SD-WAN Orchestrator ermöglicht es Ihnen, Regeln für die Business Policy auf Profil- und Edge-Ebene zu konfigurieren. Operatoren, Partner und Administratoren auf allen Ebenen können eine Business Policy erstellen. Mit der Business Policy werden Parameter wie IP-Adressen, Ports, VLAN-IDs, Schnittstellen, Domänennamen, Protokolle, das Betriebssystem, Objektgruppen, Anwendungen und DSCP-Tags abgeglichen. Wenn ein Datenpaket den Übereinstimmungsbedingungen entspricht, wird/werden die zugehörige(n) Aktion(en) durchgeführt. Wenn ein Paket keinen Parametern entspricht, wird eine Standardaktion für das Paket durchgeführt.

Bevor Sie beginnen: Informieren Sie sich über die IP-Adressen Ihrer Geräte und die Auswirkungen der Einstellung einer Platzhaltermaske.

So erstellen Sie eine Business Policy:
  1. Navigieren Sie in SD-WAN Orchestrator zu Konfigurieren (Configure) > Profile (Profiles) > Business Policy.
  2. Klicken Sie im Bereich Business Policy auf Neue Regel (New Rule). Das Dialogfeld Regel konfigurieren (Configure Rule) wird angezeigt.
  3. Geben Sie im Feld Regelname (Rule Name) einen eindeutigen Namen für die Regel ein.
  4. Konfigurieren Sie im Bereich Übereinstimmung (Match) die Übereinstimmungsbedingungen für den Datenverkehrsstrom. Durch die Option, die Sie auswählen, können sich die Felder im Dialogfeld ändern:
    Einstellungen Beschreibung
    Quelle (Source) Ermöglicht das Angeben von Übereinstimmungskriterien für den Quelldatenverkehr. Wählen Sie eine der folgenden Optionen aus:
    • Alle (Any): Entspricht standardmäßig dem gesamten Quelldatenverkehr.
    • Objektgruppe (Object Group): Sie können eine Kombination aus Adressgruppe und Portgruppe auswählen, die für die Quelle abgeglichen werden soll. Weitere Informationen finden Sie unter Objektgruppen und Konfigurieren von Business Policies mit Objektgruppen.
      Hinweis: Wenn die ausgewählte Adressgruppe Domänennamen enthält, werden sie ignoriert, wenn sie für die Quelle abgeglichen werden.
    • Definieren (Define): Ermöglicht es Ihnen, die Übereinstimmungskriterien für den Quelldatenverkehr von einem bestimmten VLAN, einer Schnittstelle, einer IP-Adresse, einem Port oder einem Betriebssystem zu definieren. Wählen Sie eine der folgenden Optionen aus. Standardmäßig ist Keine (None) ausgewählt:
      • VLAN: Entspricht dem Datenverkehr vom angegebenen VLAN, das im Dropdown-Menü ausgewählt wurde.
      • Schnittstelle (Interface): Entspricht dem Datenverkehr von der angegebenen Schnittstelle, die im Dropdown-Menü ausgewählt wurde.
        Hinweis: Wenn eine Schnittstelle nicht ausgewählt werden kann, ist sie entweder deaktiviert oder diesem Segment nicht zugewiesen.
      • IP-Adresse (IP Address): Entspricht dem Datenverkehr von der angegebenen IP-Adresse. Zusammen mit der IP-Adresse können Sie eine der folgenden Optionen angeben, um den Quelldatenverkehr abzugleichen:
        • CIDR-Präfix (CIDR prefix): Wählen Sie diese Option aus, wenn das Netzwerk als Wert für CIDR definiert werden soll (z. B 172.10.0.0 /16).
        • Subnetzmaske (Subnet mask): Wählen Sie diese Option aus, wenn das Netzwerk basierend auf einer Subnetzmaske definiert werden soll (z. B 172.10.0.0 255.255.0.0).
        • Platzhaltermaske (Wildcard mask): Wählen Sie diese Option aus, wenn Sie die Durchsetzung einer Richtlinie auf eine Reihe von Geräten für verschiedene IP-Subnetze beschränken möchten, die einen übereinstimmenden Wert für die IP-Adresse des Hosts verwenden. Die Platzhaltermaske entspricht einer IP oder einer Reihe von IP-Adressen, die auf der umgekehrten Subnetzmaske basieren. Eine '0' innerhalb des Binärwerts der Maske bedeutet, dass der Wert „fest“ ist, und eine 1 innerhalb des Binärwerts der Maske bedeutet, dass der Wert „variabel“ ist (kann 1 oder 0 sein). Beispiel: eine Platzhaltermaske von 0.0.0.255 (binäres Äquivalent = 00000000.00000000.00000000.11111111) mit einer IP-Adresse von 172.0.0, wobei die ersten drei Oktette feste Werte sind und das letzte Oktett ein variabler Wert ist.
      • Port: Entspricht dem Datenverkehr vom angegebenen Quellport oder Portbereich.
      • Betriebssystem (Operating System): Entspricht dem Datenverkehr vom angegebenen Betriebssystem, das im Dropdown-Menü ausgewählt wurde.
    Ziel (Destination) Ermöglicht das Angeben von Übereinstimmungskriterien für den Zieldatenverkehr. Wählen Sie eine der folgenden Optionen aus:
    • Alle (Any): Entspricht standardmäßig dem gesamten Zieldatenverkehr.
    • Objektgruppe (Object Group): Sie können eine Kombination aus Adressgruppe und Portgruppe auswählen, die für das Ziel abgeglichen werden soll. Weitere Informationen finden Sie unter Objektgruppen und Konfigurieren von Business Policies mit Objektgruppen.
    • Definieren (Define): Ermöglicht es Ihnen, die Übereinstimmungskriterien für den Zieldatenverkehr zu einer bestimmten IP-Adresse, einem Domänenamen, einem Protokoll oder einem Port zu definieren. Wählen Sie eine der folgenden Optionen aus. Standardmäßig ist Alle (Any) ausgewählt:
      • Alle (Any): Entspricht dem gesamten Zieldatenverkehr.
      • Internet: Gleicht den gesamten Internetdatenverkehr (Datenverkehr, der nicht mit einer SD-WAN-Route übereinstimmt) mit dem Ziel ab.
      • Edge: Entspricht dem gesamten Datenverkehr zu einem Edge.
      • Nicht-SD-WAN-Ziel über Gateway (Non SD-WAN Destination via Gateway): Entspricht dem gesamten Datenverkehr zur angegebenen Non VMware SD-WAN Site über Gateway, der einem Profil zugeordnet ist. Stellen Sie sicher, dass Sie Ihre Nicht-SD-WAN-Sites über Gateway auf Profilebene verknüpft haben.
      • Nicht-SD-WAN-Ziel über Edge (Non SD-WAN Destination via Edge): Entspricht dem gesamten Datenverkehr zur angegebenen Non VMware SD-WAN Site über Edge, der einem Edge oder einem Profil zugeordnet ist. Stellen Sie sicher, dass Sie Ihre Nicht-SD-WAN-Sites über Edge auf Profilebene verknüpft haben.

      Protokoll (Protocol): Entspricht dem Datenverkehr für das angegebene Protokoll, das im Dropdown-Menü ausgewählt wurde. Folgende Protokolle werden unterstützt: GRE, ICMP, TCP und UDP.

      Domäne (Domain): Entspricht dem Datenverkehr für den gesamten Domänennamen oder einen Teil des Domänennamens, der im Feld Domänenname (Domain Name) ausgewählt ist. Beispiel: \„salesforce\“ gleicht den Datenverkehr mit \„www.salesforce.com\“ ab.

    Anwendung (Application) Wählen Sie eine der folgenden Optionen aus:
    • Alle (Any): Wendet die Regel für die Business Policy standardmäßig auf alle Anwendungen an.
    • Definieren (Define): Ermöglicht Ihnen die Auswahl einer bestimmten Anwendung, um die Regel für die Business Policy anzuwenden. Darüber hinaus kann ein DSCP-Wert so festgelegt werden, dass er den mit einem voreingestellten DSCP/TOS-Tag eingehenden Verkehr abgleicht.
    Hinweis: Wenn Sie eine Business Policy-Regel erstellen, die nur einer Anwendung entspricht, muss der Edge möglicherweise die DPI-Engine (Deep Packet Inspection) verwenden, um die Netzwerkdienstaktion für eine solche Anwendung anzuwenden. In der Regel kann die DPI-Engine die Anwendung nicht auf Basis des ersten Pakets ermitteln. Die DPI-Engine benötigt in der Regel die ersten 5-10 Pakete im Flow, um die Anwendung zu erkennen. Lediglich für die ersten empfangenen Pakete kann der Datenverkehr je nach Business Policy-Konfiguration einen anderen Pfad verwenden, d. h. „Direkt“ (Direct), „Mehrfachpfad“ (Multi-Path) oder „Internet-Backhaul“ (Internet Backhaul).
    Abhängig von Ihren Auswahlmöglichkeiten für Übereinstimmung (Match) sind einige Aktionen möglicherweise nicht verfügbar.
  5. Konfigurieren Sie im Bereich Aktion (Action) die Aktionen für die Regel:
    Einstellungen Beschreibung
    Priorität (Priority) Legen Sie die Priorität der Regel wie folgt fest:
    • Hoch (High)
    • Normal
    • Niedrig (Low)
    Aktivieren Sie das Kontrollkästchen Grenzwert für Rate (Rate Limit), um Grenzwerte für die Anweisungen für ein- und ausgehende Datenverkehrsrichtungen festzulegen.
    Netzwerkdienst (Network Service) Legen Sie für den Netzwerkdienst (Network Service) eine der folgenden Optionen fest:
    • Direkt (Direct): Sendet den Datenverkehr von der WAN-Leitung unter Umgehung des SD-WAN Gateway direkt an das Ziel.
      Hinweis: Standardmäßig zieht der Edge eine sichere Route einer Business Policy vor. In der Praxis bedeutet dies, dass der Edge Datenverkehr über Multipath (je nach Route von Zweigstelle-zu-Zweigstelle oder Cloud zu Gateway) weiterleitet, selbst wenn eine Business Policy so konfiguriert ist, dass dieser Datenverkehr über den direkten Pfad gesendet wird, wenn der Edge entweder sichere Standardrouten oder spezifischere sichere Routen vom Partner-Gateway oder einem anderen Edge erhalten hat.
    • Mehrfachpfad (Multi-Path): Sendet den Datenverkehr von einem SD-WAN Edge zu einem anderen SD-WAN Edge.
    • Internet-Backhaul (Internet Backhaul): Dieser Netzwerkdienst ist nur aktiviert, wenn Internet als Ziel (Destination) festgelegt ist.
      Hinweis: Der Internet-Backhaul (Internet Backhaul)-Netzwerkdienst gilt nur für Internetdatenverkehr (WAN-Datenverkehr, der für Netzwerkpräfixe bestimmt ist, die nicht mit einer bekannten lokalen Route oder VPN-Verbindung übereinstimmen).
    Weitere Informationen zu diesen Optionen finden Sie unter Konfigurieren des Netzwerkdiensts für die Unternehmensrichtlinienregel.
    Link-Steuerung (Link Steering) Wählen Sie einen der folgenden Modi für die Link-Steuerung aus:
    • Auto: Standardmäßig gilt für alle Anwendungen der Modus für die automatische Link-Steuerung. Wenn sich eine Anwendung im Modus für die automatische Link-Steuerung befindet, wählt die DMPO-Funktion automatisch die besten Links basierend auf dem Anwendungstyp aus und aktiviert automatisch die bedarfsorientierte Standardisierung, falls erforderlich. Geben Sie im Dropdown-Menü ein DSCP-Tag für innere Pakete und ein DSCP-Tag für äußere Pakete ein.
    • Transportgruppe (Transport Group): Geben Sie eine der folgenden Optionen für die Transportgruppe in der Steuerungsrichtlinie an, sodass dieselbe Konfiguration der Business Policy auf verschiedene Gerätetypen oder Standorte angewendet werden kann, die völlig unterschiedliche WAN-Betreiber und WAN-Schnittstellen haben können.
      • Öffentlich verkabelt (Public Wired)
      • Öffentlich drahtlos (Public Wireless)
      • Privat verkabelt (Private Wired)
    • Schnittstelle (Interface): Die Link-Steuerung ist an eine physische Schnittstelle gebunden und wird in erster Linie für das Routing verwendet.
      Hinweis: Diese Option ist nur auf der Ebene „Edge-Außerkraftsetzung (Edge Override)“ zulässig.
    • WAN-Link (WAN Link): Ermöglicht es Ihnen, Richtlinienregeln basierend auf bestimmten privaten Verbindungen zu definieren. Für diese Option ist die Schnittstellenkonfiguration getrennt und unterscheidet sich von der WAN-Link-Konfiguration. Sie können einen WAN-Link auswählen, der entweder manuell konfiguriert oder automatisch erkannt wurde.
      Hinweis: Diese Option ist nur auf der Ebene „Edge-Außerkraftsetzung (Edge Override)“ zulässig.

    Weitere Informationen zu den Link-Steuerungsmodi und DSCP, der DSCP-Markierung für Underlay- und Overlay-Datenverkehr finden Sie unter Konfigurieren von Link-Steuerungsmodi.

    NAT Deaktivieren oder aktivieren Sie NAT. Weitere Informationen finden Sie unter Konfigurieren von richtlinienbasierter NAT.
    Dienstklasse (Service Class) Wählen Sie eine der folgenden Optionen für die Dienstklasse aus:
    • Echtzeit (Real-time)
    • Transaktional (Transactional)
    • Massen (Bulk)
    Hinweis: Diese Option ist nur für eine benutzerdefinierte Anwendung vorgesehen.
    VMware-Anwendungen bzw. -Kategorien fallen in eine dieser Kategorien.
  6. Klicken Sie auf OK. Die Business Policy-Regel wird für das ausgewählte Profil erstellt und im Bereich Business Policy der Seite Business Policy für Profil (Profile Business Policy) angezeigt.

    Verwandte Informationen: Overlay-QoS-CoS-Zuordnung