Séquence de flux dans la branche SD-WAN de Prisma

• Prisma SD-WAN Branche ION.
• Versions prises en charge
• Séquence d’écoulement

Durée de vie d’un écoulement sur le dispositif ION SD-WAN prisma (branche)

SECTION 1 : APERÇU

Ce document technique détaille la durée de vie d’un écoulement à travers un dispositif ION SD-WAN de Prisma. Le parcours du paquet est divisé en plusieurs étapes, chacune impliquant des décisions et des actions spécifiques pour garantir une transmission efficace et sécurisée des paquets. Les étapes sont les suivantes :

1. Traitement des entrées
2. Décision sur
la demande 3. Détermination de la
politique QOS 4. Détermination de
la politique de chemin 5. Détermination de la
politique de sécurité 6. Politique de
performance 7. Sélection du
chemin 8. Traitement de sortie

SECTION 2 : TRAITEMENT DES ENTRÉES

Les paquets peuvent entrer dans le périphérique Prisma SD-WAN ION via plusieurs chemins :

• Direct Internet
• Tunnel de structure sécurisé
• Standard VPN
• L3 LAN Interface
• L3 WAN Interface

Lors de l’entrée dans le périphérique ION, un paquet subit plusieurs vérifications initiales et étapes d’analyse :

Vérification du cryptage

L’appareil détermine d’abord si le paquet reçu est chiffré. Si le chiffrement est détecté, l’appareil tente de déchiffrer le paquet pour poursuivre le traitement.

Analyse des paquets L2/L3/L4

Le paquet est analysé à plusieurs couches pour extraire les informations nécessaires :

• Couche 2 (Ethernet) : le paquet est analysé pour extraire les détails de la trame Ethernet.
• Couche 3 (IP) : le paquet est analysé pour obtenir des informations d’en-tête IP.
• Couche 4 (couche de transport, telle que TCP/UDP) : le paquet est analysé pour extraire des informations de couche de transport, telles que les numéros de port et le type de protocole.

Accessibilité du préfixe L3

L'appareil vérifie l'accessibilité de la destination du paquet à l'aide des informations de préfixe de couche 3. Cette étape permet de s’assurer que la destination est accessible dans la topologie du réseau.

Contrôle du débit
L’appareil vérifie s’il existe déjà un flux pour ce paquet. Cela implique de rechercher la table de flux pour déterminer si le paquet fait partie d’un flux existant.

SECTION 3 : ÉTAPE DE DÉTECTION DE L’APPLICATION

Dans la continuité de l’étape de traitement d’entrée, l’étape de détection d’application détermine le type d’application associé au flux. Cette étape gère à la fois les nouveaux flux et les flux continus pour garantir une identification précise de l’application.

Détection de débit

Si le flux n’est pas détecté lors des vérifications initiales, il est directement introduit dans le module de détection de l’application. Si le flux est détecté, l’appareil vérifie s’il fait partie de la détection continue de l’application. Au cours des premiers paquets, une détection continue des applications est effectuée pour identifier les nouvelles applications en fonction des données du paquet.

Détection continue des applications

Si le flux est éligible à la détection continue des applications, il est introduit dans le module de détection des applications. Si le flux ne fait pas partie de la détection continue de l’application, l’appareil vérifie si le nouveau paquet qu’il a reçu se trouve sur le même chemin que le paquet précédent.

• Même chemin d’accès : si le nouveau paquet se trouve sur le même chemin, le flux est directement introduit dans l’étape de stratégie de performance.
• Asymétrie de chemin : si le nouveau paquet se trouve sur un chemin différent, l’appareil détecte l’asymétrie de chemin, met à jour l’enregistrement de flux avec les informations de nouveau chemin, puis alimente le flux dans l’étape de pare-feu basé sur une zone.

Module de détection d’applications

Pour les nouveaux flux et les flux éligibles à la détection continue des applications, les paquets sont introduits dans le module de détection des applications. L’ordre de préséance pour la décision sur la demande est le suivant :

• Applications personnalisées L3 + L4 : applications personnalisées définies à l’aide d’informations de couche 3 et de couche 4.
• Applications personnalisées L7 : applications personnalisées définies à l’aide d’informations de couche 7.
• Applications système L7 : applications définies par le système à l’aide d’informations de couche 7.
• Applications système L3 + L4 : applications définies par le système à l’aide d’informations de couche 3 et de couche 4.
• Applications système L4 : applications définies par le système à l’aide d’informations de couche 4.

Une fois l’application identifiée, ces informations sont introduites dans l’étape de politique de qualité de service.

SECTION 4 : ÉTAPE DE LA POLITIQUE QOS

Après l’étape de détection de l’application, le processus passe à l’étape de stratégie QoS. À ce stade, les informations d’application détectées, ainsi que le préfixe source, le préfixe de destination, le contexte réseau, l’ID utilisateur et les informations d’ID de groupe, sont utilisées pour déterminer la stratégie QoS appropriée.

Correspondance des règles de stratégie QoS

Pour chaque flux entrant, une fois que le périphérique ION l’a classé comme une application spécifique, il recherche une règle de stratégie QoS correspondante :

• Stratégie QoS correspondante : si une règle QoS spécifique correspond à l’application identifiée, cette règle est appliquée à la file d’attente et à la hiérarchisation du flux.
• Aucune stratégie QoS correspondante : si aucune règle QoS spécifique ne correspond à l’application, la règle QoS par défaut est utilisée pour mettre en file d’attente et hiérarchiser le flux.

Gestion des applications par défaut

Pour un nouveau flux entrant, lorsque le premier paquet est reçu, si le périphérique ION n’est pas en mesure de le classer en tant qu’application particulière, il est initialement classé comme l’application par défaut. La règle QoS par défaut est ensuite appliquée à ce flux.

Mise en file d’attente basée sur la classification de l’application

Au fur et à mesure que les paquets suivants du flux sont reçus, le dispositif ION continue de les analyser. Une fois que le flux est correctement classé en tant qu’application particulière, il est remis en file d’attente en fonction de la règle de stratégie QoS correspondante pour cette application.

En effectuant ces étapes, le dispositif Prisma SD-WAN ION s’assure que chaque flux est mis en file d’attente et hiérarchisé en fonction des politiques de qualité de service appropriées, optimisant ainsi les performances du réseau et l’allocation des ressources.

SECTION 5 : ÉTAPE DE LA POLITIQUE DE SILLON

Dans l’étape de stratégie de chemin, le périphérique ION détermine le chemin optimal pour le flux à l’aide de la stratégie de réseau empilé. Cette décision est basée sur l’application identifiée à l’étape précédente et sur d’autres champs tels que le contexte réseau, l’adresse IP source, l’adresse IP de destination et l’ID utilisateur/groupe.

Détermination de la politique de chemin d’accès

Le périphérique ION effectue une correspondance la plus longue dans l’ordre croissant pour déterminer la politique de chemin, à l’aide des critères suivants :

• Application identifiée
• Contexte réseau
• Préfixe source
• Préfixe de destination
• ID d’utilisateur/de groupe

Filtrage des chemins d’accès en fonction de l’état

Un module supplémentaire évalue l’état de tous les chemins disponibles sur l’appareil. Ce module vérifie :

• État physique : indique si les chemins de calque sous-jacent et de superposition sont vers le haut ou vers le bas.
• Accessibilité de couche 3 : accessibilité L3 sur les chemins de sous-couche et de superposition.
   

Les chemins d’accès indisponibles sont élagués en fonction de leur état et les informations de chemin disponibles sont envoyées au module de politique de chemin.

Filtrage des chemins basé sur la politique de chemin

Dans le module Politique de chemin d’accès :

• La règle de stratégie est déterminée en fonction de l’application et d’autres champs pertinents.
• Les chemins d’accès spécifiés dans cette règle de stratégie sont élagués en fonction des informations sur les chemins disponibles reçues du module État du chemin d’accès (filtrage de chemin basé sur l’état).
   

La liste filtrée des chemins d’accès est ensuite envoyée à l’étape suivante du processus.

SECTION 6 : ÉTAPE DE LA POLITIQUE DE SÉCURITÉ

À l’étape de stratégie de sécurité, le périphérique ION applique des stratégies de sécurité aux chemins filtrés de l’étape précédente. Cela permet de s’assurer que seuls les chemins sécurisés sont pris en compte pour le traitement ultérieur.

Évaluation de la politique de sécurité

Les chemins filtrés sont introduits dans le module Zone-Based Firewall, où les politiques de sécurité sont évaluées pour tous les chemins possibles. Le périphérique ION effectue une correspondance la plus longue dans l’ordre croissant pour déterminer la règle de stratégie de sécurité, à l’aide des critères suivants

• Application identifiée
• Contexte réseau
• Préfixe source
• Préfixe de destination
• ID d’utilisateur/de groupe

Le processus implique :

• Correspondance des règles de stratégie : l’appareil vérifie si l’une des règles, dans l’ordre croissant, correspond à la politique AUTRUIT. Si une correspondance est trouvée, le flux passe à l’étape suivante. Si aucune correspondance n’est trouvée, le flux est refusé ou rejeté en fonction de la règle mise en correspondance.
• Élagage des chemins : les chemins non autorisés par la politique de sécurité sont élagués

Gestion de l’asymétrie de trajectoire

Pour les flux existants, si des stratégies de sécurité sont configurées et si un paquet de la direction WAN vers LAN arrive sur un chemin différent du chemin d’origine en raison d’une asymétrie, le flux est réévalué à l’aide des stratégies de pare-feu basé sur les zones. L’action appropriée est ensuite prise en fonction de la règle de sécurité correspondante.

SECTION 7 : ÉTAPE DE SÉLECTION DU CHEMIN

Dans l’étape de sélection de chemin, tous les chemins filtrés de l’étape précédente sont affinés pour sélectionner le chemin optimal pour le flux. Cette étape implique plusieurs étapes de filtrage, appliquées dans un ordre spécifique :

Surveillance de la qualité des liaisons (LQM)

La première étape consiste à évaluer la qualité des liens vers le haut-fonds. Les chemins d’accès sont filtrés en fonction des SLA de l’application par défaut (multimédia ou non multimédia) définis dans la stratégie de performances par défaut. Les chemins qui dépassent les seuils par défaut pour la latence (ms), la perte de paquets (%) et la gigue (ms) sont exclus.

Accessibilité de l’application

Ensuite, les chemins d’accès sont filtrés en fonction de l’accessibilité de l’application. Tout chemin d’accès où l’application n’est pas accessible est ignoré.

Itinéraire de préfixe de destination spécifique

Les chemins sont ensuite évalués pour l’itinéraire du préfixe de destination le plus spécifique. Les chemins d’accès avec des préfixes de destination plus spécifiques sont sélectionnés, et ceux avec des préfixes moins spécifiques sont filtrés.

Affinité du chemin d’accès à la session d’application

L’affinité de chemin d’accès à la session d’application est vérifiée dans les chemins d’accès restants. Si un chemin a une affinité de chemin stricte, il est sélectionné.

Politique de performance des applications

Si une règle de stratégie de performance d’application spécifique est configurée pour l’application identifiée, elle est appliquée ensuite. Les chemins d’accès sont filtrés en fonction des SLA définis pour la latence (ms), la perte de paquets (%), la gigue (ms), le taux d’échec de l’initialisation (%) et le RTT (ms). Les chemins qui ne respectent pas ces SLA sont exclus.

Sélection de chemin basée sur la bande passante

Enfin, s’il reste plus d’un chemin, la sélection est effectuée en fonction de la bande passante disponible. Le chemin avec la meilleure bande passante disponible à ce moment est choisi comme le meilleur chemin.

Remarque : Dans le cadre de la stratégie de chemin, il existe une option permettant de sélectionner des chemins d’échec L3. Si les chemins actif et de secours rencontrent des problèmes d’accessibilité L3, l’appareil choisit les chemins définis sous Chemins d’échec L3. Si les chemins d’échec L3 ne sont pas disponibles ou ne sont pas définis, en dernier recours, l’un des chemins actifs sera sélectionné.

En suivant ces étapes, le dispositif Prisma SD-WAN ION s’assure que le chemin le plus optimal est sélectionné pour chaque flux, en tenant compte de divers critères de performance et de politique pour obtenir les meilleures performances et la meilleure fiabilité réseau possibles.

SECTION 8 : ÉTAPE DU TRAITEMENT DE SORTIE

La dernière étape du parcours d’un paquet à travers le dispositif Prisma SD-WAN ION est l’étape de traitement de sortie. Cette étape permet de s’assurer que le paquet est correctement préparé et transmis à sa prochaine destination. Les étapes impliquées sont:

Réécriture requise

Au cours de cette étape, le périphérique effectue toutes les réécritures nécessaires dans les en-têtes de paquets. Cela inclut :

• Mise en file d’attente de la QoS de sortie (flux LAN vers WAN) : Détermination de la mise en file d’attente du paquet dans la file d’attente QoS de sortie pour la hiérarchisation et la limitation du débit.
• Fragmentation IP : le cas échéant, le paquet est fragmenté pour s’adapter à la MTU du chemin de sortie.

Configuration de la transmission

Le paquet est préparé pour la transmission. Il s'agit de :

• Chiffrement : si le paquet doit être envoyé via un tunnel, l’appareil chiffre le paquet pour assurer une transmission sécurisée.

Transfert

Le paquet est ensuite transmis au saut suivant, achevant son voyage à travers le dispositif ION. Il s'agit de :

• Transfert du tronçon suivant : le paquet est transmis au périphérique réseau ou à la destination suivante le long du chemin déterminé.

En suivant ces étapes, le dispositif Prisma SD-WAN ION s’assure que chaque paquet est traité, hiérarchisé, sécurisé et transmis efficacement, tout en maintenant des performances et une fiabilité optimales du réseau.