Ablaufsequenz in der Prisma SD-WAN-Filiale

• Prisma SD-WAN Zweigstelle ION.
• Unterstützte Versionen
• Ablauf

Lebensdauer einer Strömung auf dem Prisma SD-WAN ION-Baustein (Zweig)

ABSCHNITT 1: ÜBERBLICK

In diesem technischen Dokument wird die Lebensdauer einer Strömung durch ein Prisma SD-WAN ION-Gerät beschrieben. Die Reise des Pakets ist in mehrere Phasen unterteilt, die jeweils spezifische Entscheidungen und Maßnahmen beinhalten, um eine effiziente und sichere Paketweiterleitung zu gewährleisten. Die Phasen sind:

1. Verarbeitung des Eingangs
2. Verarbeitung Bestimmung der
Anwendung 3. Bestimmung der
QOS-Richtlinie 4. Bestimmung
der Pfadrichtlinie 5. Bestimmung der
Sicherheitsrichtlinie 6. Leistungspolitik
7. Pfadauswahl
8. Verarbeitung von Ausgängen

ABSCHNITT 2: EINGEHENDE VERARBEITUNG

Pakete können über mehrere Wege in das Prisma SD-WAN ION-Gerät gelangen:

• Direkte Internetverbindung
• Sicherer Fabric-Tunnel
• Standard-VPN
• L3 LAN-Schnittstelle
• L3-WAN-Schnittstelle

Beim Eintritt in das ION-Gerät durchläuft ein Paket mehrere erste Überprüfungen und Analyseschritte:

Prüfung der Verschlüsselung

Das Gerät ermittelt zunächst, ob das empfangene Paket verschlüsselt ist. Wenn eine Verschlüsselung erkannt wird, versucht das Gerät, das Paket zu entschlüsseln, um mit der weiteren Verarbeitung fortzufahren.

L2/L3/L4-Paket-Parsing

Das Paket wird auf mehreren Ebenen analysiert, um die notwendigen Informationen zu extrahieren:

• Layer 2 (Ethernet): Das Paket wird analysiert, um Ethernet-Frame-Details zu extrahieren.
• Layer 3 (IP): Das Paket wird analysiert, um IP-Header-Informationen zu erhalten.
• Schicht 4 (Transportschicht, z. B. TCP/UDP): Das Paket wird analysiert, um Informationen der Transportschicht wie Portnummern und Protokolltyp zu extrahieren.

Erreichbarkeit des L3-Präfix

Das Gerät überprüft die Erreichbarkeit des Paketziels anhand von Layer-3-Präfixinformationen. Dieser Schritt stellt sicher, dass das Ziel innerhalb der Netzwerk-Topologie erreichbar ist.

Durchfluss-Check
Das Gerät prüft, ob für dieses Paket bereits ein Flow vorhanden ist. Dazu müssen Sie in der Flow-Tabelle nachschlagen, um festzustellen, ob das Paket Teil eines vorhandenen Flusses ist.

ABSCHNITT 3: PHASE DER ANWENDUNGSERKENNUNG

Ausgehend von der Phase der Eingangsverarbeitung bestimmt die Anwendungserkennungsphase den Typ der Anwendung, die dem Fluss zugeordnet ist. In dieser Phase werden sowohl neue als auch laufende Flows verarbeitet, um eine genaue Anwendungsidentifikation zu gewährleisten.

Durchfluss-Erkennung

Wenn der Fluss bei den ersten Prüfungen nicht erkannt wird, wird er direkt in das Anwendungserkennungsmodul eingespeist. Wenn der Flow erkannt wird, prüft das Gerät, ob der Flow Teil der kontinuierlichen Anwendungserkennung ist. Während der ersten Pakete wird eine kontinuierliche Anwendungserkennung durchgeführt, um neue Anwendungen basierend auf den Paketdaten zu identifizieren.

Kontinuierliche Anwendungserkennung

Wenn der Flow für die kontinuierliche Anwendungserkennung geeignet ist, wird er in das Anwendungserkennungsmodul eingespeist. Wenn der Datenfluss nicht Teil der kontinuierlichen Anwendungserkennung ist, überprüft das Gerät, ob sich das neue Paket, das es empfangen hat, auf demselben Pfad wie das vorherige Paket befindet.

• Gleicher Pfad: Wenn sich das neue Paket auf demselben Pfad befindet, wird der Datenfluss direkt in die Leistungsrichtlinienphase eingespeist.
• Pfadasymmetrie: Wenn sich das neue Paket auf einem anderen Pfad befindet, erkennt das Gerät eine Pfadasymmetrie, aktualisiert den Flussdatensatz mit den neuen Pfadinformationen und leitet den Datenfluss dann in die zonenbasierte Firewall-Phase ein.

Modul zur Anwendungserkennung

Bei neuen Datenflüssen und Datenflüssen, die für die kontinuierliche Anwendungserkennung in Frage kommen, werden die Pakete in das Anwendungserkennungsmodul eingespeist. Die Rangfolge für die Anwendungsbestimmung ist wie folgt:

• Benutzerdefinierte L3 + L4-Apps: Benutzerdefinierte Anwendungen, die mithilfe von Layer-3- und Layer-4-Informationen definiert wurden.
• Benutzerdefinierte L7-Apps: Benutzerdefinierte Anwendungen, die anhand von Layer-7-Informationen definiert wurden.
• L7-Systemanwendungen: Systemdefinierte Anwendungen, die Layer-7-Informationen verwenden.
• L3 + L4 System Apps: Systemdefinierte Anwendungen, die Layer-3- und Layer-4-Informationen verwenden.
• L4-Systemanwendungen: Systemdefinierte Anwendungen, die Layer-4-Informationen verwenden.

Sobald die Anwendung identifiziert ist, werden diese Informationen in die QoS-Richtlinienphase eingespeist.

ABSCHNITT 4: PHASE DER QOS-RICHTLINIE

Nach der Phase der Anwendungserkennung geht der Prozess in die QoS-Richtlinienphase über. In dieser Phase werden die erkannten Anwendungsinformationen zusammen mit dem Quellpräfix, dem Zielpräfix, dem Netzwerkkontext, der Benutzer-ID und den Gruppen-ID-Informationen verwendet, um die geeignete QoS-Richtlinie zu bestimmen.

Abgleich von QoS-Richtlinienregeln

Sobald das ION-Gerät ihn als bestimmte Anwendung klassifiziert hat, sucht es für jeden eingehenden Datenfluss nach einer übereinstimmenden QoS-Richtlinienregel:

• Übereinstimmende QoS-Richtlinie: Wenn eine bestimmte QoS-Regel mit der identifizierten Anwendung übereinstimmt, wird diese Regel angewendet, um den Ablauf in die Warteschlange einzureihen und zu priorisieren.
• Keine übereinstimmende QoS-Richtlinie: Wenn keine bestimmte QoS-Regel mit der Anwendung übereinstimmt, wird die Standard-QoS-Regel verwendet, um den Flow in die Warteschlange einzureihen und zu priorisieren.

Standardmäßige Anwendungsbehandlung

Wenn das ION-Gerät beim Empfang des ersten Pakets nicht in der Lage ist, es als bestimmte Anwendung zu klassifizieren, wird es zunächst als Standardanwendung klassifiziert. Die Standard-QoS-Regel wird dann auf diesen Flow angewendet.

Erneutes Einreihen in die Warteschlange basierend auf der Anwendungsklassifizierung

Wenn nachfolgende Pakete des Datenflusses empfangen werden, setzt das ION-Gerät die Analyse fort. Sobald der Flow genau als bestimmte Anwendung klassifiziert wurde, wird der Flow basierend auf der entsprechenden QoS-Richtlinienregel für diese Anwendung erneut in die Warteschlange eingereiht.

Durch die Durchführung dieser Schritte stellt das Prisma SD-WAN ION-Gerät sicher, dass jeder Datenfluss in die Warteschlange eingereiht und gemäß den entsprechenden QoS-Richtlinien priorisiert wird, wodurch die Netzwerkleistung und die Ressourcenzuweisung optimiert werden.

ABSCHNITT 5: PHASE DER PFADRICHTLINIE

In der Phase "Pfadrichtlinie" bestimmt das ION-Gerät den optimalen Pfad für den Datenfluss mithilfe der gestapelten Netzwerkrichtlinie. Diese Entscheidung basiert auf der Anwendung, die in der vorherigen Phase identifiziert wurde, und anderen Feldern wie Netzwerkkontext, Quell-IP, Ziel-IP und Benutzer-/Gruppen-ID.

Bestimmung der Pfadrichtlinie

Das ION-Gerät führt eine längste Übereinstimmung in aufsteigender Reihenfolge durch, um die Pfadrichtlinie anhand der folgenden Kriterien zu bestimmen:

• Anwendung identifiziert
• Netzwerk-Kontext
• Quell-Präfix
• Ziel-Präfix
• Benutzer-/Gruppen-ID

Pfadfilterung basierend auf dem Status

Ein zusätzliches Modul wertet den Status aller verfügbaren Pfade auf dem Gerät aus. Dieses Modul überprüft:

• Physischer Status: Gibt an, ob die Pfade für die Unterlage und die Überlagerung aktiv oder ausgefallen sind.
• Layer-3-Erreichbarkeit: L3-Erreichbarkeit sowohl auf Underlay- als auch auf Overlay-Pfaden.
   

Nicht verfügbare Pfade werden basierend auf ihrem Status bereinigt, und die verfügbaren Pfadinformationen werden an das Pfadrichtlinienmodul gesendet.

Pfadfilterung basierend auf der Pfadrichtlinie

Gehen Sie im Modul Pfadrichtlinie wie folgt vor:

• Die Richtlinienregel wird auf der Grundlage der Anwendung und anderer relevanter Felder bestimmt.
• Die in dieser Richtlinienregel angegebenen Pfade werden basierend auf den verfügbaren Pfadinformationen, die vom Modul "Pfadstatus" empfangen wurden, weiter bereinigt (Pfadfilterung basierend auf dem Status).
   

Die gefilterte Liste der Pfade wird dann an die nächste Phase des Prozesses gesendet.

ABSCHNITT 6: PHASE DER SICHERHEITSPOLITIK

In der Phase "Sicherheitsrichtlinie" wendet das ION-Gerät Sicherheitsrichtlinien auf die gefilterten Pfade aus dem vorherigen Schritt an. Dadurch wird sichergestellt, dass nur sichere Pfade für die weitere Verarbeitung in Betracht gezogen werden.

Bewertung von Sicherheitsrichtlinien

Die gefilterten Pfade werden in das Modul Zone-Based Firewall eingespeist, wo die Sicherheitsrichtlinien für alle möglichen Pfade ausgewertet werden. Das ION-Gerät führt eine längste Übereinstimmung in aufsteigender Reihenfolge aus, um die Sicherheitsrichtlinienregel anhand der folgenden Kriterien zu bestimmen

• Anwendung identifiziert
• Netzwerk-Kontext
• Quell-Präfix
• Ziel-Präfix
• Benutzer-/Gruppen-ID

Der Prozess umfasst:

• Richtlinienregelabgleich: Das Gerät prüft, ob eine der Regeln in aufsteigender Reihenfolge mit der ALLOW-Richtlinie übereinstimmt. Wenn eine Übereinstimmung gefunden wird, wird der Ablauf mit der nächsten Phase fortgesetzt. Wenn keine Übereinstimmung gefunden wird, wird der Flow basierend auf der übereinstimmenden Regel entweder abgelehnt oder abgelehnt.
• Pfadbereinigung: Pfade, die von der Sicherheitsrichtlinie nicht zugelassen werden, werden bereinigt

Umgang mit Pfadasymmetrie

Wenn für vorhandene Datenflüsse Sicherheitsrichtlinien konfiguriert sind und ein Paket aus der WAN-zu-LAN-Richtung aufgrund von Asymmetrie auf einem anderen Pfad als dem ursprünglichen Pfad eingeht, wird der Datenfluss mithilfe der zonenbasierten Firewall-Richtlinien neu bewertet. Die entsprechende Aktion wird dann basierend auf der übereinstimmenden Sicherheitsregel ausgeführt.

ABSCHNITT 7: PHASE DER PFADAUSWAHL

In der Phase "Pfadauswahl" werden alle gefilterten Pfade aus der vorherigen Phase weiter verfeinert, um den optimalen Pfad für den Fluss auszuwählen. Diese Phase umfasst mehrere Filterschritte, die in einer bestimmten Reihenfolge angewendet werden:

Überwachung der Link-Qualität (LQM)

Der erste Schritt besteht darin, die Linkqualität der Links zu bewerten. Die Pfade werden basierend auf den SLAs für die Standardanwendung (Medien oder Nicht-Medien) gefiltert, die in der Standardleistungsrichtlinie definiert sind. Pfade, die die Standardschwellenwerte für Latenz (ms), Paketverlust (%) und Jitter (ms) überschreiten, werden ausgeschlossen.

Erreichbarkeit der Anwendung

Als Nächstes werden die Pfade basierend auf der Erreichbarkeit der Anwendung gefiltert. Jeder Pfad, bei dem die Anwendung nicht erreichbar ist, wird verworfen.

Spezifische Zielpräfix-Route

Die Pfade werden dann für die spezifischste Zielpräfixroute ausgewertet. Pfade mit spezifischeren Zielpräfixen werden ausgewählt, und Pfade mit weniger spezifischen Präfixen werden herausgefiltert.

Affinität zum Anwendungssitzungspfad

Die verbleibenden Pfade werden auf die Affinität zum Anwendungssitzungspfad überprüft. Wenn ein Pfad eine strikte Pfadaffinität aufweist, wird er ausgewählt.

Richtlinie zur Anwendungsleistung

Wenn für die identifizierte Anwendung eine bestimmte Richtlinienregel für die Anwendungsleistung konfiguriert ist, wird sie als Nächstes angewendet. Die Pfade werden basierend auf den SLAs gefiltert, die für Latenz (ms), Paketverlust (%), Jitter (ms), Init-Fehlerrate (%) und RTT (ms) definiert sind. Pfade, die diese SLAs nicht erfüllen, werden ausgeschlossen.

Bandbreitenbasierte Pfadauswahl

Wenn mehr als ein Pfad verbleibt, wird die Auswahl basierend auf der verfügbaren Bandbreite getroffen. Der Pfad mit der besten verfügbaren Bandbreite zu diesem Zeitpunkt wird als der beste Pfad ausgewählt.

Hinweis: Unter der Pfadrichtlinie gibt es eine Option zur Auswahl von L3-Fehlerpfaden. Wenn bei den aktiven Pfaden und den Sicherungspfaden Probleme mit der L3-Erreichbarkeit auftreten, wählt das Gerät Pfade aus, die unter L3-Fehlerpfade definiert sind. Wenn L3-Fehlerpfade nicht verfügbar oder nicht definiert sind, wird als letzter Ausweg einer der aktiven Pfade ausgewählt.

Durch das Befolgen dieser Schritte stellt das Prisma SD-WAN ION-Gerät sicher, dass für jeden Datenfluss der optimalste Pfad ausgewählt wird, wobei verschiedene Leistungs- und Richtlinienkriterien berücksichtigt werden, um die bestmögliche Netzwerkleistung und -zuverlässigkeit zu erreichen.

ABSCHNITT 8: PHASE DER AUSGANGSVERARBEITUNG

Die letzte Phase auf dem Weg eines Pakets durch das Prisma SD-WAN ION-Gerät ist die Ausgangsverarbeitungsphase. In dieser Phase wird sichergestellt, dass das Paket ordnungsgemäß vorbereitet und an sein nächstes Ziel übertragen wird. Die Schritte sind:

Erforderliches Umschreiben

In diesem Schritt führt das Gerät alle erforderlichen Umschreibungen an den Paketheadern durch. Dazu gehören :

• Egress QoS Enqueue (LAN-zu-WAN-Fluss): Bestimmen, ob das Paket zur Priorisierung und Ratenbegrenzung in die Egress QoS-Warteschlange eingereiht werden soll.
• IP-Fragmentierung: Falls zutreffend, wird das Paket so fragmentiert, dass es der MTU des Ausgangspfads entspricht.

Einrichten von Übertragungen

Das Paket wird für die Übertragung vorbereitet. Dies beinhaltet:

• Verschlüsselung: Wenn das Paket durch einen Tunnel gesendet werden muss, verschlüsselt das Gerät das Paket, um eine sichere Übertragung zu gewährleisten.

Weiterleitung

Das Paket wird dann an den nächsten Hop weitergeleitet und schließt seine Reise durch das ION-Gerät ab. Dies beinhaltet:

• Next Hop Forwarding: Das Paket wird entlang des ermittelten Pfads an das nächste Netzwerkgerät oder Ziel übertragen.

Durch das Befolgen dieser Schritte stellt das Prisma SD-WAN ION-Gerät sicher, dass jedes Paket effizient verarbeitet, priorisiert, gesichert und übertragen wird, um eine optimale Netzwerkleistung und Zuverlässigkeit zu gewährleisten.