Pravidla podnikových zásad jsou konfigurována tak řídila provoz, spravovala šířku pásma a zajistila kvalitní služby na základě kritérií, jako jsou aplikace, zdroj, cíl atd. Podnikové zásady mohou vytvářet operátoři, partneři a administrátoři všech úrovní. Pravidla řízení porovnávají parametry, jako jsou IP adresy, porty, ID VLAN, rozhraní, názvy domén, protokoly, operační systém, skupiny objektů, aplikace a značky DSCP. Pokud datový paket splňuje podmínky shody, budou provedeny přidružené akce. Pokud paket nesplňuje žádné parametry, provede se s paketem výchozí akce.

Než začnete: (Before you begin:) Poznamenejte si IP adresy vašich zařízení a seznamte se s principy nastavení invertované masky.

Vytvoření pravidel řízení:
  1. V nabídce SD-WAN Orchestrator klikněte na možnost Konfigurovat (Configure) > Podnikové > zásady profilu (Profiles Business Policy).
  2. Stránka Pravidla řízení (Business Policy) zobrazuje stávající zásady. Chcete-li vytvořit nové podnikové zásady, klikněte na možnost Nové pravidlo (New Rule).
  3. V okně Konfigurace pravidla (Configure Rule), které se objeví, nakonfigurujte následující:
  4. Do textového pole Název pravidla (Rule Name) zadejte jedinečný název pravidla.
  5. V oblasti Shoda (Match) nakonfigurujte podmínky pro shodu s tokem provozu. Možnost, kterou vyberete, může změnit pole v dialogovém okně:
    Nastavení Popis (Description)
    Typ (Type) Ve výchozím nastavení je vybrán typ adresy IPv4. Zdrojové a cílové IP adresy můžete nakonfigurovat podle vybraného typu následujícím způsobem:
    • Smíšené (Mixed) – v kritériích shody umožňuje konfigurovat adresy IPv4 i IPv6. Pokud vyberete tento režim, můžete vybrat IP adresy ze skupin objektů se skupinami adres s oběma typy adres.
    • IPv4 – Vztahuje se na provoz s pouze adresou IPv4 použitou jako zdroj a cíl. Ve výchozím nastavení je vybrán tento typ adresy.
    • IPv6 – Vztahuje se na provoz s pouze adresou IPv6 použitou jako zdroj a cíl.
      Poznámka: Chcete-li nakonfigurovat pravidla řízení pomocí Smíšený (Mixed) nebo IPv6 typu adresy, musíte použít nové uživatelské rozhraní systému Orchestrator. Další informace naleznete v tématu Vytvoření pravidla řízení pomocí nového uživatelského rozhraní systému Orchestrator.
    Poznámka: Během upgradu se pravidla podnikových zásad z předchozích verzí přenáší do režimu IPv4.
    Zdroj (Source) Umožňuje specifikovat kritéria shody pro zdrojový provoz. Vyberte jednu z následujících možností:
    • Libovolný (Any) – povoluje ve výchozím nastavení veškerý zdrojový provoz.
    • Skupina objektů (Object Group) – Umožňuje vybrat odpovídající kombinaci skupiny adres a skupiny portů ze zdroje.

      Pokud se jedná o adresu typu IPv4, za odpovídající zdroji provozu se považuje pouze adresa IPv4 ze skupin adres.

      Pokud se jedná o adresu typu IPv6, za odpovídající zdroji provozu se považuje pouze adresa IPv6 ze skupin adres.

      Pokud se jedná o adresu typu Smíšené (Mixed), za odpovídající zdroji provozu se považuje adresa IPv4 i IPv6 ze skupin adres.

      Další informace naleznete v tématu Skupiny objektůKonfigurace podnikových zásad pomocí skupin objektů.
      Poznámka: Pokud vybraná skupina adres obsahuje názvy domén, budou při hledání shody se zdrojem ignorovány.
    • Definovat (Define) – umožňuje definovat kritéria shody pro zdrojový provoz na konkrétní VLAN, rozhraní, IP adresu, port nebo operační systém. Vyberte jednu z následujících možností (ve výchozím nastavení je zvolena možnost Žádné (None)):
      • VLAN – porovnává provoz ze zadané VLAN vybrané z rozevírací nabídky.
      • Rozhraní (Interface) – porovnává provoz ze zadaného rozhraní vybraného z rozevírací nabídky.
        Poznámka: Pokud nelze vybrat rozhraní, rozhraní buď není aktivováno, nebo není přiřazeno k tomuto segmentu.
      • IP adresa (IP Address) – porovná provoz ze zadané IP adresy IPv4 nebo IPv6. Tato možnost není v režimu Smíšené (Mixed) k dispozici. Spolu s IP adresou můžete pro porovnání zdrojového provozu určit jednu z následujících možností:
        • Předpona CIDR (CIDR Prefix) – tuto možnost vyberte, pokud chcete síť definovat jako hodnotu CIDR (například: 172.10.0.0 /16).
        • Maska podsítě (Subnet mask) – tuto možnost vyberte, pokud chcete síť definovat na základě masky podsítě (například: 172.10.0.0 255.255.0.0).
        • Invertovaná maska (Wildcard mask) – tuto možnost vyberte, pokud chcete mít možnost filtrovat vynucování zásad pouze na určitou sadu zařízení v různých podsítích IP, které sdílejí odpovídající hodnotu IP adresy hostitele. Invertovaná maska se shoduje s IP adresou nebo jejich množinou na základě invertované masky podsítě. „0“ v binární hodnotě masky znamená, že je hodnota pevně daná, a „1“ znamená, že je tato hodnota zástupná a může být 1 nebo 0. Například invertovaná maska 0.0.0.255 (binární ekvivalent je 00000000.00000000.00000000.11111111) u IP adresy 172.0.0 znamená, že první tři oktety jsou pevně dané hodnoty a poslední oktet je proměnný. Tato možnost je k dispozici pouze pro adresy IPv4.
      • Port – porovná provoz ze zadaného zdrojového portu nebo rozsahu portů.
      • Operační systém (Operating System) – porovnává provoz ze zadaného operačního systému vybraného z rozevírací nabídky.
    Cíl Umožňuje specifikovat kritéria shody pro cílový provoz. Vyberte jednu z následujících možností:
    • Libovolný (Any) – povoluje ve výchozím nastavení veškerý cílový provoz.
    • Skupina objektů (Object Group) – Umožňuje vybrat odpovídající kombinaci skupiny adres a skupiny portů z cíle.

      Pokud se jedná o adresu typu IPv4, za odpovídající cíli provozu se považuje pouze adresa IPv4 ze skupin adres.

      Pokud se jedná o adresu typu IPv6, za odpovídající cíli provozu se považuje pouze adresa IPv6 ze skupin adres.

      Pokud se jedná o adresu typu Smíšené (Mixed), za odpovídající cíli provozu se považuje adresa IPv4 i IPv6 ze skupin adres.

      Další informace naleznete v tématu Skupiny objektůKonfigurace podnikových zásad pomocí skupin objektů.
    • Definovat (Define) – umožňuje definovat kritéria shody pro cílový provoz s ohledem na konkrétní IP adresu, název domény, protokol nebo port. Vyberte jednu z následujících možností (ve výchozím nastavení je zvolena možnost Libovolné (Any)):
      • Libovolný (Any) – povoluje veškerý cílový provoz.
      • Internet – odpovídá veškerému internetovému provozu (provoz, který neodpovídá trase SD-WAN) do cíle.
      • Edge – povolí veškerý provoz pro Edge.
      • Cíl jiný než SD-WAN prostřednictvím brány (Non SD-WAN Destination via Gateway) – povolí veškerý provoz do zadané Cíl jiný než SD-WAN prostřednictvím brány přidružené k profilu. Ujistěte se, že jste přidružili své lokality jiné než SD-WAN prostřednictvím brány na úrovni profilu.
      • Cíl jiný než SD-WAN prostřednictvím Edge (Non SD-WAN Destination via Edge) – povolí veškerý provoz do zadané Cíl jiný než SD-WAN prostřednictvím Edge přidružené k Edge nebo k profilu. Ujistěte se, že jste přidružili své lokality jiné než SD-WAN prostřednictvím Edge na úrovni profilu nebo Edge.
      Protokol (Protocol) – porovnává provoz se zadaným protokolem vybraným z rozevírací nabídky. Podporované protokoly jsou: GRE, ICMP, TCP a UDP.
      Poznámka: Možnost ICMP není v režimu Smíšené (Mixed) podporována.

      Doména (Domain) – porovnává provoz s celým názvem domény anebo částečným názvem domény zadaným do pole Název domény (Domain Name). Například při použití výrazu „salesforce“ se zobrazí tok dat pro umístění „www.salesforce.com“.

    Aplikace (Application) Vyberte jednu z následujících možností:
    • Libovolné (Any) – použije ve výchozím nastavení pravidlo podnikových zásad na libovolnou aplikaci.
    • Definované (Define) – umožňuje vybrat pro použití pravidla podnikových zásad konkrétní aplikaci. Kromě toho lze určit hodnotu DSCP tak, aby odpovídala provozu s přednastaveným tagem DSCP/TOS.
    Poznámka: Když vytváříte pravidlo řízení odpovídající pouze aplikaci a použijete akci síťové služby pro tuto aplikaci, může zařízení Edge použít modul DPI (hloubková kontrola paketu). DPI obecně nebude schopen určit aplikaci na základě prvního paketu. Modul DPI obvykle k identifikaci aplikace vyžaduje prvních 5 až 10 paketů v toku. U pouze prvních přijatých paketů může provoz v závislosti na konfiguraci pravidel řízení trvat jinou cestu, např. „Přímý“ namísto „Vícecestný“ (Multipath) nebo „Páteřní připojení (Internet Backhaul)“.
    V závislosti na vašich volbách Shody (Match) nemusí být některé akce k dispozici.
  6. V oblasti Akce (Actions) nakonfigurujte akce pro pravidlo:
    Nastavení Popis (Description)
    Priorita (Priority) Určete prioritu pravidla:
    • Vysoká (High)
    • Normální (Normal)
    • Nízká (Low)
    Zaškrtnutím pole Rate Limit nastavíte limity pro příchozí a odchozí směry provozu.
    Síťová služba (Network Service) Hodnotu v textovém poli Síťová služba (Network Service) nastavte na jednu z těchto hodnot:
    • Přímá (Direct) – odesílá provoz z okruhu sítě WAN přímo do cíle mimo Brána SD-WAN Gateway.
      Poznámka:

      Zařízení Edge ve výchozím nastavení preferuje zabezpečený směr před podnikovou zásadou. To znamená, že pokud zařízení Edge obdrželo zabezpečené výchozího směru nebo více konkrétních zabezpečených směrů z brány partnera (Partner Gateway) nebo jiného zařízení Edge, toto zařízení Edge v závislosti na směru přesměruje provoz přes MultiPath (mezi větvemi nebo cloud prostřednictvím brány), a to i když jsou podnikové zásady nakonfigurovány pro odesílání tohoto provozu prostřednictvím přímého směru.

      Toto chování lze u zabezpečených směru partnerské brány (Partner Gateway) přepsat aktivací funkce „Přepsání zabezpečeného výchozího směru (Secure Default Route Override)“ pro zákazníka. Primární uživatel partnera (Partner Super User) nebo operátor mohou aktivovat tuto funkci, která přepíše všechny zabezpečeného směru brány partnera (Partner Gateway) rovněž odpovídající podnikovým zásadám. Možnost „Přepsání zabezpečeného výchozího směru (Secure Default Route Override)“ nepřepíše zabezpečené směry Hubu.

    • Vícecestná (Multipath) – odesílá provoz z jednoho Zařízení SD-WAN Edge do jiného Zařízení SD-WAN Edge.
    • Páteřní připojení (Internet Backhaul) – tato síťová služba je aktivována pouze tehdy, je-li parametr Cíl (Destination) nastaven na hodnotu Internet.
      Poznámka: Síťová služba Páteřní připojení (Internet Backhaul) bude použita pouze na internetový provoz (provoz sítě WAN cílený na síťové předpony, které se neshodují se známým místním směrováním nebo směrováním VPN).

      Informace o těchto možnostech naleznete v tématu Konfigurace síťové služby pro pravidla řízení.

    Pokud je na úrovni profilu povolena možnost podmíněného páteřního připojení (Conditional Backhaul), ve výchozím nastavení se použije pro všechny podnikové zásady nakonfigurované pro tento profil. Zaškrtnutím pole Vypnout podmíněné páteřní připojení (Turn off Conditional Backhaul) můžete vypnout podmíněné páteřní připojení pro vybrané zásady, a tím z tohoto chování vyloučit zvolený provoz (přímý, vícecestný a CSS).

    Více informací o tom, jak aktivovat funkci podmíněného páteřního připojení, naleznete zde: Podmíněné páteřní připojení.

    Vedení (řízení) linek (Link Steering) Vyberte jeden z následujících režimů vedení (řízení) linek:
    • Auto – ve výchozím nastavení se všechny aplikace nachází v režimu automatického vedení (řízení) linek. Kdykoli je aplikace v režimu automatického vedení (řízení) linek, DMPO automaticky vybere nejlepší linky na základě typu aplikace a pokud je to nutné, automaticky aktivuje vyžádané nápravy. Z rozevírací nabídky zvolte tag DSCP pro vnitřní paket a tag DSCP pro vnější paket.
    • Transportní skupina (Transport Group) – v zásadách vedení zadejte jednu z následujících možností transportní skupiny tak, že stejná konfigurace podnikových zásad může být uplatněna napříč různými druhy zařízení nebo lokalit, které mohou používat zcela odlišné operátory a rozhraní WAN.
      • Veřejná kabelová (Public Wired)
      • Veřejná bezdrátová (Public Wireless)
      • Soukromá kabelová (Private Wired)
    • Rozhraní (Interface) – vedení (řízení) linek je svázáno s fyzickým rozhraním a bude použito primárně pro účely směrování.
      Poznámka: Tato možnost je povolena pouze na úrovni potlačení Edge.
    • Linka WAN (WAN Link) – můžete definovat pravidla zásad na základě konkrétních privátních linek. V případě této možnosti probíhá konfigurace rozhraní odděleně a od konfigurace linky sítě WAN se liší. Na výběr budete mít linku sítě WAN, která byla buď nakonfigurována manuálně, nebo zjištěna automaticky.
      Poznámka: Tato možnost je povolena pouze na úrovni potlačení Edge.
    Poznámka: Pokud je síťová služba konfigurována jako Přímá (Direct), nejsou v režimu vedení (řízení) linek podporována rozhraní pouze IPv6 a odkazy WAN pouze IPv6.

    Další informace o režimech vedení (řízení) linek a DSCP, značení DSCP pro provoz překryvný i podřízený provoz naleznete v tématu Konfigurace režimů vedení linek.

    NAT Aktivujte nebo deaktivujte NAT. Tato možnost není v režimu Smíšené (Mixed) k dispozici. Další informace naleznete v tématu Konfigurace překladu síťových adres (NAT) na základě zásad.
    Třída služby (Service Class) Vyberte jednu z následujících možností třídy služby:
    • Reálný čas (Real-time)
    • Transakční (Transactional)
    • Dávková (Bulk)
    Poznámka: Tato možnost je určena pouze pro vlastní aplikaci.
    Aplikace/kategorie VMware spadají do jedné z těchto kategorií.
  7. Klikněte na tlačítko OK. Pro zvolený profil je vytvořeno pravidlo podnikových zásad, které se zobrazí v oblasti Pravidla řízení (Business Policy) na stránce Pravidla řízení profilu (Profile Business Policy).

    U režimů IPv6Smíšené (Mixed) můžete pouze vytvářet pravidla podnikových zásad z aplikace Orchestrator. Zbývající operace, jako je aktualizace nebo odstranění, jsou dostupné pouze prostřednictvím rozhraní API.

Související informace: Mapování třídy služby pro QoS overlay