Pravidla řízení jsou konfigurována tak řídila provoz, spravovala šířku pásma a zajistila kvalitní služby na základě kritérií, jako jsou aplikace, zdroj, cíl atd. Pravidla řízení mohou vytvářet operátoři, partneři a administrátoři všech úrovní. Pravidla řízení porovnávají parametry, jako jsou IP adresy, porty, ID VLAN, rozhraní, názvy domén, protokoly, operační systém, skupiny objektů, aplikace a značky DSCP. Pokud datový paket splňuje podmínky shody, budou provedeny přidružené akce. Pokud paket nesplňuje žádné parametry, provede se s paketem výchozí akce.

Než začnete: (Before you begin:) Poznamenejte si IP adresy vašich zařízení a seznamte se s principy nastavení invertované masky.

Vytvoření pravidel řízení:
  1. V nabídce SD-WAN Orchestrator klikněte na možnost Konfigurovat (Configure) > Profily (Profiles) > Pravidla řízení (Business Policy).
  2. Stránka Pravidla řízení (Business Policy) zobrazuje stávající zásady. Chcete-li vytvořit nové pravidla řízení, klikněte na možnost Nové pravidlo (New Rule).
  3. V okně Konfigurace pravidla (Configure Rule), které se objeví, nakonfigurujte následující:
  4. Do textového pole Název pravidla (Rule Name) zadejte jedinečný název pravidla.
  5. V oblasti Shoda (Match) nakonfigurujte podmínky pro shodu s tokem provozu. Možnost, kterou vyberete, může změnit pole v dialogovém okně:
    Nastavení Popis (Description)
    Typ (Type) Ve výchozím nastavení je vybrán typ adresy IPv4. Zdrojové a cílové IP adresy můžete nakonfigurovat podle vybraného typu následujícím způsobem:
    • Smíšené (Mixed) – v kritériích shody umožňuje konfigurovat adresy IPv4 i IPv6. Pokud vyberete tento režim, můžete vybrat IP adresy ze skupin objektů se skupinami adres s oběma typy adres.
    • IPv4 – Vztahuje se na provoz s pouze adresou IPv4 použitou jako zdroj a cíl. Ve výchozím nastavení je vybrán tento typ adresy.
    • IPv6 – Vztahuje se na provoz s pouze adresou IPv6 použitou jako zdroj a cíl.
      Poznámka: Chcete-li nakonfigurovat pravidla řízení pomocí Smíšený (Mixed) nebo IPv6 typu adresy, musíte použít nové uživatelské rozhraní systému Orchestrator. Další informace naleznete v tématu Vytvoření pravidla řízení pomocí nového uživatelského rozhraní systému Orchestrator.
    Poznámka: Během upgradu se pravidel řízení z předchozích verzí přenáší do režimu IPv4.
    Zdroj (Source) Umožňuje specifikovat kritéria shody pro zdrojový provoz. Vyberte jednu z následujících možností:
    • Libovolný (Any) – povoluje ve výchozím nastavení veškerý zdrojový provoz.
    • Skupina objektů (Object Group) – Umožňuje vybrat odpovídající kombinaci skupiny adres a skupiny portů ze zdroje.

      Pokud se jedná o adresu typu IPv4, za odpovídající zdroji provozu se považuje pouze adresa IPv4 ze skupin adres.

      Pokud se jedná o adresu typu IPv6, za odpovídající zdroji provozu se považuje pouze adresa IPv6 ze skupin adres.

      Pokud se jedná o adresu typu Smíšené (Mixed), za odpovídající zdroji provozu se považuje adresa IPv4 i IPv6 ze skupin adres.

      Další informace naleznete v tématu Skupiny objektůKonfigurace pravidel řízení pomocí skupin objektů.
      Poznámka: Pokud vybraná skupina adres obsahuje názvy domén, budou při hledání shody se zdrojem ignorovány.
    • Definovat (Define) – umožňuje definovat kritéria shody pro zdrojový provoz na konkrétní VLAN, rozhraní, IP adresu, port nebo operační systém. Vyberte jednu z následujících možností (ve výchozím nastavení je zvolena možnost Žádné (None)):
      • VLAN – porovnává provoz ze zadané VLAN vybrané z rozevírací nabídky.
      • Rozhraní (Interface) – porovnává provoz ze zadaného rozhraní vybraného z rozevírací nabídky.
        Poznámka: Pokud nelze vybrat rozhraní, rozhraní buď není aktivováno, nebo není přiřazeno k tomuto segmentu.
      • IP adresa (IP Address) – porovná provoz ze zadané IP adresy IPv4 nebo IPv6. Tato možnost není v režimu Smíšené (Mixed) k dispozici. Spolu s IP adresou můžete pro porovnání zdrojového provozu určit jednu z následujících možností:
        • Předpona CIDR (CIDR Prefix) – tuto možnost vyberte, pokud chcete síť definovat jako hodnotu CIDR (například: 172.10.0.0 /16).
        • Maska podsítě (Subnet mask) – tuto možnost vyberte, pokud chcete síť definovat na základě masky podsítě (například: 172.10.0.0 255.255.0.0).
        • Invertovaná maska (Wildcard mask) – tuto možnost vyberte, pokud chcete mít možnost filtrovat vynucování zásad pouze na určitou sadu zařízení v různých podsítích IP, které sdílejí odpovídající hodnotu IP adresy hostitele. Invertovaná maska se shoduje s IP adresou nebo jejich množinou na základě invertované masky podsítě. „0“ v binární hodnotě masky znamená, že je hodnota pevně daná, a „1“ znamená, že je tato hodnota zástupná a může být 1 nebo 0. Například invertovaná maska 0.0.0.255 (binární ekvivalent je 00000000.00000000.00000000.11111111) u IP adresy 172.0.0 znamená, že první tři oktety jsou pevně dané hodnoty a poslední oktet je proměnný. Tato možnost je k dispozici pouze pro adresy IPv4.
      • Port – porovná provoz ze zadaného zdrojového portu nebo rozsahu portů.
      • Operační systém (Operating System) – porovnává provoz ze zadaného operačního systému vybraného z rozevírací nabídky.
    Cíl Umožňuje specifikovat kritéria shody pro cílový provoz. Vyberte jednu z následujících možností:
    • Libovolný (Any) – povoluje ve výchozím nastavení veškerý cílový provoz.
    • Skupina objektů (Object Group) – Umožňuje vybrat odpovídající kombinaci skupiny adres a skupiny portů z cíle.

      Pokud se jedná o adresu typu IPv4, za odpovídající cíli provozu se považuje pouze adresa IPv4 ze skupin adres.

      Pokud se jedná o adresu typu IPv6, za odpovídající cíli provozu se považuje pouze adresa IPv6 ze skupin adres.

      Pokud se jedná o adresu typu Smíšené (Mixed), za odpovídající cíli provozu se považuje adresa IPv4 i IPv6 ze skupin adres.

      Další informace naleznete v tématu Skupiny objektůKonfigurace pravidel řízení pomocí skupin objektů.
    • Definovat (Define) – umožňuje definovat kritéria shody pro cílový provoz s ohledem na konkrétní IP adresu, název domény, protokol nebo port. Vyberte jednu z následujících možností (ve výchozím nastavení je zvolena možnost Libovolné (Any)):
      • Libovolný (Any) – povoluje veškerý cílový provoz.
      • Internet – odpovídá veškerému internetovému provozu (provoz, který neodpovídá směru SD-WAN) do cíle.
      • Edge – povolí veškerý provoz pro Edge.
      • Cíl jiný než SD-WAN prostřednictvím brány (Non SD-WAN Destination via Gateway) – povolí veškerý provoz do zadané Cíl jiný než SD-WAN prostřednictvím brány přidružené k profilu. Ujistěte se, že jste přidružili své lokality jiné než SD-WAN prostřednictvím brány na úrovni profilu.
      • Cíl jiný než SD-WAN prostřednictvím Edge (Non SD-WAN Destination via Edge) – povolí veškerý provoz do zadané Cíl jiný než SD-WAN prostřednictvím Edge přidružené k Edge nebo k profilu. Ujistěte se, že jste přidružili své lokality jiné než SD-WAN prostřednictvím Edge na úrovni profilu nebo Edge.
      Protokol (Protocol) – porovnává provoz se zadaným protokolem vybraným z rozevírací nabídky. Podporované protokoly jsou: GRE, ICMP, TCP a UDP.
      Poznámka: Možnost ICMP není v režimu Smíšené (Mixed) podporována.

      Doména (Domain) – porovnává provoz s celým názvem domény anebo částečným názvem domény zadaným do pole Název domény (Domain Name). Například při použití výrazu „salesforce“ se zobrazí tok dat pro umístění „www.salesforce.com“.

    Aplikace (Application) Vyberte jakoukoli z následujících možností:
    • Libovolné (Any) – použije ve výchozím nastavení pravidlo pravidel řízení na libovolnou aplikaci.
    • Definované (Define) – umožňuje vybrat pro použití pravidla pravidel řízení konkrétní aplikaci. Kromě toho lze určit hodnotu DSCP tak, aby odpovídala provozu s přednastaveným označením DSCP/TOS.
    Poznámka:
    • Když vytváříte pravidlo řízení odpovídající pouze aplikaci a použijete akci síťové služby pro tuto aplikaci, může zařízení Edge použít modul DPI (hloubková kontrola paketu). DPI obecně neprovádí určení aplikace na základě prvního paketu. Modul DPI obvykle k identifikaci aplikace vyžaduje prvních 5 až 10 paketů v toku. U prvních několika přijatých paketů je provoz neklasifikován a odpovídá méně specifickým pravidlům řízení, což může způsobit, že provoz bude používat jiný směr, např. „Přímý“ (Direct) namísto „Vícecestný“ (Multipath), a to v závislosti na zásadách, kterým odpovídá. Jakmile DPI určí typ provozu, porovná specifičtější zásady nakonfigurované pro tento typ provozu. Tento tok však nadále přetrvává ve směru z původní zásady, kterému odpovídá, protože převedení na nový směr by tok přerušilo. To může způsobit, že první tok na konkrétní cílovou IP adresu a port bude probíhat jedním směrem. Jakmile je mezipaměť aplikace vyplněna, následující toky do stejné cílové IP adresy a portu poputují jiným směrem, jak je konfigurováno v podrobnějších zásadách pro tento typ provozu.
    • Jakmile DPI klasifikuje provoz, přidá do mezipaměti aplikace cílovou IP adresu a port a okamžitě klasifikuje všechny následující toky do stejné cílové IP adresy a portu. Položka mezipaměti aplikace vyprší po 10 minutách žádného provozu do cílové IP adresy a portu. Další tok do této cílové IP adresy a portu musí znovu projít DPI a může na základě zásad, kterým odpovídá, použít neočekávaný směr předtím, než DPI identifikuje aplikaci.
    V závislosti na vašich volbách Shody (Match) nemusí být některé akce k dispozici.
  6. V oblasti Akce (Actions) nakonfigurujte akce pro pravidlo:
    Nastavení Popis
    Priorita (Priority) Určete prioritu pravidla:
    • Vysoká (High)
    • Normální (Normal)
    • Nízká (Low)
    Zaškrtnutím pole Přenosová rychlost (Rate Limit) nastavíte limity pro příchozí a odchozí směry provozu.
    Poznámka: Omezení rychlosti se provádí pro každý tok. Omezení rychlosti provozu odesílání dat funguje pouze v případě, že v pravidlech řízení zadáte linku nebo rozhraní Edge. Pokud nastavíte možnost Řízení (Steering) na Automaticky (Auto), Přenos (Transport) nebo Skupina (Group), bude se omezení rychlosti vztahovat na celkovou šířku pásma všech odpovídajících linek. Tento profil nemusí vynucovat přísné omezení rychlosti, jak očekáváte. Pokud chcete vynutit přísné omezení rychlosti, měli byste v pravidlech řízení směrovat provoz na jednu linku nebo rozhraní Edge.
    Síťová služba (Network Service) Hodnotu v textovém poli Síťová služba (Network Service) nastavte na jednu z těchto hodnot:
    • Přímá (Direct) – odesílá provoz z okruhu sítě WAN přímo do cíle mimo Brána SD-WAN Gateway.
      Poznámka:

      Zařízení Edge ve výchozím nastavení preferuje zabezpečený směr před pravidly řízení. To znamená, že pokud zařízení Edge obdrželo zabezpečené výchozího směru nebo více konkrétních zabezpečených směrů z brány partnera (Partner Gateway) nebo jiného zařízení Edge, toto zařízení Edge v závislosti na směru přesměruje provoz přes MultiPath (mezi větvemi nebo cloud prostřednictvím brány), a to i když jsou pravidla řízení nakonfigurovány pro odesílání tohoto provozu prostřednictvím přímého směru.

      Toto chování lze u zabezpečených směru partnerské brány (Partner Gateway) přepsat aktivací funkce „Přepsání zabezpečeného výchozího směru (Secure Default Route Override)“ pro zákazníka. Primární uživatel partnera (Partner Super User) nebo operátor mohou aktivovat tuto funkci, která přepíše všechny zabezpečeného směru brány partnera (Partner Gateway) rovněž odpovídající pravidla řízení. Možnost „Přepsání zabezpečeného výchozího směru (Secure Default Route Override)“ nepřepíše zabezpečené směry Hubu.

    • Vícecestná (Multipath) – odesílá provoz z jednoho Zařízení SD-WAN Edge do jiného Zařízení SD-WAN Edge.
    • Páteřní připojení (Internet Backhaul) – tato síťová služba je aktivována pouze tehdy, je-li parametr Cíl (Destination) nastaven na hodnotu Internet (Internet).
      Poznámka: Síťová služba Páteřní připojení (Internet Backhaul) bude použita pouze na internetový provoz (provoz sítě WAN cílený na síťové předpony, které se neshodují se známým místním směrováním nebo směrováním VPN).

      Informace o těchto možnostech naleznete v tématu Konfigurace síťové služby pro pravidla řízení.

    Pokud je na úrovni profilu aktivována možnost podmíněného páteřního připojení (Conditional Backhaul), ve výchozím nastavení se použije pro všechny pravidla řízení nakonfigurované pro tento profil. Zaškrtnutím pole Vypnout podmíněné páteřní připojení (Turn off Conditional Backhaul) můžete vypnout podmíněné páteřní připojení pro vybrané zásady, a tím z tohoto chování vyloučit zvolený provoz (přímý, vícecestný a CSS).

    Více informací o tom, jak aktivovat funkci podmíněného páteřního připojení, naleznete zde: Podmíněné páteřní připojení.

    Vedení (řízení) linek (Link Steering) Vyberte jeden z následujících režimů vedení (řízení) linek:
    • Auto – ve výchozím nastavení se všechny aplikace nachází v režimu automatického vedení (řízení) linek. Kdykoli je aplikace v režimu automatického vedení (řízení) linek, DMPO automaticky vybere nejlepší linky na základě typu aplikace a pokud je to nutné, automaticky aktivuje vyžádané nápravy. Z rozevírací nabídky zvolte tag DSCP pro vnitřní paket a tag DSCP pro vnější paket.
    • Transportní skupina (Transport Group) – v zásadách vedení zadejte jednu z následujících možností transportní skupiny tak, že stejná konfigurace pravidel řízení může být uplatněna napříč různými druhy zařízení nebo lokalit, které mohou používat zcela odlišné operátory a rozhraní WAN.
      • Veřejná kabelová (Public Wired)
      • Veřejná bezdrátová (Public Wireless)
      • Soukromá kabelová (Private Wired)
    • Rozhraní (Interface) – vedení (řízení) linek je svázáno s fyzickým rozhraním a bude použito primárně pro účely směrování.
      Poznámka: Tato možnost je povolena pouze na úrovni přepsání Edge.
    • Linka WAN (WAN Link) – můžete definovat pravidla zásad na základě konkrétních privátních linek. V případě této možnosti probíhá konfigurace rozhraní odděleně a od konfigurace linky sítě WAN se liší. Na výběr budete mít linku sítě WAN, která byla buď nakonfigurována manuálně, nebo zjištěna automaticky.
      Poznámka: Tato možnost je povolena pouze na úrovni přepsání Edge.
    Poznámka: Pokud je síťová služba konfigurována jako Přímá (Direct), nejsou v režimu vedení (řízení) linek podporována rozhraní pouze IPv6 a odkazy WAN pouze IPv6.

    Další informace o režimech vedení (řízení) linek a DSCP, značení DSCP pro provoz overlay i underlay provoz naleznete v tématu Konfigurace režimů vedení linek.

    NAT Aktivujte nebo deaktivujte NAT. Tato možnost není v režimu Smíšené (Mixed) k dispozici. Další informace naleznete v tématu Konfigurace překladu síťových adres (NAT) na základě zásad.
    Třída služby (Service Class) Vyberte jednu z následujících možností třídy služby:
    • Reálný čas (Real-time)
    • Transakční (Transactional)
    • Dávková (Bulk)
    Poznámka: Tato možnost je určena pouze pro vlastní aplikaci.
    Aplikace/kategorie VMware spadají do jedné z těchto kategorií.
  7. Klikněte na tlačítko OK. Pro zvolený profil je vytvořeno pravidlo pravidel řízení, které se zobrazí v oblasti Pravidla řízení (Business Policy) na stránce Pravidla řízení profilu (Profile Business Policy).

    U režimů IPv6Smíšené (Mixed) můžete pouze vytvářet pravidla řízení z aplikace Orchestrator. Zbývající operace, jako je aktualizace nebo odstranění, jsou dostupné pouze prostřednictvím rozhraní API.

Související informace: Mapování třídy služby pro QoS overlay