Beim Konfigurieren von Business Policies auf Profil- und Edge-Ebene können Sie die vorhandenen Objektgruppen auswählen, die mit der Quelle oder dem Ziel übereinstimmen. Sie können die Regeln für einen Bereich von IPv4- und IPv6-Adressen oder Portnummern definieren, die in den Objektgruppen verfügbar sind.

Führen Sie auf der Profilebene die folgenden Schritte aus, um eine Business Policy mit Objektgruppe zu konfigurieren:

Prozedur

  1. Navigieren Sie im SD-WAN-Dienst des Unternehmensportals zu Konfigurieren (Configure) > Profile (Profiles). Auf der Seite Profile (Profiles) werden die vorhandenen Profile angezeigt.
  2. Wählen Sie ein Profil aus, um eine Business Policy zu konfigurieren, und klicken Sie auf die Registerkarte Firewall.
    Über die Seite Profile (Profiles) können Sie direkt zur Seite Business Policy navigieren, indem Sie in der Spalte v des Profils auf den Link Anzeigen (View) klicken.
  3. Klicken Sie im Abschnitt Business Policy konfigurieren (Configure Business Policy) unter Business Policy-Regeln (Business Policy Rules) auf + HINZUFÜGEN (+ ADD). Das Dialogfeld Regel hinzufügen (Add Rule) wird angezeigt.
  4. Geben Sie im Textfeld Regelname (Rule Name) einen eindeutigen Namen für die Regel ein.
  5. Konfigurieren Sie im Bereich Übereinstimmung (Match) die Übereinstimmungsbedingungen für die Regel:
    1. Wählen Sie den IP-Versionstyp für die Regel aus. Standardmäßig ist der Adresstyp „IPv4 und IPv6“ ausgewählt. Sie können die Quell- und Ziel-IP-Adressen entsprechend dem ausgewählten Adresstyp konfigurieren.
      Je nach ausgewählter IP-Version ist folgendes Verhalten zu beobachten:
      • Die IPv4-Typregel stimmt nur mit den IPv4-Adressen überein, die in der ausgewählten Adressgruppe verfügbar sind.
      • Die IPv6-Typregel stimmt nur mit den IPv6-Adressen überein, die in der ausgewählten Adressgruppe verfügbar sind.
      • Die Regel für kombinierte Typen stimmt sowohl mit den IPv4- als auch mit den IPv6-Adressen in der ausgewählten Adressgruppe überein.
    2. Wählen Sie im Filter-Dropdown-Menü Quelle (Source) die Option Objektgruppen (Object Groups) aus.
    3. Wählen Sie die entsprechende Adressgruppe und Dienstgruppe aus dem Dropdown-Menü aus. Wenn die ausgewählte Adressgruppe Domänennamen enthält, werden sie ignoriert, wenn sie für die Quelle abgeglichen werden.
      Hinweis: Wenn Sie Domänen als Übereinstimmungskriterien für eine Adressgruppe (Address Group) konfigurieren, wird vom SD-WAN-Dienst zunächst überprüft, ob eine Übereinstimmung mit der IP-Adresse vorhanden ist. Bei Vorhandensein einer Übereinstimmung überspringt der Dienst den Domänennamenabgleich. Wenn jedoch keine Übereinstimmung für eine IP-Adresse gefunden wird, führt der Dienst einen Domänennamenabgleich in der Adressgruppe (Address Group) durch.
      Wichtig: Die Übereinstimmungskriterien können mit grundlegenden Platzhaltermustern übereinstimmen. Wenn Sie beispielsweise eine Domäne in einer Adressgruppe (Address Group) als google.com konfigurieren, können mail.google.com und/oder www.google.com diesen Kriterien ebenfalls entsprechen. Wenn Sie jedoch www.google.com als Domäne in einer Adressgruppe (Address Group) konfigurieren, stimmt mail.google.com nicht mit dieser Richtlinie überein.
    4. Falls erforderlich, können Sie auch die Adresse und die Dienstgruppen für das Ziel auswählen.
    5. Wählen Sie Business Policy-Aktionen aus und klicken Sie auf Erstellen (Create).
      Weitere Informationen zu den Übereinstimmungs- und Aktionsparametern finden Sie unter Erstellen einer Business Policy-Regel.
    6. Klicken Sie auf Änderungen speichern (Save Changes).

Ergebnisse

Die Business Policy-Regeln, die Sie für ein Profil erstellen, werden automatisch auf alle dem Profil zugeordneten Edges angewendet. Bei Bedarf können Sie zusätzliche Edge-spezifische Regeln erstellen oder die geerbte Regel ändern, indem Sie zu Konfigurieren (Configure) > Edges navigieren und auf die Registerkarte Business Policy klicken.
Im Abschnitt The Regeln aus Profil (Rules From Profile) werden die vom Profil vererbten schreibgeschützten Regeln angezeigt. Wenn Sie eine Regel auf Profilebene überschreiben möchten, fügen Sie eine neue Regel hinzu. Die hinzugefügte Regel wird im Abschnitt Edge-Überschreibungen (Edge Overrides) angezeigt und kann bei Bedarf geändert oder gelöscht werden.
Hinweis: Standardmäßig werden die Business Policy-Regeln dem globalen Segment zugewiesen. Falls erforderlich, können Sie ein Segment aus der Dropdown-Liste Segment auswählen und Business Policy-Regeln erstellen, die spezifisch für das ausgewählte Segment sind.
Sie können die Objektgruppen mit zusätzlichen IP-Adressen, Portnummern, Diensttypen und Codes ändern. Die Änderungen werden automatisch in die Business Policy-Regeln aufgenommen, die die Objektgruppen verwenden.
Hinweis: Wenn eine Objektgruppe mit einer Business Policy-Regel verknüpft ist, werden der ICMP-Typ und die codebasierte Konfiguration in Dienstgruppen nicht angewendet. Obwohl der Orchestrator diesen Konfigurationstyp zulässt, ignoriert der Edge beim Abgleichen der Business Policy den ICMP-Typ und die codebasierte Konfiguration.