SD-WAN Orchestrator umožňuje konfigurovat pravidla podnikových zásad na úrovni profilů a Edge k povolení nebo zahození provozu. Podnikové zásady mohou vytvářet operátoři, partneři a administrátoři všech úrovní. Podnikové zásady porovnávají parametry, jako jsou IP adresy, porty, ID VLAN, rozhraní, názvy domén, protokoly, operační systém, skupiny objektů, aplikace a značky DSCP. Pokud datový paket splňuje podmínky shody, budou provedeny přidružené akce. Pokud paket nesplňuje žádné parametry, provede se s paketem výchozí akce.

První kroky: (Before you begin:) Poznamenejte si IP adresy vašich zařízení a seznamte se s principy nastavení invertované masky.

Vytvoření podnikové zásady:
  1. V aplikaci SD-WAN Orchestrator přejděte na nabídku Konfigurovat (Configure) > Profily (Profiles) > Podnikové zásady (Business Policy).
  2. V oblasti Podnikové zásady (Business Policy) klikněte na možnost Nové pravidlo (New Rule). Otevře se dialogové okno Konfigurace pravidla (Configure Rule).
  3. Do textového pole Název pravidla (Rule Name) zadejte jedinečný název pravidla.
  4. V oblasti Shoda (Match) nakonfigurujte podmínky pro shodu s tokem provozu. Možnost, kterou vyberete, může změnit pole v dialogovém okně:
    Nastavení Popis
    Zdroj (Source) Umožňuje specifikovat kritéria shody pro zdrojový provoz. Vyberte jednu z následujících možností:
    • Libovolný (Any) – povoluje ve výchozím nastavení veškerý zdrojový provoz.
    • Skupina objektů (Object Group) – umožňuje vybrat kombinaci skupin adres a skupin portů pro porovnání se zdrojem. Další informace naleznete v tématu Skupiny objektůKonfigurace podnikových zásad pomocí skupin objektů.
      Poznámka: Pokud vybraná skupina adres obsahuje názvy domén, budou při hledání shody se zdrojem ignorovány.
    • Definovat (Define) – umožňuje definovat kritéria shody pro zdrojový provoz na konkrétní VLAN, rozhraní, IP adresu, port nebo operační systém. Vyberte jednu z následujících možností (ve výchozím nastavení je zvolena možnost Žádné (None)):
      • VLAN – porovnává provoz ze zadané VLAN vybrané z rozevírací nabídky.
      • Rozhraní (Interface) – porovnává provoz ze zadaného rozhraní vybraného z rozevírací nabídky.
        Poznámka: Pokud nelze vybrat rozhraní, rozhraní je buď deaktivováno, nebo není přiřazeno k tomuto segmentu.
      • IP adresa (IP Address) – porovná provoz ze zadané IP adresy. Spolu s IP adresou můžete pro porovnání zdrojového provozu určit jednu z následujících možností:
        • Předpona CIDR (CIDR Prefix) – tuto možnost vyberte, pokud chcete síť definovat jako hodnotu CIDR (například: 172.10.0.0 /16).
        • Maska podsítě (Subnet mask) – tuto možnost vyberte, pokud chcete síť definovat na základě masky podsítě (například: 172.10.0.0 255.255.0.0).
        • Invertovaná maska (Wildcard mask) – tuto možnost vyberte, pokud chcete mít možnost filtrovat vynucování zásad pouze na určitou sadu zařízení v různých podsítích IP, které sdílejí odpovídající hodnotu IP adresy hostitele. Invertovaná maska se shoduje s IP adresou nebo jejich množinou na základě invertované masky podsítě. „0“ v binární hodnotě masky znamená, že je hodnota pevně daná, a „1“ znamená, že je tato hodnota zástupná a může být 1 nebo 0. Například inverzní maska 0.0.0.255 (binární ekvivalent je 00000000.00000000.00000000.11111111) u IP adresy 172.0.0 znamená, že první tři oktety jsou pevně dané hodnoty a poslední oktet je proměnný.
      • Port – porovná provoz ze zadaného zdrojového portu nebo rozsahu portů.
      • Operační systém (Operating System) – porovnává provoz ze zadaného operačního systému vybraného z rozevírací nabídky.
    Cíl (Destination) Umožňuje specifikovat kritéria shody pro cílový provoz. Vyberte jednu z následujících možností:
    • Libovolný (Any) – povoluje ve výchozím nastavení veškerý cílový provoz.
    • Skupina objektů (Object Group) – umožňuje vybrat kombinaci skupin adres a skupin portů pro porovnání s cílem. Další informace naleznete v tématu Skupiny objektůKonfigurace podnikových zásad pomocí skupin objektů.
    • Definovat (Define) – umožňuje definovat kritéria shody pro cílový provoz s ohledem na konkrétní IP adresu, název domény, protokol nebo port. Vyberte jednu z následujících možností (ve výchozím nastavení je zvolena možnost Libovolné (Any)):
      • Libovolný (Any) – povoluje veškerý cílový provoz.
      • Internet – odpovídá veškerému internetovému provozu (provoz, který neodpovídá trase SD-WAN) do cíle.
      • Edge – povolí veškerý provoz pro Edge.
      • Cíl jiný než SD-WAN prostřednictvím brány (Non SD-WAN Destination via Gateway) – povolí veškerý provoz do zadané Non VMware SD-WAN Site prostřednictvím brány přidružené k profilu. Ujistěte se, že jste přidružili své lokality jiné než SD-WAN prostřednictvím brány na úrovni profilu.
      • Cíl jiný než SD-WAN prostřednictvím Edge (Non SD-WAN Destination via Edge) – povolí veškerý provoz do zadané Non VMware SD-WAN Site prostřednictvím Edge přidružené k Edge nebo k profilu. Ujistěte se, že jste přidružili své lokality jiné než SD-WAN prostřednictvím Edge na úrovni profilu nebo Edge.

      Protokol (Protocol) – porovnává provoz se zadaným protokolem vybraným z rozevírací nabídky. Podporované protokoly jsou: GRE, ICMP, TCP a UDP.

      Doména (Domain) – porovnává provoz s celým názvem domény anebo částečným názvem domény zadaným do pole Název domény (Domain Name). Například při použití výrazu „salesforce“ se zobrazí tok dat pro umístění „www.salesforce.com“.

    Aplikace (Application) Vyberte jednu z následujících možností:
    • Libovolné (Any) – použije ve výchozím nastavení pravidlo podnikových zásad na libovolnou aplikaci.
    • Definované (Define) – umožňuje vybrat pro použití pravidla podnikových zásad konkrétní aplikaci. Kromě toho lze určit hodnotu DSCP tak, aby odpovídala provozu s přednastaveným tagem DSCP/TOS.
    V závislosti na vašich volbách Shody (Match) nemusí být některé akce k dispozici.
  5. V oblasti Akce (Actions) nakonfigurujte akce pro pravidlo:
    Nastavení Popis
    Priorita (Priority) Určete prioritu pravidla:
    • Vysoká (High)
    • Normální (Normal)
    • Nízká (Low)
    Zaškrtnutím pole Rate Limit nastavíte limity pro příchozí a odchozí směry provozu.
    Síťová služba (Network Service) Hodnotu v textovém poli Síťová služba (Network Service) nastavte na jednu z těchto hodnot:
    • Přímá (Direct) – odesílá provoz z okruhu sítě WAN přímo do cíle mimo SD-WAN Gateway.
    • Vícecestná (Multipath) – odesílá provoz z jednoho SD-WAN Edge do jiného SD-WAN Edge.
    • Páteřní připojení (Internet Backhaul) – tato síťová služba je aktivována pouze tehdy, je-li parametr Cíl (Destination) nastaven na hodnotu Internet.
      Poznámka: Síťová služba Páteřní připojení (Internet Backhaul) bude použita pouze na internetový provoz (provoz sítě WAN cílený na síťové předpony, které se neshodují se známým místním směrováním nebo směrováním VPN).

      Informace o těchto možnostech naleznete v tématu Konfigurace síťové služby pro pravidlo podnikových zásad.

    Pokud je na úrovni profilu povolena možnost podmíněného páteřního připojení (Conditional Backhaul), ve výchozím nastavení se použije pro všechny podnikové zásady nakonfigurované pro tento profil. Zaškrtnutím pole Deaktivovat podmíněné páteřní připojení (Disable conditional backhaul) můžete deaktivovat podmíněné páteřní připojení pro vybrané zásady, a tím z tohoto chování vyloučit zvolený provoz (přímý, vícecestná cesta, a CSS).

    Více informací o tom, jak aktivovat funkci podmíněného páteřního připojení, naleznete zde: Podmíněné páteřní připojení.

    Vedení linek (Link Steering) Vyberte jeden z následujících režimů řízení linek:
    • Auto – ve výchozím nastavení se všechny aplikace nachází v režimu automatického vedení linek. Kdykoli je aplikace v režimu automatického vedení linek, DMPO automaticky vybere nejlepší linky na základě typu aplikace a pokud je to nutné, automaticky aktivuje vyžádané nápravy. Z rozevírací nabídky zvolte tag DSCP pro vnitřní paket a tag DSCP pro vnější paket.
    • Transportní skupina (Transport Group) – v zásadách vedení zadejte jednu z následujících možností transportní skupiny tak, že stejná konfigurace podnikových zásad může být uplatněna napříč různými druhy zařízení nebo lokalit, které mohou používat zcela odlišné operátory a rozhraní WAN.
      • Veřejná kabelová (Public Wired)
      • Veřejná bezdrátová (Public Wireless)
      • Privátní kabelová (Private Wired)
    • Rozhraní (Interface) – vedení linek je svázáno s fyzickým rozhraním a bude použito primárně pro účely směrování.
      Poznámka: Tato možnost je povolena pouze na úrovni potlačení Edge.
    • Linka WAN (WAN Link) – můžete definovat pravidla zásad na základě konkrétních privátních linek. V případě této možnosti probíhá konfigurace rozhraní odděleně a od konfigurace linky sítě WAN se liší. Na výběr budete mít linku sítě WAN, která byla buď nakonfigurována manuálně, nebo zjištěna automaticky.
      Poznámka: Tato možnost je povolena pouze na úrovni potlačení Edge.

    Další informace o režimech vedení linek a DSCP, značení DSCP pro provoz překryvný i podřízený provoz naleznete v tématu Konfigurace režimů vedení linek.

    NAT Zakázání nebo povolení NAT. Další informace naleznete v tématu Konfigurace překladu síťových adres na základě zásad.
    Třída služby (Service Class) Vyberte jednu z následujících možností třídy služby:
    • Reálný čas (Real-time)
    • Transakční (Transactional)
    • Dávková (Bulk)
    Poznámka: Tato možnost je určena pouze pro vlastní aplikaci.
    Aplikace/kategorie VMware spadají do jedné z těchto kategorií.
  6. Klikněte na tlačítko OK. Pro zvolený profil je vytvořeno pravidlo podnikových zásad, které se zobrazí v oblasti Podnikové zásady (Business Policy) na stránce Podnikové zásady profilu (Profile Business Policy).

    Související informace: Mapování třídy služby pro QoS překrytí