Secuencia de flujo en la rama Prisma SD-WAN

• Prisma SD-WAN Branch ION.
• Las versiones admitidas
• Secuencia de flujo

Vida útil de un flujo en el dispositivo PRISMA SD-WAN ION (rama)

SECCIÓN 1: DESCRIPCIÓN GENERAL

Este documento técnico detalla la vida útil de un flujo a través de un dispositivo Prisma SD-WAN ION. El viaje del paquete se divide en varias etapas, cada una de las cuales implica decisiones y acciones específicas para garantizar un reenvío de paquetes eficiente y seguro. Las etapas son:

1. Procesamiento de ingreso
2. Determinación de la
aplicación 3. Determinación
de la política de QOS 4. Determinación de la
política de ruta 5. Determinación de la
política de seguridad 6. Política de
rendimiento 7. Selección de
ruta 8. Procesamiento de salida

SECCIÓN 2: PROCESAMIENTO DE INGRESS

Los paquetes pueden ingresar al dispositivo Prisma SD-WAN ION a través de múltiples rutas:

• Internet directo
• Túnel de estructura seguro
• VPN estándar
• Interfaz LAN L3
• Interfaz WAN L3

Al entrar en el dispositivo ION, un paquete se somete a varias comprobaciones iniciales y pasos de análisis:

Comprobación de cifrado

El dispositivo determina primero si el paquete recibido está cifrado. Si se detecta cifrado, el dispositivo intenta descifrar el paquete para continuar con el procesamiento posterior.

Análisis de paquetes L2/L3/L4

El paquete se analiza en varias capas para extraer la información necesaria:

• Capa 2 (Ethernet): El paquete se analiza para extraer los detalles de la trama Ethernet.
• Capa 3 (IP): El paquete se analiza para obtener información del encabezado IP.
• Capa 4 (capa de transporte, como TCP/UDP): el paquete se analiza para extraer información de la capa de transporte, como los números de puerto y el tipo de protocolo.

Accesibilidad del prefijo L3

El dispositivo verifica la accesibilidad del destino del paquete mediante la información del prefijo de capa 3. Este paso garantiza que se pueda acceder al destino dentro de la topología de red.

Comprobación de caudal
El dispositivo comprueba si ya existe un flujo para este paquete. Esto implica buscar en la tabla de flujo para determinar si el paquete es parte de un flujo existente.

SECCIÓN 3: ETAPA DE DETECCIÓN DE APLICACIONES

Continuando con la etapa de procesamiento de ingreso, la etapa de detección de aplicaciones determina el tipo de aplicación asociada con el flujo. Esta etapa maneja tanto los flujos nuevos como los flujos en curso para garantizar una identificación precisa de la aplicación.

Detección de flujo

Si el flujo no se detecta durante las comprobaciones iniciales, se introduce directamente en el módulo de detección de aplicaciones. Si se detecta el flujo, el dispositivo comprueba si el flujo forma parte de la detección continua de aplicaciones. Durante los primeros paquetes, se realiza una detección continua de aplicaciones para identificar cualquier aplicación nueva en función de los datos del paquete.

Detección continua de aplicaciones

Si el flujo es elegible para la detección continua de aplicaciones, se introduce en el módulo de detección de aplicaciones. Si el flujo no forma parte de la detección continua de aplicaciones, el dispositivo comprueba si el nuevo paquete que recibió está en la misma ruta que el paquete anterior.

• Misma ruta: Si el nuevo paquete está en la misma ruta, el flujo se alimenta directamente a la etapa de política de rendimiento.
• Asimetría de ruta: Si el nuevo paquete está en una ruta diferente, el dispositivo detecta la asimetría de ruta, actualiza el registro de flujo con la información de la nueva ruta y, a continuación, alimenta el flujo a la etapa de firewall basada en zona.

Módulo de detección de aplicaciones

En el caso de los flujos nuevos y los flujos elegibles para la detección continua de aplicaciones, los paquetes se introducen en el módulo de detección de aplicaciones. El orden de precedencia para la determinación de la aplicación es el siguiente:

• Aplicaciones personalizadas L3 + L4: aplicaciones personalizadas definidas con información de capa 3 y capa 4.
• Aplicaciones personalizadas de L7: aplicaciones personalizadas definidas con información de capa 7.
• Aplicaciones del sistema L7: aplicaciones definidas por el sistema que utilizan información de capa 7.
• Aplicaciones del sistema L3 + L4: aplicaciones definidas por el sistema que utilizan información de capa 3 y capa 4.
• Aplicaciones del sistema L4: aplicaciones definidas por el sistema que utilizan información de capa 4.

Una vez identificada la aplicación, esta información se introduce en la etapa de política de QoS.

SECCIÓN 4: ETAPA DE LA POLÍTICA DE QOS

Después de la etapa de detección de aplicaciones, el proceso pasa a la etapa de política de QoS. En esta etapa, la información de la aplicación detectada, junto con el prefijo de origen, el prefijo de destino, el contexto de red, el ID de usuario y la información de ID de grupo, se utiliza para determinar la política de QoS adecuada.

Coincidencia de reglas de política de QoS

Para cada flujo entrante, una vez que el dispositivo ION lo clasifica como una aplicación específica, busca una regla de política de QoS coincidente:

• Política de QoS coincidente: si una regla de QoS específica coincide con la aplicación identificada, esa regla se aplica a la cola y prioriza el flujo.
• Política de QoS no coincidente: si no hay ninguna regla de QoS específica que coincida con la aplicación, se utiliza la regla de QoS predeterminada para poner en cola y priorizar el flujo.

Manejo de aplicaciones predeterminado

Para el nuevo flujo entrante, cuando se recibe el primer paquete, si el dispositivo ION no puede clasificarlo como una aplicación en particular, se clasifica inicialmente como la aplicación predeterminada. A continuación, se aplica la regla de QoS predeterminada a este flujo.

Volver a poner en cola en función de la clasificación de la aplicación

A medida que se reciben paquetes posteriores del flujo, el dispositivo ION continúa analizándolos. Una vez que el flujo se clasifica con precisión como una aplicación determinada, el flujo se vuelve a poner en cola en función de la regla de política de QoS correspondiente para esa aplicación.

Al realizar estos pasos, el dispositivo PRISMA SD-WAN ION garantiza que cada flujo se ponga en cola y se priorice de acuerdo con las políticas de QoS adecuadas, optimizando el rendimiento de la red y la asignación de recursos.

SECCIÓN 5: ETAPA DE LA POLÍTICA DE RUTA

En la etapa de política de ruta, el dispositivo ION determina la ruta óptima para el flujo mediante la política de red apilada. Esta decisión se basa en la aplicación identificada en la etapa anterior y otros campos como el contexto de red, la IP de origen, la IP de destino y el ID de usuario/grupo.

Determinación de la política de ruta

El dispositivo ION realiza una coincidencia más larga en orden ascendente para determinar la política de ruta, utilizando los siguientes criterios:

• Aplicación identificada
• Contexto de red
• Prefijo de origen
• Prefijo de destino
• ID de usuario/grupo

Filtrado de rutas en función del estado

Un módulo adicional evalúa el estado de todas las rutas disponibles en el dispositivo. Este módulo comprueba:

• Estado físico: si las rutas de calco subyacente y superposición están hacia arriba o hacia abajo.
• Accesibilidad de capa 3: accesibilidad L3 en rutas subyacentes y superpuestas.
   

Las rutas no disponibles se eliminan en función de su estado y la información de ruta disponible se envía al módulo Política de rutas.

Filtrado de rutas de acceso basado en la política de rutas de acceso

En el módulo Política de ruta:

• La regla de directiva se determina en función de la aplicación y otros campos relevantes.
• Las rutas especificadas en esa regla de política se recortan aún más en función de la información de rutas disponible recibida del módulo Estado de ruta (Filtrado de rutas basado en el estado).
   

A continuación, la lista filtrada de rutas se envía a la siguiente etapa del proceso.

SECCIÓN 6: ETAPA DE LA POLÍTICA DE SEGURIDAD

En la etapa de política de seguridad, el dispositivo ION aplica políticas de seguridad a las rutas filtradas del paso anterior. Esto garantiza que solo se tengan en cuenta las rutas seguras para el procesamiento posterior.

Evaluación de políticas de seguridad

Las rutas filtradas se introducen en el módulo de firewall basado en zonas, donde se evalúan las políticas de seguridad para todas las rutas posibles. El dispositivo ION realiza una coincidencia más larga en orden ascendente para determinar la regla de política de seguridad, utilizando los siguientes criterios

• Aplicación identificada
• Contexto de red
• Prefijo de origen
• Prefijo de destino
• ID de usuario/grupo

El proceso implica:

• Coincidencia de reglas de directiva: el dispositivo comprueba si alguna de las reglas, en orden ascendente, coincide con la política ALLOW. Si se encuentra una coincidencia, el flujo pasa a la siguiente etapa. Si no se encuentra ninguna coincidencia, el flujo se deniega o se rechaza en función de la regla coincidente.
• Poda de rutas: se eliminan las rutas no permitidas por la política de seguridad

Manejo de la asimetría de la ruta

Para los flujos existentes, si se configuran políticas de seguridad y si un paquete de la dirección de WAN a LAN llega a una ruta diferente a la ruta original debido a la asimetría, el flujo se vuelve a evaluar mediante las políticas de firewall basadas en zonas. A continuación, se realiza la acción adecuada en función de la regla de seguridad coincidente.

SECCIÓN 7: ETAPA DE SELECCIÓN DE RUTA

En la etapa de selección de ruta, todas las rutas filtradas de la etapa anterior se refinan aún más para seleccionar la ruta óptima para el flujo. Esta etapa implica varios pasos de filtrado, aplicados en un orden específico:

Monitoreo de calidad de enlaces (LQM)

El primer paso consiste en evaluar la calidad de los enlaces. Las rutas de acceso se filtran en función de los SLA de aplicación predeterminados (medios o no medios) que se definen en la política de rendimiento predeterminada. Se excluyen las rutas que superan los umbrales predeterminados de latencia (ms), pérdida de paquetes (%) y fluctuación (ms).

Accesibilidad de las aplicaciones

A continuación, las rutas se filtran en función de la accesibilidad de la aplicación. Se descarta cualquier ruta de acceso en la que no se pueda acceder a la aplicación.

Ruta de prefijo de destino específica

A continuación, se evalúan las rutas de acceso para la ruta de prefijo de destino más específica. Se seleccionan las rutas con prefijos de destino más específicos y se filtran las que tienen prefijos menos específicos.

Afinidad de ruta de sesión de aplicación

Las rutas de acceso restantes se comprueban para determinar la afinidad de la ruta de acceso de la sesión de la aplicación. Si alguna ruta tiene una afinidad de ruta estricta, se selecciona.

Política de rendimiento de aplicaciones

Si hay una regla de directiva de rendimiento de aplicación específica configurada para la aplicación identificada, se aplica a continuación. Las rutas se filtran en función de los SLA definidos para Latencia (ms), Pérdida de paquetes (%), Fluctuación (ms), Tasa de errores de inicialización (%) y RTT (ms). Se excluyen las rutas que no cumplan con estos SLA.

Selección de ruta basada en ancho de banda

Por último, si queda más de una ruta, la selección se realiza en función del ancho de banda disponible. La ruta con el mejor ancho de banda disponible en ese momento se elige como la mejor ruta.

Nota: En la política de rutas, hay una opción para seleccionar rutas de falla L3. Si las rutas activas y de respaldo encuentran problemas de accesibilidad L3, el dispositivo elegirá las rutas definidas en Rutas de falla L3. Si las rutas de falla L3 no están disponibles o no están definidas, como último recurso, se seleccionará una de las rutas activas.

Al seguir estos pasos, el dispositivo Prisma SD-WAN ION garantiza que se seleccione la ruta más óptima para cada flujo, teniendo en cuenta varios criterios de rendimiento y políticas para lograr el mejor rendimiento y confiabilidad de la red posibles.

SECCIÓN 8: ETAPA DE PROCESAMIENTO DE SALIDA

La etapa final en el viaje de un paquete a través del dispositivo Prisma SD-WAN ION es la etapa de procesamiento de salida. Esta etapa garantiza que el paquete se prepare correctamente y se transmita a su próximo destino. Los pasos involucrados son:

Reescritura requerida

En este paso, el dispositivo realiza las reescrituras necesarias en los encabezados de los paquetes. Esto incluye :

• Cola de QoS de salida (flujo de LAN a WAN): Determinar si se debe poner en cola el paquete en la cola de QoS de salida para la priorización y la limitación de velocidad.
• Fragmentación de IP: Si corresponde, el paquete se fragmenta para adaptarse a la MTU de la ruta de salida.

Configuración de transmisión

El paquete está preparado para la transmisión. Esto implica:

• Cifrado: Si el paquete debe enviarse a través de un túnel, el dispositivo cifra el paquete para garantizar una transmisión segura.

Expedición

A continuación, el paquete se reenvía al siguiente salto, completando su viaje a través del dispositivo ION. Esto implica:

• Reenvío de siguiente salto: El paquete se transmite al siguiente dispositivo de red o destino a lo largo de la ruta determinada.

Al seguir estos pasos, el dispositivo PRISMA SD-WAN ION garantiza que cada paquete se procese, priorice, asegure y transmita de manera eficiente, manteniendo un rendimiento y confiabilidad óptimos de la red.