとネクストホップ IP アドレスに転送されます。ルーティング テーブルに設定されたスタティック ルートは、ネクストホップ アドレスが到達可能になると転送テーブルに追加されます。スタティック ルートを宛先とするすべてのトラフィックは、特定のデバイスまたはインターフェイスへのトランジットのためにネクストホップ アドレスに送信されます。
この例では、次の設定を完了します。
次のいずれかのタイプの Web フィルタリングを有効にします。
拡張Webフィルタリング(EWF)- デバイスでEWFを有効にすると、EWFエンジンがHTTPおよびHTTPSリクエストを代行受信し、URLを95以上の定義済みカテゴリのいずれかに分類し、サイトのレピュテーション情報も提供します。 ローカルWebフィルタリングを使用したURLベースルーティングの設定を参照してください。
ローカル Web フィルタリング:ローカル Web フィルタリングを有効にすると、複数の URL リストを使用してカスタム URL カテゴリを設定し、許可、許可とログ記録、ブロック、隔離などのアクションを使用してコンテンツ セキュリティ Web フィルタリング プロファイルに適用できます。ローカル Web フィルタリングを使用するには、Web フィルタリング プロファイルを作成し、カテゴリ カスタムがプロファイルの一部であることを確認する必要があります。 EWF を使用した URL カテゴリベース ルーティングの構成を参照してください。
ルーティングインスタンスとルーティング情報ベース(RIB;ルーティングテーブルグループとも呼ばれます)を定義します。
APBR プロファイルを定義し、APBR ポリシーに関連付けます。
EWF を使用した URL カテゴリベース ルーティングの構成
このセクションでは、EWF を使用して URL カテゴリベースのルーティングを構成する手順について説明します。 表 2 に、この例で使用するパラメーターの詳細を示します。
パラメーター |
名前 |
説明 |
|---|---|---|
APBRプロファイル |
APBR-PR1 |
APBR プロファイルの名前。 |
APBRポリシー |
P1 |
APBR ポリシーの名前。 |
ルール |
|
APBRプロファイルルールの名前。 APBR プロファイル ルールは、定義された URL カテゴリにトラフィックを照合し、ルート検索のために、一致するトラフィックを指定されたルーティング インスタンス (例: RI1) にリダイレクトします。 |
カテゴリ |
Enhanced_Social_Web_Facebook |
トラフィックを照合するために、APBR プロファイルルールで定義されたカテゴリ。 |
ルーティングインスタンス |
|
トラフィックの転送には、転送タイプのルーティングインスタンスが使用されます。 スタティック ルート(IP アドレス 1.0.0.254/8)を宛先とする修飾されたすべてのトラフィックは、ネクストホップ デバイス(IP アドレス 1.0.0.1)に転送されます。 |
RIB グループ |
apbr_group |
RIB グループの名前。 RIB グループは、転送ルーティング インスタンスとインターフェイス ルートを共有します。ネクストホップを確実に解決できるように、メイン ルーティング テーブルからのインターフェイス ルートは、ルーティング インスタンスで指定されたルーティング テーブルと RIB グループを介して共有されます。 |
EWF を使用して URL カテゴリベースのルーティングを実行するには、次の手順を完了する必要があります。
拡張 Web フィルタリングの有効化
手順
APBR プロファイルの一致条件として URL カテゴリを使用するには、コンテンツ セキュリティで EWF を有効にする必要があります。
EWFオプションを使用するには、ジュニパーネットワークスのWebフィルタリングライセンスを購入する必要があります。ローカル Web フィルタリングにライセンスは必要ありません。
Web フィルタリング タイプを として指定して
juniper-enhanced、EWF を有効にします。[edit]
user@host#set security utm feature-profile web-filtering type juniper-enhanced設定された EWF エンジンのキャッシュ サイズを 500 に、キャッシュ タイムアウトを 1800 秒に設定します。
[edit]
user@host#set security utm feature-profile web-filtering juniper-enhanced cache size 500user@host#set security utm feature-profile web-filtering juniper-enhanced cache timeout 1800EWF 設定の詳細については、 次を参照してください:拡張 Web フィルタリング(EWF)。
ルーティング インスタンスと RIB グループの定義
手順
ルーティングインスタンスとRIBグループを定義します。
異なるネクストホップにトラフィックを転送するルーティングインスタンスを作成します。このステップでは、スタティック ルート 1.0.0.254/8、ネクストホップ アドレスを 1.0.0.1 として設定します。
[edit]
user@host#set routing-instances RI1 instance-type forwardinguser@host#set routing-instances RI1 routing-options static route 1.0.0.254/8 next-hop 1.0.0.1RIB グループを作成します。
[edit]
user@host#set routing-options interface-routes rib-group inet apbr_groupuser@host#set routing-options rib-groups apbr_group import-rib inet.0user@host#set routing-options rib-groups apbr_group import-rib RI1.inet.0メインルーティングテーブル(inet.0)からのインターフェイスルートは、RIBグループを介して、ルーティングインスタンスRI1.inet.0で指定されたルーティングテーブルと共有されます。
APBR プロファイルの設定
手順
Facebook アプリケーションのルールを作成し、一致するトラフィックをルーティング インスタンス RI1 に転送します。
APBR プロファイルを作成し、URL カテゴリーの一致基準を定義します。
[edit]
user@host#set security advance-policy-based-routing profile apbr-pr1 rule rule-social-nw match category Enhanced_Social_Web_FacebookAPBR プロファイル ルールは、定義された URL カテゴリ(この例では Facebook アプリケーション)へのトラフィックを照合します。
URLカテゴリに一致するトラフィックのアクションを指定します。
[edit]
user@host#set security advance-policy-based-routing profile apbr-pr1 rule rule-social-nw then routing-instance RI1このステップでは、apbr-pr1ルールに一致するトラフィックがルーティング・インスタンスRI1にリダイレクトされることを指定します。
APBRポリシーの設定とAPBRプロファイルのアタッチ
手順
アプリケーション・プロファイルをAPBRポリシーに関連付けて、URLカテゴリー・ベースのルーティングを有効にします。
APBR ポリシーを定義します。送信元アドレス、宛先アドレス、およびアプリケーションに対して、 として
anyポリシー一致条件を指定します。[edit]
user@host#set security advance-policy-based-routing from-zone trust policy p1 match source-address anyuser@host#set security advance-policy-based-routing from-zone trust policy p1 match destination-address anyuser@host#set security advance-policy-based-routing from-zone trust policy p1 match application anyトラフィックが到着すると、APBRポリシールールと照合されます。
APBRプロファイルをポリシーにアタッチします。
[edit]
user@host#set security advance-policy-based-routing from-zone trust policy p1 then application-servicesadvance-policy-based-routing-profile apbr-pr1トラフィックがAPBRポリシー(p1)ルールに一致する場合、APBRポリシーのアクションとしてAPBRプロファイルapbr-pr1がトラフィックに適用されます。Facebook アプリケーションに一致するトラフィックは、APBR プロファイル ルール rule-social-nw に従ってルーティング インスタンス RI1 にリダイレクトされます。
結果
設定モードから、 コマンドを入力して show 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit security]
user@host# show advance-policy-based-routing
profile apbr-pr1 {
rule rule-social-nw {
match {
category Enhanced_Social_Web_Facebook;
}
then {
routing-instance RI1;
}
}
}
from-zone trust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
application-services {
advance-policy-based-routing-profile apbr-pr1;
}
}
}
}
[edit]
user@host# routing-options
interface-routes {
rib-group inet apbr_group;
}
rib-groups {
apbr_group {
import-rib [ inet.0 RI1.inet.0 ];
}
}
[edit]
user@host# show routing-instances
RRI1 {
instance-type forwarding;
routing-options {
static {
route 1.0.0.254/8 next-hop 1.0.0.1;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
ローカル Web フィルタリングを使用した URL ベース ルーティングの構成
ここでは、ローカル Web フィルタリングを使用して URL カテゴリ ベースのルーティングを構成する手順について説明します。
表 3 に、この例で使用されるパラメーターの詳細を示します。
パラメーター |
名前 |
説明 |
|---|---|---|
APBRプロファイル |
APBR-PR2 |
APBR プロファイルの名前。 |
APBRポリシー |
P2 |
APBR ポリシーの名前。 |
ルール |
|
APBRプロファイルルールの名前。 APBRプロファイルルールは、トラフィックを定義されたURLカテゴリと照合し、ルート検索のために指定されたルーティングインスタンス(例:RI2)に一致するトラフィックをリダイレクトします。 |
カスタムカテゴリ(URLパターン) |
203.0.113.0 203.0.113.10 |
トラフィックを照合するために、APBR プロファイルルールで定義されたカテゴリ。 |
ルーティングインスタンス |
|
トラフィックの転送には、転送タイプのルーティングインスタンスが使用されます。 スタティック ルート(IP アドレス 5.0.0.10)を宛先とするすべての認定済みトラフィックは、ネクストホップ デバイス(IP アドレス 9.0.0.1)に転送されます。 |
RIB グループ |
apbr_group2 |
RIB グループの名前。 RIB グループは、転送ルーティング インスタンスとインターフェイス ルートを共有します。ネクストホップを確実に解決できるように、メイン ルーティング テーブルからのインターフェイス ルートは、ルーティング インスタンスで指定されたルーティング テーブルと RIB グループを介して共有されます。 |
ローカル Web フィルタリングを使用して URL カテゴリベースのルーティングを実行するには、次の手順を完了する必要があります。
ローカル Web フィルタリングの有効化
手順
APBR プロファイルの一致条件として URL カテゴリを使用するには、コンテンツ セキュリティでローカル Web フィルタリングを有効にする必要があります。
Web フィルタリングの種類として
juniper-localを指定して、ローカル Web フィルタリングを有効にします。[edit]
user@host#set security utm feature-profile web-filtering type juniper-localカスタムオブジェクトと URL パターンリストを作成します。
[edit]
user@host#set security utm custom-objects url-pattern local1 value 203.0.113.0user@host#set security utm custom-objects url-pattern local1 value 203.0.113.10このステップでは、HTTP の IP アドレス 203.0.113.0 または 203.0.113.10 に一致するパターンが作成されます。
カスタム URL カテゴリ リストを構成します。
user@host#set security utm custom-objects custom-url-category custom value local1この例で指定されている URL カテゴリはカスタムで、URL リストを追加できます。この手順では、手順 2 で作成されたアドレス 203.0.113.1 と 203.0.113.10 に一致するパターンを含む URL リスト
local1を追加します。Web フィルタリング プロファイルを設定します。
user@host#set security utm feature-profile web-filtering juniper-local profile P1 category custom action permitWeb フィルタリング プロファイルには、permit アクションを持つユーザー定義のカテゴリが含まれます。
ローカル Web フィルタリング構成の詳細については、次を参照してください: ローカル Web フィルタリング。
ルーティング インスタンスと RIB グループの定義
手順
ルーティング インスタンスと RIB グループを定義します。
異なるネクストホップにトラフィックを転送するルーティングインスタンスを作成します。この例では、ネクストホップ アドレス 9.0.0.1 を使用して、スタティック ルート 5.0.0.0/10 を設定します。
[edit]
user@host#set routing-instances RI2 instance-type forwardinguser@host#set routing-instances RI2 routing-options static route 5.0.0.0/16 next-hop 9.0.0.1RIB グループを作成します。
[edit]
user@host#set routing-options interface-routes rib-group inet apbr_group2user@host#set routing-options rib-groups apbr_group2 import-rib inet.0user@host#set routing-options rib-groups apbr_group2 import-rib RI2.inet.0メインルーティングテーブル(inet.0)からのインターフェイスルートは、ルーティングインスタンス(RI2.inet.0)で指定されたルーティングテーブルとRIBグループで共有されます。
APBR プロファイルの設定
手順
カスタムURLパターンに一致するトラフィックをルーティングインスタンスRI2に転送するルールを作成します。
APBR プロファイルを作成し、URL カテゴリーの一致基準を定義します。
[edit]
user@host#set security advance-policy-based-routing profile apbr-pr2 rule rule2 match category customAPBR プロファイル ルールは、定義されたカスタム URL カテゴリ(つまり、この例ではアドレス 203.0.113.1 と 203.0.113.10 に一致する URL パターンを持つトラフィック)にトラフィックを一致させます。
URLカテゴリに一致するトラフィックのアクションを指定します。
[edit]
user@host#set security advance-policy-based-routing profile apbr-pr2 rule rule2 then routing-instance RI2このステップでは、ルールに一致するトラフィックがルーティング・インスタンスRI2にリダイレクトされることを指定します。
APBRポリシーの設定とAPBRプロファイルのアタッチ
手順
APBR プロファイルを APBR ポリシーに関連付けて、URL カテゴリーベースのルーティングを有効にします。
APBR ポリシーを定義します。送信元アドレス、宛先アドレス、およびアプリケーションに対して、 として
anyポリシー一致条件を指定します。[edit]
user@host#set security advance-policy-based-routing from-zone trust policy p2 match source-address anyuser@host#set security advance-policy-based-routing from-zone trust policy p2 match destination-address anyuser@host#set security advance-policy-based-routing from-zone trust policy p2 match application anyトラフィックが到着すると、APBRポリシールールに一致します。
APBRプロファイルをポリシーにアタッチします。
[edit]
user@host#set security advance-policy-based-routing from-zone trust policy p2 then application-services advance-policy-based-routing-profile apbr-pr2トラフィックがAPBRポリシー(p2)ルールに一致する場合、APBRプロファイルapbr-pr2がAPBRポリシーのアクションとしてトラフィックに適用されます。Facebook アプリケーションに一致するトラフィックは、APBR プロファイル・ルール rule2 に従ってルーティング・インスタンス RI2 にリダイレクトされます。
結果
設定モードから、 コマンドを入力して show 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit security]
user@host# show advance-policy-based-routing
profile apbr-pr2 {
rule rule2 {
match {
category custom;
}
then {
routing-instance RI2;
}
}
}
from-zone trust {
policy p2 {
match {
source-address any;
destination-address any;
application any;
}
then {
application-services {
advance-policy-based-routing-profile apbr-pr2;
}
}
}
}
[edit]
user@host# show routing-options
interface-routes {
rib-group inet apbr_group2;
}
rib-groups {
apbr_group2 {
import-rib [ inet.0 RI2.inet.0 ];
}
}
[edit]
user@host# show routing-instances
RI2 {
instance-type forwarding;
routing-options {
static {
route 5.0.0.0/10 next-hop 9.0.0.1;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
APBR 統計の検証
目的
アプリケーション・ベースの経路指定で処理されたセッションの数、セッションに APBR が適用された回数など、APBR の統計を表示します。
アクション
設定モードから コマンド show security advance-policy-based-routing statistics を入力します。
user@host> show security advance-policy-based-routing statistics
Advance Profile Based Routing statistics: Session Processed: 5529 ASC Success: 3113 Rule match success: 107 Route modified: 107 AppID Requested: 2416
意味
コマンド出力は、以下の詳細を表示します。
アプリケーションベースのルーティングで処理されるセッション
アプリケーション・システム・キャッシュ (ASC) 内のエントリーの存在が検出された回数
アプリケーショントラフィックがAPBRプロファイルと一致し、APBRがセッションに適用される回数
アプリケーション トラフィックを識別するためにアプリケーション ID(AppID)が参照された回数
APBR がセッションに適用される回数
APBRルールでのアプリケーションサービスのバイパス
APBRプロファイルを作成して、動的アプリケーション、アプリケーショングループ、またはその両方、またはURLカテゴリーをセキュリティデバイスの一致条件として持つ複数のルールを含めることができます。URL カテゴリベース ルーティングを使用すると、Web トラフィック(HTTP および HTTPS)を識別して、指定した宛先や、Web トラフィックをさらに検査する必要がある別のデバイスにルーティングできます。このような場合、さらなる検査のためにデバイスに転送されるセッションで、アプリケーションサービスを適用しない、またはバイパスすることを選択できます。
Junos OS リリース 19.1R1 以降、APBR ルールを使用して再ルーティングされるセッションでは、アプリケーション サービスをバイパスできます。
アプリケーション サービスのバイパスには、次のシーケンスが含まれます。
APBRは、アプリケーションの詳細を使用して、APBRプロファイル(アプリケーションプロファイル)で一致するルールを探します。
一致するAPBRルールが見つかった場合、トラフィックはルート検索用に指定されたルーティングインスタンスにリダイレクトされます。
APBRルールでセッションでアプリケーション・サービスをバイパスするオプションを設定すると、セッションへのアプリケーション・サービスのバイパスが試行されます。
セッションでのアプリケーションサービスのバイパスを示すログメッセージが生成または更新されます。
APBRルールを使用すると、セキュリティポリシー、アプリケーションサービス品質(AppQoS)、Juniper ATPクラウド、IDP、セキュリティインテリジェンス(SecIntel)、コンテンツセキュリティなどのアプリケーションサービスをバイパスできます。
バイパスを有効にするには、最初のパケットでAPBRルールが一致している必要があります。最初のパケットの後にルールが一致し、ルールにバイパスオプションが設定されている場合、バイパスオプションは無視され、アプリケーションサービスはバイパスされません。
ALG をバイパスすると、相関 (データ) セッションが適切なセキュリティ ポリシーと一致しなくなる可能性があるため、この機能によって ALG サービスがバイパスされることはありません。
例: APBR ルールを使用したアプリケーション・サービスのバイパス
この例では、APBRルールを使用してセッションでアプリケーションサービスをバイパスする方法を示しています。URLカテゴリベースのルーティングを使用すると、Webトラフィック(HTTPおよびHTTPS)を識別し、指定した宛先または別のデバイスに選択的にルーティングできます。ここでは、Web トラフィックのさらなるインスペクションを実行できるセッションで、アプリケーション サービスをバイパスするように設定できます。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
Junos OSリリース19.1R1以降を搭載したSRXシリーズファイアウォール。この設定例は、Junos OS Release 19.1R1でテストされています。
SRXシリーズファイアウォールにインストールされている有効なアプリケーション識別機能ライセンス。
始める前に:
ルーティングインスタンスとRIBグループを定義します。
適切なセキュリティポリシーにより、トランジットトラフィックにルールを適用し、デバイスを通過できるトラフィック、およびデバイスを通過する際にトラフィックに対して実行する必要があるアクションを指定します。
概要
この例では、SRXシリーズファイアウォールでAPBRを設定し、URLカテゴリベースのルーティングを使用して、trustゾーンに到着したソーシャルメディアトラフィックを特定のデバイスまたはインターフェイスに転送し、同じセッションでアプリケーションサービスをバイパスする方法を示しています。
この例では、次の設定を完了します。
APBR プロファイルを定義し、APBR ポリシーに関連付けます。APBRプロファイルには、トラフィックをアプリケーションおよびURLカテゴリーと一致させるためのルールが含まれています。
次に、APBRプロファイルルールのアクションを指定します。つまり、ルート検索のために、一致するトラフィックを指定されたルーティングインスタンスにリダイレクトします。
一致するトラフィックのアプリケーション バイパス オプションを指定します。
トラフィックが到着すると、APBRプロファイルと照合され、一致するルールが見つかった場合、パケットは静的ルートに転送されます。スタティック ルートを宛先とするすべてのトラフィックは、特定のデバイスまたはインターフェイスへのトランジットのためにネクストホップ アドレスに送信されます。一致するトラフィックに対してアプリケーション バイパス オプションを設定したため、ネクストホップ アドレスで特定のデバイスに転送されたトラフィックは、アプリケーション サービスでは適用されません。
構成
このセクションでは、拡張 Web フィルタリング(EWF)を使用して URL カテゴリベース ルーティングを構成する手順と、トラフィックにアプリケーション サービスを通過させることで有効にする手順について説明します。
拡張 Web フィルタリングの有効化
手順
APBR プロファイルの一致条件として URL カテゴリを使用するには、コンテンツ セキュリティで EWF を有効にする必要があります。
EWFオプションを使用するには、ジュニパーネットワークスのWebフィルタリングライセンスを購入する必要があります。ローカル Web フィルタリングにライセンスは必要ありません。
Web フィルタリング タイプを として指定して
juniper-enhanced、EWF を有効にします。[edit]
user@host#set security utm feature-profile web-filtering type juniper-enhanced設定された EWF エンジンのキャッシュ サイズを 500 に、キャッシュ タイムアウトを 1800 秒に設定します。
[edit]
user@host#set security utm feature-profile web-filtering juniper-enhanced cache size 500user@host#set security utm feature-profile web-filtering juniper-enhanced cache timeout 1800EWF 設定の詳細については、 次を参照してください:拡張 Web フィルタリング(EWF)。
APBRルールの設定
手順
Facebook アプリケーションのルールを作成し、一致するトラフィックをルーティング インスタンス RI1 に転送します。
APBR プロファイルを作成し、URL カテゴリーの一致基準を定義します。
[edit]
user@host#set security advance-policy-based-routing profile apbr-pr1 rule rule-social-nw match category Enhanced_Social_Web_FacebookAPBR プロファイル ルールは、定義された URL カテゴリ(この例では Facebook アプリケーション)へのトラフィックを照合します。
URLカテゴリに一致するトラフィックのアクションを指定します。
[edit]
user@host#set security advance-policy-based-routing profile apbr-pr1 rule rule-social-nw then routing-instance RI1このステップでは、apbr-pr1ルールに一致するトラフィックがルーティング・インスタンスRI1にリダイレクトされることを指定します。
APBRルールに一致するトラフィックのバイパスアプリケーションサービスを指定します。
[edit]
user@host#set security advance-policy-based-routing profile apbr-pr1 rule rule-social-nw then application-services-bypassこのステップでは、apbr-pr1 ルールに一致するトラフィックがアプリケーション・サービスをバイパスするように指定します。
APBRポリシーの設定とAPBRプロファイルのアタッチ
手順
アプリケーション・プロファイルをAPBRポリシーに関連付けて、URLカテゴリー・ベースのルーティングを有効にします。
APBR ポリシーを定義します。送信元アドレス、宛先アドレス、およびアプリケーションに対して、 として
anyポリシー一致条件を指定します。[edit]
user@host#set security advance-policy-based-routing from-zone trust policy p1 match source-address anyuser@host#set security advance-policy-based-routing from-zone trust policy p1 match destination-address anyuser@host#set security advance-policy-based-routing from-zone trust policy p1 match application anyトラフィックが到着すると、APBRポリシールールと照合されます。
APBRプロファイルをポリシーにアタッチします。
[edit]
user@host#set security advance-policy-based-routing from-zone trust policy p1 then application-services advance-policy-based-routing-profile apbr-pr1トラフィックがAPBRポリシー(p1)ルールに一致する場合、APBRポリシーのアクションとしてAPBRプロファイルapbr-pr1がトラフィックに適用されます。Facebook アプリケーションに一致するトラフィックは、APBR プロファイル ルール rule-social-nw に従ってルーティング インスタンス RI1 にリダイレクトされます。また、アプリケーション・サービスは、APBR プロファイル・ルール rule-social-nw で指定されているように、セッションに対してバイパスされます。
結果
設定モードから、 コマンドを入力して show 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit security]
user@host# show advance-policy-based-routing
profile apbr-pr1 {
rule rule-social-nw {
match {
category Enhanced_Social_Web_Facebook;
}
then {
routing-instance RI1;
application-services-bypass;
}
}
}
from-zone trust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
application-services {
advance-policy-based-routing-profile apbr-pr1;
}
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
APBR 統計の検証
目的
アプリケーション・ベースの経路指定で処理されたセッションの数、セッションに APBR が適用された回数など、APBR の統計を表示します。
アクション
設定モードから コマンド show security advance-policy-based-routing statistics を入力します。
user@host> show security advance-policy-based-routing statistics
Advance Profile Based Routing statistics: Sessions Processed 110 AppID cache hits 110 AppID requested 0 Rule matches 2 Route changed on cache hits 1 Route changed midstream 1 Zone mismatch 0 Drop on zone mismatch 0 Next hop not found 0 Application Services Bypass 1
意味
コマンド出力は、以下の詳細を表示します。
アプリケーションベースのルーティングで処理されるセッション
アプリケーション・システム・キャッシュ (ASC) 内のエントリーの存在が検出された回数
アプリケーショントラフィックがAPBRプロファイルと一致し、APBRがセッションに適用される回数
アプリケーション トラフィックを識別するためにアプリケーション ID(AppID)が参照された回数
APBR がセッションに適用される回数
セッションでアプリケーションサービスがバイパスされた回数
APBRポリシーでのユーザーソースIDのサポート
Junos OS リリース 19.1R1 以降、送信元アドレス、宛先アドレス、アプリケーションとともに、一致条件の 1 つとしてユーザー ソース ID を定義することで、高度なポリシーベースのルーティング(APBR)ポリシーを構成できます。一致が成功すると、APBRポリシーで構成されたAPBRプロファイルがセッションのアプリケーション・サービスとして適用されます。ソース ID を使用すると、ユーザー識別テーブル (UIT) などのリポジトリに格納されているユーザー情報を活用できます。
source-identity フィールドは、ポリシーが適用されるユーザーとロールを指定します。source-identity フィールドがポリシーで照合条件として指定されている場合、ポリシーの検索を続行する前に、ユーザーとロールの情報を取得する必要があります。APBR ポリシーの一致条件として source-identity オプションを使用することはオプションです。source-identity フィールドの値が any に設定されている場合、または source-identity フィールドにエントリがない場合、ユーザー情報とロール情報は不要であり、他の一致基準がポリシー ルックアップに使用されます。
source-identity フィールドと次のキーワードを使用して、1 つ以上のユーザーまたはユーザー ロールを指定できます。
認証済みユーザー - 認証済みのユーザー。
unauthenticate-user - 認証されていないユーザー。
any:認証ステータスに関係なくすべてのユーザー。source-identity フィールドが設定されていない場合、または any に設定されている場合、他の一致条件のみが照合に使用されます
unknown-user - 停電など、認証サーバーの切断により認証できないユーザー。
セキュリティ デバイスのユーザー識別テーブル(UIT)は、すでに認証されているアクティブ ユーザーのユーザーとロールの情報を提供します。テーブルの各エントリは、IP アドレスを認証されたユーザーと任意のロールにマッピングします。
UIT には、認証されたすべてのユーザーの IP アドレス、ユーザー名、およびロール情報が含まれています。ユーザー識別テーブルの項目は、IP アドレス順に並べられています。
セキュリティデバイスでは、サポートされているUITのタイプはローカル認証テーブルです。ローカル認証テーブルは、APBR ポリシーで必要な情報の認証ソースとして機能します。ローカル認証テーブルは、CLIコマンドを使用して手動またはプログラムによってデバイス上に作成される静的UITです。ローカル認証テーブルに含まれるすべてのユーザーは、認証されたユーザーと見なされます。ユーザーとロールの情報を取得するために、認証テーブルでトラフィックに対応するIPアドレスを持つエントリの検索が実行されます。一致する IP アドレスが見つかると、ユーザーとロールの情報がテーブル エントリから取得され、トラフィックに関連付けられます。見つからない場合、ユーザーは認証されていないユーザーとして分類されます。
ユーザーとロールの情報は、デバイス上で手動で作成することも、サードパーティの認証サーバーから移植することもできますが、ローカル認証テーブルのデータはリアルタイムでは更新されません。
APBR ポリシーの検索中に、APBR ポリシーで構成されているユーザーおよびユーザー・ロールがローカル認証テーブルに存在しない場合、ポリシーは一致しません。受信したヒット数に応じてセキュリティ ポリシーのユーティリティ レートを表示するヒット カウント値は増加しません。
ユーザ ロールの取得とポリシー ルックアップ プロセスの詳細については、 ユーザ ロール ファイアウォール セキュリティ ポリシーを参照してください。
利点
ルーティング動作をよりきめ細かく定義し、ネットワークを通過するアプリケーショントラフィックにポリシーを安全に適用できるようにします。
より柔軟なトラフィック処理機能を提供し、ユーザーの役割とビジネス要件に基づいてパケット転送をきめ細かく制御します。
ローカル認証テーブル
ローカル認証テーブルは、エントリーを追加または削除する CLI コマンドで管理できます。CLI コマンドを使用して、IP アドレス、ユーザー名、およびロールをサードパーティー認証ソースからローカル認証テーブルにプログラム的に追加できます。認証ソースでユーザーとグループが定義されている場合、グループをロールとして構成し、通常どおりユーザーに関連付けることができます。
次のコマンドを使用して、ローカル認証テーブルにエントリを追加します。テーブル内のエントリは、IP アドレスを使用して入力されます。
user@host >request security user-identification local-authentication-table add user user-name ip-address ip-address role [role-name role-name ]
例:
user@host >request security user-identification local-authentication-table add user-name user1 ip-address 2.2.2.2 roles role1
次のコマンドを使用して、IP アドレスまたはユーザー名でエントリを削除します。
user@host >request security user-identification local-authentication-table delete (ip-address | user-name)
以下のコマンドを使用して、ローカル認証テーブルをクリアします。
user@host >clear security user-identification local-authentication-table
以下のコマンドを使用して、ローカル認証テーブルの内容を表示します。
user@host >show security user-identification local-authentication-table all (brief | extensive)
詳細については、「 ローカル認証テーブル」を参照してください。
例:送信元 ID を使用した高度なポリシーベースのルーティング ポリシーの設定
この例では、ソース・アイデンティティを使用してAPBRポリシーを構成する方法と、APBRポリシー・ルールに一致するセッションにAPBRプロファイルを適用する方法を示します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
Junos OSリリース19.1R1以降を搭載したSRXシリーズファイアウォール。この設定例は、Junos OS Release 19.1R1でテストされています。
SRXシリーズファイアウォールにインストールされている有効なアプリケーション識別機能のライセンス。
概要
この例では、trustゾーンに到着したHTTPトラフィックを、ネクストホップIPアドレスで指定された特定のデバイスまたはインターフェイスに転送します。
トラフィックがtrustゾーンに到着すると、APBRポリシーによって照合されます。トラフィックがポリシーに一致すると、設定されたAPBRルールがアプリケーションサービスとして許可されたトラフィックに適用されます。パケットは、APBRルールに基づいて、ルーティングインスタンスで指定された静的ルートとネクストホップに転送されます。ルーティング テーブルに設定されたスタティック ルートは、ネクストホップ アドレスが到達可能になると、転送テーブルに挿入されます。スタティック ルートを宛先とするすべてのトラフィックは、特定のデバイスまたはインターフェイスへのトランジットのためにネクストホップ アドレスに送信されます。
この例では、次の設定を完了する必要があります。
ルーティング インスタンスと RIB グループを定義します。
ABPR プロファイルを作成します。
APBR ポリシーを作成し、それに APBR プロファイルをアタッチします。
構成
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit 。
set routing-instances R1 instance-type forwarding set routing-instances R1 routing-options static route 5.0.0.0/24 next-hop 3.0.0.2 set routing-options interface-routes rib-group inet fbf-group set routing-options rib-groups fbf-group import-rib inet.0 set routing-options rib-groups fbf-group import-rib RI1.inet.0 set security advance-policy-based-routing profile profile1 rule rule-app1 match dynamic-application junos:HTTP set security advance-policy-based-routing profile profile1 rule rule-app1 then routing-instance R1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/1.0 set security advance-policy-based-routing from-zone trust policy SLA1 match source-address any set security advance-policy-based-routing from-zone trust policy SLA1 match destination-address any set security advance-policy-based-routing from-zone trust policy SLA1 match application any set security advance-policy-based-routing from-zone trust policy SLA1 match source-identity identity-1 set security advance-policy-based-routing from-zone trust policy SLA1 then application-services advance-policy-based-routing-profile profile1
高度なポリシーベースルーティングの設定
手順
ローカル認証テーブルにエントリを追加します。
ユーザー名、IP アドレス、およびユーザー ロールの詳細を入力します。
user@host>request security user-identification local-authentication-table add user-name user1 ip-address 2.2.2.2 roles role1
手順
APBRポリシーに一致するトラフィックにAPBRを適用するには:
ルーティングインスタンスを作成します。
[edit]
user@host#set routing-instances R1 instance-type forwardinguser@host#set routing-instances R1 routing-options static route 5.0.0.0/24 next-hop 3.0.0.21つ以上のルーティングテーブルをグループ化して、apbr_groupと呼ばれるRIBグループを形成し、ルーティングテーブルにルートをインポートします。
[edit]
user@host#set routing-options interface-routes rib-group inet fbf-groupuser@host#set routing-options rib-groups fbf-group import-rib inet.0user@host#set routing-options rib-groups fbf-group import-rib RI1.inet.0APBR プロファイルを作成し、ルールを定義します。
[edit]
user@host#set security advance-policy-based-routing profile profile1 rule rule-app1 match dynamic-application junos:HTTPuser@host#set security advance-policy-based-routing profile profile1 rule rule-app1 then routing-instance R1セキュリティ ゾーンを作成します。
[edit]
user@host#set security zones security-zone trust host-inbound-traffic system-services alluser@host#set security zones security-zone trust host-inbound-traffic protocols alluser@host#set security zones security-zone trust interfaces ge-0/0/1.0APBRポリシーを作成し、APBRプロファイルをセキュリティ・ゾーンに適用します。
[edit]
user@host#set security advance-policy-based-routing from-zone trust policy SLA1 match source-address anyuser@host#set security advance-policy-based-routing from-zone trust policy SLA1 match destination-address anyuser@host#set security advance-policy-based-routing from-zone trust policy SLA1 match application anyuser@host#set security advance-policy-based-routing from-zone trust policy SLA1 match source-identity identity-1user@host#set security advance-policy-based-routing from-zone trust policy SLA1 then application-services advance-policy-based-routing-profile profile1
結果
設定モードから、 および show security zones コマンドを入力してshow routing-instances設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show routing-instances
R1 {
instance-type forwarding;
routing-options {
static {
route 5.0.0.0/24 next-hop 3.0.0.2;
}
}
}
[edit]
user@host# show routing-options
interface-routes {
rib-group inet fbf_group;
}
rib-groups {
fbf_group {
import-rib [ inet.0 RI1.inet.0];
}
}
[edit]
user@host# show security advance-policy-based-routing
from-zone trust {
policy SLA1 {
match {
source-address any;
destination-address any;
application any;
source-identity identity-1;
}
then {
application-services {
advanced-policy-based-routing-profile profile1;
}
}
}
}
profile profile1 {
rule rule-app1 {
match {
dynamic-application junos:HTTP;
}
then {
routing-instance R1;
}
}
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
APBRポリシー設定の検証
目的
APBR ポリシー、関連付けられた APBR プロファイルに関する情報を表示し、APBR ポリシーのヒット カウントに関する情報を表示します。
アクション
設定モードから コマンド show security advance-policy-based-routing detail を入力します。
user@host>show security advance-policy-based-routing detail Policy: SLA1, State: enabled, Index: 5 Policy Type: Configured Sequence number: 1 From zone: trust Source addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Destination addresses: any-ipv4(global): 0.0.0.0/0 any-ipv6(global): ::/0 Application: any IP protocol: 0, ALG: 0, Inactivity timeout: 0 Source port range: [0-0] Destination port range: [0-0] APBR-Profile: profile1Source identities: identity-1
意味
コマンド出力では、ソース ID の詳細が Source identities フィールドに表示されます。
APBR ルールの一致条件としての DSCP の使用
このトピックは、以下のセクションで構成されています。
導入
アプリケーション識別技術は、ディープパケットインスペクション(DPI)に依存しています。暗号化されたトラフィックなど、DPIエンジンがアプリケーションを識別できない場合があります。このようなトラフィックにAPBRルールを適用すると、トラフィックはAPBR機能が適用されない状態で通常の処理が行われます。
Junos OSリリース19.3R1以降、SRXシリーズファイアウォールは、DSCPタグ付きトラフィックでAPBR機能を実行するための一致条件として、APBRルールでのDSCP値の設定をサポートしています。
動的アプリケーションや動的アプリケーショングループなど、APBRルールの他の一致基準に加えて、DSCP値を設定できます。
APBRルールでDSCP値を設定することで、DSCPマーキングのあるトラフィックにAPBRサービスを拡張できます。
ユースケース
DSCPを使用したAPBRルールを、暗号化されたトラフィックの一致条件として使用できます。
制限
1 つの APBR プロファイルで DSCP 値と URL カテゴリを使用してルールを構成する場合、サポートは使用できません。
DSCP値を一致条件として使用する場合のAPBRルールルックアップ
APBR ルールでは、DSCP 値、動的アプリケーション、またはその両方の組み合わせを構成できます。
APBRルールでDSCPと動的アプリケーションの両方を構成している場合、トラフィックがルールで指定されたすべての基準に一致すると、ルールは一致と見なされます。APBR ルールに複数の DSCP 値が存在する場合、いずれかの条件が一致すると、一致したと見なされます。
APBR プロファイルには複数のルールを含めることができ、各ルールにはさまざまな一致条件があります。
APBR プロファイルに複数の APBR ルールがある場合、ルール検索では次の優先順位が使用されます。
DSCP + 動的アプリケーションのルール
動的適用のルール
DSCP 値を持つルール
APBR プロファイルに複数のルールが含まれている場合、システムはルール検索を実行し、次の順序でルールを適用します。
システムは、セッションの最初のパケットに DSCP ベースのルールを適用します。
システムは、DPI 分類またはアプリケーション システム キャッシュ (ASC) から使用可能なアプリケーション情報があるかどうかを引き続きチェックします。
セッションの途中で、DPI が新しいアプリケーションを識別すると、システムはルール検索を実行し、必要に応じて新しいルール(アプリケーションベースのルールまたは DSCP ベースのルール、あるいは両方の組み合わせ)を適用します。
アプリケーションとルールの識別は、DPIが最終アプリケーションとしてアプリケーションを識別するか、最大再ルート値に達するまで続きます。
ルール検索がどのルールにも一致しない場合、それ以上のアクションは実行されません。
APBRがどのようにルール検索を実行し、ルールを適用するかを、次の2つの例で理解しましょう。
例1
この例では、DSCP 値 30 の 1 つの APBR ルール、アプリケーションを HTTP とする次のルール、DSCP 値の両方を 30、アプリケーションを HTTP とする 3 つ目のルールの 3 つの APBR ルールを設定します。最大ルート変更値を 1(デフォルト値)として設定します。
表 4 は、APBR がルール検索を実行し、ルールを適用する方法を示しています。
セッション |
トラフィック タイプ |
ASC キャッシュ |
DPI 分類 |
一致ルール |
|---|---|---|---|---|
最初のセッション |
DSCP=30 |
Na |
Na |
ルール1 |
ミッドストリームセッション |
DSCP=30 アプリケーション = HTTP |
はい |
HTTP |
ルール3 ルール検索が新しいルールに一致したため、トラフィックが切り替わります。 セッションの途中でルール変更に基づいてトラフィックが切り替わると、最大ルート変更のカウントは 0 に減少します。これで、このシナリオではそれ以上のルート変更は行われません。 |
例2
この例では、DSCP 値 30 の 1 つの APBR ルール、DSCP 値 60 のルール、DSCP 値の両方を 30、アプリケーションを HTTP とする 3 つ目のルールを設定します。
表 5 は、APBR がルール検索を実行し、ルールを適用する方法を示しています。
セッション |
トラフィック タイプ |
ASC キャッシュ |
DPI 分類 |
一致ルール |
|---|---|---|---|---|
最初のセッション |
DSCP=30 |
Na |
Na |
ルール1 |
ミッドストリームセッション |
DSCP=60 アプリケーション = HTTP |
はい |
DSCP=60 HTTP |
ルール2 ミッドストリームで DSCP 値が 30 から 60 に変更されているため、ルール 3 はトラフィックと一致しません。 |
DSCP値を一致条件とするAPBRルールの設定
この例では、DSCP値を一致条件として使用してAPBRルールを設定する方法を示しています。
構成
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit 。
set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/2 unit 0 family inet address 192.0.3.1/24 set interfaces ge-0/0/3 unit 0 family inet address 192.0.4.1/24 set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces ge-0/0/2.0 set security zones security-zone untrust interfaces ge-0/0/3.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set interfaces ge-0/0/0 unit 0 family inet address 4.0.0.1/24 set routing-instances RI1 instance-type forwarding set routing-instances RI1 routing-options static route 192.0.0.0/16 next-hop 192.0.2.254 set routing-instances RI2 instance-type forwarding set routing-instances RI2 routing-options static route 192.0.0.0/16 next-hop 192.0.3.254 set routing-instances RI3 instance-type forwarding set routing-instances RI3 routing-options static route 192.0.0.0/16 next-hop 192.0.4.254 set routing-options rib-groups apbr-group import-rib inet.0 set routing-options rib-groups apbr-group import-rib RI1.inet.0 set routing-options rib-groups apbr-group import-rib RI2.inet.0 set routing-options rib-groups apbr-group import-rib RI3.inet.0 set routing-options interface-routes rib-group inet apbr-group set security advance-policy-based-routing profile p1 rule R1 match dynamic-application junos:HTTP set security advance-policy-based-routing profile p1 rule R1 then routing-instance RI1 set security advance-policy-based-routing profile p1 rule R2 match dscp 56 set security advance-policy-based-routing profile p1 rule R2 match dynamic-application junos:HTTP set security advance-policy-based-routing profile p1 rule R2 then routing-instance RI2 set security advance-policy-based-routing profile p1 rule R3 match dscp 46 set security advance-policy-based-routing profile p1 rule R3 then routing-instance RI3 set security zones security-zone trust advance-policy-based-routing-profile p1 set security zones security-zone trust advance-policy-based-routing-profile p1
手順
DSCPと動的アプリケーションを一致条件とするAPBRルールを設定します。
セキュリティ ゾーンとインターフェイスを定義します。
[edit]
user@host#set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24user@host#set interfaces ge-0/0/2 unit 0 family inet address 192.0.3.1/24user@host#set interfaces ge-0/0/3 unit 0 family inet address 192.0.4.1/24user@host#set security zones security-zone untrust host-inbound-traffic system-services alluser@host#set security zones security-zone untrust host-inbound-traffic protocols alluser@host#set security zones security-zone untrust interfaces ge-0/0/1.0user@host#set security zones security-zone untrust interfaces ge-0/0/2.0user@host#set security zones security-zone untrust interfaces ge-0/0/3.0クライアント デバイスに接続するイングレス インターフェイスのインターフェイスとセキュリティ ゾーンを定義します。
[edit]
user@host#set security zones security-zone trust host-inbound-traffic system-services alluser@host#set security zones security-zone trust host-inbound-traffic protocols alluser@host#set security zones security-zone trust interfaces ge-0/0/0.0user@host#set interfaces ge-0/0/0 unit 0 family inet address 4.0.0.1/24ルーティングインスタンスを設定します。
[edit]
user@host#set routing-instances RI1 instance-type forwardinguser@host#set routing-instances RI1 routing-options static route 192.0.0.0/16 next-hop 192.0.2.254user@host#set routing-instances RI2 instance-type forwardinguser@host#set routing-instances RI2 routing-options static route 192.0.0.0/16 next-hop 192.0.3.254user@host#set routing-instances RI3 instance-type forwardinguser@host#set routing-instances RI3 routing-options static route 192.0.0.0/16 next-hop 192.0.4.2541つ以上のルーティングテーブルをグループ化してapbr-groupと呼ばれるRIBグループを形成し、ルーティングテーブルにルートをインポートします。
[edit]
user@host#set routing-options rib-groups apbr-group import-rib inet.0user@host#set routing-options rib-groups apbr-group import-rib RI1.inet.0user@host#set routing-options rib-groups apbr-group import-rib RI2.inet.0user@host#set routing-options rib-groups apbr-group import-rib RI3.inet.0user@host#set routing-options interface-routes rib-group inet apbr-group動的アプリケーション HTTP を一致条件とする APBR ルールを定義します。
[edit]
user@host#set security advance-policy-based-routing profile p1 rule R1 match dynamic-application junos:HTTPuser@host#set security advance-policy-based-routing profile p1 rule R1 then routing-instance RI1APBRは、HTTPアプリケーションに一致するトラフィックをルーティングインスタンスRI1にルーティングします。
DSCP および HTTP アプリケーション用の別のルールを作成します。
[edit]
user@host#set security advance-policy-based-routing profile p1 rule R2 match dscp 56user@host#set security advance-policy-based-routing profile p1 rule R2 match dynamic-application junos:HTTPuser@host#set security advance-policy-based-routing profile p1 rule R2 then routing-instance RI2APBR は、DSCP 値 56 に一致するトラフィックをルーティング インスタンス RI2 にルーティングします。
DSCP 値 46 のルールをもう 1 つ定義します。
[edit]
user@host#set security advance-policy-based-routing profile p1 rule R3 match dscp 46user@host#set security advance-policy-based-routing profile p1 rule R3 then routing-instance RI3user@host#set security zones security-zone trust advance-policy-based-routing-profile p1APBR は、DSCP 値 46 に一致するトラフィックをルーティング インスタンス RI3 にルーティングします。
APBR プロファイルをセキュリティ ゾーンに適用します。
[edit]
user@host#set security zones security-zone trust advance-policy-based-routing-profile p1
結果
コンフィギュレーションモードから、、show routing-instancesshow security zones、およびの各show security advance-policy-based-routingコマ ンドを入力し 、コンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]user@host#show interfaces ge-0/0/0 { unit 0 { family inet { address 4.0.0.1/24; } } } ge-0/0/1 { unit 0 { family inet { address 192.0.2.1/24; } } } ge-0/0/2 { unit 0 { family inet { address 192.0.3.1/24; } } } ge-0/0/3 { unit 0 { family inet { address 192.0.4.1/24; } } }
[edit]user@host#show routing-instances RI1 { instance-type forwarding; routing-options { static { route 192.0.0.0/16 next-hop 192.0.2.254; } } } RI2 { instance-type forwarding; routing-options { static { route 192.0.0.0/16 next-hop 192.0.3.254; } } } RI3 { instance-type forwarding; routing-options { static { route 192.0.0.0/16 next-hop 192.0.4.254; } } }
[edit]user@host#show security advance-policy-based-routing profile p1 { rule R1 { match { dynamic-application junos:HTTP; } then { routing-instance RI1; } } rule R2 { match { dynamic-application junos:HTTP; dscp 56; } then { routing-instance RI2; } } rule R3 { match { dscp 46; } then { routing-instance RI3; } } }
[edit]user@host#show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; ge-0/0/2.0; ge-0/0/3.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/0.0; } advance-policy-based-routing-profile { p1; } }
設定が完了したら、設定モードから を入力します commit 。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
Junos OSリリース19.3R1以降を搭載したSRXシリーズファイアウォール。この設定例は、Junos OS Release 19.3R1でテストされています。
サポートされているすべてのSRXシリーズファイアウォール。
SRXシリーズファイアウォールにインストールされている有効なアプリケーション識別機能ライセンス。
概要
この例では、HTTP トラフィックと DSCP 値 56 および DSCP 値 46 でタグ付けされたトラフィックを、それぞれサイト 1、サイト 2、およびサイト 3 の特定のデバイスまたはインターフェイスに転送します。セキュリティ デバイスは、APBR 機能を使用して、アプリケーションまたは DSCP 値に基づいてトラフィックを優先ルートに転送します。
トラフィックがtrustゾーンに到着すると、APBRはトラフィックを構成済みのAPBRプロファイルルールと照合します。トラフィックがルールに一致する場合、APBRはAPBRルールで定義された特定の宛先にトラフィックを転送します。
例えば、APBRを設定して、以下に指定するアプリケーションの種類に基づいて、トラフィックを異なる宛先にルーティングします。
ルール 1 - ネクストホップ アドレス 192.0.2.254 を使用して、クライアント 1 からサイト 1 に HTTP トラフィックを転送します。
ルール 2:ネクストホップ デバイス 192.0.3.254 を使用して、DSCP 値 56 と HTTP アプリケーションのトラフィックをサイト 2 に転送します。
ルール 3 - ネクストホップ デバイス 192.0.4.254 を使用して、DSCP 値 46 のトラフィックをサイト 3 に転送します。
図 4 に、この例で使用するトポロジを示します。
のトポロジー
表 6 に、この例で使用されるパラメーターの詳細を示します。
パラメーター |
値 |
関連パラメーター |
説明 |
|---|---|---|---|
APBRプロファイル |
P1 |
APBR プロファイルの名前。 |
アプリケーションと DSCP 値を一致させるルールを使用してプロファイルを設定し、一致するトラフィックの宛先(例:ルーティング インスタンス)を指定します。 |
RIB グループ |
RI1.inet.0 |
関連付けられたルーティング インスタンス—RI1 |
inet.0、RI1.inet.0、RI2.inet.0、RI3.inet.0からインターフェイスルートエントリーをインポートするようにRIBグループを設定します。 |
RI1.inet.2 |
関連付けられたルーティング インスタンス—RI2 |
||
RI1.inet.3 |
関連付けられたルーティング インスタンス—RI3 |
||
ルーティングインスタンス |
RI1 |
|
ネクストホップIPアドレスを含むようにルーティングインスタンスを設定します。APBRは、静的ルート宛ての認定トラフィックを、サイト1、サイト2、およびサイト3のネクストホップデバイスアドレスに転送します。 |
RI2 |
|
||
RI3 |
|
||
APBRルール |
R1 |
|
APBR ルールを構成し、動的アプリケーション値または DSCP 値を一致条件として指定します。 APBRは、一致するトラフィックを関連するルーティングインスタンスに転送します。 |
R2 |
|
||
R3 |
|
検証
高度なポリシーベースルーティング統計の確認
目的
アプリケーション・ベースの経路指定で処理されたセッションの数、セッションに APBR が適用された回数などの APBR の統計を表示します。
アクション
設定モードから コマンド show security advance-policy-based-routing statistics を入力します。
user@host> show security advance-policy-based-routing statistics Advance Profile Based Routing statistics: Sessions Processed 0 App rule hit on cache hit 0 App rule hit on HTTP Proxy/ALG 0 URL cat rule hit on cache hit 0 DSCP rule hit on first packet 0 App and DSCP hit on first packet 0 App rule hit midstream 0 URL cat rule hit midstream 0 App and DSCP rule hit midstream 0 DSCP rule hit midstream 0 Route changed on cache hits 0 Route changed on HTTP Proxy/ALG 0 Route changed midstream 0 Zone mismatch 0 Drop on zone mismatch 0 Next hop not found 0 Application services bypass 0
意味
コマンド出力は、以下の詳細を表示します。
アプリケーションベースのルーティングで処理されたセッション。
アプリケーション トラフィックまたは DSCP タグ付きトラフィックが APBR プロファイルと一致する回数。
ミッドストリームでトラフィックが異なるルートに切り替えられた回数。
高度なポリシーベースルーティングセッションの検証
目的
特定のセッションに関する詳細情報を含む、デバイスでアクティブなセッションおよびパケットフローに関する情報を表示します。
アクション
設定モードから、 コマンドを入力して show security flow session 、デバイス上で現在アクティブなすべてのセキュリティ セッションに関する情報を表示します。
意味
コマンド出力は、以下の詳細を表示します。
デバイス上のすべてのアクティブなセッションとパケットフロー。
サービスを含む、受信および送信 IP フローのリスト。
フローに関連付けられたセキュリティ属性(例えば、そのフローに属するトラフィックに適用されるポリシーなど)。
セッションタイムアウト値、セッションがアクティブになった日時、セッションがアクティブであった時間、およびセッションにアクティブなトラフィックがあるかどうか。
特定のAPBRルールのAPBRミッドストリームルーティングを無効にする
ミッドストリームルーティングを選択的に無効にする必要があるのはなぜですか?
一部のセッションは、アプリケーション シグネチャによってアプリケーションを識別するため、セッションの途中で連続的に分類されます。アプリケーションがアプリケーション・シグニチャーによって識別されるたびに、APBR が適用され、これによりトラフィックの経路が変更されます。オプションを使用して max-route-change 、セッションのルートを変更できる回数を制限できます。このオプションを 0 に設定すると、特定のセッションで APBR が無効になります。ただし、このオプションでは、デバイスでAPBR機能がグローバルに無効になりますが、これは必要ない場合があります。
ミッドストリームでのAPBRの選択的無効化
Junos OS リリース 19.4R1 以降、特定の APBR ルールのセッションの途中で APBR サービスを選択的にオフにし、残りのセッションではグローバル APBR 機能を維持できるようになりました。特定のAPBRルールのミッドストリームルーティングを無効にすると、システムは対応するアプリケーショントラフィックにミッドストリームAPBRを適用せず、非APBRルートを介してトラフィックをルーティングします。
ミッドストリームAPBRを選択的に無効にするには、[]階層レベルでミッドストリームルーティングを無効にするオプション(disable-midstream-routing)edit security advance-policy-based-routing profile apbr-profile-name rule apbr-rule-nameを使用してAPBRルールを構成できます。
表 7 は、ミッドストリーム APBR を選択的に無効にした場合の動作を示しています。
トラフィック タイプ |
トラフィックがAPBRルールに一致 |
結果 |
|---|---|---|
新しいセッション (セッションのキャッシュ エントリが存在しない場合) |
オプション付き |
セッションはデフォルトルートを使用します。 |
|
||
オプションなし |
ミッドストリームAPBRの適用 |
|
最後のアプリケーションが識別されるまで、またはオプションで定義 |
||
確立されたセッション (セッションのキャッシュ エントリが存在する場合) |
オプション付き |
APBRを適用します。 |
以降のセッションのためにAPBRを解除します。つまり、キャッシュヒット後にセッションでさらにアプリケーションが識別されたとしても、APBRは適用されません。 |
||
オプションなし |
APBRを適用します。 |
|
最後のアプリケーションが識別されるか、 |
特定のAPBRルールのミッドストリームルーティングを無効にすると、アプリケーショントラフィックはデフォルトの非APBRルートを介して再ルーティングされます。
ミッドストリームルーティングを無効にするオプションを使用して、特定のAPBRルールのAPBRを選択的に無効にする
特定のアプリケーションに対してAPBRルールをすでに構成していて、APBRミッドストリームルーティングを選択的に無効にする場合は、次のオプションを使用します。
user@host# set security advance-policy-based-routing profile apbr-profile-name rule apbr-rule-name disable-midstream-routing
例:
[edit security advance-policy-based-routing]user@host#show profile p1 { rule r1 { disable-midstream-routing; match { dynamic-application junos:YAHOO; } then { routing-instance RI1; } } } from-zone trust { policy policy-1 { match { source-address any; destination-address any; application any; } then { application-services { advance-policy-based-routing-profile profile-1; } } } }
show security advance-policy-based-routing statisticsコマンドを使用して、APBR ステータスを確認します。
Advance Profile Based Routing statistics: Sessions Processed 9 App rule hit on cache hit 0 App rule hit on HTTP Proxy/ALG 0 Midstream disabled rule hit on cache hit 2 URL cat rule hit on cache hit 0 DSCP rule hit on first packet 2 App and DSCP hit on first packet 0 App rule hit midstream 1 Default rule match 0 Midstream disabled rule hit midstream 1 URL cat rule hit midstream 0 App and DSCP rule hit midstream 0 DSCP rule hit midstream 0 Route changed on cache hits 2 Route changed on HTTP Proxy/ALG 0 Route changed midstream 0 Default rule applied 0 Zone mismatch 0 Drop on zone mismatch 0 Next hop not found 0 Application services bypass 0
このサンプル出力では、 フィールド Midstream disabled rule hit on cache hit および は、定義されたアプリケーションを持つルールが一致した後、セッションの途中でルートが変更されない回数、および Midstream disabled rule hit midstream 無効なミッドストリームを持つルールがアプリケーションシステムキャッシュ(ASC)に一致するエントリを持つ回数を示します。
APBRルールを介してトラフィックを転送するデフォルトのメカニズム
Junos OS 20.1R1リリース以降、APBRルールで動的アプリケーションの一致条件として「any」を設定できるようになりました。条件 "any" はワイルドカードとして機能し、任意の動的アプリケーションに適用されます。
例
user@hots#set security advance-policy-based-routing profile p1 rule R1 match dynamic-application anyuser@hots#set security advance-policy-based-routing profile p1 rule R1 then routing-instance RI1
APBRルールの他のパラメータに一致するアプリケーショントラフィックは、動的アプリケーションタイプに関係なくポリシーに一致します。
APBR ルールで動的アプリケーションのキーワードを使用する場合は any 、以下の点に注意してください。
APBR プロファイルでは、動的アプリケーションのキーワードを持つ
anyAPBR ルールを 1 つだけ構成できます。キーワードを使用して
anyDSCP および URL ベースのカテゴリを持つ同じ APBR ルールを構成することはサポートされていません。動的アプリケーションを として設定した
anyAPBRルールは、最初のパケット処理時にのみ適用されます。動的アプリケーションAS
anyおよび他の動的アプリケーションまたは動的アプリケーショングループと同じAPBRルールの構成はサポートされていません。
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。