通过使用 SD-WAN Orchestrator,您可以在配置文件和 Edge 级别配置业务策略规则。各个级别的操作员、合作伙伴和管理员都可以创建业务策略。业务策略匹配一些参数,例如,IP 地址、端口、VLAN ID、接口、域名、协议、操作系统、对象组、应用程序和 DSCP 标记。在数据包符合匹配条件时,将执行一个或多个关联的操作。如果数据包与任何参数均不匹配,则会对该数据包执行默认操作。

开始之前:知道设备的 IP 地址并了解设置通配符掩码的影响。

要创建业务策略,请执行以下操作:
  1. SD-WAN Orchestrator 中,转到配置 (Configure) > 配置文件 (Profiles) > 业务策略 (Business Policy)
  2. 业务策略 (Business Policy) 区域下面,单击新建规则 (New Rule)。将显示配置规则 (Configure Rule) 对话框。
  3. 规则名称 (Rule Name) 框中,为规则输入唯一的名称。
  4. 匹配 (Match) 区域下面,配置流量的匹配条件。您选择的选项可能会更改对话框中的字段:
    设置 描述
    允许指定源流量的匹配条件。选择任何以下选项:
    • 任意 (Any) - 默认情况下,匹配所有源流量。
    • 对象组 (Object Group) - 允许您选择要与源匹配的地址组和端口组组合。有关更多信息,请参阅对象组使用对象组配置业务策略
      注: 如果选定的地址组包含任何域名,在与源进行匹配时,将忽略这些域名。
    • 定义 (Define) - 允许您为来自特定 VLAN、接口、IP 地址、端口或操作系统的源流量定义匹配条件。选择以下选项之一,默认情况下,将选择无 (None)
      • VLAN - 匹配来自从下拉菜单中选择的指定 VLAN 的流量。
      • 接口 (Interface) - 匹配来自从下拉菜单中选择的指定接口的流量。
        注: 如果无法选择某个接口,则表明该接口未激活或未分配给此分段。
      • IP 地址 (IP Address) - 匹配来自指定 IP 地址的流量。除了 IP 地址以外,您还可以指定以下选项之一以匹配源流量:
        • CIDR 前缀 (CIDR prefix) - 如果要将网络定义为 CIDR 值(例如 172.10.0.0 /16),请选择该选项。
        • 子网掩码 (Subnet mask) - 如果要根据子网掩码(例如 172.10.0.0 255.255.0.0)定义网络,请选择该选项。
        • 通配符掩码 (Wildcard mask) - 如果您希望能够将策略实施范围缩小到不同 IP 子网中的一组设备(它们具有相同的匹配主机 IP 地址值),请选择该选项。通配符掩码与基于反向子网掩码的一个 IP 或一组 IP 地址相匹配。掩码二进制值中的“0”表示值是固定的,掩码二进制值中的“1”表示值是通配符(可以是 1 或 0)。例如,IP 地址为 172.0.0 的通配符掩码 0.0.0.255(二进制值等同于 00000000.00000000.00000000.11111111),前三个八位字节是固定值,最后一个八位字节是可变值。
      • 端口 (Port) - 匹配来自指定源端口或端口范围的流量。
      • 操作系统 (Operating System) - 匹配来自从下拉菜单中选择的指定操作系统的流量。
    目标 (Destination) 允许指定目标流量的匹配条件。选择任何以下选项:
    • 任意 (Any) - 默认情况下,匹配所有目标流量。
    • 对象组 (Object Group) - 允许您选择要与目标匹配的地址组和端口组组合。有关更多信息,请参阅对象组使用对象组配置业务策略
    • 定义 (Define) - 允许您为到特定 IP 地址、域名、协议或端口的目标流量定义匹配条件。选择以下选项之一,默认情况下,将选择任意 (Any)
      • 任意 (Any) - 匹配所有目标流量。
      • Internet - 匹配到目标的所有 Internet 流量(与 SD-WAN 路由不匹配的流量)。
      • Edge - 匹配到 Edge 的所有流量。
      • 通过网关的非 SD-WAN 目标 (Non SD-WAN Destination via Gateway) - 匹配到通过网关的指定 非 SD-WAN 目标(与配置文件关联)的所有流量。确保您在配置文件级别关联了通过网关的非 SD-WAN 站点。
      • 通过 Edge 的非 SD-WAN 目标 (Non SD-WAN Destination via Edge) - 匹配到通过 Edge 的指定 非 SD-WAN 目标(与 Edge 或配置文件关联)的所有流量。确保您在配置文件或 Edge 级别关联了通过 Edge 的非 SD-WAN 站点。

      协议 (Protocol) - 匹配从下拉菜单中选择的指定协议的流量。支持的协议包括:GRE、ICMP、TCP 和 UDP。

      域 (Domain) - 匹配在域名 (Domain Name) 字段中指定的域名的整个域名或一部分的流量。例如,“salesforce”将流量与“www.salesforce.com”进行匹配。
    应用程序 (Application) 选择以下任一选项:
    • 任意 (Any) - 默认情况下,将业务策略规则应用于任何应用程序。
    • 定义 (Define) - 允许选择特定应用程序以应用业务策略规则。此外,还可以指定一个 DSCP 值以匹配具有预设的 DSCP/TOS 标记的传入流量。
    注:
    • 在创建仅与某个应用程序匹配的业务策略规则时,要为此类应用程序应用网络服务操作,Edge 可能需要使用 DPI(深度数据包检查)引擎。通常,DPI 无法根据第一个数据包来确定应用程序。DPI 引擎通常需要使用流量中的前 5-10 个数据包以识别应用程序。对于收到的前几个数据包,流量未进行分类,并且与一条不太具体的业务策略匹配,这可能会导致流量采用不同的路径,即“直接”(Direct) 而不是“多路径”(Multipath),具体取决于它匹配的策略。在 DPI 确定流量类型后,它将与为此类流量配置的一条更具体的策略匹配。但是,该流量将继续采用与之匹配的原始策略中的路径,因为转向到新路径会中断该流量。这可能会导致流向特定目标 IP 和端口的第一个流量采用同一路径。填充应用程序缓存后,流向同一目标 IP 和端口的后续流量将采用在更具体的策略中为此类流量配置的另一个路径。
    • DPI 对流量进行分类后,会将目标 IP 和端口添加到应用程序缓存,并立即对流向该相同目标 IP 和端口的任何后续流量进行分类。如果 10 分钟内没有流量到达该目标 IP 和端口,应用程序缓存条目将过期。流到该目标 IP 和端口的下一个流量必须再次通过 DPI,并且在 DPI 识别应用程序之前,可能会根据它匹配的策略采用非预期的路径。
    根据匹配 (Match) 选项,可能无法使用某些操作。
  5. 操作 (Action) 区域下面,为规则配置操作:
    设置 描述
    优先级 (Priority) 将规则的优先级指定为以下级别之一:
    • 高 (High)
    • 常规 (Normal)
    • 低 (Low)
    选中速率限制 (Rate Limit) 复选框,以设置入站和出站流量方向的限制。
    注: 仅当您在业务策略中指定了链路或 Edge 接口时,对上游流量的速率限制才起作用。如果将“转向”(Steering) 选项设置为“自动”(Auto)、“传输”(Transport) 或“组”(Group),速率限制将应用于所有相应链路的总带宽。这种情况下,可能不会按预期实施严格的速率限制。如果要实施严格的速率限制,应在业务策略中将流量转向到单个链路或 Edge 接口。
    网络服务 (Network Service) 网络服务 (Network Service) 设置为以下选项之一:
    • 直接 (Direct) - 将流量从 WAN 线路直接发送到目标,从而绕过 SD-WAN 网关
      注:

      默认情况下,Edge 首选安全路由,而不是业务策略。在实践中,这意味着 Edge 将通过多路径(分支到分支或通过网关的云,具体取决于路由)转发流量,即使业务策略配置为通过直接路径发送该流量也是如此,前提是 Edge 已从合作伙伴网关或其他 Edge 接收到安全默认路由或更具体的安全路由。

      可以通过为客户激活“安全默认路由覆盖”(Secure Default Route Override) 功能来覆盖合作伙伴网关安全路由的此行为。合作伙伴超级用户或操作员可以激活此功能,该功能会覆盖所有也与业务策略匹配的合作伙伴网关安全路由。“安全默认路由覆盖”(Secure Default Route Override) 不会覆盖 Hub 安全路由。

    • 多路径 (Multi-Path) - 将流量从一个 SD-WAN Edge 发送到另一个 SD-WAN Edge
    • Internet 回传 (Internet Backhaul) - 只有在目标 (Destination) 设置为 Internet 时,才会激活该网络服务。
      注: Internet 回传 (Internet Backhaul) 网络服务仅适用于 Internet 流量(传输到与已知本地路由或 VPN 路由不匹配的网络前缀的 WAN 流量)。

      有关这些选项的信息,请参阅为业务策略规则配置网络服务

    如果在配置文件级别激活了条件回传,它默认适用于为该配置文件配置的所有业务策略。您可以选中禁用条件回传 (Turn off Conditional Backhaul) 复选框,以便为选定的策略禁用条件回传以从该行为中排除选定的流量(直接、多路径和 CSS)。

    有关如何激活条件回传功能以及对其进行故障排除的更多信息,请参见条件回传
    链路转向 (Link Steering) 选择以下链路转向模式之一:
    • 自动 (Auto) - 默认情况下,所有应用程序设置为自动链路转向模式。当应用程序处于自动“链路转向”模式时,DMPO 会根据应用程序类型自动选择最佳链接,并在必要时自动激活按需修复。从下拉菜单中输入内部数据包 DSCP 标记,然后从下拉菜单中输入外部数据包 DSCP 标记。
    • 传输组 (Transport Group) - 在转向策略中指定以下任一传输组选项,以便可以在不同的设备类型或位置中应用相同的业务策略配置,这些类型或位置可能具有完全不同的 WAN 运营商和 WAN 接口:
      • 公用有线 (Public Wired)
      • 公用无线 (Public Wireless)
      • 专用有线 (Private Wired)
    • 接口 (Interface) - 链路转向绑定到一个物理接口,并主要用于路由用途。
      注: 仅允许在 Edge 覆盖级别使用该选项。
    • WAN 链路 (WAN Link) - 允许根据特定的专用链路定义策略规则。对于此选项,接口配置是独立的,且不同于 WAN 链接配置。您将能够选择手动配置或自动发现的 WAN 链接。
      注: 仅允许在 Edge 覆盖级别使用该选项。
    注: 如果“网络服务”(Network Service) 配置为 直接 (Direct),在链路转向模式下不支持仅 IPv6 接口和仅 IPv6 WAN 链路。

    有关底层网络和覆盖网络流量的链路转向模式以及 DSCP 和 DSCP 标记的更多信息,请参阅配置链路转向模式
    NAT 激活或停用 NAT。有关更多信息,请参阅配置基于策略的 NAT
    服务类别 (Service Class) 选择以下服务类别选项之一:
    • 实时 (Real-time)
    • 事务性 (Transactional)
    • 批量 (Bulk)
    注: 此选项仅适用于自定义应用程序。
    VMware 应用程序/类别属于这些类别之一。
  6. 单击确定 (OK)。将为选定配置文件创建业务策略规则,该规则显示在配置文件业务策略 (Profile Business Policy) 页面的业务策略 (Business Policy) 区域下面。

    相关信息:覆盖网络 QoS CoS 映射