Wat is beleid-gebaseerde routering?

Beleid-gebaseerde routering leidt netwerkverkeer op basis van beleidsregels die rekening kunnen houden met de bron, applicatie, gebruikersklasse, poorten of verkeersklasse. Dit verschilt van traditionele netwerkroutering, waarbij de geselecteerde route grotendeels is gebaseerd op de kortste of meest voorkeur route naar de bestemming.

Beleid-gebaseerde routering kan worden gebruikt om verschillende doelen te bereiken, zoals het verbeteren van prestaties en betrouwbaarheid of het implementeren van segmentatie. Deze beslissingen kunnen gebaseerd zijn op applicatie-identificatie, waardoor zeer gedetailleerde routering op basis van applicatie mogelijk is.

Belangrijke hoogtepunten

• Beleid-gebaseerde routering stuurt verkeer met behulp van regelcriteria die verder gaan dan alleen bestemming-routering.
• Criteria omvatten vaak bron, bestemming, poorten, protocol, DSCP en applicatie-identiteit (wanneer beschikbaar).
• Sommige platforms combineren beleidsintentie met padtelemetrie om SLA-gebaseerde sturing te ondersteunen (bijvoorbeeld: latentie, verlies, jitter). Dit is gerelateerd aan PBR, maar niet vereist voor klassieke PBR.
• PBR stuurt doorgaans applicatieklassen (bijvoorbeeld: realtime samenwerking versus bulkoverdracht) naar voorkeur uitgangspunten of transporten.
• Slecht ontworpen beleidsregels kunnen asymmetrische routering, onbetrouwbaar failover-gedrag en moeilijk te troubleshooten uitkomsten over locaties creëren.
• Succesvolle programma’s beschouwen routeringsbeleid als wijzigingsgecontroleerde logica met duidelijke regelvolgorde, testen, observeerbaarheid en terugrol.

Wat is beleid-gebaseerde routering?

Beleid-gebaseerde routering stelt een organisatie in staat om te controleren hoe bepaalde soorten verkeer over het netwerk bewegen. Dit wordt bereikt door beleidsregels en netwerknormen te definiëren die specificeren waar verkeer naartoe moet gaan op zijn volgende sprongetje naar de bestemming.

Deze regels gebruiken verschillende velden binnen een pakket om pakketten aan beleidsregels te koppelen. Veelgebruikte matchvelden zijn onder andere:

• Bron/bestemming
• Poorten
• Protocol
• DSCP
• Applicatiecategorie

Op basis van deze velden wordt het verkeer toegewezen aan een beleid, dat de volgende actie kan specificeren die het verkeer moet nemen. Veelvoorkomende acties zijn onder andere:

• De volgende hop kiezen
• De interface of uitgang kiezen die gebruikt wordt om het netwerk te verlaten
• Het tunnel- of transportprotocol kiezen
• Een routeringstabel of VRF selecteren
• Een pad met een expliciete fallback (wanneer ondersteund) verkiezen

Beleid-gebaseerde routering richt zich op waar verkeer moet worden gerouteerd, waardoor firewalls of toegangscontrolelijsten (ACL’s) toestaan om toestaan/weigeren regels te implementeren. Beleidsregels worden vaak geïmplementeerd als geordende regel lijsten – waarbij de eerste overeenkomst wint – om conflicten op te lossen wanneer verkeer overeenkomt met meerdere regels.

Beleid-gebaseerde routering is geen routeringsprotocol zoals Border Gateway Protocol (BGP) of Open Shortest Path First (OSPF). Het kan ook niet op magische wijze problemen met de laatste mijl oplossen, aangezien het alleen definieert hoe verkeer gebruik moet maken van beschikbare routes en bandbreedte.

Waarom gebruiken organisaties beleid-gebaseerde routering?

Beleid-gebaseerde routering biedt meer granulariteit en controle dan traditionele bestemming-gebaseerde routering. Organisaties kunnen het gebruiken om verschillende resultaten te bereiken, waaronder:

• Verbeterde prestaties voor latency-gevoelige apps
• Verbeterde veerkracht
• Deterministische segmentatie
• Kostenbeheersing

Traditionele netwerkrouting hanteert een “one size fits all” benadering van routering, waarbij spraak/video, SaaS, bulkback-up en beheerverkeer op dezelfde manier worden behandeld. Door specifieke beleidsregels voor deze te definiëren, kunnen organisaties ervoor zorgen dat belangrijker en gevoeliger verkeer op de juiste manier wordt behandeld.

Het definiëren en implementeren van aanvullende beleidsmaatregelen introduceert echter extra complexiteit en overhead. Bestuur en testen zijn essentieel om ervoor te zorgen dat beleidsmaatregelen werken zoals bedoeld en dat het aantal beleidsmaatregelen niet uit de hand loopt.

Hoe werkt beleidsgebaseerde routering?

Beleidsgebaseerde routering werkt via een meerstapsproces. Belangrijke stappen zijn:

• Verkeersidentificatie en -classificatie
• Extractie van overeenkomende velden
• Het vinden van overeenkomende beleidsmaatregelen en het toepassen van de eerste
• Het toepassen van de gespecificeerde beleidsactie (volgende hop, uitgang, tunnel, enz.)
• Het toepassen van een fallbackactie indien nodig
• Het verifiëren van succes met logs of telemetrie

Het implementeren van beleidsgebaseerde routering vereist het selecteren van de voorwaarden die worden gebruikt om verkeer aan beleidsmaatregelen te koppelen, het definiëren van de acties die worden ondernomen als reactie op een overeenkomst, en het handhaven van beleidsmaatregelen in het netwerk.

Definieer overeenkomende voorwaarden

Beleidsgebaseerde routering gebruikt een verscheidenheid aan overeenkomende velden om geschikte beleidsmaatregelen te selecteren in plaats van alleen de bestemming van het verkeer. Bij de implementatie is de eerste stap het definiëren van de overeenkomende voorwaarden die zullen worden gebruikt om een geschikte beleidsmaatregel te selecteren.

Beleidsmaatregelen kunnen worden gematcht met behulp van verschillende velden, zoals bron/bestemming, poorten, protocol en DSCP. Moderne systemen vertrouwen steeds meer op applicatieclassificatie om specifieke beleidsmaatregelen toe te passen op applicatieverkeer, zelfs als het merendeel van het verkeer over dezelfde poorten en protocol (443/HTTPS) stroomt. Bij het definiëren van criteria zijn consistente identiteitsbronnen (apps, apparaten en gebruikers) essentieel om consistente handhaving in het bedrijfs-WAN te waarborgen.

Bij het definiëren van overeenkomende criteria voor beleidsmaatregelen is het verstandig om ze zo onderling exclusief mogelijk te houden om het aantal overeenkomsten voor een bepaald pakket te beperken. Wanneer meerdere beleidsmaatregelen overeenkomen, worden conflicten opgelost via regelordening, waardoor zorgvuldige overweging van deze prioriteiten essentieel is om ervoor te zorgen dat de juiste beleidsmaatregel op verkeer wordt toegepast.

Kies een actie (volgende hop, uitgang, tunnel, transport)

Beleid kan worden gedefinieerd om verschillende acties voor overeenkomend verkeer te ondernemen. Over het algemeen vallen deze in twee hoofdcategorieën:

• Deterministische Acties: Verkeer kan worden gerouteerd naar een vaste volgende hop, uitgang of tunnel.
• Beleid en Geselecteerde Gemeten Paden: Combineert op beleid gebaseerde routering met geselecteerde gemeten paden om SLA-gebaseerde of applicatiebewuste sturing te ondersteunen.

Vaak worden beleid gedefinieerd met een voorkeursroute en een fallback voor het geval er iets misgaat. Beleid kan ook SLA-drempels bevatten met betrekking tot latentie, verlies en jitter in het besluitvormingsproces.

Bij het definiëren van beleid is het belangrijk om beleidslussen te vermijden die workflows kunnen verstoren. Bovendien kan het gebruik van IP-pinning in beleid voor cloud-apps kwetsbaarheid introduceren en beleid breken als IP-adressen veranderen.

Handhaaf wereldwijd en valideer resultaten

Op beleid gebaseerde routering moet consistent in de hele onderneming worden gehandhaafd, waarbij dezelfde intentie, voorspelbaar gedrag en meetbare resultaten in alle omgevingen worden gegarandeerd. Bij het implementeren van op beleid gebaseerde routering op grote schaal, omvatten de beste praktijken:

• Gebruik testtools en simulatie, waar mogelijk, om beleid te testen voordat ze worden ingezet
• Implementeer wijzigingscontrolebeleid om de creatie van nieuwe beleid te beheren
• Overweeg de effecten van asymmetrische routering op stateful verkeerinspectie en probleemoplossing
• Monitor de snelheden van padselectie, SLA-overtredingen en failover-gebeurtenissen bij het evalueren van het succes van beleid
• Implementeer op beleid gebaseerde routering als een gefaseerd proces, begin klein en breid zorgvuldig uit

Welke criteria moeten beleid gebruiken voor verkeerssturing?

Beleidsregels moeten verschillende soorten criteria gebruiken bij het aansturen van verkeer. Deze omvatten:

• Identiteit (gebruiker en apparaat)
• Toepassing of werklast
• Netwerkgegevens (bron, bestemming en poorten)
• Kwaliteit (latentie, verlies en jitter)
• DSCP (QoS-markeringen die verschillende soorten verkeer identificeren)

Bij het definiëren van criteria is het belangrijk om een balans te vinden tussen brede en smalle overeenkomsten. Brede overeenkomsten zijn gemakkelijker te implementeren, maar kunnen per ongeluk ongewenst verkeer aansturen. Smalle overeenkomsten hebben een lager risico, maar verhogen het aantal vereiste regels.

Beleidsregels moeten ook worden geprioriteerd om conflicten op te lossen wanneer meerdere beleidsregels overeenkomen met een pakket. Bij het definiëren van prioriteiten is een aanbevolen volgorde:

• Bedrijfskritische realtime
• Interactieve zakelijke apps
• Bulk- en back-upverkeer
• Beste inspanning

Wat zijn veelvoorkomende gebruiksscenario’s voor beleidsgebaseerde routering?

Beleidsgebaseerde routering is intentie-gebaseerd aansturen dat is ontworpen om verkeer over een bepaald pad of uitgang te routeren op basis van zijn behoeften, niet zijn bedoelde bestemming. Veelvoorkomende gebruiksscenario’s zijn onder andere:

• Realtime-apps: Gevoelig voor latentie, verlies en jitter
• Business-Critical SaaS: Vereist betrouwbare connectiviteit
• Bulk- of Achtergrondverkeer: Doorvoer-hongerig maar tolerant
• Gegroepeerd en Gecontroleerd Uittredend Verkeer: Uittredingspunt en route zijn belangrijke overwegingen

Beleid-gebaseerde routering stuurt verkeer naar een bepaalde route, maar dwingt niet noodzakelijk verkeer door specifieke tussenliggende hops. Bovendien houden beleidsregels vaak ook rekening met de gezondheid van de verbinding, waarbij verkeer naar een alternatieve route wordt geleid als de voorkeurverbinding een SLA-drempel niet haalt. Echter, dezelfde gebruikssituaties die PBR waardevol maken, creëren ook risico’s. Overlappende criteria, inconsistente regelvolgorde en asymmetrische routering kunnen kwetsbare uitkomsten veroorzaken als beleidsregels niet zorgvuldig zijn ontworpen en getest.

Communicatie en samenwerking in real-time

Een veelvoorkomende gebruikssituatie voor beleid-gebaseerde routering is het verbeteren van de prestaties en betrouwbaarheid van latentie-gevoelig verkeer. Bijvoorbeeld, spraak- en videoverkeer moet naar de beste kwaliteitsroute worden geleid om het risico te verminderen dat jitter en verlies de gesprekskwaliteit beïnvloeden. Echter, verkeer mag niet te veel worden omgeleid tijdens een gesprek zonder waarborgen, vanwege het risico dat verkeer als gevolg daarvan verloren gaat.

Beleid-gebaseerde routering kan ook prioritering aanvullen. In dit geval zou dit type verkeer ook binnen de geselecteerde route worden geprioriteerd.

Segmentatie en gecontroleerd uittredend verkeer

Beleid-gebaseerde routering kan ook worden gebruikt om segmentatie en gecontroleerde toegang te implementeren, waarbij beheerde, gereguleerde of gevoelige workflows door specifieke inspectiepunten of uittredingslocaties moeten gaan. Bijvoorbeeld, verkeer van een bepaald subnet kan verplicht zijn om door een handhavingspunt te gaan op weg naar een ander subnet.

Bij het implementeren van segmentatie en gecontroleerd uittredend verkeer is het belangrijk op te merken dat terugkerend verkeer niet noodzakelijk dezelfde route volgt. Bovendien kan dit gebruiksgeval het risico met zich meebrengen van beleidsverspreiding, tenzij het wordt beheerd via tools zoals naamgeving, tags en sjablonen.

Kostenbeheersing en capaciteitsbeheer

Een derde toepassing van op beleid gebaseerde routering is voor kosten- en capaciteitsbeheer, waarbij premium en duurdere paden worden gereserveerd voor kritieke apps en goedkopere verbindingen voor bulkverkeer. Bijvoorbeeld, back-ups, patching en grote bestandsoverdrachten moeten over kosteneffectieve paden worden geleid, aangezien kleine verhogingen in netwerklatentie een verwaarloosbare impact op hen hebben.

Deze gebruiksgevallen worden vaak gedreven door problemen met netwerkcongestie en stijgende latentie op netwerkpaden die de prestaties van bedrijfskritische apps beïnvloeden. De effectiviteit van het omleiden van minder kritisch verkeer naar goedkopere verbindingen kan duidelijk worden na het vergelijken van de prestaties van bedrijfskritisch verkeer tijdens congestie-incidenten vóór en na de implementatie van deze beleidsmaatregelen.

Wat kan er misgaan met op beleid gebaseerde routering?

Bij de implementatie van op beleid gebaseerde routering zijn veelvoorkomende faalmodi en valkuilen:

• Asymmetrische Routering: Een organisatie kan kiezen welk uitgangspunt of pad outbound verkeer moet volgen, maar inbound verkeer binnen de sessie kan een ander pad volgen. Dit kan problemen introduceren als beveiligingstools en handhavingpunten slechts de helft van het gesprek zien.
• Beleidsconflicten: Bij het matchen van pakketten met beleidsregels is het mogelijk dat meerdere beleidsregels een match zijn. Regelordening wordt gebruikt om deze conflicten op te lossen, wat kan betekenen dat het juiste beleid niet degene is die is geselecteerd.
• Regel Schaduwing: Regel schaduwing is een type beleidsconflict waarbij een algemene beleidsregel hoger in de ordening staat dan een specifiekere. Dit betekent dat de specifieke nooit zal worden toegepast.
• Brittle Matching: Brittle matching kan een probleem zijn als beleidsmatches te strikt gedefinieerd zijn. In dit geval kunnen kleine afwijkingen in matchvelden ervoor zorgen dat het beleid niet langer overeenkomt en niet wordt toegepast.

Deze uitdagingen kunnen alleen worden opgelost door een pakketcapture van het netwerkverkeer te analyseren. Dit kan helpen om te bepalen of de juiste beleidsregels in verschillende situaties zijn toegepast. In het algemeen is een goede mitigatiestrategie het vereenvoudigen van regels, het implementeren van logging, het testen van beleidsregels, het gefaseerd doorvoeren van wijzigingen en het valideren per locatie.

Naast de technische faalmodi kunnen organisaties worstelen met governance. Veelvoorkomende valkuilen zijn onbeheerde uitzonderingen, gebrek aan documentatie, geen testplan en geen rollback.

VEELGESTELDE VRAGEN

Wat is het verschil tussen beleidsgebaseerde routering en dynamische routering?

Beleidsgebaseerde routering gebruikt vooraf gedefinieerde beleidsregels en criteria om te bepalen hoe verkeer moet worden gerouteerd. Daarentegen is dynamische routering voornamelijk gebaseerd op het bestemmings-IP-adres en de gezondheid van verschillende netwerkverbindingen.

Is beleidsgebaseerde routering hetzelfde als applicatiebewuste routering?

Beleidsgebaseerde routering en applicatiebewuste routering houden beide rekening met verschillende factoren bij het nemen van routeringsbeslissingen. Echter, beleidsregels worden over het algemeen gedefinieerd met behulp van statische matchvelden (poort, protocol, enz.), terwijl applicatiebewuste routering SLA-factoren zoals latentie, jitter en pakketverlies in overweging neemt bij het nemen van routeringsbeslissingen.

Welke matchcriteria zijn het meest betrouwbaar voor cloudapplicaties?

Applicatie-identificatie is het meest betrouwbare matchcriterium voor cloudapplicaties, aangezien cloudinfrastructuur ephemeraal is. IP-pinning is onbetrouwbaar in deze contexten, aangezien belangrijke IP-adressen kunnen veranderen.

Hoe testen teams routeringsbeleid veilig?

Waar mogelijk, moet testen worden uitgevoerd in een testomgeving of via simulatie. Bij het uitrollen naar productie moeten wijzigingen gefaseerd worden doorgevoerd met uitgebreide validatie en testen.

Wat zijn de grootste tekenen dat een PBR-ontwerp te complex is?

Aanduidingen dat een PBR-ontwerp te complex is, zijn een groot aantal beleidsuitzonderingen, inconsistente uitkomsten en frequente noodwijzigingen. Als dit het geval is, vereenvoudig dan, valideer wijzigingen en implementeer wijzigingsbeheerregels voor beleidscreatie.

Beleidsgestuurde routering implementeren met Cato Networks

Het Cato SASE Cloud Platform is geïmplementeerd als een wereldwijd netwerk van SASE PoPs, ondersteund door een dedicated privé backbone. Beheerders kunnen netwerkregels definiëren die specificeren hoe bepaalde soorten verkeer over het netwerk moeten worden gerouteerd om de prestaties te verbeteren of kosten te beheersen. Bovendien biedt de privé backbone van Cato inherent meer betrouwbaarheid, prestaties en controle dan het openbare internet.

Het Cato SASE Cloud Platform biedt zowel beveiligingsintegratie als gedetailleerde controle over netwerkroutering en prestaties. Om meer te leren over de potentiële voordelen voor uw bedrijf, plan een demo.