Prisma SD-WANブランチのフローシーケンス

• Prisma SD-WAN ブランチ ION。
• サポートされるバージョン
• フローシーケンス

Prisma SD-WAN IONデバイス(ブランチ)のフローの寿命

セクション1:概要

このテクニカル ペーパーでは、Prisma SD-WAN ION デバイスを通過するフローの寿命について詳しく説明します。 パケットの旅はいくつかの段階に分かれており、それぞれに効率的で安全なパケット転送を確保するための特定の決定とアクションが含まれます。 ステージは次のとおりです。

1. イングレス処理
2. アプリケーション決定
3. QOS ポリシーの決定
4. パスポリシーの決定
5. セキュリティポリシーの決定
6. パフォーマンスポリシー
7. パス選択
8. エグレス処理

セクション 2: イングレス処理

パケットは、複数のパスを介してPrisma SD-WAN IONデバイスに入ることができます。

• ダイレクトインターネット
• セキュア ファブリック トンネル
• スタンダードVPN
• L3 LANインターフェイス
• L3 WAN インターフェイス

IONデバイスに入ると、パケットはいくつかの初期チェックと解析手順を経ます。

暗号化チェック

デバイスはまず、受信したパケットが暗号化されているかどうかを判断します。 暗号化が検出された場合、デバイスはパケットの復号化を試みて、さらなる処理を続行します。

L2/L3/L4 パケット解析

パケットは複数のレイヤーで解析され、必要な情報が抽出されます。

• レイヤー 2 (イーサネット): パケットが解析され、イーサネット フレームの詳細が抽出されます。
• レイヤー 3 (IP): パケットは解析されて IP ヘッダー情報を取得します。
• レイヤー 4 (TCP/UDP などのトランスポート層): パケットは解析されて、ポート番号やプロトコルの種類などのトランスポート層情報が抽出されます。

L3 プレフィックスの到達可能性

デバイスは、レイヤー 3 プレフィックス情報を使用して、パケットの宛先の到達可能性を確認します。 この手順により、宛先がネットワーク トポロジ内で到達可能になります。

フローチェック
デバイスは、このパケットのフローがすでに存在するかどうかを確認します。 これには、パケットが既存のフローの一部であるかどうかを判断するためのフローテーブルの検索が含まれます。

セクション 3: アプリケーション検出段階

イングレス処理ステージに引き続き、アプリケーション検出ステージは、フローに関連付けられたアプリケーションのタイプを決定します。 このステージでは、新しいフローと進行中のフローの両方を処理して、正確なアプリケーション識別を保証します。

フロー検出

初期チェックでフローが検出されなかった場合は、アプリケーション検出モジュールに直接供給されます。 フローが検出された場合、デバイスはフローが継続的なアプリケーション検出の一部であるかどうかを確認します。 最初の数パケットでは、パケットデータに基づいて新しいアプリケーションを識別するために、継続的なアプリケーション検出が実行されます。

継続的なアプリケーション検出

フローが継続的なアプリケーション検出に適している場合、フローはアプリケーション検出モジュールに供給されます。 フローが継続的なアプリケーション検出の一部でない場合、デバイスは受信した新しいパケットが前のパケットと同じパス上にあるかどうかを確認します。

• 同じパス: 新しいパケットが同じパス上にある場合、フローはパフォーマンス ポリシー ステージに直接供給されます。
• パスの非対称性:新しいパケットが異なるパス上にある場合、デバイスはパスの非対称性を検出し、フローレコードを新しいパス情報で更新し、フローをゾーンベースのファイアウォールステージにフィードします。

アプリケーション検出モジュール

新しいフローと継続的なアプリケーション検出の対象となるフローの場合、パケットはアプリケーション検出モジュールに供給されます。 アプリケーション決定の優先順位は、以下のとおりです。

• L3 + L4 カスタム アプリ: レイヤー 3 およびレイヤー 4 の情報を使用して定義されたカスタム アプリケーション。
• L7 Custom Apps: レイヤー 7 情報を使用して定義されたカスタムアプリケーション。
• L7 System Apps: レイヤー 7 情報を使用するシステム定義のアプリケーション。
• L3 + L4 システム アプリ: レイヤー 3 およびレイヤー 4 の情報を使用するシステム定義のアプリケーション。
• L4 System Apps: レイヤー 4 情報を使用するシステム定義のアプリケーション。

アプリケーションが特定されると、この情報は QoS ポリシー ステージに供給されます。

セクション 4: QOS ポリシー段階

アプリケーション検出ステージの後、プロセスは QoS ポリシー ステージに移行します。 この段階では、検出されたアプリケーション情報と、送信元プレフィックス、宛先プレフィックス、ネットワーク コンテキスト、ユーザ ID、およびグループ ID 情報を使用して、適切な QoS ポリシーが決定されます。

QoS ポリシー ルールの照合

受信フローごとに、IONデバイスはそれを特定のアプリケーションとして分類すると、一致するQoSポリシールールを検索します。

• [Matching QoS Policy]:特定の QoS ルールが識別されたアプリケーションと一致する場合、そのルールはフローのキューに適用され、優先順位が付けられます。
• 一致する QoS ポリシーなし: アプリケーションに一致する特定の QoS ルールがない場合、デフォルト QoS ルールを使用してフローをキューに入れ、優先順位を付けます。

デフォルトのアプリケーション処理

新しい着信フローの場合、最初のパケットが受信されたときに、IONデバイスがそれを特定のアプリケーションとして分類できない場合、最初はデフォルトアプリケーションとして分類されます。 その後、デフォルトの QoS ルールがこのフローに適用されます。

アプリケーション分類に基づく再キューイング

フローの後続のパケットが受信されると、IONデバイスはそれらの分析を続けます。 フローが特定のアプリケーションとして正確に分類されると、そのアプリケーションに一致する QoS ポリシー ルールに基づいてフローが再キューイングされます。

これらの手順を実行することにより、Prisma SD-WAN IONデバイスは、各フローが適切なQoSポリシーに従ってキューに入れられ、優先順位が付けられ、ネットワークパフォーマンスとリソース割り当てを最適化します。

セクション 5: パス ポリシーの段階

パスポリシーステージでは、IONデバイスはスタックネットワークポリシーを使用してフローの最適なパスを決定します。 この決定は、前の段階で特定されたアプリケーションと、ネットワーク コンテキスト、送信元 IP、宛先 IP、ユーザー/グループ ID などの他のフィールドに基づいています。

パスポリシーの決定

IONデバイスは、次の基準を使用してパスポリシーを決定するために、昇順の最長一致を実行します。

• アプリケーションを特定
• ネットワークコンテキスト
• 送信元プレフィックス(Source Prefix)
• 宛先プレフィックス(Destination Prefix)
• ユーザー/グループID

ステータスに基づくパスフィルタリング

追加のモジュールは、デバイス上で使用可能なすべてのパスのステータスを評価します。 このモジュールでは、次の点を確認します。

• 物理ステータス: アンダーレイ パスとオーバーレイ パスがアップかダウンか。
• レイヤ 3 到達可能性:アンダーレイ パスとオーバーレイ パスの両方での L3 到達可能性。
   

使用できないパスは、そのステータスに基づいてプルーニングされ、使用可能なパス情報は Path Policy モジュールに送信されます。

パスポリシーに基づくパスフィルタリング

パスポリシーモジュールで、次の操作を行います。

• ポリシー・ルールは、アプリケーションおよびその他の関連フィールドに基づいて決定されます。
• そのポリシールールで指定されたパスは、Path Statusモジュールから受信した使用可能なパス情報に基づいてさらに整理されます(ステータスに基づくパスフィルタリング)。
   

フィルタリングされたパスのリストは、プロセスの次のステージに送信されます。

セクション 6: セキュリティポリシーステージ

セキュリティポリシーステージでは、IONデバイスは、前のステップでフィルタリングされたパスにセキュリティポリシーを適用します。 これにより、セキュア・パスのみが後続の処理のために考慮されるようになります。

セキュリティポリシーの評価

フィルタリングされたパスはゾーンベースのファイアウォールモジュールに供給され、そこでセキュリティポリシーがすべての可能なパスについて評価されます。 IONデバイスは、次の基準を使用して、セキュリティポリシールールを決定するために昇順の最長一致を実行します

• アプリケーションを特定
• ネットワークコンテキスト
• 送信元プレフィックス(Source Prefix)
• 宛先プレフィックス(Destination Prefix)
• ユーザー/グループID

このプロセスには、次のものが含まれます。

• ポリシールールの一致:デバイスは、昇順でルールのいずれかがALLOWポリシーに一致するかどうかを確認します。 一致が見つかった場合、フローは次のステージに進みます。 一致するものが見つからない場合、フローは一致したルールに基づいて拒否または拒否されます。
• パス・プルーニング: セキュリティ・ポリシーで許可されていないパスはプルーニングされます

パスの非対称性の処理

既存のフローでは、セキュリティ ポリシーが設定されており、WAN から LAN 方向へのパケットが非対称性のために元のパスとは異なるパスに到着した場合、フローはゾーンベース ファイアウォール ポリシーを使用して再評価されます。 その後、一致したセキュリティ・ルールに基づいて適切なアクションが実行されます。

セクション 7: パス選択ステージ

パス選択ステージでは、前のステージでフィルタリングされたすべてのパスがさらに絞り込まれ、フローに最適なパスが選択されます。 このステージには、特定の順序で適用される複数のフィルタリング手順が含まれます。

リンク品質監視 (LQM)

最初のステップでは、リンクのリンク品質を評価します。 パスは、デフォルトのパフォーマンスポリシーで定義されているデフォルトのアプリケーション(メディアまたは非メディア)のSLAに基づいてフィルタリングされます。 [遅延 (ミリ秒)]、[パケット損失 (%)]、および [ジッター (ミリ秒)] のデフォルトのしきい値を超えるパスは除外されます。

アプリケーションの到達可能性

次に、アプリケーションの到達可能性に基づいてパスがフィルタリングされます。 アプリケーションに到達できないパスは破棄されます。

特定の宛先プレフィックス ルート

その後、パスは最も具体的な宛先プレフィックス ルートに対して評価されます。 宛先プレフィックスがより具体的であるパスが選択され、プレフィックスが具体的でないパスは除外されます。

アプリケーション・セッション・パス・アフィニティー

残りのパスは、アプリケーション・セッション・パス・アフィニティーについて検査されます。 厳密なパス アフィニティを持つパスがある場合は、そのパスが選択されます。

アプリケーションパフォーマンスポリシー

識別されたアプリケーションに対して特定のアプリケーションパフォーマンスポリシールールが設定されている場合は、次にそのルールが適用されます。 パスは、遅延 (ミリ秒)、パケット損失 (%)、ジッター (ミリ秒)、初期化失敗率 (%)、および RTT (ミリ秒) で定義された SLA に基づいてフィルタリングされます。 これらの SLA を満たさないパスは除外されます。

帯域幅ベースのパス選択

最後に、複数のパスが残っている場合は、使用可能な帯域幅に基づいて選択が行われます。 その時点で使用可能な帯域幅が最適なパスが、単一の最適なパスとして選択されます

注:[Path Policy]の下には、L3障害パスを選択するオプションがあります。 アクティブ パスとバックアップ パスで L3 の到達可能性の問題が発生した場合、デバイスは L3 障害パスで定義されたパスを選択します。 L3 障害パスが使用できない場合、または定義されていない場合は、最後の手段として、アクティブ パスの 1 つが選択されます。

これらの手順に従うことで、Prisma SD-WAN IONデバイスは、さまざまなパフォーマンスとポリシー基準を考慮して、各フローに最適なパスが選択され、可能な限り最高のネットワークパフォーマンスと信頼性を実現します。

セクション 8: エグレス処理ステージ

Prisma SD-WAN IONデバイスを通過するパケットの旅の最終段階は、出力処理段階です。 この段階では、パケットが適切に準備され、次の宛先に送信されるようになります。 関連する手順は次のとおりです。

必要な書き換え

この手順では、デバイスはパケット ヘッダーに対して必要な書き換えを実行します。 これは次のとおりです。

• エグレス QoS エンキュー (LAN から WAN へのフロー): 優先順位付けとレート制限のためにパケットをエグレス QoS キューにエンキューするかどうかを決定します。
• IP フラグメンテーション: 該当する場合、パケットはエグレス パスの MTU に合わせてフラグメント化されます。

送信セットアップ

パケットは送信用に準備されます。 これには、次のことが含まれます。

• 暗号化:パケットをトンネル経由で送信する必要がある場合、デバイスはパケットを暗号化して安全な送信を確保します。

転送

その後、パケットはネクストホップに転送され、IONデバイスを通過する移動が完了します。 これには、次のことが含まれます。

• ネクストホップフォワーディング:パケットは、決定されたパスに沿って次のネットワークデバイスまたは宛先に送信されます。

これらの手順に従うことで、Prisma SD-WAN IONデバイスは、各パケットが効率的に処理、優先順位付け、保護、および送信されることを保証し、最適なネットワークパフォーマンスと信頼性を維持します。