创建业务策略规则

在企业门户的 SD-WAN 服务中，转到配置 (Configure) > 配置文件 (Profiles)。配置文件 (Profiles) 页面将显示现有的配置文件。

单击指向某个配置文件的链接，或者单击该配置文件的设备 (Device) 列中的查看 (View) 链接。将在设备 (Device) 选项卡中显示配置选项。

单击业务策略 (Business Policy) 选项卡。

从配置文件 (Profiles) 页面中，您可以直接导航到业务策略 (Business Policy) 页面，方法是单击配置文件的业务策略 (Biz. Pol) 列中的查看 (View) 链接。

在业务策略 (Business Policy) 页面中，单击 + 添加 (+ ADD)。将显示添加规则 (Add Rule) 窗口。

输入规则名称并选择 IP 版本。您可以根据选定的 IP 版本配置源和目标 IP 地址，如下所示：

IPv4 和 IPv6 (IPv4 and IPv6) - 允许在匹配条件中同时配置 IPv4 和 IPv6 地址。如果选择此模式，则可以从所含地址组具有两种类型的地址的对象组中选择 IP 地址。默认情况下，将选择该地址类型。
IPv4 - 适用于仅以 IPv4 地址作为源和目标的流量。
IPv6 - 适用于仅以 IPv6 地址作为源和目标的流量。
注：升级时，以前版本中的业务策略规则会移至 IPv4 模式。

在匹配 (Match) 选项卡中，配置源、目标和应用程序流量的匹配条件。

字段	描述
源 (Source)	允许指定数据包的源。选择任何以下选项：任意 (Any) - 默认情况下，允许所有源地址。对象组 (Object Group) - 允许您选择地址组和服务组的组合。如果地址类型为“IPv4”，则仅将地址组中的 IPv4 地址视为与流量源匹配。如果地址类型为“IPv6”，则仅将地址组中的 IPv6 地址视为与流量源匹配。如果地址类型为“IPv4 和 IPv6”(IPv4 and IPv6)，则将地址组中的 IPv4 和 IPv6 地址均视为与流量源匹配。有关更多信息，请参阅对象组和使用对象组配置业务策略。注：如果选定的地址组包含任何域名，在与源进行匹配时，将忽略这些域名。定义 (Define) - 允许您定义来自特定 VLAN、接口、IP 地址、端口或操作系统的源流量。选择以下选项之一： VLAN - 匹配来自从下拉菜单中选择的指定 VLAN 的流量。接口 (Interface) - 匹配来自从下拉菜单中选择的指定接口的流量。注：如果无法选择某个接口，则表明该接口未激活或未分配给此分段。 IP 地址 (IP Address) - 匹配来自指定 IP 地址（IPv4 或 IPv6）的流量。注：如果选择 IPv4 和 IPv6 (IPv4 and IPv6)（混合模式）作为 IP 版本，则此选项不可用。在混合模式中，流量根据指定的 VLAN 或接口进行匹配。除了 IP 地址以外，您还可以指定以下地址类型之一以匹配源流量： CIDR 前缀 (CIDR prefix) - 如果要将网络定义为 CIDR 值（例如 `172.10.0.0 /16`），请选择该选项。子网掩码 (Subnet mask) - 如果要根据子网掩码（例如 `172.10.0.0 255.255.0.0`）定义网络，请选择该选项。通配符掩码 (Wildcard mask) - 如果您希望能够将策略实施范围缩小到不同 IP 子网中的一组具有相同匹配主机 IP 地址值的设备，请选择该选项。通配符掩码基于反向子网掩码匹配一个或一组 IP 地址。掩码二进制值中的“0”表示值是固定的，掩码二进制值中的“1”表示值是通配符（可以是 1 或 0）。例如，IP 地址为 172.0.0 的通配符掩码 0.0.0.255（二进制值等同于 00000000.00000000.00000000.11111111），前三个八位字节是固定值，最后一个八位字节是可变值。该选项仅适用于 IPv4 地址。端口 (Ports) - 匹配来自指定源端口或端口范围的流量。操作系统 (Operating System) - 匹配来自从下拉菜单中选择的指定操作系统的流量。
目标 (Destination)	允许指定数据包的目标。选择任何以下选项：任意 (Any) - 默认情况下，允许所有目标地址。对象组 (Object Group) - 允许您选择地址组和服务组的组合。有关更多信息，请参阅对象组和使用对象组配置业务策略。定义 (Define) - 允许您为到特定 IP 地址、域名、协议或端口的目标流量定义匹配条件。选择以下选项之一，默认情况下，将选择任意 (Any)：任意 (Any) - 匹配所有目标流量。 Internet - 匹配到目标的所有 Internet 流量（与 SD-WAN 路由不匹配的流量）。 Edge - 匹配到 Edge 的所有流量。通过网关的非 SD-WAN 目标 (Non SD-WAN Destination via Gateway) - 匹配到通过网关的指定非 SD-WAN 目标（与配置文件关联）的所有流量。确保您在配置文件级别关联了通过网关的非 SD-WAN 站点。通过 Edge 的非 SD-WAN 目标 (Non SD-WAN Destination via Edge) - 匹配到通过 Edge 的指定非 SD-WAN 目标（与 Edge 或配置文件关联）的所有流量。确保您在配置文件或 Edge 级别关联了通过 Edge 的非 SD-WAN 站点。域名 (Domain name) - 匹配在域名 (Domain Name) 字段中指定的域名的整个域名或部分域名的流量。例如，“salesforce”将流量与“www.salesforce.com”进行匹配。协议 (Protocol) - 匹配从下拉菜单中选择的指定协议的流量。支持的协议包括：GRE、ICMP、TCP 和 UDP。注：混合 (Mixed) 模式不支持 ICMP。端口 (Ports) - 匹配来自指定源端口或端口范围的流量。
应用程序 (Application)	选择以下任一选项：任意 (Any) - 默认情况下，将业务策略规则应用于任何应用程序。定义 (Define) - 允许选择特定应用程序以应用业务策略规则。此外，还可以指定一个 DSCP 值以匹配具有预设的 DSCP/TOS 标记的传入流量。注：在创建仅与某个应用程序匹配的业务策略规则时，要为此类应用程序应用网络服务操作，Edge 可能需要使用 DPI（深度数据包检查）引擎。通常，DPI 无法根据第一个数据包来确定应用程序。DPI 引擎通常需要使用流量中的前 5-10 个数据包以识别应用程序。对于收到的前几个数据包，流量未进行分类，并且与一条不太具体的业务策略匹配，这可能会导致流量采用不同的路径，即“直接”(Direct) 而不是“多路径”(Multipath)，具体取决于它匹配的策略。在 DPI 确定流量类型后，它将与为此类流量配置的一条更具体的策略匹配。但是，该流量将继续采用与之匹配的原始策略中的路径，因为转向到新路径会中断该流量。这可能会导致流向特定目标 IP 和端口的第一个流量采用同一路径。填充应用程序缓存后，流向同一目标 IP 和端口的后续流量将采用在更具体的策略中为此类流量配置的另一个路径。 DPI 对流量进行分类后，会将目标 IP 和端口添加到应用程序缓存，并立即对流向该相同目标 IP 和端口的任何后续流量进行分类。如果 10 分钟内没有流量到达该目标 IP 和端口，应用程序缓存条目将过期。流到该目标 IP 和端口的下一个流量必须再次通过 DPI，并且在 DPI 识别应用程序之前，可能会根据它匹配的策略采用非预期的路径。

在操作 (Action) 选项卡中，配置在流量与定义的条件匹配时执行的操作。

注：根据匹配 (Match) 选项，可能无法使用某些操作。

字段	描述

优先级 (Priority)	将规则的优先级指定为以下级别之一：高 (High) 常规 (Normal) 低 (Low)
启用速率限制 (Enable Rate Limit)	选中启用速率限制 (Enable Rate Limit) 复选框，以设置入站和出站流量方向的限制。注：按流量执行速率限制。仅当您在业务策略中指定了链路或 Edge 接口时，对上游流量的速率限制才起作用。如果将“转向”(Steering) 选项设置为“自动”(Auto)、“传输”(Transport) 或“组”(Group)，速率限制将应用于所有相应链路的总带宽。这种情况下，可能不会按预期实施严格的速率限制。如果要实施严格的速率限制，应在业务策略中将流量转向到单个链路或 Edge 接口。
网络服务 (Network Service)	将网络服务 (Network Service) 设置为以下选项之一：直接 (Direct) - 将流量从 WAN 线路直接发送到目标，从而绕过 SD-WAN 网关。注：默认情况下，Edge 首选安全路由，而不是业务策略。在实践中，这意味着 Edge 将通过多路径（分支到分支或通过网关的云，具体取决于路由）转发流量，即使业务策略配置为通过直接路径发送该流量也是如此，前提是 Edge 已从合作伙伴网关或其他 Edge 接收到安全默认路由或更具体的安全路由。可以通过为客户激活“安全默认路由覆盖”(Secure Default Route Override) 功能来覆盖合作伙伴网关安全路由的此行为。合作伙伴超级用户或操作员可以激活此功能，该功能会覆盖所有也与业务策略匹配的合作伙伴网关安全路由。“安全默认路由覆盖”(Secure Default Route Override) 不会覆盖 Hub 安全路由。多路径 (Multi-Path) - 将流量从一个 SD-WAN Edge 发送到另一个 SD-WAN Edge。 Internet 回传 (Internet Backhaul) - 只有在目标 (Destination) 设置为 Internet 时，才会激活该网络服务。注： Internet 回传 (Internet Backhaul) 网络服务仅适用于 Internet 流量（传输到与已知本地路由或 VPN 路由不匹配的网络前缀的 WAN 流量）。有关这些选项的信息，请参阅为业务策略规则配置网络服务。如果在配置文件级别激活了条件回传，它默认适用于为该配置文件配置的所有业务策略。您可以选中禁用条件回传 (Turn off Conditional Backhaul) 复选框，以便为选定的策略禁用条件回传以从该行为中排除选定的流量（直接、多路径和 CSS）。有关如何激活条件回传功能以及对其进行故障排除的更多信息，请参见条件回传。
链路转向 (Link Steering)	选择以下链路转向模式之一：自动 (Auto) - 默认情况下，所有应用程序设置为自动链路转向模式。当应用程序处于自动“链路转向”模式时，DMPO 会根据应用程序类型自动选择最佳链接，并在必要时自动激活按需修复。传输组 (Transport Group) - 在转向策略中指定以下任一传输组选项，以便可以在不同的设备类型或位置中应用相同的业务策略配置，这些类型或位置可能具有完全不同的 WAN 运营商和 WAN 接口：公用有线 (Public Wired) 公用无线 (Public Wireless) 专用有线 (Private Wired) 接口 (Interface) - 链路转向绑定到一个物理接口，并主要用于路由用途。注：仅允许在 Edge 覆盖级别使用该选项。 WAN 链路 (WAN Link) - 允许根据特定的专用链路定义策略规则。对于此选项，接口配置是独立的，且不同于 WAN 链接配置。您将能够选择手动配置或自动发现的 WAN 链接。注：仅允许在 Edge 覆盖级别使用该选项。内部数据包 DSCP 标记 (Inner Packet DSCP Tag) - 从下拉菜单中选择“内部数据包 DSCP 标记”(Inner Packet DSCP Tag)。外部数据包 DSCP 标记 (Outer Packet DSCP Tag) - 从下拉菜单中选择“外部数据包 DSCP 标记”(Outer Packet DSCP Tag)。注：如果“网络服务”(Network Service) 配置为直接 (Direct)，在链路转向模式下不支持仅 IPv6 接口和仅 IPv6 WAN 链路。有关底层网络和覆盖网络流量的链路转向模式以及 DSCP 和 DSCP 标记的更多信息，请参阅配置链路转向模式。
启用 NAT (Enable NAT)	激活或停用 NAT。此选项不适用于 IPv4 和 IPv6 (IPv4 and IPv6) 模式。有关更多信息，请参阅配置基于策略的 NAT。
服务类别 (Service Class)	选择以下服务类别选项之一：实时 (Real-time) 事务性 (Transactional) 批量 (Bulk) 注：此选项仅适用于自定义应用程序。 VMware 应用程序/类别属于这些类别之一。

在配置所需的设置后，单击创建 (Create)。

此时将为选定配置文件创建业务策略规则，该规则显示在配置文件业务策略 (Profile Business Policy) 页面的业务策略规则 (Business Policy Rules) 区域下。

注：无法在 Edge 级别更新在配置文件级别创建的规则。要覆盖规则，用户需要在 Edge 级别使用新参数创建相同的规则以覆盖配置文件级别的规则。

对于 IPv6 以及 IPv4 和 IPv6 (IPv4 and IPv6) 模式，只能从 Orchestrator 创建业务策略规则。您只能通过 API 执行其余操作，例如“更新”(Update) 和“删除”(Delete)。

相关信息：覆盖网络 QoS CoS 映射

前提条件

过程