Las reglas de directiva empresarial se configuran para dirigir el tráfico, administrar el ancho de banda y garantizar la calidad del servicio en función de criterios como la aplicación, el origen y el destino, etc. Los operadores, los socios y los administradores de todos los niveles pueden crear una directiva empresarial. La directiva empresarial busca coincidencias con parámetros como las direcciones IP, los puertos, los identificadores de VLAN, las interfaces, los nombres de dominio, los protocolos, el sistema operativo, los grupos de objetos, las aplicaciones y las etiquetas DSCP. Cuando un paquete de datos coincide con los parámetros de coincidencia, se aplican la acción o las acciones asociadas. Si un paquete no coincide con ningún parámetro, se ejecuta una acción predeterminada en el paquete. Puede crear directivas empresariales para un perfil y una instancia de Edge.

Requisitos previos

Asegúrese de tener los detalles de las direcciones IP de su red.

Procedimiento

  1. En el servicio SD-WAN del portal de empresas, vaya a Configurar (Configure) > Perfiles (Profiles). La página Perfiles (Profiles) muestra los perfiles existentes.
  2. Haga clic en el vínculo a un perfil o haga clic en el vínculo Ver (View) en la columna Dispositivo (Device) del perfil. Las opciones de configuración se muestran en la pestaña Dispositivo (Device).
  3. Haga clic en la pestaña Directiva empresarial (Business Policy).
    En la página Perfiles (Profiles), puede desplazarse directamente a la página Directiva empresarial (Business Policy) si hace clic en el vínculo Ver (View) de la columna Directiva empresarial (Biz. Pol) del perfil.
  4. En la página Directiva empresarial (Business Policy), haga clic en + AGREGAR (+ ADD). Aparece la ventana Agregar regla (Add Rule).
  5. Introduzca el nombre de la regla y seleccione la versión de IP. Puede configurar las direcciones IP de origen y destino de acuerdo con la versión de IP seleccionada de la siguiente manera:
    • IPv4 e IPv6 (IPv4 and IPv6): permite configurar las direcciones IPv4 e IPv6 en los criterios de coincidencia. Si elige este modo, puede seleccionar las direcciones IP de los grupos de objetos que contienen grupos de direcciones con ambos tipos de grupos de direcciones. El tipo de dirección está seleccionado de forma predeterminada.
    • IPv4: se aplica al tráfico que solo tiene direcciones IPv4 como origen y destino.
    • IPv6: se aplica al tráfico que solo tiene direcciones IPv6 como origen y destino.
      Nota: Al actualizar, las reglas de directiva empresarial de las versiones anteriores se trasladan al modo IPv4.
  6. En la pestaña Coincidencia (Match), configure los criterios de coincidencia para el tráfico de origen, destino y aplicación.
    Campo Descripción
    Origen (Source)
    Permite especificar el origen de los paquetes. Seleccione una las siguientes opciones:
    • Cualquiera (Any): permite todas las direcciones de origen de forma predeterminada.
    • Grupo de objetos (Object Group): permite seleccionar una combinación de grupos de direcciones y grupos de servicios.

      Si el tipo de dirección es IPv4, solo se tiene en cuenta la dirección IPv4 de los grupos de direcciones para establecer una coincidencia con el origen del tráfico.

      Si el tipo de dirección es IPv6, solo se tiene en cuenta la dirección IPv6 de los grupos de direcciones para establecer una coincidencia con el origen del tráfico.

      Si el tipo de dirección es tanto IPv4 como IPv6, se tendrán en cuenta ambas direcciones de los grupos de direcciones para establecer una coincidencia con el origen del tráfico.

      Para obtener más información, consulte Grupos de objetos y Configurar directivas empresariales con grupo de objetos.
      Nota: Si el grupo de direcciones seleccionado contiene nombres de dominio, estos se omitirán al buscar coincidencias para el origen.
    • Definir (Define): permite definir el tráfico de origen desde una VLAN, una interfaz, una dirección IP, un puerto o un sistema operativo específicos. Seleccione una de las siguientes opciones:
      • VLAN: busca coincidencias con el tráfico de la VLAN especificada, seleccionada en el menú desplegable.
      • Interfaz (Interface): busca coincidencias con el tráfico proveniente de la interfaz especificada y seleccionada en el menú desplegable.
        Nota: Si no se puede seleccionar una interfaz, significa que la interfaz no está activada o no está asignada a este segmento.
      • Dirección IP (IP Address): busca coincidencias con el tráfico proveniente de la dirección IP especificada (IPv4 o IPv6).
        Nota: Esta opción no está disponible si selecciona el modo mixto IPv4 e IPv6 (IPv4 and Ipv6) como la versión de IP. En el modo mixto, se busca la coincidencia con el tráfico en función de la VLAN o la interfaz especificadas.
        Junto con la dirección IP, puede especificar uno de los siguientes tipos de dirección para buscar coincidencias con el tráfico de origen:
        • Prefijo CIDR (CIDR prefix): seleccione esta opción si desea que la red se defina como un valor CIDR (por ejemplo: 172.10.0.0 /16).
        • Máscara de subred (Subnet mask): seleccione esta opción si desea que la red se defina en función de una máscara de subred (por ejemplo, 172.10.0.0 255.255.0.0).
        • Máscara comodín (Wildcard mask): seleccione esta opción si desea poder restringir la aplicación de una directiva a un conjunto de dispositivos en diferentes subredes IP que compartan un valor de dirección IP de host coincidente. La máscara comodín coincide con una dirección IP o un conjunto de direcciones IP según la máscara de subred invertida. Un “0” dentro del valor binario de la máscara significa que el valor es fijo y un “1” dentro del valor binario de la máscara significa que el valor es comodín (puede ser 1 o 0). Por ejemplo, en una máscara comodín de 0.0.0.255 (equivalente binario = 00000000.00000000.00000000.11111111) con una dirección IP de 172.0.0, los primeros tres octetos son valores fijos y el último octeto es un valor variable. Esta opción solo está disponible para la dirección IPv4.
      • Puertos (Ports): hace coincidir el tráfico del rango de puertos o puertos de origen especificados.
      • Sistema operativo (Operating System): hace coincidir el tráfico del sistema operativo especificado seleccionado en el menú desplegable.
    Destino (Destination) Permite especificar el destino de los paquetes. Seleccione una las siguientes opciones:
    • Cualquiera (Any): permite todas las direcciones de destino de forma predeterminada.
    • Grupo de objetos (Object Group): permite seleccionar una combinación de grupos de direcciones y grupos de servicios. Para obtener más información, consulte Grupos de objetos y Configurar directivas empresariales con grupo de objetos.
    • Definir (Define): permite definir los criterios de coincidencia para el tráfico de destino hacia una dirección IP, un nombre de dominio, un protocolo o un puerto específicos. Seleccione una de las siguientes opciones; de forma predeterminada, Cualquiera (Any) está seleccionada:
      • Cualquiera (Any): busca coincidencias con todo el tráfico de destino.
      • Internet: busca coincidencias en todo el tráfico de Internet (tráfico que no coincide con una ruta de SD-WAN) en el destino.
      • Edge: busca coincidencias en todo el tráfico hacia una instancia de Edge.
      • Destino que no es de SD-WAN a través de la puerta de enlace (Non SD-WAN Destination via Gateway): busca coincidencias en todo el tráfico hacia la instancia de Destino que no es de SD-WAN especificada a través de la puerta de enlace, asociada con un perfil. Asegúrese de haber asociado los sitios que no son de SD-WAN a través de la puerta de enlace en el nivel de perfil.
      • Destino que no es de SD-WAN a través de Edge (Non SD-WAN Destination via Edge): busca coincidencias en todo el tráfico hacia la instancia de Destino que no es de SD-WAN especificada a través de Edge, asociada con un perfil o una instancia de Edge. Asegúrese de haber asociado los sitios que no son de SD-WAN a través de Edge en el nivel de perfil o de la instancia de Edge.
    • Nombre de dominio (Domain Name): busca coincidencias en el tráfico para el nombre de dominio completo, o una parte de él, que se encuentra especificado en el campo Nombre de dominio (Domain Name). Por ejemplo, \"salesforce\" buscará coincidencias del tráfico con \"www.salesforce.com\".
    • Protocolo (Protocol): busca coincidencias con el tráfico del protocolo especificado, seleccionado en el menú desplegable. Los protocolos admitidos son GRE, ICMP, TCP y UDP.
      Nota: ICMP no se admite en el modo Mixto (Mixed).
    • Puertos (Ports): hace coincidir el tráfico del rango de puertos o puertos de origen especificados.
    Aplicación (Application) Seleccione una las siguientes opciones:
    • Cualquiera (Any): aplica la regla de directiva empresarial a cualquier aplicación de forma predeterminada.
    • Definir (Define): permite seleccionar una aplicación específica para aplicar la regla de directiva empresarial. Además, se puede especificar un valor DSCP para que coincida con el tráfico entrante que tenga una etiqueta DSCP/TOS preestablecida.
    Nota:
    • Al crear una regla de directiva empresarial que solo coincida con una aplicación, es posible que Edge tenga que utilizar el motor de inspección profunda de paquetes (Deep Packet Inspection, DPI) para aplicar la acción de servicio de red para esa aplicación. Por lo general, DPI no determina la aplicación a partir del primer paquete. El motor de DPI necesita normalmente los primeros 5-10 paquetes del flujo para poder identificar la aplicación. Para los primeros paquetes recibidos, el tráfico no se clasificará y coincidirá con una directiva empresarial menos específica, lo cual puede provocar que el tráfico tome una ruta diferente, es decir, "Directo" (Direct) en lugar de "Múltiples rutas" (Multipath), según la directiva que coincida. Una vez que DPI determina el tipo de tráfico, coincide con una directiva más específica configurada para este tipo de tráfico. Sin embargo, ese flujo sigue teniendo la ruta de acceso de la directiva original con la que coincidió, ya que si se dirige a una nueva ruta, se interrumpirá el flujo. Esto puede provocar que el primer flujo a una dirección IP y un puerto de destino específicos tomen una ruta. Una vez que se rellena la memoria caché de la aplicación, los flujos subsiguientes a la misma IP de destino y al mismo puerto toman otra ruta de acceso, como se configuró en una directiva más específica para este tipo de tráfico.
    • Una vez que DPI clasifica el tráfico, agrega la IP y el puerto de destino a la memoria caché de la aplicación, e inmediatamente clasifica los flujos subsiguientes a la misma IP y el mismo puerto de destino. La entrada de memoria caché de la aplicación caduca 10 minutos después de que no haya tráfico que se dirige a esa IP y puerto de destino. El siguiente flujo a esa IP y puerto de destino debe volver a pasar por DPI y puede tomar una ruta inesperada en función de la directiva que coincida antes de que DPI identifique la aplicación.
  7. En la pestaña Acción (Action), configure las acciones que se deberán llevar a cabo cuando el tráfico coincida con los criterios definidos.
    Nota: En función de sus elecciones de Coincidencia (Match), es posible que algunas acciones no estén disponibles.
    Campo Descripción
    Prioridad (Priority) Designe la prioridad de la regla según una de las siguientes opciones:
    • Alta (High)
    • Normal
    • Baja (Low)
    Habilitar límite de frecuencia (Enable Rate Limit) Seleccione la casilla de verificación Habilitar límite de velocidad (Enable Rate Limit) para establecer los límites de las direcciones de tráfico entrante y saliente.
    Nota: La limitación de velocidad se realiza por flujo. La limitación de velocidad para el tráfico ascendente solo funciona cuando se especifica un vínculo o una interfaz de Edge en la directiva empresarial. Si establece la opción Dirección (Steering) en Automático (Auto), Transporte (Transport) o Grupo (Group), el límite de velocidad se aplicará al ancho de banda total de todos los vínculos correspondientes. Es posible que esto no aplique un límite de velocidad estricto según lo esperado. Si desea aplicar un límite de velocidad estricto, debe dirigir el tráfico a un solo vínculo o una interfaz de Edge en la directiva empresarial.
    Servicio de red (Network Service) Establezca el Servicio de red (Network Service) en una de las siguientes opciones:
    • Directo (Direct): envía el tráfico fuera del circuito WAN directamente al destino y omite SD-WAN Gateway.
      Nota:

      La instancia de Edge prefiere una ruta segura a una directiva empresarial de forma predeterminada. En la práctica, esto significa que la instancia de Edge reenviará el tráfico a través de MultiPath (de sucursal a sucursal o nube a través de puerta de enlace, según la ruta) aun cuando se haya configurado una directiva empresarial para enviar ese tráfico a través de la ruta directa si la instancia de Edge ha recibido rutas predeterminadas seguras o rutas seguras más específicas procedentes de la puerta de enlace de socio o de otra instancia de Edge.

      Este comportamiento se puede anular en las rutas seguras de puerta de enlace de socio; para ello, active la función "Reemplazo de ruta predeterminada segura" (Secure Default Route Override) en un cliente. Un operador o un superusuario de socio pueden activar esta función, que anula todas las rutas seguras de puerta de enlace de socio que coinciden también con una directiva empresarial. La opción "Reemplazo de ruta predeterminada segura" (Secure Default Route Override) no anula las rutas seguras de hub.

    • Múltiples rutas (Multi-Path): envía el tráfico de una instancia de SD-WAN Edge a otra instancia de SD-WAN Edge.
    • Red de retorno de Internet (Internet Backhaul): este servicio de red solo está activado si el Destino (Destination) está establecido como Internet.
      Nota: El servicio de red Red de retorno de Internet (Internet Backhaul) solo se aplicará al tráfico de Internet (el tráfico de WAN destinado a prefijos de red que no coinciden con una ruta local o una ruta de VPN conocida).

      Para obtener más información sobre estas opciones, consulte Configurar el servicio de red para la regla de directiva empresarial.

    Si se activa Red de retorno condicional (Conditional Backhaul) en el nivel del perfil, se aplicará de forma predeterminada a todas las directivas empresariales configuradas para ese perfil. Puede desactivar una red de retorno condicional para las políticas seleccionadas a fin de excluir el tráfico seleccionado (Directo, Múltiples rutas y CSS) de este comportamiento. Para ello, seleccione la casilla de verificación Desactivar red de retorno condicional (Turn off Conditional Backhaul).

    Para obtener más información sobre cómo activar y solucionar los problemas de la función de red de retorno condicional, consulte Red de retorno condicional.

    Dirección de vínculos (Link Steering) Seleccione uno de los siguientes modos de dirección de vínculos:
    • Automático (Auto): todas las aplicaciones tienen definido el modo de Dirección de vínculos de forma predeterminada. Cuando una aplicación se encuentra en el modo de dirección de vínculos automático, DMPO selecciona automáticamente los mejores vínculos en función del tipo de aplicación y activa automáticamente la corrección a petición cuando es necesario.
      • Grupo de transporte (Transport Group): especifique una de las siguientes opciones de grupo de transporte en la directiva de dirección para que se pueda aplicar la misma configuración de directiva empresarial en diferentes tipos de dispositivos o ubicaciones, que pueden tener proveedores de WAN e interfaces WAN completamente distintos:
        • Público cableado (Public Wired)
        • Público inalámbrico (Public Wireless)
        • Privado cableado (Private Wired)
      • Interfaz (Interface): la dirección de vínculos está ligada a una interfaz física y se utilizará principalmente para fines de enrutamiento.
        Nota: Esta opción solo se permite en el nivel de anulación de Edge.
      • Vínculo WAN (WAN Link): permite definir reglas de directivas basadas en vínculos privados específicos. Para esta opción, la configuración de la interfaz es independiente y distinta de la configuración del vínculo WAN. Podrá seleccionar un vínculo WAN que se haya configurado de forma manual o se haya detectado automáticamente.
        Nota: Esta opción solo se permite en el nivel de anulación de Edge.
    • Etiqueta DSCP de paquete interno (Inner Packet DSCP Tag): seleccione una etiqueta DSCP de paquete interno en el menú desplegable.
    • Etiqueta DSCP de paquete externo (Outer Packet DSCP Tag): seleccione una etiqueta DSCP de paquete externo en el menú desplegable.
    Nota: Cuando el servicio de red está configurado como Directo (Direct), las interfaces solo IPv6 y los vínculos WAN solo IPv6 no se admiten en el modo de Dirección de vínculos (Link Steering).

    Para obtener más información sobre los modos de dirección de vínculos y DSCP, y el marcado de DSCP para el tráfico de superposición y subyacente, consulte Configurar modos de dirección de vínculos.

    Habilitar NAT (Enable NAT) Activar o desactivar NAT. Esta opción no está disponible en el modo IPv4 e IPv6 (IPv4 and Ipv6). Para obtener más información, consulte Configurar NAT basada en directivas.
    Clase de servicio (Service Class) Seleccione una de las siguientes opciones de clase de servicio:
    • En tiempo real (Real-time)
    • Transaccional (Transactional)
    • Masiva (Bulk)
    Nota: Esta opción solo es para una aplicación personalizada.
    Las aplicaciones o categorías de VMware pertenecen a una de estas categorías.
  8. Después de configurar los ajustes necesarios, haga clic en Crear (Create).
    Se creará una regla de directiva empresarial para el perfil seleccionado y se mostrará en el área Reglas de directiva empresarial (Business Policy Rules) de la página Directiva empresarial de perfil (Profile Business Policy).
    Nota: Las reglas creadas en el nivel de perfil no se pueden actualizar en el nivel de Edge. Para anular una regla de nivel de perfil, el usuario debe crear la misma regla en el nivel de Edge con nuevos parámetros.

    En el modo IPv6 y el modo IPv4 e IPv6 (IPv4 and IPv6), solo se pueden crear reglas de directiva empresarial desde Orchestrator. Puede realizar el resto de las operaciones, como actualizar y eliminar, solo a través de la API.