Las reglas de directiva empresarial se configuran para dirigir el tráfico, administrar el ancho de banda y garantizar la calidad del servicio en función de criterios como la aplicación, el origen y el destino, etc. Los operadores, los socios y los administradores de todos los niveles pueden crear una directiva empresarial. La directiva empresarial busca coincidencias con parámetros como las direcciones IP, los puertos, los identificadores de VLAN, las interfaces, los nombres de dominio, los protocolos, el sistema operativo, los grupos de objetos, las aplicaciones y las etiquetas DSCP. Cuando un paquete de datos coincide con los parámetros de coincidencia, se aplican la acción o las acciones asociadas. Si un paquete no coincide con ningún parámetro, se ejecuta una acción predeterminada en el paquete.
Antes de comenzar: Conozca las direcciones IP de los dispositivos y comprenda las implicaciones de la configuración de una máscara comodín.
- En SD-WAN Orchestrator, haga clic en .
- La página Directiva empresarial (Business Policy) muestra las directivas existentes. Para crear una nueva directiva empresarial, haga clic en Nueva regla (New Rule).
- En la ventana Configurar regla (Configure Rule) que aparece, configure los siguientes elementos:
- En el cuadro Nombre de regla (Rule Name), introduzca un nombre único para la regla.
- En el área Coincidencia (Match), configure las condiciones de coincidencia para el flujo de tráfico. La opción que elija puede cambiar los campos en el cuadro de diálogo:
Configuración Descripción Tipo El tipo de dirección IPv4 se selecciona de forma predeterminada. Puede configurar las direcciones IP de origen y destino de acuerdo con el tipo seleccionado, de la siguiente manera: - Mixto (Mixed): permite configurar las direcciones IPv4 e IPv6 en los criterios de coincidencia. Si elige este modo, puede seleccionar las direcciones IP de los grupos de objetos que contienen grupos de direcciones con ambos tipos de direcciones.
- IPv4: se aplica al tráfico que solo tiene direcciones IPv4 como origen y destino. El tipo de dirección está seleccionado de forma predeterminada.
- IPv6: se aplica al tráfico que solo tiene direcciones IPv6 como origen y destino.
Nota: Para configurar reglas de directiva empresarial con el tipo Mixta (Mixed) o IPv6, debe utilizar la nueva interfaz de usuario de Orchestrator. Para obtener más información, consulte Crear una regla de directiva empresarial con la nueva interfaz de usuario de Orchestrator.
Nota: Al actualizar, las reglas de directiva empresarial de las versiones anteriores se trasladan al modo IPv4.Origen (Source) Permite especificar criterios de coincidencia para el tráfico de origen. Seleccione una las siguientes opciones: - Cualquiera (Any): busca coincidencias con todo el tráfico de origen de forma predeterminada.
- Grupo de objetos (Object Group): permite seleccionar una combinación de grupos de direcciones y grupos de puertos que coincidan con el origen.
Si el tipo de dirección es IPv4, solo se tiene en cuenta la dirección IPv4 de los grupos de direcciones para establecer una coincidencia con el origen del tráfico.
Si el tipo de dirección es IPv6, solo se tiene en cuenta la dirección IPv6 de los grupos de direcciones para establecer una coincidencia con el origen del tráfico.
Si el tipo de dirección es mixto, se tendrán en cuenta las direcciones tanto IPv4 como IPv6 de los grupos de direcciones para establecer una coincidencia con el origen del tráfico.
Para obtener más información, consulte Grupos de objetos y Configurar directivas empresariales con grupos de objetos.Nota: Si el grupo de direcciones seleccionado contiene nombres de dominio, estos se omitirán al buscar coincidencias para el origen. - Definir (Define): permite definir los criterios de coincidencia para el tráfico de origen desde una VLAN, una interfaz, una dirección IP, un puerto o un sistema operativo específicos. Seleccione una de las siguientes opciones; de forma predeterminada, Ninguna (None) está seleccionada:
- VLAN: busca coincidencias con el tráfico de la VLAN especificada, seleccionada en el menú desplegable.
- Interfaz (Interface): busca coincidencias con el tráfico proveniente de la interfaz especificada, seleccionada en el menú desplegable.
Nota: Si no se puede seleccionar una interfaz, significa que la interfaz no está activada o no está asignada a este segmento.
- Dirección IP: coincide con el tráfico de la dirección IP4 o IPv6 especificada. Esta opción no está disponible en el modo Mixto (Mixed). Junto con la dirección IP, puede especificar una de las siguientes opciones para buscar coincidencias con el tráfico de origen:
- Prefijo CIDR (CIDR prefix): seleccione esta opción si desea que la red se defina como un valor CIDR (por ejemplo:
172.10.0.0 /16
). - Máscara de subred (Subnet mask): seleccione esta opción si desea que la red se defina en función de una máscara de subred (por ejemplo,
172.10.0.0 255.255.0.0
). - Máscara comodín (Wildcard mask): seleccione esta opción si desea poder restringir la aplicación de una directiva a un conjunto de dispositivos en diferentes subredes IP que compartan un valor de dirección IP de host coincidente. La máscara comodín coincide con una dirección IP o un conjunto de direcciones IP según la máscara de subred invertida. Un “0” dentro del valor binario de la máscara significa que el valor es fijo y un “1” dentro del valor binario de la máscara significa que el valor es comodín (puede ser 1 o 0). Por ejemplo, en una máscara comodín de 0.0.0.255 (equivalente binario = 00000000.00000000.00000000.11111111) con una dirección IP de 172.0.0, los primeros tres octetos son valores fijos y el último octeto es un valor variable. Esta opción solo está disponible para la dirección IPv4.
- Prefijo CIDR (CIDR prefix): seleccione esta opción si desea que la red se defina como un valor CIDR (por ejemplo:
- Puerto (Port): coincide con el tráfico del rango de puertos o puerto de origen especificado.
- Sistema operativo (Operating System): coincide con el tráfico del sistema operativo especificado, seleccionado en el menú desplegable.
Destino (Destination) Permite especificar criterios de coincidencia para el tráfico de destino. Seleccione una las siguientes opciones: - Cualquiera (Any): busca coincidencias con todo el tráfico de destino de forma predeterminada.
- Grupo de objetos (Object Group): permite seleccionar una combinación de grupos de direcciones y grupos de puertos que coincidan con el destino.
Si el tipo de dirección es IPv4, solo se tiene en cuenta la dirección IPv4 de los grupos de direcciones para establecer una coincidencia con el destino del tráfico.
Si el tipo de dirección es IPv6, solo se tiene en cuenta la dirección IPv6 de los grupos de direcciones para establecer una coincidencia con el destino del tráfico.
Si el tipo de dirección es mixto, se tendrán en cuenta las direcciones tanto IPv4 como IPv6 de los grupos de direcciones para establecer una coincidencia con el destino del tráfico.
Para obtener más información, consulte Grupos de objetos y Configurar directivas empresariales con grupos de objetos. - Definir (Define): permite definir los criterios de coincidencia para el tráfico de destino hacia una dirección IP, un nombre de dominio, un protocolo o un puerto específicos. Seleccione una de las siguientes opciones; de forma predeterminada, Cualquiera (Any) está seleccionada:
- Cualquiera (Any): busca coincidencias con todo el tráfico de destino.
- Internet: coincide con todo el tráfico de Internet (tráfico que no coincide con una ruta de SD-WAN) en el destino.
- Edge: busca coincidencias con todo el tráfico hacia una instancia de Edge.
- Destino que no es de SD-WAN a través de la puerta de enlace (Non SD-WAN Destination via Gateway): coincide con todo el tráfico hacia la instancia de Destino que no es de SD-WAN especificada a través de la puerta de enlace, asociada con un perfil. Asegúrese de haber asociado los sitios que no son de SD-WAN a través de la puerta de enlace en el nivel de perfil.
- Destino que no es de SD-WAN a través de Edge (Non SD-WAN Destination via Edge): coincide con todo el tráfico hacia la instancia de Destino que no es de SD-WAN especificada a través de Edge, asociada con un perfil o una instancia de Edge. Asegúrese de haber asociado los sitios que no son de SD-WAN a través de Edge en el nivel de perfil o de la instancia de Edge.
Protocolo (Protocol): coincide con el tráfico del protocolo especificado, seleccionado en el menú desplegable. Los protocolos admitidos son GRE, ICMP, TCP y UDP.Nota: ICMP no se admite en el modo Mixto (Mixed).Dominio (Domain): coincide con el tráfico para el nombre de dominio completo, o una parte de él, especificado en el campo Nombre de dominio (Domain Name). Por ejemplo, \"salesforce\" buscará coincidencias del tráfico con \"www.salesforce.com\".
Aplicación (Application) Seleccione una las siguientes opciones: - Cualquiera (Any): aplica la regla de directiva empresarial a cualquier aplicación de forma predeterminada.
- Definir (Define): permite seleccionar una aplicación específica para aplicar la regla de directiva empresarial. Además, se puede especificar un valor DSCP para que coincida con el tráfico entrante que tenga una etiqueta DSCP/TOS preestablecida.
Nota:- Al crear una regla de directiva empresarial que solo coincida con una aplicación, es posible que Edge tenga que utilizar el motor de inspección profunda de paquetes (Deep Packet Inspection, DPI) para aplicar la acción de servicio de red para esa aplicación. Por lo general, DPI no determina la aplicación a partir del primer paquete. El motor de DPI necesita normalmente los primeros 5-10 paquetes del flujo para poder identificar la aplicación. Para los primeros paquetes recibidos, el tráfico no se clasificará y coincidirá con una directiva empresarial menos específica, lo cual puede provocar que el tráfico tome una ruta diferente, es decir, "Directo" (Direct) en lugar de "Múltiples rutas" (Multipath), según la directiva que coincida. Una vez que DPI determina el tipo de tráfico, coincide con una directiva más específica configurada para este tipo de tráfico. Sin embargo, ese flujo sigue teniendo la ruta de acceso de la directiva original con la que coincidió, ya que si se dirige a una nueva ruta, se interrumpirá el flujo. Esto puede provocar que el primer flujo a una dirección IP y un puerto de destino específicos tomen una ruta. Una vez que se rellena la memoria caché de la aplicación, los flujos subsiguientes a la misma IP de destino y al mismo puerto toman otra ruta de acceso, como se configuró en una directiva más específica para este tipo de tráfico.
- Una vez que DPI clasifica el tráfico, agrega la IP y el puerto de destino a la memoria caché de la aplicación, e inmediatamente clasifica los flujos subsiguientes a la misma IP y el mismo puerto de destino. La entrada de memoria caché de la aplicación caduca 10 minutos después de que no haya tráfico que se dirige a esa IP y puerto de destino. El siguiente flujo a esa IP y puerto de destino debe volver a pasar por DPI y puede tomar una ruta inesperada en función de la directiva que coincida antes de que DPI identifique la aplicación.
- En el área Acción (Action), configure las acciones de la regla:
Configuración Descripción Prioridad (Priority) Designe la prioridad de la regla según una de las siguientes opciones: - Alta (High)
- Normal
- Baja (Low)
Nota: La limitación de velocidad se realiza por flujo. La limitación de velocidad para el tráfico ascendente solo funciona cuando se especifica un vínculo o una interfaz de Edge en la directiva empresarial. Si establece la opción Dirección (Steering) en Automático (Auto), Transporte (Transport) o Grupo (Group), el límite de velocidad se aplicará al ancho de banda total de todos los vínculos correspondientes. Es posible que esto no aplique un límite de velocidad estricto según lo esperado. Si desea aplicar un límite de velocidad estricto, debe dirigir el tráfico a un solo vínculo o una interfaz de Edge en la directiva empresarial.Servicio de red (Network Service) Establezca el Servicio de red (Network Service) en una de las siguientes opciones: - Directo (Direct): envía el tráfico fuera del circuito WAN directamente al destino y omite SD-WAN Gateway.
Nota:
La instancia de Edge prefiere una ruta segura a una directiva empresarial de forma predeterminada. En la práctica, esto significa que la instancia de Edge reenviará el tráfico a través de MultiPath (de sucursal a sucursal o nube a través de puerta de enlace, según la ruta) aun cuando se haya configurado una directiva empresarial para enviar ese tráfico a través de la ruta directa si la instancia de Edge ha recibido rutas predeterminadas seguras o rutas seguras más específicas procedentes de la puerta de enlace de socio o de otra instancia de Edge.
Este comportamiento se puede anular en las rutas seguras de puerta de enlace de socio; para ello, active la función "Reemplazo de ruta predeterminada segura" (Secure Default Route Override) en un cliente. Un operador o un superusuario de socio pueden activar esta función, que anula todas las rutas seguras de puerta de enlace de socio que coinciden también con una directiva empresarial. La opción "Reemplazo de ruta predeterminada segura" (Secure Default Route Override) no anula las rutas seguras de hub.
- Múltiples rutas (Multi-Path): envía el tráfico de una instancia de SD-WAN Edge a otra instancia de SD-WAN Edge.
- Red de retorno de Internet (Internet Backhaul): este servicio de red solo está activado si el Destino (Destination) está establecido como Internet.
Nota: El servicio de red Red de retorno de Internet (Internet Backhaul) solo se aplicará al tráfico de Internet (el tráfico de WAN destinado a prefijos de red que no coinciden con una ruta local o una ruta de VPN conocida).
Para obtener más información sobre estas opciones, consulte Configurar el servicio de red para la regla de directiva empresarial.
Si se activa Red de retorno condicional (Conditional Backhaul) en el nivel del perfil, se aplicará de forma predeterminada a todas las directivas empresariales configuradas para ese perfil. Puede desactivar una red de retorno condicional para las políticas seleccionadas a fin de excluir el tráfico seleccionado (Directo, Múltiples rutas y CSS) de este comportamiento. Para ello, seleccione la casilla de verificación Desactivar red de retorno condicional (Turn off Conditional Backhaul).
Para obtener más información sobre cómo activar y solucionar los problemas de la función de red de retorno condicional, consulte Red de retorno condicional.
Dirección de vínculos (Link Steering) Seleccione uno de los siguientes modos de dirección de vínculos: - Automático (Auto): todas las aplicaciones tienen definido el modo de Dirección de vínculos de forma predeterminada. Cuando una aplicación se encuentra en el modo de dirección de vínculos automático, DMPO selecciona automáticamente los mejores vínculos en función del tipo de aplicación y activa automáticamente la corrección a petición cuando es necesario. Introduzca una etiqueta DSCP de paquete interno en el menú desplegable y una etiqueta DSCP de paquete externo en el menú desplegable.
- Grupo de transporte (Transport Group): especifique una de las siguientes opciones de grupo de transporte en la directiva de dirección para que se pueda aplicar la misma configuración de directiva empresarial en diferentes tipos de dispositivos o ubicaciones, que pueden tener proveedores de WAN e interfaces WAN completamente distintos:
- Público cableado (Public Wired)
- Público inalámbrico (Public Wireless)
- Privado cableado (Private Wired)
- Interfaz (Interface): la dirección de vínculos está ligada a una interfaz física y se utilizará principalmente para fines de enrutamiento.
Nota: Esta opción solo se permite en el nivel de anulación de Edge.
- Vínculo WAN (WAN Link): permite definir reglas de directivas basadas en vínculos privados específicos. Para esta opción, la configuración de la interfaz es independiente y distinta de la configuración del vínculo WAN. Podrá seleccionar un vínculo WAN que se haya configurado de forma manual o se haya detectado automáticamente.
Nota: Esta opción solo se permite en el nivel de anulación de Edge.
Nota: Cuando el servicio de red está configurado como Directo (Direct), las interfaces solo IPv6 y los vínculos WAN solo IPv6 no se admiten en el modo de Dirección de vínculos (Link Steering).Para obtener más información sobre los modos de dirección de vínculos y DSCP, y el marcado de DSCP para el tráfico de superposición y subyacente, consulte Configurar modos de dirección de vínculos.
NAT Activar o desactivar NAT. Esta opción no está disponible en el modo Mixto (Mixed). Para obtener más información, consulte Configurar NAT basada en directivas. Clase de servicio (Service Class) Seleccione una de las siguientes opciones de clase de servicio: - En tiempo real (Real-time)
- Transaccional (Transactional)
- Masiva (Bulk)
Nota: Esta opción solo es para una aplicación personalizada.Las aplicaciones o categorías de VMware pertenecen a una de estas categorías. - Haga clic en Aceptar (OK). Se creará la regla de directiva empresarial para el perfil seleccionado y se mostrará en el área Directiva empresarial (Business Policy) de la página Directiva empresarial de perfil (Profile Business Policy).
En los modos IPv6 y Mixto (Mixed), solo se pueden crear reglas de directiva empresarial desde Orchestrator. Puede realizar el resto de las operaciones, como actualizar y eliminar, solo a través de la API.
Información relacionada: Asignación de clase de servicio de QoS de superposición