Pravidla řízení jsou konfigurována tak řídila provoz, spravovala šířku pásma a zajistila kvalitní služby na základě kritérií, jako jsou aplikace, zdroj, cíl atd. Pravidla řízení mohou vytvářet operátoři, partneři a administrátoři všech úrovní. Pravidla řízení porovnávají parametry, jako jsou IP adresy, porty, ID VLAN, rozhraní, názvy domén, protokoly, operační systém, skupiny objektů, aplikace a značky DSCP. Pokud datový paket splňuje podmínky shody, budou provedeny přidružené akce. Pokud paket nesplňuje žádné parametry, provede se s paketem výchozí akce. Pro profil a Edge můžete vytvořit pravidla řízení.

Požadavky

Ujistěte se, že máte k dispozici podrobnosti o IP adresách vaší sítě.

Procedura

  1. Ve službě SD-WAN podnikového portálu přejděte na možnost Konfigurovat (Configure) > Profily (Profiles). Na stránce Profily (Profiles) se zobrazí existující profily.
  2. Klikněte na odkaz k profilu nebo klikněte na odkaz Zobrazit (View) ve sloupci Zařízení (Device) profilu. Možnosti konfigurace jsou zobrazeny na kartě zařízení Zařízení (Device).
  3. Klikněte na kartu Pravidla řízení (Business Policy).
    Ze stránky Profily (Profiles) můžete přejít na stránku Pravidla řízení (Business Policy) přímo kliknutím na odkaz Zobrazit (View) v Biz. Sloupec Pol profilu.
  4. Na stránce Pravidla řízení (Business Policy) klikněte na možnost + PŘIDAT (+ ADD). Zobrazí se okno Přidat pravidlo (Add Rule).
  5. Zadejte Název pravidla (Rule Name) a vyberte vydání IP adresy. Zdrojové a cílové IP adresy můžete nakonfigurovat podle vybraného vydání IP následujícím způsobem:
    • IPv4 a IPv6 – v kritériích shody umožňuje konfigurovat adresy IPv4 a IPv6. Pokud vyberete tento režim, můžete vybrat IP adresy ze skupin objektů se skupinami adres s oběma typy skupin adres. Ve výchozím nastavení je vybrán tento typ adresy.
    • IPv4 – Vztahuje se na provoz s pouze adresou IPv4 použitou jako zdroj a cíl.
    • IPv6 – Vztahuje se na provoz s pouze adresou IPv6 použitou jako zdroj a cíl.
      Poznámka: Během upgradu se pravidel řízení z předchozích verzí přenáší do režimu IPv4.
  6. Na kartě Shoda (Match) nakonfigurujte kritéria shody pro provoz zdroje, cíle a aplikace.
    Pole Popis
    Zdroj (Source)
    Umožňuje specifikovat zdroj pro pakety. Vyberte jednu z následujících možností:
    • Libovolný (Any) – povoluje ve výchozím nastavení všechny zdrojové adresy.
    • Skupina objektů (Object Group) – umožňuje vybrat kombinaci skupin adres a skupin služeb.

      Pokud se jedná o adresu typu IPv4, za odpovídající zdroji provozu se považuje pouze adresa IPv4 ze skupin adres.

      Pokud se jedná o adresu typu IPv6, za odpovídající zdroji provozu se považuje pouze adresa IPv6 ze skupin adres.

      Pokud je typ adresy IPv4 i IPv6, za odpovídající zdroji provozu se považuje adresa IPv4 i IPv6 ze skupin adres.

      Další informace naleznete v tématu Skupiny objektůKonfigurace pravidel řízení pomocí skupiny objektů.
      Poznámka: Pokud vybraná skupina adres obsahuje názvy domén, budou při hledání shody se zdrojem ignorovány.
    • Definovat (Define) – umožňuje definovat zdrojový provoz na konkrétní VLAN, rozhraní, IP adresu, port nebo operační systém. Vyberte jednu z následujících možností:
      • Síť VLAN (VLAN) – porovnává provoz ze zadané VLAN vybrané z rozevírací nabídky.
      • Rozhraní (Interface) – porovnává provoz ze zadaného rozhraní vybraného z rozevírací nabídky.
        Poznámka: Pokud nelze vybrat rozhraní, rozhraní buď není aktivováno, nebo není přiřazeno k tomuto segmentu.
      • IP adresa (IP Address) – porovnává provoz ze zadané IP adresy (IPv4 nebo IPv6).
        Poznámka: Tato možnost není k dispozici, pokud jako verzi IP vyberete možnost IPv4 a IPv6 (IPv4 and IPv6) (Smíšený režim). Ve smíšeném režimu se provoz porovnává na základě zadané VLAN nebo rozhraní.
        Spolu s IP adresou můžete pro porovnání zdrojového provozu určit jednu z následujících typů adresy:
        • Předpona CIDR (CIDR Prefix) – tuto možnost vyberte, pokud chcete síť definovat jako hodnotu CIDR (například: 172.10.0.0 /16).
        • Maska podsítě (Subnet mask) – tuto možnost vyberte, pokud chcete síť definovat na základě masky podsítě (například: 172.10.0.0 255.255.0.0).
        • Invertovaná maska (Wildcard mask) – tuto možnost vyberte, pokud chcete mít možnost filtrovat vynucování zásad pouze na určitou sadu zařízení v různých podsítích IP adresy, které sdílejí odpovídající hodnotu IP adresy hostitele. Invertovaná maska se shoduje s IP adresou nebo jejich množinou na základě invertované masky podsítě. „0“ v binární hodnotě masky znamená, že je hodnota pevně daná, a „1“ znamená, že je tato hodnota zástupná a může být 1 nebo 0. Například invertovaná maska 0.0.0.255 (binární ekvivalent je 00000000.00000000.00000000.11111111) u IP adresy 172.0.0 znamená, že první tři oktety jsou pevně dané hodnoty a poslední oktet je proměnný. Tato možnost je k dispozici pouze pro adresy IPv4.
      • Porty (Ports) – porovnává provoz ze zadaného zdrojového portu nebo rozsahu portů.
      • Operační systém (Operating System) – porovnává provoz ze zadaného operačního systému vybraného z rozevírací nabídky.
    Cíl (Destination) Umožňuje specifikovat cíl pro pakety. Vyberte jednu z následujících možností:
    • Libovolný (Any) – povoluje ve výchozím nastavení všechny cílové adresy.
    • Skupina objektů (Object Group) – umožňuje vybrat kombinaci skupin adres a skupin služeb. Další informace naleznete v tématu Skupiny objektůKonfigurace pravidel řízení pomocí skupiny objektů.
    • Definovat (Define) – umožňuje definovat kritéria shody pro cílový provoz s ohledem na konkrétní IP adresu, název domény, protokol nebo port. Vyberte jednu z následujících možností (ve výchozím nastavení je zvolena možnost Libovolné (Any)):
      • Libovolné (Any) – povoluje veškerý cílový provoz.
      • Internet – odpovídá veškerému internetovému provozu (provoz, který neodpovídá směru SD-WAN) do cíle.
      • Edge – povolí veškerý provoz pro Edge.
      • Cíl jiný než SD-WAN prostřednictvím brány (Non SD-WAN Destination via Gateway) – povolí veškerý provoz do zadané Cíl jiný než SD-WAN prostřednictvím brány přidružené k profilu. Ujistěte se, že jste přidružili své lokality jiné než SD-WAN prostřednictvím brány na úrovni profilu.
      • Cíl jiný než SD-WAN prostřednictvím Edge (Non SD-WAN Destination via Edge) – povolí veškerý provoz do zadané Cíl jiný než SD-WAN prostřednictvím Edge přidružené k Edge nebo k profilu. Ujistěte se, že jste přidružili své lokality jiné než SD-WAN prostřednictvím Edge na úrovni profilu nebo Edge.
    • Název domény (Domain name) – porovnává provoz s celým názvem domény anebo částečným názvem domény zadaným do pole Název domény (Domain Name). Například při použití výrazu „salesforce“ se zobrazí tok dat pro umístění „www.salesforce.com“.
    • Protokol (Protocol) – porovnává provoz se zadaným protokolem vybraným z rozevírací nabídky. Podporované protokoly jsou: GRE, ICMP, TCP a UDP.
      Poznámka: Možnost ICMP není v režimu Smíšené (Mixed) podporována.
    • Porty (Ports) – porovnává provoz ze zadaného zdrojového portu nebo rozsahu portů.
    Aplikace (Application) Vyberte jakoukoli z následujících možností:
    • Libovolné (Any) – použije ve výchozím nastavení pravidlo pravidel řízení na libovolnou aplikaci.
    • Definované (Define) – umožňuje vybrat pro použití pravidla pravidel řízení konkrétní aplikaci. Kromě toho lze určit hodnotu DSCP tak, aby odpovídala provozu s přednastaveným označením DSCP/TOS.
    Poznámka:
    • Když vytváříte pravidlo řízení odpovídající pouze aplikaci a použijete akci síťové služby pro tuto aplikaci, může zařízení Edge použít modul DPI (hloubková kontrola paketu). DPI obecně neprovádí určení aplikace na základě prvního paketu. Modul DPI obvykle k identifikaci aplikace vyžaduje prvních 5 až 10 paketů v toku. U prvních několika přijatých paketů je provoz neklasifikován a odpovídá méně specifickým pravidlům řízení, což může způsobit, že provoz bude používat jiný směr, např. „Přímý“ (Direct) namísto „Vícecestný“ (Multipath), a to v závislosti na zásadách, kterým odpovídá. Jakmile DPI určí typ provozu, porovná specifičtější zásady nakonfigurované pro tento typ provozu. Tento tok však nadále přetrvává ve směru z původní zásady, kterému odpovídá, protože převedení na nový směr by tok přerušilo. To může způsobit, že první tok na konkrétní cílovou IP adresu a port bude probíhat jedním směrem. Jakmile je mezipaměť aplikace vyplněna, následující toky do stejné cílové IP adresy a portu poputují jiným směrem, jak je konfigurováno v podrobnějších zásadách pro tento typ provozu.
    • Jakmile DPI klasifikuje provoz, přidá do mezipaměti aplikace cílovou IP adresu a port a okamžitě klasifikuje všechny následující toky do stejné cílové IP adresy a portu. Položka mezipaměti aplikace vyprší po 10 minutách žádného provozu do cílové IP adresy a portu. Další tok do této cílové IP adresy a portu musí znovu projít DPI a může na základě zásad, kterým odpovídá, použít neočekávaný směr předtím, než DPI identifikuje aplikaci.
  7. Na kartě Akce (Action) nakonfigurujte akce, které mají být provedeny, pokud provoz odpovídá definovaným kritériím.
    Poznámka: V závislosti na vašich volbách Shody (Match) nemusí být některé akce k dispozici.
    Pole Popis
    Priorita (Priority) Určete prioritu pravidla:
    • Vysoká (High)
    • Normální (Normal)
    • Nízká (Low)
    Povolit Rate Limit (Enable Rate Limit) Zaškrtnutím pole Povolit přenosovou rychlost (Enable Rate Limit) nastavíte limity pro příchozí a odchozí směry provozu.
    Poznámka: Omezení rychlosti se provádí pro každý tok. Omezení rychlosti provozu odesílání dat funguje pouze v případě, že v pravidlech řízení zadáte linku nebo rozhraní Edge. Pokud nastavíte možnost Řízení (Steering) na Automaticky (Auto), Přenos (Transport) nebo Skupina (Group), bude se omezení rychlosti vztahovat na celkovou šířku pásma všech odpovídajících linek. Tento profil nemusí vynucovat přísné omezení rychlosti, jak očekáváte. Pokud chcete vynutit přísné omezení rychlosti, měli byste v pravidlech řízení směrovat provoz na jednu linku nebo rozhraní Edge.
    Síťová služba (Network Service) Hodnotu v textovém poli Síťová služba (Network Service) nastavte na jednu z těchto hodnot:
    • Přímá (Direct) – odesílá provoz z okruhu sítě WAN přímo do cíle mimo Brána SD-WAN Gateway.
      Poznámka:

      Zařízení Edge ve výchozím nastavení preferuje zabezpečený směr před pravidly řízení. To znamená, že pokud zařízení Edge obdrželo zabezpečené výchozího směru nebo více konkrétních zabezpečených směrů z brány partnera (Partner Gateway) nebo jiného zařízení Edge, toto zařízení Edge v závislosti na směru přesměruje provoz přes MultiPath (mezi větvemi nebo cloud prostřednictvím brány), a to i když jsou pravidla řízení nakonfigurovány pro odesílání tohoto provozu prostřednictvím přímého směru.

      Toto chování lze u zabezpečených směru partnerské brány (Partner Gateway) přepsat aktivací funkce „Přepsání zabezpečeného výchozího směru (Secure Default Route Override)“ pro zákazníka. Primární uživatel partnera (Partner Super User) nebo operátor mohou aktivovat tuto funkci, která přepíše všechny zabezpečeného směru brány partnera (Partner Gateway) rovněž odpovídající pravidla řízení. Možnost „Přepsání zabezpečeného výchozího směru (Secure Default Route Override)“ nepřepíše zabezpečené směry Hubu.

    • Vícecestná (Multipath) – odesílá provoz z jednoho Zařízení SD-WAN Edge do jiného Zařízení SD-WAN Edge.
    • Páteřní připojení (Internet Backhaul) – tato síťová služba je aktivována pouze tehdy, je-li parametr Cíl (Destination) nastaven na hodnotu Internet (Internet).
      Poznámka: Síťová služba Páteřní připojení (Internet Backhaul) bude použita pouze na internetový provoz (provoz sítě WAN cílený na síťové předpony, které se neshodují se známým místním směrováním nebo směrováním VPN).

      Informace o těchto možnostech naleznete v tématu Konfigurace síťové služby pro pravidla řízení.

    Pokud je na úrovni profilu aktivována možnost podmíněného páteřního připojení (Conditional Backhaul), ve výchozím nastavení se použije pro všechny pravidla řízení nakonfigurované pro tento profil. Zaškrtnutím pole Vypnout podmíněné páteřní připojení (Turn off Conditional Backhaul) můžete vypnout podmíněné páteřní připojení pro vybrané zásady, a tím z tohoto chování vyloučit zvolený provoz (přímý, vícecestný a CSS).

    Více informací o tom, jak aktivovat funkci podmíněného páteřního připojení, naleznete zde: Podmíněné páteřní připojení.
    Vedení (řízení) linek (Link Steering) Vyberte jeden z následujících režimů vedení (řízení) linek:
    • Auto – ve výchozím nastavení se všechny aplikace nachází v režimu automatického vedení (řízení) linek. Kdykoli je aplikace v režimu automatického vedení (řízení) linek, DMPO automaticky vybere nejlepší linky na základě typu aplikace a pokud je to nutné, automaticky aktivuje vyžádané nápravy.
      • Transportní skupina (Transport Group) – v zásadách vedení zadejte jednu z následujících možností transportní skupiny tak, že stejná konfigurace pravidel řízení může být uplatněna napříč různými druhy zařízení nebo lokalit, které mohou používat zcela odlišné operátory a rozhraní WAN.
        • Veřejná kabelová (Public Wired)
        • Veřejná bezdrátová (Public Wireless)
        • Soukromá kabelová (Private Wired)
      • Rozhraní (Interface) – vedení (řízení) linek je svázáno s fyzickým rozhraním a bude použito primárně pro účely směrování.
        Poznámka: Tato možnost je povolena pouze na úrovni přepsání Edge.
      • Linka WAN (WAN Link) – můžete definovat pravidla zásad na základě konkrétních privátních linek. V případě této možnosti probíhá konfigurace rozhraní odděleně a od konfigurace linky sítě WAN se liší. Na výběr budete mít linku sítě WAN, která byla buď nakonfigurována manuálně, nebo zjištěna automaticky.
        Poznámka: Tato možnost je povolena pouze na úrovni přepsání Edge.
    • Vnitřní značka DSCP paketu (Inner Packet DSCP Tag) – z rozevírací nabídky vyberte vnitřní značku DSCP paketu.
    • Vnější značka DSCP paketu (Outer Packet DSCP Tag) – z rozevírací nabídky vyberte vnější značku DSCP paketu.
    Poznámka: Pokud je síťová služba konfigurována jako Přímá (Direct), nejsou v režimu vedení (řízení) linek podporována rozhraní pouze IPv6 a odkazy WAN pouze IPv6.

    Další informace o režimech vedení (řízení) linek a DSCP, značení DSCP pro provoz overlay i underlay provoz naleznete v tématu Konfigurace režimů vedení (řízení) linek.
    Aktivovat NAT (Enable AUP) Aktivujte nebo deaktivujte NAT. Tato možnost není k dispozici pro režim IPv4 a IPv6 (IPv4 and IPv6). Další informace naleznete v tématu Konfigurace překladu síťových adres (NAT) na základě zásad.
    Třída služby (Service Class) Vyberte jednu z následujících možností třídy služby:
    • Reálný čas (Real-time)
    • Transakční (Transactional)
    • Dávková (Bulk)
    Poznámka: Tato možnost je určena pouze pro vlastní aplikaci.
    Aplikace/kategorie VMware spadají do jedné z těchto kategorií.
  8. Po konfiguraci požadovaných nastavení klikněte na tlačítko Vytvořit (Create).
    Pro zvolený profil je vytvořeno pravidlo řízení, které se zobrazí v oblasti Pravidla řízení (Business Policy Rules) na stránce Pravidla řízení profilu (Profile Business Policy).
    Poznámka: Pravidla vytvořená na úrovni profilu nelze aktualizovat na úrovni zařízení Edge. Aby bylo možné pravidlo přepsat, uživatel musí vytvořit stejné pravidlo na úrovni zařízení Edge s novými parametry k přepsání pravidla úrovně profilu.

    U režimů IPv6IPv4 a Ipv6 (IPv4 and IPv6) můžete pouze vytvářet pravidla řízení z aplikace Orchestrator. Zbývající operace, jako je aktualizace nebo odstranění, jsou dostupné pouze prostřednictvím rozhraní API.

    Související informace: Mapování třídy služby pro QoS overlay