通过使用 SD-WAN Orchestrator,您可以在配置文件和 Edge 级别配置业务策略规则。各个级别的操作员、合作伙伴和管理员都可以创建业务策略。业务策略匹配一些参数,例如,IP 地址、端口、VLAN ID、接口、域名、协议、操作系统、对象组、应用程序和 DSCP 标记。在数据包符合匹配条件时,将执行一个或多个关联的操作。如果数据包与任何参数均不匹配,则会对该数据包执行默认操作。

开始之前:知道设备的 IP 地址并了解设置通配符掩码的影响。

要创建业务策略,请执行以下操作:
  1. SD-WAN Orchestrator 中,转到配置 (Configure) > 配置文件 (Profiles) > 业务策略 (Business Policy)
  2. 业务策略 (Business Policy) 区域下面,单击新建规则 (New Rule)。将显示配置规则 (Configure Rule) 对话框。
  3. 规则名称 (Rule Name) 框中,为规则输入唯一的名称。
  4. 匹配 (Match) 区域下面,配置流量的匹配条件。您选择的选项可能会更改对话框中的字段:
    设置 描述
    允许指定源流量的匹配条件。选择任何以下选项:
    • 任意 (Any) - 默认情况下,匹配所有源流量。
    • 对象组 (Object Group) - 允许您选择要与源匹配的地址组和端口组组合。有关更多信息,请参阅对象组使用对象组配置业务策略
      注: 如果选定的地址组包含任何域名,在与源进行匹配时,将忽略这些域名。
    • 定义 (Define) - 允许您为来自特定 VLAN、接口、IP 地址、端口或操作系统的源流量定义匹配条件。选择以下选项之一,默认情况下,将选择无 (None)
      • VLAN - 匹配来自从下拉菜单中选择的指定 VLAN 的流量。
      • 接口 (Interface) - 匹配来自从下拉菜单中选择的指定接口的流量。
        注: 如果无法选择接口,则接口已禁用或未分配给该分段。
      • IP 地址 (IP Address) - 匹配来自指定 IP 地址的流量。除了 IP 地址以外,您还可以指定以下选项之一以匹配源流量:
        • CIDR 前缀 (CIDR prefix) - 如果要将网络定义为 CIDR 值(例如 172.10.0.0 /16),请选择该选项。
        • 子网掩码 (Subnet mask) - 如果要根据子网掩码(例如 172.10.0.0 255.255.0.0)定义网络,请选择该选项。
        • 通配符掩码 (Wildcard mask) - 如果您希望能够将策略实施范围缩小到不同 IP 子网中的一组设备(它们具有相同的匹配主机 IP 地址值),请选择该选项。通配符掩码与基于反向子网掩码的一个 IP 或一组 IP 地址相匹配。掩码二进制值中的“0”表示值是固定的,掩码二进制值中的“1”表示值是通配符(可以是 1 或 0)。例如,IP 地址为 172.0.0 的通配符掩码 0.0.0.255(二进制值等同于 00000000.00000000.00000000.11111111),前三个八位字节是固定值,最后一个八位字节是可变值。
      • 端口 (Port) - 匹配来自指定源端口或端口范围的流量。
      • 操作系统 (Operating System) - 匹配来自从下拉菜单中选择的指定操作系统的流量。
    目标 (Destination) 允许指定目标流量的匹配条件。选择任何以下选项:
    • 任意 (Any) - 默认情况下,匹配所有目标流量。
    • 对象组 (Object Group) - 允许您选择要与目标匹配的地址组和端口组组合。有关更多信息,请参阅对象组使用对象组配置业务策略
    • 定义 (Define) - 允许您为到特定 IP 地址、域名、协议或端口的目标流量定义匹配条件。选择以下选项之一,默认情况下,将选择任意 (Any)
      • 任意 (Any) - 匹配所有目标流量。
      • Internet - 匹配到目标的所有 Internet 流量(与 SD-WAN 路由不匹配的流量)。
      • Edge - 匹配到 Edge 的所有流量。
      • 通过网关的非 SD-WAN 目标 (Non SD-WAN Destination via Gateway) - 匹配到通过网关的指定 Non VMware SD-WAN Site(与配置文件关联)的所有流量。确保您在配置文件级别关联了通过网关的非 SD-WAN 站点。
      • 通过 Edge 的非 SD-WAN 目标 (Non SD-WAN Destination via Edge) - 匹配到通过 Edge 的指定 Non VMware SD-WAN Site(与 Edge 或配置文件关联)的所有流量。确保您在配置文件或 Edge 级别关联了通过 Edge 的非 SD-WAN 站点。

      协议 (Protocol) - 匹配从下拉菜单中选择的指定协议的流量。支持的协议包括:GRE、ICMP、TCP 和 UDP。

      域 (Domain) - 匹配在域名 (Domain Name) 字段中指定的域名的整个域名或一部分的流量。例如,“salesforce”将流量与“www.salesforce.com”进行匹配。

    应用程序 (Application) 选择任何以下选项:
    • 任意 (Any) - 默认情况下,将业务策略规则应用于任何应用程序。
    • 定义 (Define) - 允许选择特定应用程序以应用业务策略规则。此外,还可以指定一个 DSCP 值以匹配具有预设的 DSCP/TOS 标记的传入流量。
    注: 在创建仅与某个应用程序匹配的业务策略规则时,要为此类应用程序应用网络服务操作,Edge 可能需要使用 DPI(深入的数据包检查)引擎。通常,DPI 无法根据第一个数据包来确定应用程序。DPI 引擎通常需要使用流量中的前 5-10 个数据包以识别应用程序。仅对于收到的第一个数据包,流量可能会采用不同的路径,即“直接”而不是“多路径”或“Internet 回传”,具体取决于业务策略配置。
    根据匹配 (Match) 选项,可能无法使用某些操作。
  5. 操作 (Action) 区域下面,为规则配置操作:
    设置 描述
    优先级 (Priority) 将规则的优先级指定为以下级别之一:
    • 高 (High)
    • 常规 (Normal)
    • 低 (Low)
    选中速率限制 (Rate Limit) 复选框,以设置入站和出站流量方向的限制。
    网络服务 (Network Service) 网络服务 (Network Service) 设置为以下选项之一:
    • 直接 (Direct) - 将流量从 WAN 线路直接发送到目标,从而绕过 SD-WAN Gateway
      注: 默认情况下,Edge 首选安全路由,而不是业务策略。在实践中,这意味着 Edge 将通过多路径(分支到分支或通过网关的云,具体取决于路由)转发流量,即使业务策略配置为通过直接路径发送该流量也是如此,前提是 Edge 已从合作伙伴网关或其他 Edge 接收到安全默认路由或更具体的安全路由。
    • 多路径 (Multi-Path) - 将流量从一个 SD-WAN Edge 发送到另一个 SD-WAN Edge
    • Internet 回传 (Internet Backhaul) - 只有在目标 (Destination) 设置为 Internet 时,才会启用该网络服务。
      注: Internet 回传 (Internet Backhaul) 网络服务仅适用于 Internet 流量(传输到与已知本地路由或 VPN 路由不匹配的网络前缀的 WAN 流量)。

      有关这些选项的信息,请参阅配置操作网络服务

    如果在配置文件级别启用了条件回传,它默认适用于为该配置文件配置的所有业务策略。您可以选中禁用条件回传 (disable conditional backhaul) 复选框,以便为选定的策略禁用条件回传以从该行为中排除选定的流量(直接、多路径和 CSS)。

    有关如何启用条件回传功能以及对其进行故障排除的更多信息,请参见条件回传

    链路转向 (Link Steering) 选择以下链路转向模式之一:
    • 自动 (Auto) - 默认情况下,所有应用程序设置为自动链路转向模式。当应用程序处于自动“链路转向”模式时,DMPO 会根据应用程序类型自动选择最佳链接,并在必要时自动启用按需修复。从下拉菜单中输入内部数据包 DSCP 标记,然后从下拉菜单中输入外部数据包 DSCP 标记。
    • 传输组 (Transport Group) - 在转向策略中指定以下任一传输组选项,以便可以在不同的设备类型或位置中应用相同的业务策略配置,这些类型或位置可能具有完全不同的 WAN 运营商和 WAN 接口:
      • 公用有线 (Public Wired)
      • 公用无线 (Public Wireless)
      • 专用有线 (Private Wired)
    • 接口 (Interface) - 链路转向绑定到一个物理接口,并主要用于路由用途。
      注: 仅允许在 Edge 覆盖级别使用该选项。
    • WAN 链路 (WAN Link) - 允许根据特定的专用链路定义策略规则。对于此选项,接口配置是独立的,且不同于 WAN 链接配置。您将能够选择手动配置或自动发现的 WAN 链接。
      注: 仅允许在 Edge 覆盖级别使用该选项。

    有关底层网络和覆盖网络流量的链路转向模式以及 DSCP 和 DSCP 标记的更多信息,请参阅配置链路转向模式

    NAT 禁用或启用 NAT。有关更多信息,请参阅配置基于策略的 NAT
    服务类别 (Service Class) 选择以下服务类别选项之一:
    • 实时 (Real-time)
    • 事务性 (Transactional)
    • 批量 (Bulk)
    注: 此选项仅适用于自定义应用程序。
    VMware 应用程序/类别属于这些类别之一。
  6. 单击确定 (OK)。将为选定配置文件创建业务策略规则,该规则显示在配置文件业务策略 (Profile Business Policy) 页面的业务策略 (Business Policy) 区域下面。

    相关信息:覆盖网络 QoS CoS 映射