Qu’est-ce que le routage basé sur les politiques ?

Le routage basé sur les politiques dirige le trafic réseau en fonction de règles de politique qui peuvent prendre en compte la source, l’application, la classe d’utilisateur, les ports ou la classe de trafic. Cela diffère du routage réseau traditionnel, où le chemin sélectionné est principalement basé sur le chemin le plus court ou le plus préféré vers la destination.

Le routage basé sur les politiques peut être utilisé pour atteindre divers objectifs, tels que l’amélioration des performances et de la fiabilité ou la mise en œuvre de la segmentation. Ces décisions peuvent être basées sur l’identification des applications, permettant un routage très granulaire sur une base par application.

Points clés

• Le routage basé sur les politiques dirige le trafic en utilisant des critères de règles au-delà du routage uniquement basé sur la destination.
• Les critères incluent souvent la source, la destination, les ports, le protocole, le DSCP et l’identité de l’application (lorsqu’elle est disponible).
• Certaines plateformes combinent l’intention de politique avec la télémétrie de chemin pour soutenir le routage basé sur les SLA (par exemple : latence, perte, gigue). Cela est lié au PBR mais n’est pas requis pour le PBR classique.
• Le PBR dirige couramment les classes d’application (par exemple : collaboration en temps réel contre transfert en masse) vers des points de sortie ou des transports préférés.
• Des politiques mal conçues peuvent créer un routage asymétrique, un comportement de basculement instable et des résultats difficiles à dépanner à travers les sites.
• Les programmes réussis traitent la politique de routage comme une logique contrôlée par des changements avec un ordre de règles clair, des tests, une observabilité et un retour en arrière.

Qu’est-ce que le routage basé sur les politiques ?

Le routage basé sur les politiques permet à une organisation de contrôler comment certains types de trafic circulent sur le réseau. Cela est accompli en définissant des politiques et des règles réseau qui spécifient où le trafic doit aller lors de son prochain saut vers sa destination.

Ces règles utilisent divers champs au sein d’un paquet pour faire correspondre les paquets aux politiques. Les champs de correspondance couramment utilisés incluent :

• Source/destination
• Ports
• Protocole
• DSCP
• Catégorie d’application

Sur la base de ces champs, le trafic est mappé à une politique, qui peut spécifier la prochaine action que le trafic doit entreprendre. Les actions courantes incluent :

• Choisir le prochain saut
• Choisir l’interface ou la sortie utilisée pour quitter le réseau
• Choisir le tunnel ou le protocole de transport
• Sélectionner une table de routage ou un VRF
• Préférer un chemin avec un retour explicite (lorsque cela est pris en charge)

Le routage basé sur les politiques se concentre sur l’endroit où acheminer le trafic, permettant aux pare-feu ou aux listes de contrôle d’accès (ACL) de mettre en œuvre des règles d’autorisation/refus. Les politiques sont souvent mises en œuvre sous forme de listes de règles ordonnées – où la première correspondance l’emporte – pour résoudre les conflits lorsque le trafic correspond à plusieurs règles.

Le routage basé sur les politiques n’est pas un protocole de routage comme Border Gateway Protocol (BGP) ou Open Shortest Path First (OSPF). Il ne peut également pas résoudre magiquement les problèmes de dernier kilomètre, car il ne définit que la manière dont le trafic doit utiliser les routes et la bande passante disponibles.

Pourquoi les organisations utilisent-elles le routage basé sur les politiques ?

Le routage basé sur les politiques offre une plus grande granularité et un meilleur contrôle que le routage traditionnel basé sur la destination. Les organisations peuvent l’utiliser pour atteindre divers résultats, y compris :

• Performance améliorée pour les applications sensibles à la latence
• Résilience améliorée
• Segmentation déterministe
• Contrôle des coûts

Le routage réseau traditionnel adopte une approche « taille unique » pour le routage, traitant le trafic voix/vidéo, SaaS, sauvegarde en masse et administratif de la même manière. En définissant des politiques spécifiques pour ceux-ci, les organisations peuvent s’assurer que le trafic plus important et sensible est traité de manière appropriée.

Cependant, définir et mettre en œuvre des politiques supplémentaires introduit une complexité et une surcharge supplémentaires. La gouvernance et les tests sont essentiels pour garantir que les politiques fonctionnent comme prévu et que le nombre de politiques ne devienne pas incontrôlable.

Comment fonctionne le routage basé sur les politiques ?

Le routage basé sur les politiques fonctionne via un processus en plusieurs étapes. Les étapes clés incluent :

• Identification et classification du trafic
• Extraction des champs de correspondance
• Recherche des politiques correspondantes et application de la première
• Application de l’action de politique spécifiée (prochain saut, sortie, tunnel, etc.)
• Application de l’action de secours si nécessaire
• Vérification du succès avec des journaux ou de la télémétrie

La mise en œuvre du routage basé sur les politiques nécessite de sélectionner les conditions utilisées pour faire correspondre le trafic aux politiques, de définir les actions prises en réponse à une correspondance et de faire respecter les politiques à travers le réseau.

Définir les conditions de correspondance

Le routage basé sur les politiques utilise une variété de champs de correspondance pour sélectionner des politiques appropriées plutôt que simplement la destination du trafic. Lors de sa mise en œuvre, la première étape consiste à définir les conditions de correspondance qui seront utilisées pour sélectionner une politique appropriée.

Les politiques peuvent être correspondantes en utilisant une variété de champs différents, tels que source/destination, ports, protocole et DSCP. Les systèmes modernes s’appuient de plus en plus sur la classification des applications pour appliquer des politiques spécifiques au trafic des applications, même si la majorité du trafic passe par les mêmes ports et protocoles (443/HTTPS). Lors de la définition des critères, des sources d’identité cohérentes (applications, appareils et utilisateurs) sont essentielles pour garantir une application cohérente à travers le WAN d’entreprise.

Lors de la définition des critères de correspondance pour les politiques, il est judicieux de les garder aussi mutuellement exclusifs que possible pour limiter le nombre de correspondances pour un paquet particulier. Lorsque plusieurs politiques correspondent, les conflits sont résolus par l’ordre des règles, rendant une considération attentive de ces priorités essentielle pour garantir que la politique appropriée est appliquée au trafic.

Choisissez une action (prochain saut, sortie, tunnel, transport)

Les politiques peuvent être définies pour prendre diverses actions pour le trafic correspondant. En général, ceux-ci se classent en deux grandes catégories :

• Actions Déterministes : Le trafic peut être dirigé vers un prochain saut fixe, une sortie ou un tunnel.
• Politique et Sélection de Chemin Mesuré : Combine le routage basé sur des politiques avec la sélection de chemin mesuré pour soutenir le pilotage basé sur des SLA ou conscient des applications.

Souvent, les politiques sont définies avec un chemin préféré ainsi qu’un plan de secours en cas de problème. Les politiques peuvent également inclure des seuils SLA concernant la latence, la perte et le jitter dans le processus de prise de décision.

Lors de la définition des politiques, il est important d’éviter les boucles de politique qui peuvent casser les flux de travail. De plus, l’utilisation de l’ancrage IP dans les politiques pour les applications cloud peut introduire de la fragilité et casser les politiques si les adresses IP changent.

Appliquer globalement et valider les résultats

Le routage basé sur des politiques doit être appliqué de manière cohérente dans l’ensemble de l’entreprise, garantissant la même intention, un comportement prévisible et des résultats mesurables dans tous les environnements. Lors de la mise en œuvre du routage basé sur des politiques à grande échelle, les meilleures pratiques incluent :

• Utiliser des outils de test et de simulation, lorsque cela est possible, pour tester les politiques avant le déploiement
• Mettre en œuvre des politiques de contrôle des changements pour gérer la création de nouvelles politiques
• Considérer les effets du routage asymétrique sur l’inspection du trafic état et le dépannage
• Surveiller les taux de sélection de chemin, les violations de SLA et les événements de basculement lors de l’évaluation du succès des politiques
• Mettre en œuvre le routage basé sur des politiques comme un processus par étapes, en commençant petit et en s’étendant prudemment

Quels critères les politiques devraient-elles utiliser pour le pilotage du trafic ?

Les politiques devraient utiliser quelques types différents de critères lors du pilotage du trafic. Ceux-ci incluent :

• Identité (utilisateur et appareil)
• Application ou charge de travail
• Données réseau (source, destination et ports)
• Qualité (latence, perte et gigue)
• DSCP (marquages QoS identifiant divers types de trafic)

Lors de la définition des critères, il est important de trouver un équilibre entre des correspondances larges et étroites. Des correspondances plus larges sont plus faciles à mettre en œuvre mais peuvent également diriger accidentellement un trafic non désiré. Des correspondances plus étroites présentent un risque moindre mais augmentent le nombre de règles nécessaires.

Les politiques doivent également être priorisées pour résoudre les conflits lorsque plusieurs politiques correspondent à un paquet. Lors de la définition des priorités, un ordre recommandé est :

• Critique pour les affaires en temps réel
• Applications commerciales interactives
• Trafic de masse et de sauvegarde
• Meilleur effort

Quels sont les cas d’utilisation courants du routage basé sur les politiques ?

Le routage basé sur les politiques est une orientation basée sur l’intention conçue pour diriger le trafic sur un chemin ou une sortie particulière en fonction de ses besoins, et non de sa destination prévue. Les cas d’utilisation courants incluent :

• Applications en temps réel : Sensibles à la latence, à la perte et à la gigue
• Logiciels en tant que service critiques pour les affaires : Nécessite une connectivité fiable
• <1>Trafic de masse ou de fond :<1> Affamé de débit mais tolérant
• <1>Trafic sortant segmenté et contrôlé :<1> Le point de sortie et l’itinéraire sont des considérations importantes

Le routage basé sur des politiques dirige le trafic vers un chemin particulier mais ne force pas nécessairement le trafic à passer par des sauts intermédiaires spécifiques. De plus, les politiques prennent souvent en compte la santé des liens, dirigeant le trafic vers un chemin alternatif si le lien préféré échoue à un seuil SLA. Cependant, les mêmes cas d’utilisation qui rendent le PBR précieux créent également des risques. Des critères qui se chevauchent, un ordre de règles incohérent et un routage asymétrique peuvent entraîner des résultats fragiles si les politiques ne sont pas conçues et testées avec soin.

Communications et collaboration en temps réel

Un cas d’utilisation courant pour le routage basé sur des politiques est d’améliorer la performance et la fiabilité du trafic sensible à la latence. Par exemple, le trafic vocal et vidéo doit être dirigé vers le meilleur chemin de qualité pour réduire le risque que le jitter et la perte n’impactent la qualité des appels. Cependant, le trafic ne doit pas être trop dirigé en cours d’appel sans garde-fous en raison du risque que le trafic puisse être perdu en conséquence.

Le routage basé sur des politiques peut également compléter la priorisation. Dans ce cas, ce type de trafic serait également priorisé au sein du chemin sélectionné.

Segmentation et sortie contrôlée

Le routage basé sur des politiques peut également être utilisé pour mettre en œuvre la segmentation et l’accès contrôlé, exigeant que les flux de travail administratifs, réglementés ou sensibles passent par des points d’inspection ou des emplacements de sortie spécifiques. Par exemple, le trafic d’un sous-réseau particulier peut être requis pour passer par un point d’application en route vers tout autre sous-réseau.

Lors de la mise en œuvre de la segmentation et de la sortie contrôlée, il est important de noter que le trafic de retour ne suivra pas nécessairement le même chemin. De plus, ce cas d’utilisation peut courir le risque d’introduire une prolifération des politiques à moins d’être géré via des outils comme le nommage, les balises et les modèles.

Contrôle des coûts et gestion de la capacité

Une troisième application du routage basé sur les politiques concerne la gestion des coûts et de la capacité, en réservant des chemins premium et plus coûteux pour les applications critiques et des liens moins chers pour le trafic de masse. Par exemple, les sauvegardes, les mises à jour et les transferts de fichiers volumineux devraient être routés sur des chemins rentables, car de légères augmentations de la latence du réseau ont un impact négligeable sur eux.

Ces cas d’utilisation sont souvent motivés par des problèmes liés à la congestion du réseau et à l’augmentation de la latence sur les chemins réseau qui affectent la performance des applications critiques pour les entreprises. L’efficacité du reroutage du trafic moins critique vers des liens moins chers peut devenir évidente après avoir comparé la performance du trafic critique pour les entreprises lors d’événements de congestion avant et après la mise en œuvre de ces politiques.

Quels problèmes peuvent survenir avec le routage basé sur les politiques ?

Lors de la mise en œuvre du routage basé sur les politiques, les modes de défaillance et les pièges courants incluent :

• Routage asymétrique : Une organisation peut choisir quel point de sortie ou chemin utiliser pour envoyer le trafic sortant, mais le trafic entrant au sein de la session peut emprunter un chemin différent. Cela peut introduire des problèmes si les outils de sécurité et les points d’application ne voient qu’une moitié de la conversation.
• Conflits de politiques : Lors de l’appariement des paquets aux politiques, il est possible que plusieurs politiques correspondent. L’ordre des règles est utilisé pour résoudre ces conflits, ce qui peut signifier que la politique correcte n’est pas celle qui est sélectionnée.
• Ombre des règles : L’ombre des règles est un type de conflit de politique où une politique générale est supérieure dans l’ordre à une politique plus spécifique. Cela signifie que la politique spécifique ne sera jamais appliquée.
• Appariement fragile : L’appariement fragile peut poser un problème si les correspondances de politique sont trop strictement définies. Dans ce cas, de petites déviations dans les champs de correspondance peuvent faire en sorte que la politique ne corresponde plus et ne soit pas appliquée.

Ces défis peuvent être résolus uniquement en analysant une capture de paquets du trafic réseau. Cela peut aider à déterminer si les politiques correctes ont été appliquées dans diverses situations. En général, une bonne stratégie d’atténuation consiste à simplifier les règles, à mettre en œuvre des journaux, à tester les politiques, à planifier les changements et à valider par site.

Au-delà des modes de défaillance technique, les organisations peuvent rencontrer des difficultés en matière de gouvernance. Les pièges courants incluent des exceptions non gérées, un manque de documentation, l’absence de plan de test et l’absence de retour en arrière.

Questions fréquentes

Quelle est la différence entre le routage basé sur des politiques et le routage dynamique ?

Le routage basé sur des politiques utilise des politiques et des critères prédéfinis pour définir comment le trafic doit être routé. En revanche, le routage dynamique est principalement basé sur l’adresse IP de destination et la santé de divers liens réseau.

Le routage basé sur des politiques est-il le même que le routage conscient des applications ?

Le routage basé sur des politiques et le routage conscient des applications prennent tous deux en compte divers facteurs lors de la prise de décisions de routage. Cependant, les politiques sont généralement définies à l’aide de champs de correspondance statiques (port, protocole, etc.), tandis que le routage conscient des applications prend en compte des facteurs SLA tels que la latence, le jitter et la perte de paquets lors de la prise de décisions de routage.

Quels critères de correspondance sont les plus fiables pour les applications cloud ?

L’identification des applications est le critère de correspondance le plus fiable pour les applications cloud, car l’infrastructure cloud est éphémère. Le pinning IP est peu fiable dans ces contextes, car les adresses IP clés peuvent changer.

Comment les équipes testent-elles les politiques de routage en toute sécurité ?

Lorsque cela est possible, les tests doivent être effectués dans un environnement de test ou par simulation. Lors du déploiement en production, les changements doivent être mis en œuvre par étapes avec une validation et des tests approfondis.

Quels sont les principaux signes qu’un design PBR est trop complexe ?

Les indications qu’un design PBR est trop complexe incluent un grand nombre d’exceptions de politique, des résultats incohérents et des changements d’urgence fréquents. Si tel est le cas, simplifiez, validez les changements et mettez en œuvre des règles de gestion des changements pour la création de politiques.

Mise en œuvre du routage basé sur des politiques avec Cato Networks

La plateforme SASE Cloud de Cato est mise en œuvre comme un réseau mondial de PoPs SASE soutenu par un backbone privé dédié. Les administrateurs peuvent définir des règles réseau qui spécifient comment certains types de trafic doivent être acheminés sur le réseau pour améliorer les performances ou contrôler les coûts. De plus, le backbone privé de Cato offre intrinsèquement une plus grande fiabilité, performance et contrôle que l’Internet public.

La plateforme Cato SASE Cloud offre à la fois une intégration de la sécurité et un contrôle granulaire sur l’acheminement et les performances du réseau. Pour en savoir plus sur les avantages potentiels pour votre entreprise, planifiez une démo.