SD-WAN Orchestrator ermöglicht es Ihnen, Regeln für die Unternehmensrichtlinie auf Profil- und Edge-Ebene zu konfigurieren. Operatoren, Partner und Administratoren auf allen Ebenen können eine Unternehmensrichtlinie erstellen. Mit der Unternehmensrichtlinie werden Parameter wie IP-Adressen, Ports, VLAN-IDs, Schnittstellen, Domänennamen, Protokolle, das Betriebssystem, Objektgruppen, Anwendungen und DSCP-Tags abgeglichen. Wenn ein Datenpaket den Übereinstimmungsbedingungen entspricht, wird/werden die zugehörige(n) Aktion(en) durchgeführt. Wenn ein Paket keinen Parametern entspricht, wird eine Standardaktion für das Paket durchgeführt.
Bevor Sie beginnen: Informieren Sie sich über die IP-Adressen Ihrer Geräte und die Auswirkungen der Einstellung einer Platzhaltermaske.
- Navigieren Sie in SD-WAN Orchestrator zu Konfigurieren (Configure) > Profile (Profiles) > Unternehmensrichtlinie (Business Policy).
- Klicken Sie im Bereich Unternehmensrichtlinie (Business Policy) auf Neue Regel (New Rule). Das Dialogfeld Regel konfigurieren (Configure Rule) wird angezeigt.
- Geben Sie im Feld Regelname (Rule Name) einen eindeutigen Namen für die Regel ein.
- Konfigurieren Sie im Bereich Übereinstimmung (Match) die Übereinstimmungsbedingungen für den Datenverkehrsstrom. Durch die Option, die Sie auswählen, können sich die Felder im Dialogfeld ändern:
Einstellungen Beschreibung Quelle (Source) Ermöglicht das Angeben von Übereinstimmungskriterien für den Quelldatenverkehr. Wählen Sie eine der folgenden Optionen aus: - Alle (Any): Entspricht standardmäßig dem gesamten Quelldatenverkehr.
- Objektgruppe (Object Group): Sie können eine Kombination aus Adressgruppe und Portgruppe auswählen, die für die Quelle abgeglichen werden soll. Weitere Informationen finden Sie unter Objektgruppen und Konfigurieren von Unternehmensrichtlinien mit Objektgruppen.
Hinweis: Wenn die ausgewählte Adressgruppe Domänennamen enthält, werden sie ignoriert, wenn sie für die Quelle abgeglichen werden.
- Definieren (Define): Ermöglicht es Ihnen, die Übereinstimmungskriterien für den Quelldatenverkehr von einem bestimmten VLAN, einer Schnittstelle, einer IP-Adresse, einem Port oder einem Betriebssystem zu definieren. Wählen Sie eine der folgenden Optionen aus. Standardmäßig ist Keine (None) ausgewählt:
- VLAN: Entspricht dem Datenverkehr vom angegebenen VLAN, das im Dropdown-Menü ausgewählt wurde.
- Schnittstelle (Interface): Entspricht dem Datenverkehr von der angegebenen Schnittstelle, die im Dropdown-Menü ausgewählt wurde.
Hinweis: Wenn eine Schnittstelle nicht ausgewählt werden kann, ist sie entweder deaktiviert oder diesem Segment nicht zugewiesen.
- IP-Adresse (IP Address): Entspricht dem Datenverkehr von der angegebenen IP-Adresse. Zusammen mit der IP-Adresse können Sie eine der folgenden Optionen angeben, um den Quelldatenverkehr abzugleichen:
- CIDR-Präfix (CIDR prefix): Wählen Sie diese Option aus, wenn das Netzwerk als Wert für CIDR definiert werden soll (z. B
172.10.0.0 /16
). - Subnetzmaske (Subnet mask): Wählen Sie diese Option aus, wenn das Netzwerk basierend auf einer Subnetzmaske definiert werden soll (z. B
172.10.0.0 255.255.0.0
). - Platzhaltermaske (Wildcard mask): Wählen Sie diese Option aus, wenn Sie die Durchsetzung einer Richtlinie auf eine Reihe von Geräten für verschiedene IP-Subnetze beschränken möchten, die einen übereinstimmenden Wert für die IP-Adresse des Hosts verwenden. Die Platzhaltermaske entspricht einer IP oder einer Reihe von IP-Adressen, die auf der umgekehrten Subnetzmaske basieren. Eine '0' innerhalb des Binärwerts der Maske bedeutet, dass der Wert „fest“ ist, und eine 1 innerhalb des Binärwerts der Maske bedeutet, dass der Wert „variabel“ ist (kann 1 oder 0 sein). Beispiel: eine Platzhaltermaske von 0.0.0.255 (binäres Äquivalent = 00000000.00000000.00000000.11111111) mit einer IP-Adresse von 172.0.0, wobei die ersten drei Oktette feste Werte sind und das letzte Oktett ein variabler Wert ist.
- CIDR-Präfix (CIDR prefix): Wählen Sie diese Option aus, wenn das Netzwerk als Wert für CIDR definiert werden soll (z. B
- Port: Entspricht dem Datenverkehr vom angegebenen Quellport oder Portbereich.
- Betriebssystem (Operating System): Entspricht dem Datenverkehr vom angegebenen Betriebssystem, das im Dropdown-Menü ausgewählt wurde.
Ziel (Destination) Ermöglicht das Angeben von Übereinstimmungskriterien für den Zieldatenverkehr. Wählen Sie eine der folgenden Optionen aus: - Alle (Any): Entspricht standardmäßig dem gesamten Zieldatenverkehr.
- Objektgruppe (Object Group): Sie können eine Kombination aus Adressgruppe und Portgruppe auswählen, die für das Ziel abgeglichen werden soll. Weitere Informationen finden Sie unter Objektgruppen und Konfigurieren von Unternehmensrichtlinien mit Objektgruppen.
- Definieren (Define): Ermöglicht es Ihnen, die Übereinstimmungskriterien für den Zieldatenverkehr zu einer bestimmten IP-Adresse, einem Domänenamen, einem Protokoll oder einem Port zu definieren. Wählen Sie eine der folgenden Optionen aus. Standardmäßig ist Alle (Any) ausgewählt:
- Alle (Any): Entspricht dem gesamten Zieldatenverkehr.
- Internet: Gleicht den gesamten Internetdatenverkehr (Datenverkehr, der nicht mit einer SD-WAN-Route übereinstimmt) mit dem Ziel ab.
- Edge: Entspricht dem gesamten Datenverkehr zu einem Edge.
- Nicht-SD-WAN-Ziel über Gateway (Non SD-WAN Destination via Gateway): Entspricht dem gesamten Datenverkehr zur angegebenen Non VMware SD-WAN Site über Gateway, der einem Profil zugeordnet ist. Stellen Sie sicher, dass Sie Ihre Nicht-SD-WAN-Sites über Gateway auf Profilebene verknüpft haben.
- Nicht-SD-WAN-Ziel über Edge (Non SD-WAN Destination via Edge): Entspricht dem gesamten Datenverkehr zur angegebenen Non VMware SD-WAN Site über Edge, der einem Edge oder einem Profil zugeordnet ist. Stellen Sie sicher, dass Sie Ihre Nicht-SD-WAN-Sites über Edge auf Profilebene verknüpft haben.
Protokoll (Protocol): Entspricht dem Datenverkehr für das angegebene Protokoll, das im Dropdown-Menü ausgewählt wurde. Folgende Protokolle werden unterstützt: GRE, ICMP, TCP und UDP.
Domäne (Domain): Entspricht dem Datenverkehr für den gesamten Domänennamen oder einen Teil des Domänennamens, der im Feld Domänenname (Domain Name) ausgewählt ist. Beispiel: \„salesforce\“ gleicht den Datenverkehr mit \„www.salesforce.com\“ ab.
Anwendung (Application) Wählen Sie eine der folgenden Optionen aus: - Alle (Any): Wendet die Regel für die Unternehmensrichtlinie standardmäßig auf alle Anwendungen an.
- Definieren (Define): Ermöglicht Ihnen die Auswahl einer bestimmten Anwendung, um die Regel für die Unternehmensrichtlinie anzuwenden. Darüber hinaus kann ein DSCP-Wert so festgelegt werden, dass er den mit einem voreingestellten DSCP/TOS-Tag eingehenden Verkehr abgleicht.
- Konfigurieren Sie im Bereich Aktion (Action) die Aktionen für die Regel:
Einstellungen Beschreibung Priorität (Priority) Legen Sie die Priorität der Regel wie folgt fest: - Hoch (High)
- Normal
- Niedrig (Low)
Netzwerkdienst (Network Service) Legen Sie für den Netzwerkdienst (Network Service) eine der folgenden Optionen fest: - Direkt (Direct): Sendet den Datenverkehr von der WAN-Leitung unter Umgehung des SD-WAN Gateway direkt an das Ziel.
- Mehrfachpfad (Multi-Path): Sendet den Datenverkehr von einem SD-WAN Edge zu einem anderen SD-WAN Edge.
- Internet-Backhaul (Internet Backhaul): Dieser Netzwerkdienst ist nur aktiviert, wenn Internet als Ziel (Destination) festgelegt ist.
Hinweis: Der Internet-Backhaul (Internet Backhaul)-Netzwerkdienst gilt nur für Internetdatenverkehr (WAN-Datenverkehr, der für Netzwerkpräfixe bestimmt ist, die nicht mit einer bekannten lokalen Route oder VPN-Verbindung übereinstimmen).
Link-Steuerung (Link Steering) Wählen Sie einen der folgenden Modi für die Link-Steuerung aus: - Auto: Standardmäßig gilt für alle Anwendungen der Modus für die automatische Link-Steuerung. Wenn sich eine Anwendung im Modus für die automatische Link-Steuerung befindet, wählt die DMPO-Funktion automatisch die besten Links basierend auf dem Anwendungstyp aus und aktiviert automatisch die bedarfsorientierte Standardisierung, falls erforderlich. Geben Sie im Dropdown-Menü ein DSCP-Tag für innere Pakete und ein DSCP-Tag für äußere Pakete ein.
- Transportgruppe (Transport Group): Geben Sie eine der folgenden Optionen für die Transportgruppe in der Steuerungsrichtlinie an, sodass dieselbe Konfiguration der Unternehmensrichtlinie auf verschiedene Gerätetypen oder Standorte angewendet werden kann, die völlig unterschiedliche WAN-Betreiber und WAN-Schnittstellen haben können.
- Öffentlich verkabelt (Public Wired)
- Öffentlich drahtlos (Public Wireless)
- Privat verkabelt (Private Wired)
- Schnittstelle (Interface): Die Link-Steuerung ist an eine physische Schnittstelle gebunden und wird in erster Linie für das Routing verwendet.
Hinweis: Diese Option ist nur auf der Ebene „Edge-Außerkraftsetzung (Edge Override)“ zulässig.
- WAN-Link (WAN Link): Ermöglicht es Ihnen, Richtlinienregeln basierend auf bestimmten privaten Verbindungen zu definieren. Für diese Option ist die Schnittstellenkonfiguration getrennt und unterscheidet sich von der WAN-Link-Konfiguration. Sie können einen WAN-Link auswählen, der entweder manuell konfiguriert oder automatisch erkannt wurde.
Hinweis: Diese Option ist nur auf der Ebene „Edge-Außerkraftsetzung (Edge Override)“ zulässig.
Weitere Informationen zu den Link-Steuerungsmodi und DSCP, der DSCP-Markierung für Underlay- und Overlay-Datenverkehr finden Sie unter Konfigurieren von Link-Steuerungsmodi.
NAT Deaktivieren oder aktivieren Sie NAT. Weitere Informationen finden Sie unter Konfigurieren von richtlinienbasierter NAT. Dienstklasse (Service Class) Wählen Sie eine der folgenden Optionen für die Dienstklasse aus: - Echtzeit (Real-time)
- Transaktional (Transactional)
- Massen (Bulk)
Hinweis: Diese Option ist nur für eine benutzerdefinierte Anwendung vorgesehen.VMware-Anwendungen bzw. -Kategorien fallen in eine dieser Kategorien. - Klicken Sie auf OK. Die Unternehmensrichtlinienregel wird für das ausgewählte Profil erstellt und im Bereich Unternehmensrichtlinie (Business Policy) der Seite Unternehmensrichtlinie für Profil (Profile Business Policy) angezeigt.
Verwandte Informationen: Overlay-QoS-CoS-Zuordnung