SD-WAN Orchestrator umožňuje konfigurovat pravidla řízení na úrovni profilů a Edge. Pravidla řízení mohou vytvářet operátoři, partneři a administrátoři všech úrovní. Pravidla řízení porovnávají parametry, jako jsou IP adresy, porty, ID VLAN, rozhraní, názvy domén, protokoly, operační systém, skupiny objektů, aplikace a značky DSCP. Pokud datový paket splňuje podmínky shody, budou provedeny přidružené akce. Pokud paket nesplňuje žádné parametry, provede se s paketem výchozí akce.
Než začnete: (Before you begin:) Poznamenejte si IP adresy vašich zařízení a seznamte se s principy nastavení invertované masky.
- V aplikaci SD-WAN Orchestrator přejděte na nabídku Konfigurovat (Configure) > Profily (Profiles) > Pravidla řízení(Business Policy).
- V oblasti Pravidla řízení (Business Policy) klikněte na možnost Nové pravidlo (New Rule). Otevře se dialogové okno Konfigurace pravidla (Configure Rule).
- Do textového pole Název pravidla (Rule Name) zadejte jedinečný název pravidla.
- V oblasti Shoda (Match) nakonfigurujte podmínky pro shodu s tokem provozu. Možnost, kterou vyberete, může změnit pole v dialogovém okně:
Nastavení Popis (Description) Zdroj (Source) Umožňuje specifikovat kritéria shody pro zdrojový provoz. Vyberte jednu z následujících možností: - Libovolný (Any) – povoluje ve výchozím nastavení veškerý zdrojový provoz.
- Skupina objektů (Object Group) – umožňuje vybrat kombinaci skupin adres a skupin portů pro porovnání se zdrojem. Další informace naleznete v tématu Skupiny objektů a Konfigurace podnikových zásad pomocí skupin objektů.
Poznámka: Pokud vybraná skupina adres obsahuje názvy domén, budou při hledání shody se zdrojem ignorovány.
- Definovat (Define) – umožňuje definovat kritéria shody pro zdrojový provoz na konkrétní VLAN, rozhraní, IP adresu, port nebo operační systém. Vyberte jednu z následujících možností (ve výchozím nastavení je zvolena možnost Žádné (None)):
- VLAN – porovnává provoz ze zadané VLAN vybrané z rozevírací nabídky.
- Rozhraní (Interface) – porovnává provoz ze zadaného rozhraní vybraného z rozevírací nabídky.
Poznámka: Pokud nelze vybrat rozhraní, rozhraní je buď deaktivováno, nebo není přiřazeno k tomuto segmentu.
- IP adresa (IP Address) – porovná provoz ze zadané IP adresy. Spolu s IP adresou můžete pro porovnání zdrojového provozu určit jednu z následujících možností:
- Předpona CIDR (CIDR Prefix) – tuto možnost vyberte, pokud chcete síť definovat jako hodnotu CIDR (například:
172.10.0.0 /16
). - Maska podsítě (Subnet mask) – tuto možnost vyberte, pokud chcete síť definovat na základě masky podsítě (například:
172.10.0.0 255.255.0.0
). - Invertovaná maska (Wildcard mask) – tuto možnost vyberte, pokud chcete mít možnost filtrovat vynucování zásad pouze na určitou sadu zařízení v různých podsítích IP, které sdílejí odpovídající hodnotu IP adresy hostitele. Invertovaná maska se shoduje s IP adresou nebo jejich množinou na základě invertované masky podsítě. „0“ v binární hodnotě masky znamená, že je hodnota pevně daná, a „1“ znamená, že je tato hodnota zástupná a může být 1 nebo 0. Například inverzní maska 0.0.0.255 (binární ekvivalent je 00000000.00000000.00000000.11111111) u IP adresy 172.0.0 znamená, že první tři oktety jsou pevně dané hodnoty a poslední oktet je proměnný.
- Předpona CIDR (CIDR Prefix) – tuto možnost vyberte, pokud chcete síť definovat jako hodnotu CIDR (například:
- Port – porovná provoz ze zadaného zdrojového portu nebo rozsahu portů.
- Operační systém (Operating System) – porovnává provoz ze zadaného operačního systému vybraného z rozevírací nabídky.
Cíl Umožňuje specifikovat kritéria shody pro cílový provoz. Vyberte jednu z následujících možností: - Libovolný (Any) – povoluje ve výchozím nastavení veškerý cílový provoz.
- Skupina objektů (Object Group) – umožňuje vybrat kombinaci skupin adres a skupin portů pro porovnání s cílem. Další informace naleznete v tématu Skupiny objektů a Konfigurace podnikových zásad pomocí skupin objektů.
- Definovat (Define) – umožňuje definovat kritéria shody pro cílový provoz s ohledem na konkrétní IP adresu, název domény, protokol nebo port. Vyberte jednu z následujících možností (ve výchozím nastavení je zvolena možnost Libovolné (Any)):
- Libovolný (Any) – povoluje veškerý cílový provoz.
- Internet – odpovídá veškerému internetovému provozu (provoz, který neodpovídá směru SD-WAN) do cíle.
- Edge – povolí veškerý provoz pro Edge.
- Cíl jiný než SD-WAN prostřednictvím brány (Non SD-WAN Destination via Gateway) – povolí veškerý provoz do zadané Non VMware SD-WAN Site prostřednictvím brány přidružené k profilu. Ujistěte se, že jste přidružili své lokality jiné než SD-WAN prostřednictvím brány na úrovni profilu.
- Cíl jiný než SD-WAN prostřednictvím Edge (Non SD-WAN Destination via Edge) – povolí veškerý provoz do zadané Non VMware SD-WAN Site prostřednictvím Edge přidružené k Edge nebo k profilu. Ujistěte se, že jste přidružili své lokality jiné než SD-WAN prostřednictvím Edge na úrovni profilu nebo Edge.
Protokol (Protocol) – porovnává provoz se zadaným protokolem vybraným z rozevírací nabídky. Podporované protokoly jsou: GRE, ICMP, TCP a UDP.
Doména (Domain) – porovnává provoz s celým názvem domény anebo částečným názvem domény zadaným do pole Název domény (Domain Name). Například při použití výrazu „salesforce“ se zobrazí tok dat pro umístění „www.salesforce.com“.
Aplikace (Application) Vyberte jednu z následujících možností: - Libovolné (Any) – použije ve výchozím nastavení pravidlo pravidel řízení na libovolnou aplikaci.
- Definované (Define) – umožňuje vybrat pro použití pravidla pravidel řízení konkrétní aplikaci. Kromě toho lze určit hodnotu DSCP tak, aby odpovídala provozu s přednastaveným tagem DSCP/TOS.
Poznámka: Když vytváříte pravidlo řízení odpovídající pouze aplikaci a použijete akci síťové služby pro tuto aplikaci, může zařízení Edge použít modul DPI (hloubková kontrola paketu). DPI obecně nebude schopen určit aplikaci na základě prvního paketu. Modul DPI obvykle k identifikaci aplikace vyžaduje prvních 5 až 10 paketů v toku. U pouze prvních přijatých paketů může provoz v závislosti na konfiguraci pravidel řízení trvat jinou cestu, např. „Přímý“ namísto „Vícecestný“ (Multipath) nebo „Páteřní připojení (Internet Backhaul)“. - V oblasti Akce (Actions) nakonfigurujte akce pro pravidlo:
Nastavení Popis (Description) Priorita (Priority) Určete prioritu pravidla: - Vysoká (High)
- Normální (Normal)
- Nízká (Low)
Síťová služba (Network Service) Hodnotu v textovém poli Síťová služba (Network Service) nastavte na jednu z těchto hodnot: - Přímá (Direct) – odesílá provoz z okruhu sítě WAN přímo do cíle mimo SD-WAN Gateway.
Poznámka: Zařízení Edge ve výchozím nastavení preferuje zabezpečený směr před pravidlami řízení. To znamená, že pokud zařízení Edge obdrželo zabezpečené výchozí směry nebo více konkrétních zabezpečených směrů z brány partnera (Partner Gateway) nebo jiného zařízení Edge, toto zařízení Edge v závislosti na směru přesměruje provoz přes MultiPath (mezi větvemi nebo cloud prostřednictvím brány), a to i když jsou pravidla řízení nakonfigurovány pro odesílání tohoto provozu prostřednictvím přímého směru.
- Vícecestná (Multipath) – odesílá provoz z jednoho SD-WAN Edge do jiného SD-WAN Edge.
- Páteřní připojení (Internet Backhaul) – tato síťová služba je aktivována pouze tehdy, je-li parametr Cíl (Destination) nastaven na hodnotu Internet.
Poznámka: Síťová služba Páteřní připojení (Internet Backhaul) bude použita pouze na internetový provoz (provoz sítě WAN cílený na síťové předpony, které se neshodují se známým místním směrováním nebo směrováním VPN).
Informace o těchto možnostech naleznete v tématu Konfigurace služby Action Network.
Pokud je na úrovni profilu povolena možnost podmíněného páteřního připojení (Conditional Backhaul), ve výchozím nastavení se použije pro všechny pravidla řízení nakonfigurované pro tento profil. Zaškrtnutím pole Deaktivovat podmíněné páteřní připojení (Disable conditional backhaul) můžete deaktivovat podmíněné páteřní připojení pro vybrané zásady, a tím z tohoto chování vyloučit zvolený provoz (přímý, vícecestná cesta, a CSS).
Více informací o tom, jak aktivovat funkci podmíněného páteřního připojení, naleznete zde: Podmíněné páteřní připojení.
Vedení (řízení) linek (Link Steering) Vyberte jeden z následujících režimů vedení (řízení) linek: - Auto – ve výchozím nastavení se všechny aplikace nachází v režimu automatického vedení (řízení) linek. Kdykoli je aplikace v režimu automatického vedení (řízení) linek, DMPO automaticky vybere nejlepší linky na základě typu aplikace a pokud je to nutné, automaticky aktivuje vyžádané nápravy. Z rozevírací nabídky zvolte tag DSCP pro vnitřní paket a tag DSCP pro vnější paket.
- Transportní skupina (Transport Group) – v zásadách vedení zadejte jednu z následujících možností transportní skupiny tak, že stejná konfigurace pravidel řízení může být uplatněna napříč různými druhy zařízení nebo lokalit, které mohou používat zcela odlišné operátory a rozhraní WAN.
- Veřejná kabelová (Public Wired)
- Veřejná bezdrátová (Public Wireless)
- Soukromá kabelová (Private Wired)
- Rozhraní (Interface) – vedení (řízení) linek je svázáno s fyzickým rozhraním a bude použito primárně pro účely směrování.
Poznámka: Tato možnost je povolena pouze na úrovni potlačení Edge.
- Linka WAN (WAN Link) – můžete definovat pravidla zásad na základě konkrétních privátních linek. V případě této možnosti probíhá konfigurace rozhraní odděleně a od konfigurace linky sítě WAN se liší. Na výběr budete mít linku sítě WAN, která byla buď nakonfigurována manuálně, nebo zjištěna automaticky.
Poznámka: Tato možnost je povolena pouze na úrovni potlačení Edge.
Další informace o režimech vedení (řízení) linek a DSCP, značení DSCP pro provoz překryvný i podřízený provoz naleznete v tématu Konfigurace režimů vedení linek.
NAT Zakázání nebo povolení NAT. Další informace naleznete v tématu Konfigurace překladu síťových adres (NAT) na základě zásad. Třída služby (Service Class) Vyberte jednu z následujících možností třídy služby: - Reálný čas (Real-time)
- Transakční (Transactional)
- Dávková (Bulk)
Poznámka: Tato možnost je určena pouze pro vlastní aplikaci.Aplikace/kategorie VMware spadají do jedné z těchto kategorií. - Klikněte na tlačítko OK. Pro zvolený profil je vytvořeno pravidlo pravidel řízení, které se zobrazí v oblasti Pravidla řízení (Business Policy) na stránce Pravidla řízení profilu (Profile Business Policy).
Související informace: Mapování třídy služby pro QoS overlay