Enrutamiento basado en políticas

El enrutamiento basado en políticas dirige el tráfico de red según reglas de política que pueden considerar la fuente, la aplicación, la clase de usuario, los puertos o la clase de tráfico. Esto difiere del enrutamiento de red tradicional, donde la ruta seleccionada se basa en gran medida en la ruta más corta o preferida hacia el destino.

El enrutamiento basado en políticas se puede utilizar para lograr diversos objetivos, como mejorar el rendimiento y la fiabilidad o implementar segmentación. Estas decisiones pueden basarse en la identificación de aplicaciones, lo que permite un enrutamiento altamente granular por aplicación.

Aspectos Clave

• El enrutamiento basado en políticas dirige el tráfico utilizando criterios de reglas más allá del enrutamiento solo por destino.
• Los criterios a menudo incluyen la fuente, el destino, los puertos, el protocolo, DSCP y la identidad de la aplicación (cuando está disponible).
• Algunas plataformas combinan la intención de la política con la telemetría de ruta para soportar la dirección basada en SLA (por ejemplo: latencia, pérdida, jitter). Esto está relacionado con PBR pero no es necesario para el PBR clásico.
• El PBR comúnmente dirige clases de aplicaciones (por ejemplo: colaboración en tiempo real frente a transferencia masiva) a puntos de salida o transportes preferidos.
• Las políticas mal diseñadas pueden crear enrutamiento asimétrico, comportamiento de conmutación por error inestable y resultados difíciles de solucionar entre sitios.
• Los programas exitosos tratan la política de enrutamiento como lógica controlada por cambios con un orden de reglas claro, pruebas, observabilidad y reversión.

Enrutamiento basado en políticas

El enrutamiento basado en políticas permite a una organización controlar cómo se mueven ciertos tipos de tráfico a través de la red. Esto se logra definiendo políticas y reglas de red que especifican hacia dónde debe ir el tráfico en su próximo salto hacia su destino.

Estas reglas utilizan varios campos dentro de un paquete para hacer coincidir paquetes con políticas. Los campos de coincidencia comúnmente utilizados incluyen:

• Fuente/destino
• Puertos
• Protocol
• DSCP
• Categoría de aplicación

Basado en estos campos, el tráfico se asigna a una política, que puede especificar la próxima acción que debe tomar el tráfico. Las acciones comunes incluyen:

• Elegir el siguiente salto
• Elegir la interfaz o salida utilizada para salir de la red
• Elegir el túnel o protocolo de transporte
• Seleccionar una tabla de enrutamiento o VRF
• Preferir un camino con una opción de respaldo explícita (cuando sea compatible)

El enrutamiento basado en políticas se centra en dónde enrutar el tráfico, permitiendo que los cortafuegos o listas de control de acceso (ACL) implementen reglas de permitir/denegar. Las políticas a menudo se implementan como listas de reglas ordenadas – donde la primera coincidencia gana – para resolver conflictos cuando el tráfico coincide con múltiples reglas.

El enrutamiento basado en políticas no es un protocolo de enrutamiento como Protocolo de Puerta de Enlace Fronteriza (BGP) o Open Shortest Path First (OSPF). Tampoco puede solucionar mágicamente problemas de última milla, ya que solo define cómo el tráfico debe utilizar las rutas y el ancho de banda disponibles.

¿Por qué las organizaciones utilizan el enrutamiento basado en políticas?

El enrutamiento basado en políticas ofrece mayor granularidad y control que el enrutamiento tradicional basado en destinos. Las organizaciones pueden utilizarlo para lograr diversos resultados, incluyendo:

• Rendimiento mejorado para aplicaciones sensibles a la latencia
• Mayor resiliencia
• Segmentación determinista
• Control de costos

El enrutamiento de red tradicional adopta un enfoque de «talla única» para el enrutamiento, tratando el tráfico de voz/video, SaaS, copias de seguridad masivas y administrativo de la misma manera. Al definir políticas específicas para estos, las organizaciones pueden asegurarse de que el tráfico más importante y sensible sea tratado adecuadamente.

Sin embargo, definir e implementar políticas adicionales introduce complejidad y sobrecarga adicionales. La gobernanza y las pruebas son esenciales para garantizar que las políticas funcionen como se diseñaron y que el número de políticas no se descontrole.

¿Cómo funciona el enrutamiento basado en políticas?

El enrutamiento basado en políticas funciona a través de un proceso de múltiples etapas. Los pasos clave incluyen:

• Identificación y clasificación del tráfico
• Extracción de campos de coincidencia
• Encontrar políticas coincidentes y aplicar la primera
• Aplicar la acción de política especificada (siguiente salto, salida, túnel, etc.)
• Aplicar acción de respaldo si es necesario
• Verificar el éxito con registros o telemetría

Implementar el enrutamiento basado en políticas requiere seleccionar las condiciones utilizadas para hacer coincidir el tráfico con las políticas, definir las acciones tomadas en respuesta a una coincidencia y hacer cumplir las políticas en toda la red.

Definir condiciones de coincidencia

El enrutamiento basado en políticas utiliza una variedad de campos de coincidencia para seleccionar políticas apropiadas en lugar de simplemente el destino del tráfico. Al implementarlo, el primer paso es definir las condiciones de coincidencia que se utilizarán para seleccionar una política apropiada.

Las políticas se pueden hacer coincidir utilizando una variedad de campos diferentes, como origen/destino, puertos, protocolo y DSCP. Los sistemas modernos dependen cada vez más de la clasificación de aplicaciones para aplicar políticas específicas al tráfico de aplicaciones, incluso si la mayoría del tráfico fluye a través de los mismos puertos y protocolo (443/HTTPS). Al definir criterios, las fuentes de identidad consistentes (aplicaciones, dispositivos y usuarios) son esenciales para garantizar una aplicación coherente en la WAN corporativa.

Al definir criterios de coincidencia para las políticas, es prudente mantenerlos lo más mutuamente excluyentes posible para limitar el número de coincidencias para un paquete particular. Cuando múltiples políticas coinciden, los conflictos se resuelven a través del orden de las reglas, lo que hace que la consideración cuidadosa de estas prioridades sea esencial para garantizar que se aplique la política adecuada al tráfico.

Elegir una acción (siguiente salto, salida, túnel, transporte)

Se pueden definir políticas para tomar diversas acciones para el tráfico coincidente. En general, estas caen en dos categorías principales:

• Acciones Determinísticas: El tráfico puede ser dirigido a un siguiente salto fijo, salida o túnel.
• Selección de Políticas y Rutas Medidas: Combina el enrutamiento basado en políticas con la selección de rutas medidas para soportar la dirección basada en SLA o consciente de la aplicación.

A menudo, se definen políticas con una ruta preferida así como una alternativa en caso de que algo salga mal. Las políticas también pueden incluir umbrales de SLA respecto a latencia, pérdida y jitter en el proceso de toma de decisiones.

Al definir políticas, es importante evitar bucles de políticas que puedan romper los flujos de trabajo. Además, el uso de fijación de IP en políticas para aplicaciones en la nube puede introducir fragilidad y romper políticas si las direcciones IP cambian.

Hacer cumplir globalmente y validar resultados

El enrutamiento basado en políticas debe aplicarse de manera consistente en toda la empresa, asegurando la misma intención, comportamiento predecible y resultados medibles en todos los entornos. Al implementar el enrutamiento basado en políticas a gran escala, las mejores prácticas incluyen:

• Utilizar herramientas de prueba y simulación, cuando sea posible, para probar políticas antes de su implementación
• Implementar políticas de control de cambios para gestionar la creación de nuevas políticas
• Considerar los efectos del enrutamiento asimétrico en la inspección de tráfico con estado y la solución de problemas
• Monitorear las tasas de selección de rutas, violaciones de SLA y eventos de conmutación por error al evaluar el éxito de la política
• Implementar el enrutamiento basado en políticas como un proceso por etapas, comenzando de a poco y expandiendo cuidadosamente

¿Qué criterios deben utilizar las políticas para la dirección del tráfico?

Las políticas deben utilizar diferentes tipos de criterios al dirigir el tráfico. Estas incluyen:

• Identidad (usuario y dispositivo)
• Aplicación o carga de trabajo
• Datos de red (origen, destino y puertos)
• Calidad (latencia, pérdida y jitter)
• DSCP (marcas de QoS que identifican varios tipos de tráfico)

Al definir criterios, es importante encontrar un equilibrio entre coincidencias amplias y estrechas. Las coincidencias más amplias son más fáciles de implementar, pero pueden desviar accidentalmente tráfico no deseado. Las coincidencias más estrechas tienen un menor riesgo, pero aumentan el número de reglas requeridas.

Las políticas también deben ser priorizadas para resolver conflictos cuando múltiples políticas coinciden con un paquete. Al definir prioridades, un orden recomendado es:

• Crítico para el negocio en tiempo real
• Aplicaciones empresariales interactivas
• Tráfico masivo y de respaldo
• Mejor esfuerzo

¿Cuáles son los casos de uso comunes de enrutamiento basado en políticas?

El enrutamiento basado en políticas es una dirección basada en la intención diseñada para enrutar tráfico a través de un camino particular o salida según sus necesidades, no su destino previsto. Los casos de uso comunes incluyen:

• Aplicaciones en tiempo real: Sensibles a la latencia, pérdida y jitter
• Software como servicio crítico para el negocio: Requiere conectividad confiable
• Tráfico Masivo o en Segundo Plano: Hambriento de rendimiento pero tolerante
• Tráfico de Salida Segmentado y Controlado: El punto de salida y la ruta son consideraciones importantes

El enrutamiento basado en políticas dirige el tráfico a un camino particular, pero no necesariamente obliga al tráfico a pasar por saltos intermedios específicos. Además, las políticas comúnmente consideran la salud del enlace, dirigiendo el tráfico a un camino alternativo si el enlace preferido no cumple con un umbral de SLA. Sin embargo, los mismos casos de uso que hacen que el PBR sea valioso también crean riesgos. Criterios superpuestos, orden de reglas inconsistente y enrutamiento asimétrico pueden causar resultados frágiles si las políticas no se diseñan y prueban cuidadosamente.

Comunicaciones y colaboración en tiempo real

Un caso de uso común para el enrutamiento basado en políticas es mejorar el rendimiento y la confiabilidad del tráfico sensible a la latencia. Por ejemplo, el tráfico de voz y video debe ser dirigido al camino de mejor calidad para reducir el riesgo de que el jitter y la pérdida impacten la calidad de la llamada. Sin embargo, el tráfico no debe ser redirigido en exceso durante la llamada sin salvaguardias debido al riesgo de que el tráfico se pueda perder como resultado.

El enrutamiento basado en políticas también puede complementar la priorización. En este caso, este tipo de tráfico también sería priorizado dentro del camino seleccionado.

Segmentación y salida controlada

El enrutamiento basado en políticas también puede ser utilizado para implementar segmentación y acceso controlado, requiriendo que flujos de trabajo administrativos, regulados o sensibles pasen por puntos de inspección específicos o ubicaciones de salida. Por ejemplo, el tráfico de una subred particular puede requerir pasar por un punto de cumplimiento en ruta a cualquier otra subred.

Al implementar segmentación y salida controlada, es importante notar que el tráfico de retorno no necesariamente seguirá el mismo camino. Además, este caso de uso puede correr el riesgo de introducir una proliferación de políticas a menos que se gestione a través de herramientas como nombres, etiquetas y plantillas.

Control de costos y gestión de capacidad

Una tercera aplicación del enrutamiento basado en políticas es para la gestión de costos y capacidad, reservando rutas premium y más caras para aplicaciones críticas y enlaces más baratos para tráfico masivo. Por ejemplo, las copias de seguridad, la aplicación de parches y las transferencias de archivos grandes deben ser enrutadas a través de rutas rentables, ya que los aumentos menores en la latencia de la red tienen un impacto negligible en ellas.

Estos casos de uso a menudo son impulsados por problemas relacionados con la congestión de la red y el aumento de la latencia en las rutas de red que afectan el rendimiento de las aplicaciones críticas para el negocio. La efectividad de reenviar tráfico menos crítico a enlaces más baratos puede hacerse evidente después de comparar el rendimiento del tráfico crítico para el negocio durante eventos de congestión antes y después de implementar estas políticas.

¿Qué puede salir mal con el enrutamiento basado en políticas?

Al implementar el enrutamiento basado en políticas, los modos de falla y trampas comunes incluyen:

• Enrutamiento asimétrico: Una organización puede elegir qué punto de salida o ruta utilizar para enviar tráfico saliente, pero el tráfico entrante dentro de la sesión puede tomar una ruta diferente. Esto puede introducir problemas si las herramientas de seguridad y los puntos de aplicación solo ven la mitad de la conversación.
• Conflictos de políticas: Al hacer coincidir paquetes con políticas, es posible que múltiples políticas coincidan. El orden de las reglas se utiliza para resolver estos conflictos, lo que puede significar que la política correcta no sea la seleccionada.
• Sombreado de reglas: El sombreado de reglas es un tipo de conflicto de políticas donde una política general está más alta en el orden que una más específica. Esto significa que la específica nunca se aplicará.
• Coincidencia frágil: La coincidencia frágil puede ser un problema si las coincidencias de políticas están definidas de manera demasiado estricta. En este caso, pequeñas desviaciones en los campos de coincidencia pueden hacer que la política ya no coincida y no se aplique.

Estos desafíos pueden resolverse solo analizando una captura de paquetes del tráfico de la red. Esto puede ayudar a determinar si se aplicaron las políticas correctas en diversas situaciones. En general, una buena estrategia de mitigación es simplificar las reglas, implementar registros, probar políticas, realizar cambios por etapas y validar por sitio.

Más allá de los modos de falla técnica, las organizaciones pueden tener dificultades con la gobernanza. Los errores comunes incluyen excepciones no gestionadas, falta de documentación, ausencia de un plan de pruebas y falta de retroceso.

PREGUNTAS FRECUENTES

¿Cuál es la diferencia entre el enrutamiento basado en políticas y el enrutamiento dinámico?

El enrutamiento basado en políticas utiliza políticas y criterios predefinidos para definir cómo debe ser enrutado el tráfico. En contraste, el enrutamiento dinámico se basa principalmente en la dirección IP de destino y la salud de varios enlaces de red.

¿Es el enrutamiento basado en políticas lo mismo que el enrutamiento consciente de la aplicación?

El enrutamiento basado en políticas y el enrutamiento consciente de la aplicación consideran diversos factores al tomar decisiones de enrutamiento. Sin embargo, las políticas generalmente se definen utilizando campos de coincidencia estáticos (puerto, protocolo, etc.), mientras que el enrutamiento consciente de la aplicación considera factores de SLA como latencia, jitter y pérdida de paquetes al tomar decisiones de enrutamiento.

¿Qué criterios de coincidencia son los más confiables para las aplicaciones en la nube?

La identificación de aplicaciones es el criterio de coincidencia más confiable para las aplicaciones en la nube, ya que la infraestructura en la nube es efímera. El pinning de IP es poco confiable en estos contextos, ya que las direcciones IP clave pueden cambiar.

¿Cómo prueban los equipos las políticas de enrutamiento de manera segura?

Cuando sea posible, las pruebas deben realizarse en un entorno de prueba o mediante simulación. Al implementarse en producción, los cambios deben realizarse por etapas con una validación y pruebas extensas.

¿Cuáles son las señales más grandes de que un diseño de PBR es demasiado complejo?

Las indicaciones de que un diseño de PBR es demasiado complejo incluyen un gran número de excepciones de políticas, resultados inconsistentes y cambios de emergencia frecuentes. Si este es el caso, simplifique, valide los cambios e implemente reglas de gestión de cambios para la creación de políticas.

Implementando el Enrutamiento Basado en Políticas con Cato Networks

La plataforma de nube SASE de Cato SASE se implementa como una red global de PoPs SASE respaldada por una infraestructura privada dedicada. Los administradores pueden definir reglas de red que especifican cómo deben ser enrutados ciertos tipos de tráfico a través de la red para mejorar el rendimiento o controlar los costos. Además, la infraestructura privada de Cato ofrece inherentemente mayor fiabilidad, rendimiento y control que Internet público.

La plataforma de nube SASE de Cato ofrece tanto integración de seguridad como control granular sobre el enrutamiento y rendimiento de la red. Para aprender más sobre los beneficios potenciales para su negocio, programe una demostración.