Business Policy-Regeln werden konfiguriert, um den Datenverkehr zu steuern, die Bandbreite zu verwalten und die Dienstqualität auf der Grundlage von Kriterien wie Anwendung, Quelle und Ziel usw. zu gewährleisten. Operatoren, Partner und Administratoren auf allen Ebenen können eine Business Policy erstellen. Mit der Business Policy werden Parameter wie IP-Adressen, Ports, VLAN-IDs, Schnittstellen, Domänennamen, Protokolle, das Betriebssystem, Objektgruppen, Anwendungen und DSCP-Tags abgeglichen. Wenn ein Datenpaket den Übereinstimmungsbedingungen entspricht, wird/werden die zugehörige(n) Aktion(en) durchgeführt. Wenn ein Paket keinen Parametern entspricht, wird eine Standardaktion für das Paket durchgeführt. Sie können Business Policies für ein Profil und einen Edge erstellen.

Voraussetzungen

Stellen Sie sicher, dass Sie über die Details der IP-Adressen Ihres Netzwerks verfügen.

Prozedur

  1. Navigieren Sie im SD-WAN-Dienst des Unternehmensportals zu Konfigurieren (Configure) > Profile (Profiles). Auf der Seite Profile (Profiles) werden die vorhandenen Profile angezeigt.
  2. Klicken Sie auf den Link zu einem Profil oder auf den Link Anzeigen (View) in der Spalte Gerät (Device) des Profils. Die Konfigurationsoptionen werden auf der Registerkarte Gerät (Device) angezeigt.
  3. Klicken Sie auf die Registerkarte Business Policy.
    Über die Seite Profile (Profiles) können Sie direkt zur Seite Business Policy navigieren, indem Sie auf den Link Anzeigen (View) in der Spalte Biz. Pol des Profils klicken.
  4. Klicken Sie auf der Seite Business Policy auf + HINZUFÜGEN (+ ADD). Das Fenster Regel hinzufügen (Add Rule) wird angezeigt.
  5. Geben Sie den Regelnamen ein und wählen Sie die IP-Version aus. Sie können die Quell- und Ziel-IP-Adressen entsprechend der ausgewählten IP-Version wie folgt konfigurieren:
    • IPv4 und IPv6 (IPv4 and IPv6): Ermöglicht die Konfiguration von IPv4- und IPv6-Adressen in den Übereinstimmungskriterien. Bei Verwendung diese Modus können Sie die IP-Adressen aus Objektgruppen auswählen, die Adressgruppen mit beiden Adressgruppentypen enthalten. Standardmäßig ist dieser Adresstyp ausgewählt.
    • IPv4 – Gilt für Datenverkehr mit einer IPv4-Adresse als Quelle und Ziel.
    • IPv6 – Gilt für Datenverkehr mit einer IPv6-Adresse als Quelle und Ziel.
      Hinweis: Wenn Sie ein Upgrade durchführen, werden die Business Policy-Regeln aus früheren Versionen in den IPv4-Modus verschoben.
  6. Konfigurieren Sie auf der Registerkarte Übereinstimmung (Match) die Übereinstimmungskriterien für Quell-, Ziel- und Anwendungsdatenverkehr.
    Bereich Beschreibung
    Quelle (Source)
    Ermöglicht die Angabe der Quelle für Pakete. Wählen Sie eine der folgenden Optionen aus:
    • Alle (Any): Erlaubt standardmäßig alle Quelladressen.
    • Objektgruppe (Object Group): Sie können eine Kombination aus Adressgruppe und Dienstgruppe auswählen.

      Bei Verwendung von „IPv4“ als Adresstyp wird nur die IPv4-Adresse aus „Adressgruppen (Address Groups)“ berücksichtigt, die mit der Datenverkehrsquelle übereinstimmt.

      Bei Verwendung von „IPv6“ als Adresstyp wird nur die IPv6-Adresse aus „Adressgruppen (Address Groups)“ berücksichtigt, die mit der Datenverkehrsquelle übereinstimmt.

      Bei Verwendung von „IPv4 und IPv6 (IPv4 and IPv6)“ als Adresstyp werden IPv4- und IPv6-Adressen aus „Adressgruppen (Address Groups)“ berücksichtigt, die mit der Datenverkehrsquelle übereinstimmen.

      Weitere Informationen finden Sie unter Objektgruppen und Konfigurieren von Business Policies mit Objektgruppen.
      Hinweis: Wenn die ausgewählte Adressgruppe Domänennamen enthält, werden sie ignoriert, wenn sie für die Quelle abgeglichen werden.
    • Definieren (Define): Ermöglicht es Ihnen, den Quelldatenverkehr von einem bestimmten VLAN, einer Schnittstelle, einer IP-Adresse, einem Port oder einem Betriebssystem zu definieren. Wählen Sie eine der folgenden Optionen aus:
      • VLAN: Entspricht dem Datenverkehr vom angegebenen VLAN, das im Dropdown-Menü ausgewählt wurde.
      • Schnittstelle (Interface): Entspricht dem Datenverkehr von der angegebenen Schnittstelle, die im Dropdown-Menü ausgewählt wurde.
        Hinweis: Wenn eine Schnittstelle nicht ausgewählt werden kann, ist sie entweder nicht aktiviert oder diesem Segment nicht zugewiesen.
      • IP-Adresse (IP Address): Entspricht dem Datenverkehr von der angegebenen IP-Adresse (IPv4 oder IPv6).
        Hinweis: Diese Option ist nicht verfügbar, wenn Sie IPv4 und IPv6 (IPv4 and IPv6) (gemischter Modus) als IP-Version auswählen. Im gemischten Modus wird der Datenverkehr basierend auf dem angegebenen VLAN oder der angegebenen Schnittstelle abgeglichen.
        Zusammen mit der IP-Adresse können Sie eine der folgenden Adresstypen angeben, um den Quelldatenverkehr abzugleichen:
        • CIDR-Präfix (CIDR prefix): Wählen Sie diese Option aus, wenn das Netzwerk als Wert für CIDR definiert werden soll (z. B: 172.10.0.0 /16).
        • Subnetzmaske (Subnet mask): Wählen Sie diese Option aus, wenn das Netzwerk basierend auf einer Subnetzmaske definiert werden soll (z. B. 172.10.0.0 255.255.0.0).
        • Platzhaltermaske (Wildcard mask): Wählen Sie diese Option aus, wenn Sie die Durchsetzung einer Richtlinie auf eine Reihe von Geräten für verschiedene IP-Subnetze beschränken möchten, die einen übereinstimmenden Wert für die IP-Adresse des Hosts verwenden. Die Platzhaltermaske entspricht einer IP oder einer Reihe von IP-Adressen, die auf der umgekehrten Subnetzmaske basieren. Eine '0' innerhalb des Binärwerts der Maske bedeutet, dass der Wert „fest“ ist, und eine 1 innerhalb des Binärwerts der Maske bedeutet, dass der Wert „variabel“ ist (kann 1 oder 0 sein). Beispiel: eine Platzhaltermaske von 0.0.0.255 (binäres Äquivalent = 00000000.00000000.00000000.11111111) mit einer IP-Adresse von 172.0.0, wobei die ersten drei Oktette feste Werte sind und das letzte Oktett ein variabler Wert ist. Diese Option ist nur für IPv4-Adressen verfügbar.
      • Ports: Gleicht den Datenverkehr vom angegebenen Quellport oder Portbereich ab.
      • Betriebssystem (Operating System): Gleicht den Datenverkehr vom angegebenen Betriebssystem, das im Dropdown-Menü ausgewählt wurde, ab.
    Ziel (Destination) Ermöglicht die Angabe des Ziels für Pakete. Wählen Sie eine der folgenden Optionen aus:
    • Alle (Any): Erlaubt standardmäßig alle Zieladressen.
    • Objektgruppe (Object Group): Sie können eine Kombination aus Adressgruppe und Dienstgruppe auswählen. Weitere Informationen finden Sie unter Objektgruppen und Konfigurieren von Business Policies mit Objektgruppen.
    • Definieren (Define): Ermöglicht es Ihnen, die Übereinstimmungskriterien für den Zieldatenverkehr zu einer bestimmten IP-Adresse, einem Domänenamen, einem Protokoll oder einem Port zu definieren. Wählen Sie eine der folgenden Optionen aus. Standardmäßig ist Alle (Any) ausgewählt:
      • Beliebig (Any): Gleicht den gesamten Zieldatenverkehr ab.
      • Internet: Gleicht den gesamten Internetdatenverkehr (Datenverkehr, der nicht mit einer SD-WAN-Route übereinstimmt) mit dem Ziel ab.
      • Edge: Gleicht den gesamten Datenverkehr zu einem Edge ab.
      • Nicht-SD-WAN-Ziel über Gateway (Non SD-WAN Destination via Gateway): Gleicht den gesamten Datenverkehr zur angegebenen Nicht-SD-WAN-Ziel über Gateway ab, der einem Profil zugeordnet ist. Stellen Sie sicher, dass Sie Ihre Nicht-SD-WAN-Sites über Gateway auf Profilebene verknüpft haben.
      • Nicht-SD-WAN-Ziel über Edge (Non SD-WAN Destination via Edge): Gleicht den gesamten Datenverkehr zur angegebenen Nicht-SD-WAN-Ziel über Edge ab, der einem Edge oder einem Profil zugeordnet ist. Stellen Sie sicher, dass Sie Ihre Nicht-SD-WAN-Sites über Edge auf Profilebene verknüpft haben.
    • Domäne (Domain): Gleicht den Datenverkehr für den gesamten Domänennamen oder einen Teil des Domänennamens ab, der im Feld Domänenname (Domain Name) ausgewählt ist. Beispiel: \„salesforce\“ gleicht den Datenverkehr mit \„www.salesforce.com\“ ab.
    • Protokoll (Protocol): Entspricht dem Datenverkehr für das angegebene Protokoll, das im Dropdown-Menü ausgewählt wurde. Folgende Protokolle werden unterstützt: GRE, ICMP, TCP und UDP.
      Hinweis: Gemischter Modus (Mixed Mode) wird für ICMP nicht unterstützt.
    • Ports: Gleicht den Datenverkehr vom angegebenen Quellport oder Portbereich ab.
    Anwendung (Application) Wählen Sie eine der folgenden Optionen aus:
    • Alle (Any): Wendet die Regel für die Business Policy standardmäßig auf alle Anwendungen an.
    • Definieren (Define): Ermöglicht Ihnen die Auswahl einer bestimmten Anwendung, um die Regel für die Business Policy anzuwenden. Darüber hinaus kann ein DSCP-Wert so festgelegt werden, dass er den mit einem voreingestellten DSCP/TOS-Tag eingehenden Verkehr abgleicht.
    Hinweis:
    • Wenn Sie eine Business Policy-Regel erstellen, die nur einer Anwendung entspricht, muss der Edge möglicherweise die DPI-Engine (Deep Packet Inspection) verwenden, um die Netzwerkdienstaktion für eine solche Anwendung anzuwenden. In der Regel ermittelt die DPI-Engine die Anwendung nicht basierend auf dem ersten Paket. Die DPI-Engine benötigt in der Regel die ersten 5-10 Pakete im Flow, um die Anwendung zu erkennen. Bei den ersten empfangenen Paketen ist der Datenverkehr nicht klassifiziert und entspricht einer weniger spezifischen Business Policy, was dazu führen kann, dass der Datenverkehr je nach der entsprechenden Richtlinie einen anderen Pfad verwendet, d. h. „Direkt (Direct)“ statt „Multipath“. Sobald DPI den Datenverkehrstyp ermittelt hat, wird eine spezifischere Richtlinie für diese Art von Datenverkehr konfiguriert. Dieser Flow nimmt jedoch weiterhin den Pfad von der ursprünglichen Richtlinie, mit der er übereinstimmt, da eine Umleitung auf einen neuen Pfad den Flow unterbrechen würde. Dies kann dazu führen, dass der erste Flow zu einer bestimmten Ziel-IP und einem bestimmten Port einen Pfad verwendet. Sobald der App-Cache aufgefüllt wurde, nehmen die nachfolgenden Flows zur selben Ziel-IP und zum selben Port einen anderen Pfad wie in einer spezifischeren Richtlinie für diesen Datenverkehrstyp konfiguriert.
    • Sobald der DPI-Wert den Datenverkehr klassifiziert, fügt er dem App-Cache die Ziel-IP und den Port hinzu und klassifiziert alle nachfolgenden Flows sofort in dieselbe Ziel-IP und denselben Port. Der App-Cache-Eintrag läuft nach 10 Minuten ab, wenn kein Datenverkehr zu dieser Ziel-IP und diesem Port geleitet wird. Der nächste Flow zu dieser Ziel-IP und diesem Port muss erneut die DPI-Engine durchlaufen und kann einen unerwarteten Pfad verwenden, je nachdem, welcher Richtlinie er entspricht, bevor die DPI-Engine die Anwendung identifiziert.
  7. Konfigurieren Sie auf der Registerkarte Aktion (Action) die Aktionen, die durchgeführt werden sollen, wenn der Datenverkehr den definierten Kriterien entspricht.
    Hinweis: Abhängig von Ihren Auswahlmöglichkeiten für Übereinstimmung (Match) sind einige Aktionen möglicherweise nicht verfügbar.
    Bereich Beschreibung
    Priorität (Priority) Legen Sie die Priorität der Regel wie folgt fest:
    • Hoch (High)
    • Normal
    • Niedrig (Low)
    Ratengrenzwert aktivieren Aktivieren Sie das Kontrollkästchen Ratengrenzwert aktivieren (Enable Rate Limit), um Grenzwerte für die Anweisungen für ein- und ausgehende Datenverkehrsrichtungen festzulegen.
    Hinweis: Die Ratenbegrenzung wird pro Flow durchgeführt. Die Ratenbegrenzung für Upstream-Datenverkehr funktioniert nur, wenn Sie einen Link oder eine Edge-Schnittstelle in der Business Policy angeben. Wenn Sie die Option „Steuerung (Steering)“ auf „Automatisch (Auto)“, „Transport“ oder „Gruppe (Group)“ festlegen, gilt der Ratengrenzwert für die Gesamtbandbreite aller entsprechenden Links. Dadurch wird möglicherweise entgegen Ihrer Erwartung kein strenger Ratengrenzwert erzwungen. Wenn Sie einen strengen Ratengrenzwert erzwingen möchten, sollten Sie den Datenverkehr an einen einzelnen Link oder eine einzelne Edge-Schnittstelle in der Business Policy lenken.
    Netzwerkdienst (Network Service) Legen Sie für den Netzwerkdienst (Network Service) eine der folgenden Optionen fest:
    • Direkt (Direct): Sendet den Datenverkehr von der WAN-Leitung unter Umgehung des SD-WAN Gateway direkt an das Ziel.
      Hinweis:

      Standardmäßig zieht der Edge eine sichere Route einer Business Policy vor. In der Praxis bedeutet dies, dass der Edge Datenverkehr über Multipath (je nach Route von Zweigstelle-zu-Zweigstelle oder Cloud zu Gateway) weiterleitet, selbst wenn eine Business Policy so konfiguriert ist, dass dieser Datenverkehr über den direkten Pfad gesendet wird, wenn der Edge entweder sichere Standardrouten oder spezifischere sichere Routen vom Partner-Gateway oder einem anderen Edge erhalten hat.

      Dieses Verhalten kann für sichere Routen des Partner-Gateways überschreiben gesetzt werden, indem die Funktion „Sicheres Überschreiben der Standardroute (Secure Default Route Override)“ für einen Kunden aktiviert wird. Ein Partner-Superuser oder ein Operator kann diese Funktion aktivieren, die alle sicheren Routen des Partner-Gateways überschreiben setzt, die ebenfalls einer Business Policy entsprechen. Mit „Sicheres Überschreiben der Standardroute (Secure Default Route Override)“ werden keine sicheren Hub-Routen überschreiben gesetzt.

    • Mehrfachpfad (Multi-Path): Sendet den Datenverkehr von einem SD-WAN Edge zu einem anderen SD-WAN Edge.
    • Internet-Backhaul (Internet Backhaul): Dieser Netzwerkdienst ist nur aktiviert, wenn Internet als Ziel (Destination) festgelegt ist.
      Hinweis: Der Internet-Backhaul (Internet Backhaul)-Netzwerkdienst gilt nur für Internetdatenverkehr (WAN-Datenverkehr, der für Netzwerkpräfixe bestimmt ist, die nicht mit einer bekannten lokalen Route oder VPN-Verbindung übereinstimmen).

      Weitere Informationen zu diesen Optionen finden Sie unter Konfigurieren des Netzwerkdiensts für die Business Policy-Regel.

    Wenn bedingter Backhaul auf der Profilebene aktiviert ist, gilt er standardmäßig für alle für dieses Profil konfigurierten Business Policies. Sie können den bedingten Backhaul für ausgewählte Richtlinien ausschalten, um ausgewählten Datenverkehr („Direkt“, „Mehrfachpfad“ und „CSS“) von diesem Verhalten auszuschließen, indem Sie das Kontrollkästchen Bedingten Backhaul ausschalten (Turn off Conditional Backhaul) aktivieren.

    Weitere Informationen zum Aktivieren der Funktion „Bedingter Backhaul“ und zur Fehlerbehebung finden Sie unter Bedingter Backhaul.
    Link-Steuerung (Link Steering) Wählen Sie einen der folgenden Modi für die Link-Steuerung aus:
    • Auto: Standardmäßig gilt für alle Anwendungen der Modus für die automatische Link-Steuerung. Wenn sich eine Anwendung im Modus für die automatische Link-Steuerung befindet, wählt die DMPO-Funktion automatisch die besten Links basierend auf dem Anwendungstyp aus und aktiviert automatisch die bedarfsorientierte Standardisierung, falls erforderlich.
      • Transportgruppe (Transport Group): Geben Sie eine der folgenden Optionen für die Transportgruppe in der Steuerungsrichtlinie an, sodass dieselbe Konfiguration der Business Policy auf verschiedene Gerätetypen oder Standorte angewendet werden kann, die völlig unterschiedliche WAN-Betreiber und WAN-Schnittstellen haben können.
        • Öffentlich verkabelt (Public Wired)
        • Öffentlich drahtlos (Public Wireless)
        • Privat verkabelt (Private Wired)
      • Schnittstelle (Interface): Die Link-Steuerung ist an eine physische Schnittstelle gebunden und wird in erster Linie für das Routing verwendet.
        Hinweis: Diese Option ist nur auf der Ebene „Edge-Überschreibung (Edge Override)“ zulässig.
      • WAN-Link (WAN Link): Ermöglicht es Ihnen, Richtlinienregeln basierend auf bestimmten privaten Verbindungen zu definieren. Für diese Option ist die Schnittstellenkonfiguration getrennt und unterscheidet sich von der WAN-Link-Konfiguration. Sie können einen WAN-Link auswählen, der entweder manuell konfiguriert oder automatisch erkannt wurde.
        Hinweis: Diese Option ist nur auf der Ebene „Edge-Überschreibung (Edge Override)“ zulässig.
    • DSCP-Tag für innere Pakete (Inner Packet DSCP Tag): Wählen Sie im Dropdown-Menü ein DSCP-Tag für innere Pakete aus.
    • DSCP-Tag für äußere Pakete (Outer Packet DSCP Tag): Wählen Sie im Dropdown-Menü ein DSCP-Tag für äußere Pakete aus.
    Hinweis: Wenn der Netzwerkdienst als Direkt (Direct) konfiguriert ist, werden die Nur-IPv6-Schnittstellen und Nur-IPv6-WAN-Links im Link-Steuerungsmodus nicht unterstützt.

    Weitere Informationen zu den Link-Steuerungsmodi und DSCP, der DSCP-Markierung für Underlay- und Overlay-Datenverkehr finden Sie unter Konfigurieren von Link-Steuerungsmodi.
    NAT aktivieren (Enable NAT) Aktivieren oder deaktivieren Sie NAT. Diese Option ist für IPv4 und IPv6 (IPv4 and IPv6) nicht verfügbar. Weitere Informationen finden Sie unter Konfigurieren von richtlinienbasierter NAT.
    Dienstklasse (Service Class) Wählen Sie eine der folgenden Optionen für die Dienstklasse aus:
    • Echtzeit (Real-time)
    • Transaktional (Transactional)
    • Massen (Bulk)
    Hinweis: Diese Option ist nur für eine benutzerdefinierte Anwendung vorgesehen.
    VMware-Anwendungen bzw. -Kategorien fallen in eine dieser Kategorien.
  8. Klicken Sie nach dem Konfigurieren der erforderlich Einstellungen auf Erstellen (Create).
    Die Business Policy-Regel wird für das ausgewählte Profil erstellt und im Bereich Business Policy-Regeln (Business Policy Rules) der Seite Business Policy für Profil (Profile Business Policy) angezeigt.
    Hinweis: Die auf der Profilebene erstellten Regeln können auf der Edge-Ebene nicht aktualisiert werden. Um die Regel zu überschreiben, muss der Benutzer dieselbe Regel auf der Edge-Ebene mit neuen Parametern erstellen, um die Regel auf Profilebene zu überschreiben.

    Für die Modi IPv6 und IPv4 und IPv6 (IPv4 and IPv6) können Sie Business Policy-Regeln nur über den Orchestrator erstellen. Sie können die restlichen Vorgänge wie „Aktualisieren (Update)“ und „Löschen (Delete)“ nur über die API durchführen.

    Verwandte Informationen: Overlay-QoS-CoS-Zuordnung