ポリシーベースルーティングとは

ポリシーベースルーティングとは

PBR(ポリシーベースルーティング)とは、ポリシーまたはフィルターに基づいてデータパケットを転送およびルーティングする技術です。ネットワーク管理者は、送信元/宛先IPアドレス.、送信元/宛先ポート、トラフィックタイプ、プロトコル、アクセスリスト、パケットサイズなどを基準とした特定のパラメーターに基づいてポリシーを選択的に適用してから、ユーザーによって定義されたルートでパケットをルーティングできます。

PBR は、ネットワークをできる限り高速にすることを目的としています。アプリケーションの属性に基づきルーティング動作を定義することで、パケット転送のトラフィックをきめ細かく柔軟に処理できます。このように、PBRではネットワーク管理者がビジネスクリティカルなアプリケーションの帯域幅利用を最適化できます。

 

ポリシーベースルーティングで対応できる課題

従来のルーティングシステムでは、トラフィックの宛先に基づいてトラフィックをルーティングしていました。しかし、クラウドコンピューティング、モビリティ、Webベースアプリケーションが増え続け、ネットワークを通過するアプリケーショントラフィックのタイプをそれぞれ識別することが必要になりました。PBRでは、各アプリケーションタイプを個別に処理するため、パフォーマンスや可用性を低下させることなく、トラフィックの優先度設定、分離、ルーティングを効果的に実行できます。

また、音声、データ、映像、アプリケーションを同じネットワーク上で実行することによる複雑性が、脅威に対するネットワークの脆弱性を作り出し、脅威への対応を難しくしています。昨今では、多角的な攻撃を利用したサイバー攻撃がコアビジネスアプリケーションをターゲットにする頻度が高くなっています。ネットワーク管理者は、PBRを使用することで、トラフィックをアプリケーションに基づいて分類し、以降の分析が可能なようにマークを付けて、ネットワークセキュリティの可視化、ポリシー適用、制御、保護を向上させることができます。

 

ポリシーベースルーティングの機能

PBRは次の目的で使用できます。

  • 複数のリンクが使用可能な場合に、重要なアプリケーションに広帯域で低レイテンシのリンクを選択して、アプリケーションの優先度を設定します。たとえば、企業データには高速リンクを使用し、インターネット閲覧トラフィックには低速リンクを使用するように、優先度を設定します。(QoS)
  • 重要なアプリケーショントラフィックを転送しているメインリンクが停止した場合に、重要なトラフィック用のフォールバックリンクを作成して、負荷を分散します。
  • ディープインスペクションや分析用のトラフィックを分類します。ディープインスペクションや監査を受けなければならないアプリケーショントラフィックは、ネットワーク管理者が分類します。オプションとして、ネットワーク管理者はこのトラフィックを別のデバイスにルーティングすることもできます。
  • 加入者のプロファイルに基づいたトラフィック管理ポリシーおよびルールにより、サービスプロバイダネットワークの加入者トラフィックフローを制御します。たとえば、PBRでは、特定タイプのアプリケーショントラフィックをSLAに従って優先度設定して特定のルーティングパスにルーティングしたり、特定のユーザー要求を他の要求よりも高いレベルに設定したりできます(ゴールド、シルバー、ブロンズなど)。
  • 特定のトラフィック(映像のトラフィックなど)の配信にSLA(サービスレベル合意)を提供します。ユーザーへの最高品質の提供に必要な優先度、ルーティング、帯域幅を、承認されたトラフィックが受信できるようにします。
  • WAN最適化に対応するように特定のアプリケーションを送信します。たとえば、WANリンクで送信するために特定のアプリケーションを最適化します。PBRでは、ネットワーク管理者がトラフィックをアプリケーションに基づいて分類し、WANオプティマイザに送信することで、重要なアプリケーションやデータのアクセススピードを向上できます。

 

ジュニパーネットワークスの実装

APBR(高度ポリシーベースルーティング)は、アプリケーションベースルーティングとも呼ばれ、トラフィックをアプリケーションに基づいて転送する機能です。このAPBRが、ジュニパーネットワークスのスイートに新たに追加されました。セッションベースのアプリケーション認識型ルーティングの一種であるAPBRでは、アプリケーションに基づいてセッションを分類し、設定済みのルールを適用してトラフィックを再ルーティングします。APBRは、AppIDのディープパケットインスペクション(DPI)機能とパターンマッチング機能によってアプリケーショントラフィックやアプリケーション内ユーザーセッションを識別して、セキュリティを強化します。