SD-WAN Orchestrator ermöglicht es Ihnen, Regeln für die Business Policy auf Profil- und Edge-Ebene zu konfigurieren. Operatoren, Partner und Administratoren auf allen Ebenen können eine Business Policy erstellen. Mit der Business Policy werden Parameter wie IP-Adressen, Ports, VLAN-IDs, Schnittstellen, Domänennamen, Protokolle, das Betriebssystem, Objektgruppen, Anwendungen und DSCP-Tags abgeglichen. Wenn ein Datenpaket den Übereinstimmungsbedingungen entspricht, wird/werden die zugehörige(n) Aktion(en) durchgeführt. Wenn ein Paket keinen Parametern entspricht, wird eine Standardaktion für das Paket durchgeführt.

Bevor Sie beginnen: Informieren Sie sich über die IP-Adressen Ihrer Geräte und die Auswirkungen der Einstellung einer Platzhaltermaske.

So erstellen Sie eine Business Policy:
  1. Navigieren Sie in SD-WAN Orchestrator zu Konfigurieren (Configure) > Profile (Profiles) > Business Policy.
  2. Klicken Sie im Bereich Business Policy auf Neue Regel (New Rule). Das Dialogfeld Regel konfigurieren (Configure Rule) wird angezeigt.
  3. Geben Sie im Feld Regelname (Rule Name) einen eindeutigen Namen für die Regel ein.
  4. Konfigurieren Sie im Bereich Übereinstimmung (Match) die Übereinstimmungsbedingungen für den Datenverkehrsstrom. Durch die Option, die Sie auswählen, können sich die Felder im Dialogfeld ändern:
    Einstellungen Beschreibung
    Quelle (Source) Ermöglicht das Angeben von Übereinstimmungskriterien für den Quelldatenverkehr. Wählen Sie eine der folgenden Optionen aus:
    • Alle (Any): Entspricht standardmäßig dem gesamten Quelldatenverkehr.
    • Objektgruppe (Object Group): Sie können eine Kombination aus Adressgruppe und Portgruppe auswählen, die für die Quelle abgeglichen werden soll. Weitere Informationen finden Sie unter Objektgruppen und Konfigurieren von Business Policies mit Objektgruppen.
      Hinweis: Wenn die ausgewählte Adressgruppe Domänennamen enthält, werden sie ignoriert, wenn sie für die Quelle abgeglichen werden.
    • Definieren (Define): Ermöglicht es Ihnen, die Übereinstimmungskriterien für den Quelldatenverkehr von einem bestimmten VLAN, einer Schnittstelle, einer IP-Adresse, einem Port oder einem Betriebssystem zu definieren. Wählen Sie eine der folgenden Optionen aus. Standardmäßig ist Keine (None) ausgewählt:
      • VLAN: Entspricht dem Datenverkehr vom angegebenen VLAN, das im Dropdown-Menü ausgewählt wurde.
      • Schnittstelle (Interface): Entspricht dem Datenverkehr von der angegebenen Schnittstelle, die im Dropdown-Menü ausgewählt wurde.
        Hinweis: Wenn eine Schnittstelle nicht ausgewählt werden kann, ist sie entweder nicht aktiviert oder diesem Segment nicht zugewiesen.
      • IP-Adresse (IP Address): Entspricht dem Datenverkehr von der angegebenen IP-Adresse. Zusammen mit der IP-Adresse können Sie eine der folgenden Optionen angeben, um den Quelldatenverkehr abzugleichen:
        • CIDR-Präfix (CIDR prefix): Wählen Sie diese Option aus, wenn das Netzwerk als Wert für CIDR definiert werden soll (z. B 172.10.0.0 /16).
        • Subnetzmaske (Subnet mask): Wählen Sie diese Option aus, wenn das Netzwerk basierend auf einer Subnetzmaske definiert werden soll (z. B 172.10.0.0 255.255.0.0).
        • Platzhaltermaske (Wildcard mask): Wählen Sie diese Option aus, wenn Sie die Durchsetzung einer Richtlinie auf eine Reihe von Geräten für verschiedene IP-Subnetze beschränken möchten, die einen übereinstimmenden Wert für die IP-Adresse des Hosts verwenden. Die Platzhaltermaske entspricht einer IP oder einer Reihe von IP-Adressen, die auf der umgekehrten Subnetzmaske basieren. Eine '0' innerhalb des Binärwerts der Maske bedeutet, dass der Wert „fest“ ist, und eine 1 innerhalb des Binärwerts der Maske bedeutet, dass der Wert „variabel“ ist (kann 1 oder 0 sein). Beispiel: eine Platzhaltermaske von 0.0.0.255 (binäres Äquivalent = 00000000.00000000.00000000.11111111) mit einer IP-Adresse von 172.0.0, wobei die ersten drei Oktette feste Werte sind und das letzte Oktett ein variabler Wert ist.
      • Port: Entspricht dem Datenverkehr vom angegebenen Quellport oder Portbereich.
      • Betriebssystem (Operating System): Entspricht dem Datenverkehr vom angegebenen Betriebssystem, das im Dropdown-Menü ausgewählt wurde.
    Ziel (Destination) Ermöglicht das Angeben von Übereinstimmungskriterien für den Zieldatenverkehr. Wählen Sie eine der folgenden Optionen aus:
    • Alle (Any): Entspricht standardmäßig dem gesamten Zieldatenverkehr.
    • Objektgruppe (Object Group): Sie können eine Kombination aus Adressgruppe und Portgruppe auswählen, die für das Ziel abgeglichen werden soll. Weitere Informationen finden Sie unter Objektgruppen und Konfigurieren von Business Policies mit Objektgruppen.
    • Definieren (Define): Ermöglicht es Ihnen, die Übereinstimmungskriterien für den Zieldatenverkehr zu einer bestimmten IP-Adresse, einem Domänenamen, einem Protokoll oder einem Port zu definieren. Wählen Sie eine der folgenden Optionen aus. Standardmäßig ist Alle (Any) ausgewählt:
      • Alle (Any): Entspricht dem gesamten Zieldatenverkehr.
      • Internet: Gleicht den gesamten Internetdatenverkehr (Datenverkehr, der nicht mit einer SD-WAN-Route übereinstimmt) mit dem Ziel ab.
      • Edge: Entspricht dem gesamten Datenverkehr zu einem Edge.
      • Nicht-SD-WAN-Ziel über Gateway (Non SD-WAN Destination via Gateway): Entspricht dem gesamten Datenverkehr zur angegebenen Nicht-SD-WAN-Ziel über Gateway, der einem Profil zugeordnet ist. Stellen Sie sicher, dass Sie Ihre Nicht-SD-WAN-Sites über Gateway auf Profilebene verknüpft haben.
      • Nicht-SD-WAN-Ziel über Edge (Non SD-WAN Destination via Edge): Entspricht dem gesamten Datenverkehr zur angegebenen Nicht-SD-WAN-Ziel über Edge, der einem Edge oder einem Profil zugeordnet ist. Stellen Sie sicher, dass Sie Ihre Nicht-SD-WAN-Sites über Edge auf Profilebene verknüpft haben.

      Protokoll (Protocol): Entspricht dem Datenverkehr für das angegebene Protokoll, das im Dropdown-Menü ausgewählt wurde. Folgende Protokolle werden unterstützt: GRE, ICMP, TCP und UDP.

      Domäne (Domain): Entspricht dem Datenverkehr für den gesamten Domänennamen oder einen Teil des Domänennamens, der im Feld Domänenname (Domain Name) ausgewählt ist. Beispiel: \„salesforce\“ gleicht den Datenverkehr mit \„www.salesforce.com\“ ab.

    Anwendung (Application) Wählen Sie eine der folgenden Optionen aus:
    • Alle (Any): Wendet die Regel für die Business Policy standardmäßig auf alle Anwendungen an.
    • Definieren (Define): Ermöglicht Ihnen die Auswahl einer bestimmten Anwendung, um die Regel für die Business Policy anzuwenden. Darüber hinaus kann ein DSCP-Wert so festgelegt werden, dass er den mit einem voreingestellten DSCP/TOS-Tag eingehenden Verkehr abgleicht.
    Hinweis:
    • Wenn Sie eine Business Policy-Regel erstellen, die nur einer Anwendung entspricht, muss der Edge möglicherweise die DPI-Engine (Deep Packet Inspection) verwenden, um die Netzwerkdienstaktion für eine solche Anwendung anzuwenden. In der Regel ermittelt die DPI-Engine die Anwendung nicht basierend auf dem ersten Paket. Die DPI-Engine benötigt in der Regel die ersten 5-10 Pakete im Flow, um die Anwendung zu erkennen. Bei den ersten empfangenen Paketen ist der Datenverkehr nicht klassifiziert und entspricht einer weniger spezifischen Business Policy, was dazu führen kann, dass der Datenverkehr je nach der entsprechenden Richtlinie einen anderen Pfad verwendet, d. h. „Direkt (Direct)“ statt „Multipath“. Sobald DPI den Datenverkehrstyp ermittelt hat, wird eine spezifischere Richtlinie für diese Art von Datenverkehr konfiguriert. Dieser Flow nimmt jedoch weiterhin den Pfad von der ursprünglichen Richtlinie, mit der er übereinstimmt, da eine Umleitung auf einen neuen Pfad den Flow unterbrechen würde. Dies kann dazu führen, dass der erste Flow zu einer bestimmten Ziel-IP und einem bestimmten Port einen Pfad verwendet. Sobald der App-Cache aufgefüllt wurde, nehmen die nachfolgenden Flows zur selben Ziel-IP und zum selben Port einen anderen Pfad wie in einer spezifischeren Richtlinie für diesen Datenverkehrstyp konfiguriert.
    • Sobald der DPI-Wert den Datenverkehr klassifiziert, fügt er dem App-Cache die Ziel-IP und den Port hinzu und klassifiziert alle nachfolgenden Flows sofort in dieselbe Ziel-IP und denselben Port. Der App-Cache-Eintrag läuft nach 10 Minuten ab, wenn kein Datenverkehr zu dieser Ziel-IP und diesem Port geleitet wird. Der nächste Flow zu dieser Ziel-IP und diesem Port muss erneut die DPI-Engine durchlaufen und kann einen unerwarteten Pfad verwenden, je nachdem, welcher Richtlinie er entspricht, bevor die DPI-Engine die Anwendung identifiziert.
    Abhängig von Ihren Auswahlmöglichkeiten für Übereinstimmung (Match) sind einige Aktionen möglicherweise nicht verfügbar.
  5. Konfigurieren Sie im Bereich Aktion (Action) die Aktionen für die Regel:
    Einstellungen Beschreibung
    Priorität (Priority) Legen Sie die Priorität der Regel wie folgt fest:
    • Hoch (High)
    • Normal
    • Niedrig (Low)
    Aktivieren Sie das Kontrollkästchen Grenzwert für Rate (Rate Limit), um Grenzwerte für die Anweisungen für ein- und ausgehende Datenverkehrsrichtungen festzulegen.
    Hinweis: Die Ratenbegrenzung für Upstream-Datenverkehr funktioniert nur, wenn Sie einen Link oder eine Edge-Schnittstelle in der Business Policy angeben. Wenn Sie die Option „Steuerung (Steering)“ auf „Automatisch (Auto)“, „Transport“ oder „Gruppe (Group)“ festlegen, gilt der Ratengrenzwert für die Gesamtbandbreite aller entsprechenden Links. Dadurch wird möglicherweise entgegen Ihrer Erwartung kein strenger Ratengrenzwert erzwungen. Wenn Sie einen strengen Ratengrenzwert erzwingen möchten, sollten Sie den Datenverkehr an einen einzelnen Link oder eine einzelne Edge-Schnittstelle in der Business Policy lenken.
    Netzwerkdienst (Network Service) Legen Sie für den Netzwerkdienst (Network Service) eine der folgenden Optionen fest:
    • Direkt (Direct): Sendet den Datenverkehr von der WAN-Leitung unter Umgehung des SD-WAN Gateway direkt an das Ziel.
      Hinweis:

      Standardmäßig zieht der Edge eine sichere Route einer Business Policy vor. In der Praxis bedeutet dies, dass der Edge Datenverkehr über Multipath (je nach Route von Zweigstelle-zu-Zweigstelle oder Cloud zu Gateway) weiterleitet, selbst wenn eine Business Policy so konfiguriert ist, dass dieser Datenverkehr über den direkten Pfad gesendet wird, wenn der Edge entweder sichere Standardrouten oder spezifischere sichere Routen vom Partner-Gateway oder einem anderen Edge erhalten hat.

      Dieses Verhalten kann für sichere Routen des Partner-Gateways überschreiben gesetzt werden, indem die Funktion „Sicheres Überschreiben der Standardroute (Secure Default Route Override)“ für einen Kunden aktiviert wird. Ein Partner-Superuser oder ein Operator kann diese Funktion aktivieren, die alle sicheren Routen des Partner-Gateways überschreiben setzt, die ebenfalls einer Business Policy entsprechen. Mit „Sicheres Überschreiben der Standardroute (Secure Default Route Override)“ werden keine sicheren Hub-Routen überschreiben gesetzt.

    • Mehrfachpfad (Multi-Path): Sendet den Datenverkehr von einem SD-WAN Edge zu einem anderen SD-WAN Edge.
    • Internet-Backhaul (Internet Backhaul): Dieser Netzwerkdienst ist nur aktiviert, wenn Internet als Ziel (Destination) festgelegt ist.
      Hinweis: Der Internet-Backhaul (Internet Backhaul)-Netzwerkdienst gilt nur für Internetdatenverkehr (WAN-Datenverkehr, der für Netzwerkpräfixe bestimmt ist, die nicht mit einer bekannten lokalen Route oder VPN-Verbindung übereinstimmen).

      Weitere Informationen zu diesen Optionen finden Sie unter Konfigurieren des Netzwerkdiensts für die Business Policy-Regel.

    Wenn bedingter Backhaul auf der Profilebene aktiviert ist, gilt er standardmäßig für alle für dieses Profil konfigurierten Business Policies. Sie können den bedingten Backhaul für ausgewählte Richtlinien ausschalten, um ausgewählten Datenverkehr („Direkt“, „Mehrfachpfad“ und „CSS“) von diesem Verhalten auszuschließen, indem Sie das Kontrollkästchen Bedingten Backhaul ausschalten (Turn off Conditional Backhaul) aktivieren.

    Weitere Informationen zum Aktivieren der Funktion „Bedingter Backhaul“ und zur Fehlerbehebung finden Sie unter Bedingter Backhaul.

    Link-Steuerung (Link Steering) Wählen Sie einen der folgenden Modi für die Link-Steuerung aus:
    • Auto: Standardmäßig gilt für alle Anwendungen der Modus für die automatische Link-Steuerung. Wenn sich eine Anwendung im Modus für die automatische Link-Steuerung befindet, wählt die DMPO-Funktion automatisch die besten Links basierend auf dem Anwendungstyp aus und aktiviert automatisch die bedarfsorientierte Standardisierung, falls erforderlich. Geben Sie im Dropdown-Menü ein DSCP-Tag für innere Pakete und ein DSCP-Tag für äußere Pakete ein.
    • Transportgruppe (Transport Group): Geben Sie eine der folgenden Optionen für die Transportgruppe in der Steuerungsrichtlinie an, sodass dieselbe Konfiguration der Business Policy auf verschiedene Gerätetypen oder Standorte angewendet werden kann, die völlig unterschiedliche WAN-Betreiber und WAN-Schnittstellen haben können.
      • Öffentlich verkabelt (Public Wired)
      • Öffentlich drahtlos (Public Wireless)
      • Privat verkabelt (Private Wired)
    • Schnittstelle (Interface): Die Link-Steuerung ist an eine physische Schnittstelle gebunden und wird in erster Linie für das Routing verwendet.
      Hinweis: Diese Option ist nur auf der Ebene „Edge-Überschreibung (Edge Override)“ zulässig.
    • WAN-Link (WAN Link): Ermöglicht es Ihnen, Richtlinienregeln basierend auf bestimmten privaten Verbindungen zu definieren. Für diese Option ist die Schnittstellenkonfiguration getrennt und unterscheidet sich von der WAN-Link-Konfiguration. Sie können einen WAN-Link auswählen, der entweder manuell konfiguriert oder automatisch erkannt wurde.
      Hinweis: Diese Option ist nur auf der Ebene „Edge-Überschreibung (Edge Override)“ zulässig.
    Hinweis: Wenn der Netzwerkdienst als Direkt (Direct) konfiguriert ist, werden die Nur-IPv6-Schnittstellen und Nur-IPv6-WAN-Links im Link-Steuerungsmodus nicht unterstützt.

    Weitere Informationen zu den Link-Steuerungsmodi und DSCP, der DSCP-Markierung für Underlay- und Overlay-Datenverkehr finden Sie unter Konfigurieren von Link-Steuerungsmodi.

    NAT Aktivieren oder deaktivieren Sie NAT. Weitere Informationen finden Sie unter Konfigurieren von richtlinienbasierter NAT.
    Dienstklasse (Service Class) Wählen Sie eine der folgenden Optionen für die Dienstklasse aus:
    • Echtzeit (Real-time)
    • Transaktional (Transactional)
    • Massen (Bulk)
    Hinweis: Diese Option ist nur für eine benutzerdefinierte Anwendung vorgesehen.
    VMware-Anwendungen bzw. -Kategorien fallen in eine dieser Kategorien.
  6. Klicken Sie auf OK. Die Business Policy-Regel wird für das ausgewählte Profil erstellt und im Bereich Business Policy der Seite Business Policy für Profil (Profile Business Policy) angezeigt.

    Verwandte Informationen: Overlay-QoS-CoS-Zuordnung