SD-WAN Orchestrator permite configurar reglas de directiva empresarial en los niveles de perfil y de Edge. Los operadores, los socios y los administradores de todos los niveles pueden crear una directiva empresarial. La directiva empresarial busca coincidencias con parámetros como las direcciones IP, los puertos, los identificadores de VLAN, las interfaces, los nombres de dominio, los protocolos, el sistema operativo, los grupos de objetos, las aplicaciones y las etiquetas DSCP. Cuando un paquete de datos coincide con los parámetros de coincidencia, se aplican la acción o las acciones asociadas. Si un paquete no coincide con ningún parámetro, se ejecuta una acción predeterminada en el paquete.

Antes de comenzar: Conozca las direcciones IP de los dispositivos y comprenda las implicaciones de la configuración de una máscara comodín.

Para crear una directiva empresarial:
  1. En SD-WAN Orchestrator, vaya a Configurar (Configure) > Perfiles (Profiles) > Directiva empresarial (Business Policy).
  2. En el área Directiva empresarial (Business Policy), haga clic en Nueva regla (New Rule). Se mostrará el cuadro de diálogo Configurar regla (Configure Rule).
  3. En el cuadro Nombre de regla (Rule Name), introduzca un nombre único para la regla.
  4. En el área Coincidencia (Match), configure las condiciones de coincidencia para el flujo de tráfico. La opción que elija puede cambiar los campos en el cuadro de diálogo:
    Configuración Descripción
    Origen (Source) Permite especificar criterios de coincidencia para el tráfico de origen. Seleccione una las siguientes opciones:
    • Cualquiera (Any): busca coincidencias con todo el tráfico de origen de forma predeterminada.
    • Grupo de objetos (Object Group): permite seleccionar una combinación de grupos de direcciones y grupos de puertos que coincidan con el origen. Para obtener más información, consulte Grupos de objetos y Configurar directivas empresariales con grupos de objetos.
      Nota: Si el grupo de direcciones seleccionado contiene nombres de dominio, estos se omitirán al buscar coincidencias para el origen.
    • Definir (Define): permite definir los criterios de coincidencia para el tráfico de origen desde una VLAN, una interfaz, una dirección IP, un puerto o un sistema operativo específicos. Seleccione una de las siguientes opciones; de forma predeterminada, Ninguna (None) está seleccionada:
      • VLAN: busca coincidencias con el tráfico de la VLAN especificada, seleccionada en el menú desplegable.
      • Interfaz (Interface): busca coincidencias con el tráfico proveniente de la interfaz especificada, seleccionada en el menú desplegable.
        Nota: Si no se puede seleccionar una interfaz, significa que la interfaz está deshabilitada o no está asignada a este segmento.
      • Dirección IP (IP Address): busca coincidencias con el tráfico proveniente de la dirección IP especificada. Junto con la dirección IP, puede especificar una de las siguientes opciones para buscar coincidencias con el tráfico de origen:
        • Prefijo CIDR (CIDR prefix): seleccione esta opción si desea que la red se defina como un valor CIDR (por ejemplo: 172.10.0.0 /16).
        • Máscara de subred (Subnet mask): seleccione esta opción si desea que la red se defina en función de una máscara de subred (por ejemplo, 172.10.0.0 255.255.0.0).
        • Máscara comodín (Wildcard mask): seleccione esta opción si desea poder restringir la aplicación de una directiva a un conjunto de dispositivos en diferentes subredes IP que compartan un valor de dirección IP de host coincidente. La máscara comodín coincide con una dirección IP o un conjunto de direcciones IP según la máscara de subred invertida. Un “0” dentro del valor binario de la máscara significa que el valor es fijo y un “1” dentro del valor binario de la máscara significa que el valor es comodín (puede ser 1 o 0). Por ejemplo, en una máscara comodín de 0.0.0.255 (equivalente binario = 00000000.00000000.00000000.11111111) con una dirección IP de 172.0.0, los primeros tres octetos son valores fijos y el último octeto es un valor variable.
      • Puerto (Port): coincide con el tráfico del rango de puertos o puerto de origen especificado.
      • Sistema operativo (Operating System): coincide con el tráfico del sistema operativo especificado, seleccionado en el menú desplegable.
    Destino (Destination) Permite especificar criterios de coincidencia para el tráfico de destino. Seleccione una las siguientes opciones:
    • Cualquiera (Any): busca coincidencias con todo el tráfico de destino de forma predeterminada.
    • Grupo de objetos (Object Group): permite seleccionar una combinación de grupos de direcciones y grupos de puertos que coincidan con el destino. Para obtener más información, consulte Grupos de objetos y Configurar directivas empresariales con grupos de objetos.
    • Definir (Define): permite definir los criterios de coincidencia para el tráfico de destino hacia una dirección IP, un nombre de dominio, un protocolo o un puerto específicos. Seleccione una de las siguientes opciones; de forma predeterminada, Cualquiera (Any) está seleccionada:
      • Cualquiera (Any): busca coincidencias con todo el tráfico de destino.
      • Internet: coincide con todo el tráfico de Internet (tráfico que no coincide con una ruta de SD-WAN) en el destino.
      • Edge: busca coincidencias con todo el tráfico hacia una instancia de Edge.
      • Destino que no es de SD-WAN a través de la puerta de enlace (Non SD-WAN Destination via Gateway): coincide con todo el tráfico hacia la instancia de Destino que no es de SD-WAN especificada a través de la puerta de enlace, asociada con un perfil. Asegúrese de haber asociado los sitios que no son de SD-WAN a través de la puerta de enlace en el nivel de perfil.
      • Destino que no es de SD-WAN a través de Edge (Non SD-WAN Destination via Edge): coincide con todo el tráfico hacia la instancia de Destino que no es de SD-WAN especificada a través de Edge, asociada con un perfil o una instancia de Edge. Asegúrese de haber asociado los sitios que no son de SD-WAN a través de Edge en el nivel de perfil o de la instancia de Edge.

      Protocolo (Protocol): coincide con el tráfico del protocolo especificado, seleccionado en el menú desplegable. Los protocolos admitidos son GRE, ICMP, TCP y UDP.

      Dominio (Domain): coincide con el tráfico para el nombre de dominio completo, o una parte de él, especificado en el campo Nombre de dominio (Domain Name). Por ejemplo, \"salesforce\" buscará coincidencias del tráfico con \"www.salesforce.com\".
    Aplicación (Application) Seleccione una las siguientes opciones:
    • Cualquiera (Any): aplica la regla de directiva empresarial a cualquier aplicación de forma predeterminada.
    • Definir (Define): permite seleccionar una aplicación específica para aplicar la regla de directiva empresarial. Además, se puede especificar un valor DSCP para que coincida con el tráfico entrante que tenga una etiqueta DSCP/TOS preestablecida.
    En función de sus elecciones de Coincidencia (Match), es posible que algunas acciones no estén disponibles.
  5. En el área Acción (Action), configure las acciones de la regla:
    Configuración Descripción
    Prioridad (Priority) Designe la prioridad de la regla según una de las siguientes opciones:
    • Alta (High)
    • Normal
    • Baja (Low)
    Seleccione la casilla de verificación Límite de velocidad (Rate Limit) para establecer los límites de las direcciones de tráfico entrante y saliente.
    Servicio de red (Network Service) Establezca el Servicio de red (Network Service) en una de las siguientes opciones:
    • Directo (Direct): envía el tráfico fuera del circuito WAN directamente al destino y omite SD-WAN Gateway.
      Nota:

      La instancia de Edge prefiere una ruta segura a una directiva empresarial de forma predeterminada. En la práctica, esto significa que la instancia de Edge reenviará el tráfico a través de MultiPath (de sucursal a sucursal o nube a través de puerta de enlace, según la ruta) aun cuando se haya configurado una directiva empresarial para enviar ese tráfico a través de la ruta directa si la instancia de Edge ha recibido rutas predeterminadas seguras o rutas seguras más específicas procedentes de la puerta de enlace de socio o de otra instancia de Edge.

      Este comportamiento lo puede anular un operador o un superusuario de socio, configurando la función "Reemplazo de ruta predeterminada segura" (Secure Default Route Override) para un cliente. Al activar esta función, se reemplazan todas las rutas seguras que también coincidan con una directiva empresarial.

    • Múltiples rutas (Multi-Path): envía el tráfico de una instancia de SD-WAN Edge a otra instancia de SD-WAN Edge.
    • Red de retorno de Internet (Internet Backhaul): este servicio de red solo está habilitado si el Destino (Destination) está establecido como Internet.
      Nota: El servicio de red Red de retorno de Internet (Internet Backhaul) solo se aplicará al tráfico de Internet (el tráfico de WAN destinado a prefijos de red que no coinciden con una ruta local o una ruta de VPN conocida).

      Para obtener más información sobre estas opciones, consulte Configurar el servicio de red para la regla de directiva empresarial.

    Si se habilita Red de retorno condicional (Conditional Backhaul) en el nivel del perfil, se aplicará de forma predeterminada a todas las directivas empresariales configuradas para ese perfil. Puede deshabilitar una red de retorno condicional para las políticas seleccionadas a fin de excluir el tráfico seleccionado (Directo, Múltiples rutas y CSS) de este comportamiento. Para ello, seleccione la casilla de verificación Deshabilitar red de retorno condicional (Disable Conditional Backhaul).

    Para obtener más información sobre cómo habilitar y solucionar los problemas de la función de red de retorno condicional, consulte Red de retorno condicional.
    Dirección de vínculos (Link Steering) Seleccione uno de los siguientes modos de dirección de vínculos:
    • Automático (Auto): todas las aplicaciones tienen definido el modo de Dirección de vínculos de forma predeterminada. Cuando una aplicación se encuentra en el modo de dirección de vínculos automático, DMPO selecciona automáticamente los mejores vínculos en función del tipo de aplicación y habilita automáticamente la corrección a petición cuando es necesario. Introduzca una etiqueta DSCP de paquete interno en el menú desplegable y una etiqueta DSCP de paquete externo en el menú desplegable.
    • Grupo de transporte (Transport Group): especifique una de las siguientes opciones de grupo de transporte en la directiva de dirección para que se pueda aplicar la misma configuración de directiva empresarial en diferentes tipos de dispositivos o ubicaciones, que pueden tener proveedores de WAN e interfaces WAN completamente distintos:
      • Público cableado (Public Wired)
      • Público inalámbrico (Public Wireless)
      • Privado cableado (Private Wired)
    • Interfaz (Interface): la dirección de vínculos está ligada a una interfaz física y se utilizará principalmente para fines de enrutamiento.
      Nota: Esta opción solo se permite en el nivel de anulación de Edge.
    • Vínculo WAN (WAN Link): permite definir reglas de directivas basadas en vínculos privados específicos. Para esta opción, la configuración de la interfaz es independiente y distinta de la configuración del vínculo WAN. Podrá seleccionar un vínculo WAN que se haya configurado de forma manual o se haya detectado automáticamente.
      Nota: Esta opción solo se permite en el nivel de anulación de Edge.
    Nota: Cuando el servicio de red está configurado como Directo (Direct), las interfaces solo IPv6 y los vínculos WAN solo IPv6 no se admiten en el modo de Dirección de vínculos (Link Steering).

    Para obtener más información sobre los modos de dirección de vínculos y DSCP, y el marcado de DSCP para el tráfico de superposición y subyacente, consulte Configurar modos de dirección de vínculos.
    NAT Deshabilite o habilite NAT. Para obtener más información, consulte Configurar NAT basada en directivas.
    Clase de servicio (Service Class) Seleccione una de las siguientes opciones de clase de servicio:
    • En tiempo real (Real-time)
    • Transaccional (Transactional)
    • Masiva (Bulk)
    Nota: Esta opción solo es para una aplicación personalizada.
    Las aplicaciones o categorías de VMware pertenecen a una de estas categorías.
  6. Haga clic en Aceptar (OK). Se creará la regla de directiva empresarial para el perfil seleccionado y se mostrará en el área Directiva empresarial (Business Policy) de la página Directiva empresarial de perfil (Profile Business Policy).

    Información relacionada: Asignación de clase de servicio de QoS de superposición