Prisma SD-WAN 分支中的流序列

• Prisma SD-WAN 分支 ION。
• 支持的版本
• 流向顺序

Prisma SD-WAN ION 设备（分支）上的流量寿命

第 1 部分：概述

本技术白皮书详细介绍了流经 Prisma SD-WAN ION 设备的流量寿命。 数据包的旅程分为几个阶段，每个阶段都涉及特定的决策和行动，以确保高效和安全的数据包转发。 这些阶段是：

1. 入口处理 2.
申请决定
3. QOS 策略确定
4. 路径策略确定 5.
安全策略的确定 6.
绩效政策
7. 路径选择 8.
出口处理

第 2 部分：入口处理

数据包可以通过多条路径进入 Prisma SD-WAN ION 设备：

• 直连互联网
• 安全结构隧道
• 标准 VPN
• L3 LAN接口
• L3 WAN 接口

进入 ION 设备后，数据包会经历几个初始检查和解析步骤：

加密检查

设备首先确定接收到的数据包是否已加密。 如果检测到加密，设备将尝试解密数据包以继续进行进一步处理。

L2/L3/L4 数据包解析

数据包在多个层进行解析，以提取必要的信息：

• 第 2 层（以太网）：解析数据包以提取以太网帧详细信息。
• 第 3 层 （IP）：对数据包进行解析以获取 IP 报头信息。
• 第 4 层（传输层，例如 TCP/UDP）：对数据包进行解析以提取传输层信息，例如端口号和协议类型。

L3 前缀可达性

设备使用第 3 层前缀信息验证数据包目标的可达性。 此步骤可确保在网络拓扑中可以访问目标。

流量检查
设备检查此数据包的流是否已存在。 这涉及查找流表以确定数据包是否是现有流的一部分。

第 3 部分：应用程序检测阶段

从 Ingress Processing Stage 开始，Application Detection Stage 确定与流关联的应用程序类型。 此阶段处理新流和正在进行的流，以确保准确的应用程序标识。

流量检测

如果在初始检查期间未检测到流量，则将其直接馈入应用检测模块。 如果检测到流量，设备会检查流量是否是连续应用程序检测的一部分。 在最初的几个数据包中，将执行连续应用程序检测，以根据数据包数据识别任何新应用程序。

连续应用程序检测

如果流符合连续应用程序检测的条件，则将其馈送到应用程序检测模块中。 如果流不是连续应用程序检测的一部分，则设备会检查它收到的新数据包是否与前一个数据包位于同一路径上。

• 相同路径：如果新数据包位于同一路径上，则流将直接馈送到性能策略阶段。
• 路径不对称：如果新数据包位于不同的路径上，设备会检测路径不对称，使用新的路径信息更新流记录，然后将流馈送到基于区域的防火墙阶段。

应用检测模块

对于新的流和符合连续应用程序检测条件的流，数据包将馈送到应用程序检测模块中。 应用程序确定的优先顺序如下：

• L3 + L4 自定义应用程序：使用第 3 层和第 4 层信息定义的自定义应用程序。
• L7 自定义应用程序：使用第 7 层信息定义的自定义应用程序。
• L7 系统应用程序：使用第 7 层信息的系统定义应用程序。
• L3 + L4 系统应用：使用第 3 层和第 4 层信息的系统定义应用。
• L4 系统应用程序：使用第 4 层信息的系统定义应用程序。

一旦确定了应用程序，此信息就会被输入到 QoS 策略阶段。

第 4 部分：QOS 策略阶段

在应用程序检测阶段之后，该过程将进入 QoS 策略阶段。 在此阶段，检测到的应用程序信息以及源前缀、目标前缀、网络上下文、用户 ID 和组 ID 信息用于确定适当的 QoS 策略。

QoS 策略规则匹配

对于每个传入流，一旦 ION 设备将其分类为特定应用程序，它就会搜索匹配的 QoS 策略规则：

• 匹配 QoS 策略：如果特定 QoS 规则与标识的应用程序匹配，则该规则将应用于对流进行排队和优先级排序。
• 无匹配的 QoS 策略：如果没有特定的 QoS 规则与应用程序匹配，则使用默认 QoS 规则对流进行排队和优先级排序。

默认应用程序处理

对于新的传入流，当收到第一个数据包时，如果 ION 设备无法将其分类为特定应用程序，则最初将其归类为默认应用程序。 然后，默认 QoS 规则将应用于此流。

根据应用程序分类重新排队

当接收到流的后续数据包时，ION 设备会继续分析它们。 一旦流被准确分类为特定应用程序，流将根据该应用程序的匹配 QoS 策略规则重新排队。

通过执行这些步骤，Prisma SD-WAN ION 设备可确保每个流都根据适当的 QoS 策略进行排队和优先级排序，从而优化网络性能和资源分配。

第 5 部分：路径策略阶段

在路径策略阶段，ION设备使用堆叠网络策略确定流的最佳路径。 此决策基于上一阶段确定的应用程序以及其他字段，例如网络上下文、源 IP、目标 IP 和用户/组 ID。

路径策略确定

ION 设备使用以下条件执行升序最长匹配以确定路径策略：

• 已识别的应用程序
• 网络上下文
• 源前缀
• 目标前缀
• 用户/组 ID

基于状态的路径过滤

一个附加模块用于评估设备上所有可用路径的状态。 此模块检查：

• 物理状态：参考底图和覆盖层路径是向上还是向下。
• 第 3 层可达性：底层和覆盖路径上的 L3 可达性。
   

不可用的路径将根据其状态进行修剪，并将可用路径信息发送到路径策略模块。

基于路径策略的路径过滤

在“路径策略”模块中：

• 策略规则是根据应用程序和其他相关字段确定的。
• 根据从路径状态模块接收的可用路径信息（基于状态的路径筛选），将进一步修剪该策略规则中指定的路径。
   

然后，过滤后的路径列表将发送到该过程的下一阶段。

第 6 部分：安全策略阶段

在安全策略阶段，ION 设备将安全策略应用于上一步中过滤的路径。 这样可以确保仅考虑安全路径进行进一步处理。

安全策略评估

过滤的路径被馈送到基于区域的防火墙模块中，在该模块中，将评估所有可能路径的安全策略。 ION 设备使用以下条件执行升序最长匹配，以确定安全策略规则

• 已识别的应用程序
• 网络上下文
• 源前缀
• 目标前缀
• 用户/组 ID

该过程包括：

• 策略规则匹配：设备按升序检查是否有任何规则与 ALLOW 策略匹配。 如果找到匹配项，则流程将继续进行到下一阶段。 如果未找到匹配项，则根据匹配的规则，将拒绝或拒绝流。
• 路径修剪：对安全策略不允许的路径进行修剪

处理路径不对称

对于现有流，如果配置了安全策略，并且如果从 WAN 到 LAN 方向的数据包由于不对称而到达与原始路径不同的路径，则将使用基于区域的防火墙策略重新评估流。 然后，根据匹配的安全规则采取适当的操作。

第 7 部分：路径选择阶段

在路径选择阶段，将进一步细化上一阶段的所有过滤路径，以选择流的最佳路径。 此阶段涉及多个过滤步骤，按特定顺序应用：

链路质量监控 （LQM）

第一步涉及评估链接的链接质量。 路径根据默认性能策略中定义的默认应用程序（媒体或非媒体）SLA 进行筛选。 超过延迟 （ms）、数据包丢失 （%） 和抖动 （ms） 默认阈值的路径将被排除在外。

应用程序可访问性

接下来，根据应用程序的可访问性筛选路径。 任何无法访问应用程序的路径都将被丢弃。

特定目标前缀路由

然后，针对最具体的目标前缀路由评估路径。 将选择具有更具体目标前缀的路径，并过滤掉具有较不具体前缀的路径。

应用程序会话路径关联性

检查其余路径的应用程序会话路径关联性。 如果任何路径具有严格的路径关联性，则会选择该路径。

应用程序性能策略

如果为已识别的应用程序配置了特定的应用程序性能策略规则，则接下来将应用该规则。 根据为延迟 （ms）、数据包丢失 （%）、抖动 （ms）、初始化失败率 （%） 和 RTT （ms） 定义的 SLA 筛选路径。 不符合这些 SLA 的路径将被排除在外。

基于带宽的路径选择

最后，如果还剩下多条路径，则根据可用带宽进行选择。 在那一刻具有最佳可用带宽的路径被选为单一最佳路径。

注意：在“路径策略”下，有一个选项可以选择 L3 故障路径。 如果活动路径和备份路径遇到 L3 可达性问题，设备将选择在 L3 故障路径下定义的路径。 如果 L3 故障路径不可用或未定义，作为最后的手段，将选择其中一个活动路径。

通过执行这些步骤，Prisma SD-WAN ION 设备可确保为每个流选择最佳路径，同时考虑各种性能和策略标准，以实现最佳的网络性能和可靠性。

第 8 部分：出口处理阶段

数据包通过 Prisma SD-WAN ION 设备的最后阶段是出口处理阶段。 此阶段确保数据包得到正确准备并传输到下一个目的地。 所涉及的步骤包括:

需要重写

在此步骤中，设备将对数据包标头执行任何必要的重写。 这包括:

• 出口 QoS 排队（LAN 到 WAN 流）：确定是否将数据包排队到出口 QoS 队列，以实现优先级和速率限制。
• IP 分段：如果适用，数据包将被分段以适应出口路径的 MTU。

传输设置

数据包已准备好进行传输。 这包括:

• 加密：如果需要通过隧道发送数据包，设备会对数据包进行加密，以确保安全传输。

转发

然后，数据包被转发到下一跳，完成其通过 ION 设备的旅程。 这包括:

• 下一跳转发：数据包沿着确定的路径传输到下一个网络设备或目的地。

通过执行这些步骤，Prisma SD-WAN ION 设备可确保每个数据包都得到高效处理、优先处理、保护和传输，从而保持最佳的网络性能和可靠性。