Podnikové zásady mohou vytvářet operátoři, partneři a administrátoři všech úrovní.

První kroky: (Before you begin:) Poznamenejte si IP adresy vašich zařízení a seznamte se s principy nastavení invertované masky.

O této úloze: (About this task): K dispozici jsou tři možnosti IP adresy: Předpona CIDR (CIDR Prefix), Maska podsítě (Subnet Mask) a Invertovaná maska (Wildcard Mask).

Vytvoření podnikové zásady:
  1. K přidání pravidla podnikové zásady klikněte na tlačítko Nové pravidlo (New Rule).

    Otevře se dialogové okno Konfigurace pravidla (Configure Rule).

  2. V oblasti Shoda (Match) v dialogovém okně Konfigurace pravidla (Configure Rule) se ke konfiguraci toku dat používají tři oblasti:
    • Zdroj (Source)
    • Cíl (Destination)
    • Aplikace (Application)
    Pomocí následujícího postupu nakonfigurujte oblast Zdroj (Source) v oblasti Shoda (Match).
  3. V oblasti Zdroj (Source) podle potřeby klikněte na tlačítko Definovat (Define) a omezte tak zdrojový tok dat na konkrétní síť VLAN, IP adresu nebo operační systém. Ve výchozím nastavení je zvolena možnost Libovolné (Any).
  4. Po kliknutí na tlačítko Definovat (Define) můžete upravit možnosti popsané v následujících krocích.
    1. Žádné (None): vybráno ve výchozím nastavení.
    2. VLAN: klikněte na přepínač VLAN a z rozevírací nabídky zvolte příslušnou síť VLAN.
    3. IP adresa (IP Address): klikněte na možnost IP adresa (IP Address) a zadejte IP adresu. Poté vyberte z rozevírací nabídky jednu ze tří možností (Předpona CIDR (CIDR Prefix), Maska podsítě (Subnet Mask) nebo Invertovaná maska (Wildcard Mask)).
      Možnost Popis
      Předpona CIDR (CIDR prefix) Tuto možnost vyberte, pokud chcete síť definovat jako hodnotu CIDR (například: 172.10.0.0 /16).
      Maska podsítě (Subnet mask) Tuto možnost vyberte, pokud chcete síť definovat na základě masky podsítě (například: 172.10.0.0 255.255.0.0).
      Invertovaná maska (Wildcard mask) Tuto možnost vyberte, pokud chcete mít možnost filtrovat vynucování zásad pouze na určitou sadu zařízení v různých podsítích IP, které sdílejí odpovídající hodnotu IP adresy hostitele. Invertovaná maska se shoduje s IP adresou nebo jejich množinou na základě invertované masky podsítě. „0“ v binární hodnotě masky znamená, že je hodnota pevně daná, a 1 znamená, že je tato hodnota zástupná a může být 1 nebo 0. Například inverzní maska 0.0.0.255 (binární ekvivalent je 00000000.00000000.00000000.11111111) u IP adresy 172.0.0 znamená, že první tři oktety jsou pevně dané hodnoty a poslední oktet je proměnný. Poznámka: Po nastavení tohoto pravidla s pomocí invertované masky se zúží počet klientů, na které se toto pravidlo vztahuje.

    4. Porty (Ports): do příslušného textového pole zadejte porty.
    5. Operační systém (Operating System): z rozevírací nabídky můžete zvolit operační systém klientského zařízení.
  5. V oblasti Cíl (Destination) můžete dle pokynů v následujících krocích přiřadit další parametry, které se použijí k identifikaci cíle toku dat:
    1. Cíl toku dat určete kliknutím na jednu z těchto možností: Libovolné (Any), Internet, VeloCloud Edge nebo Lokalita (jiná než VeloCloud) (Non-VeloCloud Site). Popis těchto cílů toků dat naleznete v tématu Konfigurace cíle shody.
      Poznámka: Než bude možné určit cíl toku dat, je nutné aktivovat funkci cloudové VPN k propojení větví.
    2. Do příslušného textového pole zadejte IP adresu a zadejte možnost IP adresy: Předpona CIDR (CIDR Prefix), Maska podsítě (Subnet Mask) nebo Invertovaná maska (Wildcard Mask).
      Možnost Popis
      Předpona CIDR (CIDR Prefix) Tuto možnost vyberte, pokud chcete síť definovat jako hodnotu CIDR (například: 172.10.0.0 /16).
      Maska podsítě (Subnet mask) Tuto možnost vyberte, pokud chcete síť definovat na základě masky podsítě (například: 172.10.0.0 255.255.0.0).
      Invertovaná maska (Wildcard Mask) Tuto možnost vyberte, pokud chcete mít možnost filtrovat vynucování zásad pouze na určitou sadu zařízení v různých podsítích IP, které sdílejí odpovídající hodnotu IP adresy hostitele. Invertovaná maska se shoduje s IP adresou nebo jejich množinou na základě invertované masky podsítě. „0“ v binární hodnotě masky znamená, že je hodnota pevně daná, a 1 znamená, že je tato hodnota zástupná a může být 1 nebo 0. Například inverzní maska 0.0.0.255 (binární ekvivalent je 00000000.00000000.00000000.11111111) u IP adresy 172.0.0 znamená, že první tři oktety jsou pevně dané hodnoty a poslední oktet je proměnný.
      Poznámka: Po nastavení tohoto pravidla s pomocí invertované masky se zúží počet klientů, na které se toto pravidlo vztahuje.
    3. Zadejte název hostitele (Enter a Hostname): Do tohoto pole zadejte výraz odpovídající celému názvu hostitele nebo jeho části. Například při použití výrazu „salesforce“ se zobrazí tok dat pro umístění „www.salesforce.com“.
    4. Protokol (Protocol): Protokol představuje sadu pravidel a standardů definujících jazyk, který zařízení používají ke komunikaci. Z rozevírací nabídky zvolte vhodný protokol: GRE, ICMP, TCP nebo UDP.
    5. Porty (Ports): Port představuje adresu na jednom počítači, kterou můžete provázat s konkrétní součástí softwaru. Do textového pole Port zadejte odpovídající číslo portu.
  6. V nabídce Aplikace (Application) zvolte vhodné aplikace:
    1. Pokud budete chtít určit konkrétní aplikace, klikněte na tlačítko Definovat (Define). Ve výchozím nastavení je zvolena možnost Libovolné (Any).
    2. V seznamu Procházet (Browse) vyberte kategorii aplikace. V pravé části seznamu Procházet (Browse) se zobrazí seznam konkrétních aplikací. Přejděte v seznamu dolů a vyberte konkrétní aplikaci, kterou chcete definovat.
    3. Z rozevírací nabídky zvolte hodnotu DSCP.
  7. V oblasti Akce (Actions) proveďte následující dílčí kroky:
    1. Priorita (Priority): Určete prioritu pravidla (Vysoká (High), Normální (Normal) nebo Nízká (Low)). Po kliknutí na pole Omezit rychlost (Rate Limit) můžete nastavit limity pro příchozí a odchozí tok dat.
    2. Síťové služby (Network Service): Zvolte jednu z možností Přímé (Direct), Vícecestné (Multi-Path) nebo Páteřní připojení (Internet Backhaul). Pokud vyberete možnost Přímé (Direct), data budou odesílána přímo do cíle bez použití SD-WAN Gateway. Možnost Páteřní připojení lze použít pouze v rámci internetových pravidel. Informace o těchto možnostech naleznete v tématu Konfigurace síťové služby Akce.
    3. Vedení linek (Link Steering): Z následující tabulky zvolte některou z možností. (Informace o DSCP, označení DSCP pro tok dat v underlay a overlay síti naleznete v části Vedení linek v tématu Označení DSCP pro tok dat v underlay a overlay síti.)
      Možnost Popis
      Automatické (Auto) Ve výchozím nastavení se všechny aplikace nachází v režimu automatického vedení linek. Kdykoli je aplikace v režimu automatického vedení linek, DMPO automaticky vybere nejlepší linky na základě typu aplikace a pokud je to nutné, automaticky aktivuje vyžádané nápravy. Další informace o této problematice naleznete v tématu Vedení linek: automatické. Z rozevírací nabídky zvolte tag DSCP pro vnitřní paket a tag DSCP pro vnější paket.
      Transportní skupina (Transport Group) Transportní skupina představuje balíček linek WAN seskupených podle podobných vlastností a funkcí. Popis následujících možností transportní skupiny naleznete v tématu Vedení linek podle transportní skupiny. Z rozevírací nabídky zvolte možnost Veřejné kabelové (Public Wired), Veřejné bezdrátové (Public Wireless) nebo Soukromé kabelové (Private Wired). Použijte některý z následujících přepínačů: Povinná (Mandatory), Preferovaná (Preferred) nebo K dispozic (Available). V příslušných rozevíracích nabídkách zvolte tag DSCP pro vnitřní a vnější paket.
      Rozhraní (Interface) Proveďte následující kroky pro rozhraní níže. Další informace naleznete v tématu Vedení linek podle rozhraní.
      • Z rozevírací nabídky zvolte rozhraní.
      • Do textového pole zadejte výraz VLAN.
        Poznámka: Pokud používáte vícecestnou síťovou službu, síť VLAN nebude možné zvolit.
      • Použijte některý z následujících přepínačů: Povinná, Preferovaná nebo K dispozici. Pokud zvolíte možnost Preferovaná, zpřístupní se zaškrtávací pole Korekce chyb před vedením (Error Correct Before Steering). Pokud zrušíte označení tohoto pole, aplikace provede vedení před provedením korekce chyb.
      • Testování paměti modulu ICMP (ICMP Probe): Podle potřeby z rozevírací nabídky vyberte možnost Testování paměti modulu ICMP.
      • V příslušných rozevíracích nabídkách zvolte tag DSCP pro vnitřní a vnější paket.
      Linka WAN (WAN Link) V případě této možnosti probíhá konfigurace rozhraní odděleně a od konfigurace linky sítě WAN se liší. Na výběr budete mít linku sítě WAN, která byla buď nakonfigurována manuálně, nebo zjištěna automaticky. Z rozevírací nabídky vyberte linku WAN. Další informace naleznete v tématu Rozevírací nabídka linky WAN.
    4. NAT: Zde můžete deaktivovat nebo aktivovat překlad síťových adres (NAT). Další informace naleznete v tématu Konfigurace překladu síťových adres na základě zásad.
    5. Třída služby (Service Class): Vyberte možnost pro třídu služby. Pro třídu služby můžete zvolit parametr Reálný čas (tok dat ovlivněný časem), Transakční nebo Dávkový. Tato možnost je určena pouze pro vlastní aplikaci. Aplikace/kategorie VMware spadají do jedné z těchto kategorií.
  8. Pravidlo můžete nakonfigurovat kliknutím na tlačítko OK. Pravidlo podnikových zásad je tímto úspěšně vytvořeno.

    Reference: Mapování třídy služby pro QoS překrytí