SD-WAN Orchestrator permet de configurer des règles de business policy au niveau du profil et du dispositif Edge. Les opérateurs, les partenaires et les administrateurs de tous les niveaux peuvent créer une business policy. La business policy correspond aux paramètres tels que les adresses IP, les ports, les ID VLAN, les interfaces, les noms de domaine, les protocoles, le système d'exploitation, les groupes d'objets, les applications et les balises DSCP. Lorsqu'un paquet de données correspond aux conditions de correspondance, l'action ou les actions associées sont effectuées. Si un paquet ne correspond à aucun paramètre, une action par défaut lui est appliquée.

Avant de commencer : vous devez connaître les adresses IP de vos périphériques et comprendre les implications de la définition d'un masque wildcard.

Pour créer une business policy :
  1. Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles) > Business Policy.
  2. Dans la zone Business Policy, cliquez sur Nouvelle règle (New Rule). La boîte de dialogue Configurer la règle (Configure Rule) s'affiche.
  3. Dans la boîte Nom de la règle (Rule Name), entrez un nom unique pour la règle.
  4. Dans la zone Correspondance (Match), configurez les conditions de correspondance pour le flux de trafic. L'option que vous choisissez peut modifier les champs de la boîte de dialogue :
    Paramètres Description
    Source Permet de spécifier des critères de correspondance pour le trafic source. Sélectionnez l'une des options suivantes :
    • Indifférent (Any) : correspond à l'ensemble du trafic source par défaut.
    • Groupe d'objets (Object Group) : permet de sélectionner une combinaison de groupes d'adresses et de groupes de ports à faire correspondre pour la source. Pour plus d'informations, reportez-vous aux sections Groupes d'objets et Configurer les stratégies d'entreprise avec des groupes d'objets.
      Note : Si le groupe d'adresses sélectionné contient des noms de domaine, ceux-ci sont ignorés lors de la recherche de correspondances pour la source.
    • Définir (Define) : permet de définir les critères correspondants pour le trafic source à partir d'un VLAN, d'une adresse IP, d'un port ou d'un système d'exploitation spécifique. Sélectionnez l'une des options suivantes, par défaut, l'option Aucune (None) est sélectionnée :
      • VLAN : correspond au trafic provenant du VLAN spécifié, sélectionné dans le menu déroulant.
      • Interface : correspond au trafic provenant de l'interface spécifiée, sélectionné dans le menu déroulant.
        Note : Si une interface ne peut pas être sélectionnée, elle est désactivée ou n'est pas attribuée à ce segment.
      • Adresse IP (IP Address) : correspond au trafic provenant de l'adresse IP spécifiée. Avec l'adresse IP, vous pouvez spécifier l'une des options suivantes pour faire correspondre le trafic source :
        • Préfixe CIDR (CIDR prefix) : choisissez cette option pour définir le réseau comme valeur CIDR (par exemple : 172.10.0.0 /16).
        • Masque de sous-réseau (Subnet mask) : choisissez cette option pour définir le réseau selon un masque de sous-réseau (par exemple, 172.10.0.0 255.255.0.0).
        • Masque wildcard (Wildcard mask) : choisissez cette option si vous souhaitez pouvoir limiter l'application d'une stratégie à un ensemble de périphériques sur différents sous-réseaux IP qui partagent une valeur d'adresse IP d'hôte correspondante. Le masque wildcard correspond à une adresse IP ou à un ensemble d'adresses IP basées sur le masque de sous-réseau inversé. Un « 0 » dans la valeur binaire du masque signifie que la valeur est fixe et un « 1 » dans la valeur binaire du masque signifie que la valeur est sauvage (elle peut être 1 ou 0). Par exemple, un masque wildcard de 0.0.0.255 (équivalent binaire = 00000000.00000000.00000000.11111111) avec une adresse IP de 172.0.0, les trois premiers octets étant des valeurs fixes et le dernier octet étant une valeur variable.
      • Port : correspond au trafic provenant du port source ou de la plage de ports spécifiés.
      • Système d'exploitation (Operating System) : correspond au trafic provenant du système d'exploitation spécifié, sélectionné dans le menu déroulant.
    Destination Permet de spécifier des critères de correspondance pour le trafic de destination. Sélectionnez l'une des options suivantes :
    • Indifférent (Any) : correspond à l'ensemble du trafic de destination par défaut.
    • Groupe d'objets (Object Group) : permet de sélectionner une combinaison de groupes d'adresses et de groupes de ports à faire correspondre pour la destination. Pour plus d'informations, reportez-vous aux sections Groupes d'objets et Configurer les stratégies d'entreprise avec des groupes d'objets.
    • Définir (Define) : permet de définir les critères correspondants pour le trafic de destination sur une adresse IP, un nom de domaine, un protocole ou un port spécifique. Sélectionnez l'une des options suivantes, par défaut, l'option Indifférent (Any) est sélectionnée :
      • Indifférent (Any) : correspond à l'ensemble du trafic de destination.
      • Internet : correspond à l'ensemble du trafic Internet (trafic qui ne correspond pas à une route SD-WAN) vers la destination.
      • Dispositif Edge (Edge) : correspond à l'ensemble du trafic vers un dispositif Edge.
      • Destination non-SD-WAN via une passerelle (Non SD-WAN Destination via Gateway) : correspond à l'ensemble du trafic vers l'instance de Non VMware SD-WAN Site spécifiée via une passerelle, associé à un profil. Assurez-vous que vous avez associé vos sites non-SD-WAN via une passerelle au niveau du profil.
      • Destination non-SD-WAN via un dispositif Edge (Non SD-WAN Destination via Edge ) : correspond à l'ensemble du trafic vers l'instance de Non VMware SD-WAN Site spécifiée via le dispositif Edge, associé à un dispositif Edge ou à un profil. Assurez-vous que vous avez associé vos sites non-SD-WAN via un dispositif Edge au niveau du profil ou du dispositif Edge.

      Protocole (Protocol) : correspond au trafic du protocole spécifié, sélectionné dans le menu déroulant. Les protocoles pris en charge sont les suivants : GRE, ICMP, TCP et UDP.

      Domaine : correspond au trafic pour le nom de domaine complet ou une partie du nom de domaine spécifiée dans le champ Nom de domaine (Domain Name). Par exemple, « salesforce » fait correspondre le trafic avec « www.salesforce.com ».

    Application Sélectionnez l'une des options suivantes :
    • Indifférent (Any) : applique la règle de business policy à n'importe quelle application par défaut.
    • Définir (Define) : permet de sélectionner une application spécifique pour appliquer la règle de business policy. En outre, il est possible de spécifier une valeur DSCP pour faire correspondre le trafic entrant avec une balise DSCP/TOS prédéfinie.
    Note : Lors de la création d'une règle de business policy correspondant à une application uniquement, le dispositif Edge devra peut-être utiliser le moteur d'inspection approfondie des paquets (DPI, Deep Packet Inspection) pour appliquer l'action de service réseau pour cette application. Le DPI ne peut généralement pas déterminer l'application en fonction du premier paquet. Le moteur DPI a généralement besoin des 5 à 10 premiers paquets du flux pour identifier l'application. Pour les premiers paquets reçus uniquement, le trafic peut prendre un chemin différent, c'est-à-dire « Direct » au lieu de « Chemins multiples » (Multipath) ou « Backhaul Internet » (Internet Backhaul) selon la configuration de la business policy.
    En fonction de vos choix Correspondance (Match), certaines actions peuvent ne pas être disponibles.
  5. Dans la zone Action, configurez les actions de la règle :
    Paramètres Description
    Priorité (Priority) Désignez la priorité de la règle comme l'une des options suivantes :
    • Élevée (High)
    • Normale (Normal)
    • Faible (Low)
    Pour définir des limites des directions de trafic entrant et sortant, cochez la case Limite de débit (Rate Limit).
    Service réseau (Network Service) Définissez Service réseau (Network Service) sur l'une des options suivantes :
    • Direct  : envoie le trafic du circuit WAN directement à la destination, en contournant l'instance de SD-WAN Gateway.
      Note : Par défaut, le dispositif Edge préfère une route sécurisée à une business policy. En pratique, cela signifie que le dispositif Edge transfère le trafic via des chemins multiples (site distant vers site distant ou cloud via une passerelle, selon la route), même si une business policy est configurée pour envoyer ce trafic via le chemin direct si le dispositif Edge a reçu des routes par défaut sécurisées ou des routes sécurisées plus spécifiques de la passerelle partenaire ou d'un autre dispositif Edge.
    • Chemins multiples (Multi-Path) : envoie le trafic d'un dispositif SD-WAN Edge à un autre dispositif SD-WAN Edge.
    • Backhaul Internet (Internet Backhaul) : ce service réseau n'est activé que si Destination est définie sur Internet.
      Note : Le service réseau Backhaul Internet (Internet Backhaul) ne s'applique qu'au trafic Internet (c'est-à-dire, au trafic WAN destiné aux préfixes réseau qui ne correspondent pas à une route locale ou à une route VPN connue).

      Pour plus d'informations sur ces options, reportez-vous à la section Configurer l'action Service réseau.

    Si le backhaul conditionnel (Conditional Backhaul) est activé au niveau du profil, il s'applique par défaut à toutes les business policies configurées pour ce profil. Vous pouvez désactiver la fonction de backhaul conditionnel pour les stratégies sélectionnées pour exclure le trafic sélectionné (direct, à chemins multiples et CSS) de ce comportement en cochant la case Désactiver le backhaul conditionnel (Disable conditional backhaul).

    Pour plus d'informations sur l'activation et la résolution des problèmes de la fonctionnalité de backhaul conditionnel, reportez-vous à la section Déroutement conditionnel.

    Choix du lien (Link Steering) Sélectionnez l'un des modes de choix du lien suivants :
    • Auto : par défaut, toutes les applications sont définies sur le mode de choix du lien automatique. Lorsqu'une application est en mode de choix du lien automatique, l'optimisation dynamique des chemins multiples (DMPO, Dynamic Multipath Optimization) choisit automatiquement les meilleures liens en fonction du type d'application et active automatiquement la correction à la demande en cas de nécessité. Entrez une balise DSCP de paquet interne et une balise DSCP de paquet externe dans les menus déroulants appropriés.
    • Groupe de transport (Transport Group) : spécifiez l'une des options de groupe de transport suivantes dans la stratégie de direction afin d'appliquer la même configuration de Business Policy à des types de périphériques ou à des emplacements différents, qui peuvent comporter des opérateurs WAN et des interfaces WAN complètement distincts.
      • Lien filaire public (Public Wired)
      • Lien sans fil publique (Public Wireless)
      • Lien filaire privé (Private Wired)
    • Interface : le choix du lien est lié à une interface physique et est utilisé principalement à des fins de routage.
      Note : Cette option est uniquement autorisée au niveau du remplacement du dispositif Edge.
    • Lien WAN (WAN Link) : permet de définir des règles de stratégie basées sur des liens privés spécifiques. Pour cette option, la configuration de l'interface est distincte de la configuration du lien WAN. Vous pouvez sélectionner un lien WAN qui était configuré manuellement ou découvert automatiquement.
      Note : Cette option est uniquement autorisée au niveau du remplacement du dispositif Edge.

    Pour plus d'informations sur les modes de choix du lien, DSCP et le marquage DSCP pour le trafic de sous-couche et d'overlay, reportez-vous à la section Configurer les modes de direction de liaison.

    NAT Désactivez ou activez la NAT. Pour plus d'informations, reportez-vous à la section Configurer la NAT basée sur la stratégie.
    Classe de service (Service Class) Sélectionnez l'une des options de classe de service suivantes :
    • En temps réel (Real-time)
    • Transactionnel (Transactional)
    • En bloc (Bulk)
    Note : Cette option est uniquement destinée à une application personnalisée.
    Les applications/catégories VMware appartiennent à l'une de ces catégories.
  6. Cliquez sur OK. La règle de business policy est créée pour le profil sélectionné et s'affiche dans la zone Business Policy de la page Business policy de profil (Profile Business Policy).

    Informations connexes : Mappage CoS QoS d'overlay