Advanced Policy-Based Routing auf Juniper SRX

02.06.2026 5 Min. Lesezeit

Wenn Routing mehr können muss als Longest Prefix Match

Routing gehört zu den grundlegenden Funktionen jedes Netzwerks. In den meisten Umgebungen entscheidet die Routing-Tabelle anhand des Longest-Prefix-Match-Verfahrens über den nächsten Hop eines Pakets. Dieses Verfahren ist effizient, skalierbar und für die überwiegende Mehrheit aller Anwendungsfälle vollkommen ausreichend.

In modernen Unternehmensnetzen reichen klassische Routingentscheidungen jedoch häufig nicht mehr aus. Anwendungen sollen abhängig von ihrer Herkunft, ihrem Typ oder ihrem Sicherheitskontext unterschiedliche Übertragungswege nutzen. Bestimmter Datenverkehr soll über dedizierte WAN-Anbindungen geleitet werden, während andere Anwendungen bevorzugt VPN-Verbindungen oder Internet-Breakouts verwenden.

Für solche Anforderungen bietet die SRX-Plattform Policy-Based Routing (PBR) und dessen erweiterte Variante Advanced Policy-Based Routing (APBR). Während klassisches Routing ausschließlich das Ziel betrachtet, ermöglicht APBR eine wesentlich flexiblere Verkehrssteuerung auf Basis zusätzlicher Kriterien. Genau diese Flexibilität macht APBR zu einem regelmäßig geprüften Thema innerhalb der JNCIP-SEC-Zertifizierung.

Die Grenzen klassischer Routingtabellen

Ein Routing-Protokoll kennt grundsätzlich nur ein Zielnetz und den dazugehörigen nächsten Hop.

Nehmen wir an, ein Unternehmen betreibt zwei Internetanschlüsse. Sämtlicher Datenverkehr zu einem Cloud-Dienst soll über Provider A laufen, während normale Internetzugriffe über Provider B abgewickelt werden. Beide Verbindungen führen letztlich zu denselben Zielnetzen.

Mit klassischem Routing lässt sich eine solche Anforderung nur schwer umsetzen, da die Entscheidung ausschließlich anhand der Zieladresse getroffen wird.

Ähnliche Herausforderungen entstehen bei MPLS-Netzen, VPN-Anbindungen, SD-WAN-Architekturen oder hybriden Cloud-Umgebungen.

Hier setzt APBR an.

Was ist Advanced Policy-Based Routing?

Advanced Policy-Based Routing erweitert die Routingentscheidung um zusätzliche Kriterien.

Anstatt ausschließlich das Zielnetz zu betrachten, können Routingentscheidungen beispielsweise auf folgenden Merkmalen basieren:

  • Quelladresse
  • Zieladresse
  • Anwendung
  • Benutzergruppe
  • Sicherheitszone
  • Routing-Instanz
  • Diensttyp
  • Protokoll
  • Portnummer

Dadurch wird Routing zu einer sicherheits- und anwendungsorientierten Funktion.

Die Firewall entscheidet nicht mehr nur, wohin ein Paket grundsätzlich gelangen soll, sondern auch über welchen Weg dies erfolgen soll.

Der Entscheidungsprozess innerhalb der SRX

Für das Verständnis von APBR ist die interne Paketverarbeitung der SRX entscheidend.

Nachdem ein Paket empfangen wurde, erfolgen zunächst die üblichen Prüfungen innerhalb der Flow Engine. Anschließend werden die definierten APBR-Richtlinien ausgewertet.

Treffen die Bedingungen einer Richtlinie zu, kann die Firewall den Datenverkehr gezielt in eine bestimmte Richtung lenken.

Erst wenn keine passende APBR-Regel gefunden wird, greift die normale Routing-Tabelle.

Dieser Unterschied ist wichtig, da APBR die klassische Routinglogik nicht ersetzt, sondern gezielt ergänzt.

APBR und Security Policies

Eine häufige Quelle von Missverständnissen liegt im Zusammenspiel von APBR und Security Policies.

Viele Administratoren betrachten beide Funktionen isoliert voneinander. Tatsächlich beeinflussen sie sich jedoch gegenseitig.

APBR entscheidet über den Weiterleitungsweg eines Pakets. Security Policies bestimmen anschließend, ob dieser Datenverkehr überhaupt erlaubt ist.

Wird ein Paket durch APBR in eine andere Routing-Instanz oder Sicherheitszone gelenkt, können sich dadurch völlig andere Policy-Anforderungen ergeben.

Gerade in der JNCIP-SEC-Prüfung werden solche Zusammenhänge regelmäßig abgefragt.

Routing Instances und APBR

Besonders leistungsfähig wird APBR in Kombination mit Routing Instances.

Routing Instances ermöglichen die Trennung mehrerer unabhängiger Routing-Tabellen innerhalb einer SRX. APBR kann genutzt werden, um Datenverkehr gezielt zwischen diesen Routing-Domänen zu verteilen.

Ein Beispiel wäre ein Unternehmen mit getrennten WAN-Anbindungen für Produktionssysteme, Office-Anwendungen und Gastnetzwerke.

Obwohl sich die Zieladressen überschneiden können, entscheidet APBR anhand definierter Kriterien, welche Routing-Instanz verwendet werden soll.

Dadurch entsteht eine sehr feingranulare Verkehrssteuerung.

APBR für Cloud-Anbindungen

Cloud-Umgebungen gehören zu den häufigsten Einsatzgebieten von APBR.

Viele Unternehmen nutzen gleichzeitig mehrere Cloud-Anbieter sowie lokale Rechenzentren. Nicht jede Verbindung besitzt dieselben Anforderungen hinsichtlich Latenz, Bandbreite oder Sicherheit.

APBR ermöglicht beispielsweise:

  • Direkte Cloud-Verbindungen für geschäftskritische Anwendungen
  • Nutzung dedizierter Express- oder Direct-Connect-Strecken
  • Lokalen Internet-Breakout für SaaS-Dienste
  • Nutzung unterschiedlicher WAN-Provider für verschiedene Anwendungen

Die Routingentscheidung orientiert sich dabei nicht ausschließlich am Zielnetz, sondern am eigentlichen Geschäftskontext der Anwendung.

APBR und VPN-Designs

Auch VPN-Architekturen profitieren erheblich von APBR.

In vielen Unternehmen existieren gleichzeitig:

  • Site-to-Site-IPSec-VPNs
  • Remote-Access-VPNs
  • MPLS-Verbindungen
  • Internet-Breakouts

Bestimmte Anwendungen sollen bevorzugt verschlüsselte Tunnel nutzen, während andere Dienste direkt über das Internet übertragen werden dürfen.

APBR ermöglicht diese Steuerung ohne komplexe Änderungen an bestehenden Routingtabellen.

Insbesondere in hybriden WAN-Architekturen entsteht dadurch ein hoher Grad an Flexibilität.

APBR und NAT

Eine der beliebtesten Prüfungsfallen besteht im Zusammenspiel von APBR und NAT.

Beide Technologien beeinflussen die Paketverarbeitung, jedoch an unterschiedlichen Stellen innerhalb der Flow Engine.

Wird ein Paket zunächst über APBR in eine andere Routing-Instanz geleitet, können sich dadurch andere NAT-Regeln ergeben als ursprünglich erwartet.

Ebenso kann NAT die Kriterien beeinflussen, die für spätere Verarbeitungsschritte relevant sind.

In komplexen Umgebungen müssen Administratoren deshalb genau verstehen, in welcher Reihenfolge die einzelnen Funktionen verarbeitet werden.

Failover und Redundanz

APBR spielt auch bei der Umsetzung redundanter WAN-Architekturen eine wichtige Rolle.

Unternehmen betreiben häufig mehrere Internetprovider oder unterschiedliche WAN-Technologien parallel.

Anstatt lediglich eine Backup-Route vorzuhalten, können APBR-Richtlinien gezielt definieren:

  • Welche Anwendungen welchen Provider nutzen
  • Welche Verbindungen bei einem Ausfall umgeleitet werden
  • Welche Dienste bevorzugte Pfade verwenden
  • Wie Lastverteilung erfolgen soll

Dadurch entstehen deutlich flexiblere Hochverfügbarkeitskonzepte als mit klassischen Routingmechanismen allein.

Monitoring und Troubleshooting

Die Fehlersuche bei APBR gehört zu den anspruchsvolleren Aufgaben eines SRX-Administrators.

Ein Paket kann aus verschiedenen Gründen einen unerwarteten Pfad nehmen:

  • Eine APBR-Regel wird nicht getroffen.
  • Eine andere Regel besitzt höhere Priorität.
  • Die Routing-Instanz ist falsch definiert.
  • Security Policies verhindern die Weiterleitung.
  • NAT verändert die erwarteten Parameter.
  • Failover-Ereignisse beeinflussen den Datenpfad.

Besonders wichtig ist daher die Analyse der tatsächlichen Paketverarbeitung innerhalb der Flow Engine.

Die Diagnosewerkzeuge der SRX ermöglichen die Nachverfolgung einzelner Sessions und zeigen an, welche APBR-Regeln angewendet wurden.

In der Praxis spart dieses Verständnis häufig viele Stunden Fehlersuche.

Typische Prüfungsfragen

Juniper prüft APBR selten über reine Konfigurationssyntax.

Stattdessen werden Design- und Troubleshooting-Szenarien präsentiert.

Beispielsweise könnte eine Aufgabe beschreiben, dass Datenverkehr trotz vorhandener Routingtabellen einen bestimmten WAN-Link verwenden soll. Der Kandidat muss anschließend identifizieren, welche APBR-Konfiguration erforderlich wäre.

Andere Fragen kombinieren APBR mit:

  • NAT
  • VPNs
  • Routing Instances
  • Security Policies
  • High Availability

Wer lediglich die Konfigurationsbefehle kennt, wird solche Aufgaben nur schwer lösen können.

APBR im Zeitalter von SD-WAN

Mit der Verbreitung von SD-WAN-Lösungen könnte man annehmen, dass Policy-Based Routing an Bedeutung verliert.

Tatsächlich ist das Gegenteil der Fall.

Viele SD-WAN-Plattformen basieren intern auf denselben Prinzipien, die auch APBR nutzt. Anwendungen werden anhand definierter Richtlinien klassifiziert und über unterschiedliche Transportwege geleitet.

Ein solides Verständnis von APBR erleichtert daher auch das Verständnis moderner SD-WAN-Architekturen erheblich.

Fazit

Advanced Policy-Based Routing erweitert die klassischen Routingfunktionen der SRX um eine intelligente, kontextbasierte Verkehrssteuerung. Anstatt Entscheidungen ausschließlich anhand von Zielnetzen zu treffen, können Anwendungen, Benutzergruppen, Routing-Instanzen und Sicherheitsanforderungen in die Pfadwahl einbezogen werden.

Gerade in hybriden Cloud-Umgebungen, Multi-WAN-Architekturen und komplexen VPN-Designs gehört APBR zu den wichtigsten Werkzeugen moderner Netzwerkinfrastrukturen. Für die JNCIP-SEC-Prüfung ist insbesondere das Zusammenspiel mit NAT, Security Policies und Routing Instances von zentraler Bedeutung. Wer diese Zusammenhänge versteht, beherrscht einen wesentlichen Baustein moderner SRX-Architekturen.

Artikelserie JNCIP-SEC Zertifizierung
Schlagworte Juniper JNCIP-SEC SRX APBR NAT VPN