SD-WAN Orchestrator vous permet de configurer des règles de stratégie d'entreprise au niveau du profil et du dispositif Edge pour autoriser ou rejeter le trafic. Les opérateurs, les partenaires et les administrateurs de tous les niveaux peuvent créer une stratégie d'entreprise. La stratégie d'entreprise correspond aux paramètres tels que les adresses IP, les ports, les ID VLAN, les interfaces, les noms de domaine, les protocoles, le système d'exploitation, les groupes d'objets, les applications et les balises DSCP. Lorsqu'un paquet de données correspond aux conditions de correspondance, l'action ou les actions associées sont effectuées. Si un paquet ne correspond à aucun paramètre, une action par défaut lui est appliquée.

Avant de commencer : vous devez connaître les adresses IP de vos périphériques et comprendre les implications de la définition d'un masque générique.

Pour créer une stratégie d'entreprise :
  1. Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles) > Stratégie d'entreprise (Business Policy).
  2. Dans la zone Stratégie d'entreprise (Business Policy), cliquez sur Nouvelle règle (New Rule). La boîte de dialogue Configurer la règle (Configure Rule) s'affiche.
  3. Dans la boîte Nom de la règle (Rule Name), entrez un nom unique pour la règle.
  4. Dans la zone Correspondance (Match), configurez les conditions de correspondance pour le flux de trafic. L'option que vous choisissez peut modifier les champs de la boîte de dialogue :
    Paramètres Description
    Source Permet de spécifier des critères de correspondance pour le trafic source. Sélectionnez l'une des options suivantes :
    • Indifférent (Any) : correspond à l'ensemble du trafic source par défaut.
    • Groupe d'objets (Object Group) : permet de sélectionner une combinaison de groupes d'adresses et de groupes de ports à faire correspondre pour la source. Pour plus d'informations, reportez-vous aux sections Groupes d'objets et Configurer les stratégies d'entreprise avec des groupes d'objets.
      Note : Si le groupe d'adresses sélectionné contient des noms de domaine, ceux-ci sont ignorés lors de la recherche de correspondances pour la source.
    • Définir (Define) : permet de définir les critères correspondants pour le trafic source à partir d'un VLAN, d'une adresse IP, d'un port ou d'un système d'exploitation spécifique. Sélectionnez l'une des options suivantes, par défaut, l'option Aucune (None) est sélectionnée :
      • VLAN : correspond au trafic provenant du VLAN spécifié, sélectionné dans le menu déroulant.
      • Interface : correspond au trafic provenant de l'interface spécifiée, sélectionné dans le menu déroulant.
        Note : Si une interface ne peut pas être sélectionnée, elle est désactivée ou n'est pas attribuée à ce segment.
      • Adresse IP (IP Address) : correspond au trafic provenant de l'adresse IP spécifiée. Avec l'adresse IP, vous pouvez spécifier l'une des options suivantes pour faire correspondre le trafic source :
        • Préfixe CIDR (CIDR prefix) : choisissez cette option pour définir le réseau comme valeur CIDR (par exemple : 172.10.0.0 /16).
        • Masque de sous-réseau (Subnet mask) : choisissez cette option pour définir le réseau selon un masque de sous-réseau (par exemple, 172.10.0.0 255.255.0.0).
        • Masque générique (Wildcard mask) : choisissez cette option si vous souhaitez pouvoir limiter l'application d'une stratégie à un ensemble de périphériques sur différents sous-réseaux IP qui partagent une valeur d'adresse IP d'hôte correspondante. Le masque générique correspond à une adresse IP ou à un ensemble d'adresses IP basées sur le masque de sous-réseau inversé. Un « 0 » dans la valeur binaire du masque signifie que la valeur est fixe et un « 1 » dans la valeur binaire du masque signifie que la valeur est sauvage (elle peut être 1 ou 0). Par exemple, un masque générique de 0.0.0.255 (équivalent binaire = 00000000.00000000.00000000.11111111) avec une adresse IP de 172.0.0, les trois premiers octets étant des valeurs fixes et le dernier octet étant une valeur variable.
      • Port : correspond au trafic provenant du port source ou de la plage de ports spécifiés.
      • Système d'exploitation (Operating System) : correspond au trafic provenant du système d'exploitation spécifié, sélectionné dans le menu déroulant.
    Destination Permet de spécifier des critères de correspondance pour le trafic de destination. Sélectionnez l'une des options suivantes :
    • Indifférent (Any) : correspond à l'ensemble du trafic de destination par défaut.
    • Groupe d'objets (Object Group) : permet de sélectionner une combinaison de groupes d'adresses et de groupes de ports à faire correspondre pour la destination. Pour plus d'informations, reportez-vous aux sections Groupes d'objets et Configurer les stratégies d'entreprise avec des groupes d'objets.
    • Définir (Define) : permet de définir les critères correspondants pour le trafic de destination sur une adresse IP, un nom de domaine, un protocole ou un port spécifique. Sélectionnez l'une des options suivantes, par défaut, l'option Indifférent (Any) est sélectionnée :
      • Indifférent (Any) : correspond à l'ensemble du trafic de destination.
      • Internet : correspond à l'ensemble du trafic Internet (trafic qui ne correspond pas à une route SD-WAN) vers la destination.
      • Dispositif Edge (Edge) : correspond à l'ensemble du trafic vers un dispositif Edge.
      • Destination non-SD-WAN via une passerelle (Non SD-WAN Destination via Gateway) : correspond à l'ensemble du trafic vers l'instance de Non VMware SD-WAN Site spécifiée via une passerelle, associé à un profil. Assurez-vous que vous avez associé vos sites non-SD-WAN via une passerelle au niveau du profil.
      • Destination non-SD-WAN via un dispositif Edge (Non SD-WAN Destination via Edge ) : correspond à l'ensemble du trafic vers l'instance de Non VMware SD-WAN Site spécifiée via le dispositif Edge, associé à un dispositif Edge ou à un profil. Assurez-vous que vous avez associé vos sites non-SD-WAN via un dispositif Edge au niveau du profil ou du dispositif Edge.

      Protocole (Protocol) : correspond au trafic du protocole spécifié, sélectionné dans le menu déroulant. Les protocoles pris en charge sont les suivants : GRE, ICMP, TCP et UDP.

      Domaine : correspond au trafic pour le nom de domaine complet ou une partie du nom de domaine spécifiée dans le champ Nom de domaine (Domain Name). Par exemple, « salesforce » fait correspondre le trafic avec « www.salesforce.com ».

    Application Sélectionnez l'une des options suivantes :
    • Indifférent (Any) : applique la règle de stratégie d'entreprise à n'importe quelle application par défaut.
    • Définir (Define) : permet de sélectionner une application spécifique pour appliquer la règle de stratégie d'entreprise. En outre, il est possible de spécifier une valeur DSCP pour faire correspondre le trafic entrant avec une balise DSCP/TOS prédéfinie.
    En fonction de vos choix Correspondance (Match), certaines actions peuvent ne pas être disponibles.
  5. Dans la zone Action, configurez les actions de la règle :
    Paramètres Description
    Priorité (Priority) Désignez la priorité de la règle comme l'une des options suivantes :
    • Élevée (High)
    • Normale (Normal)
    • Faible (Low)
    Pour définir des limites des directions de trafic entrant et sortant, cochez la case Limite de débit (Rate Limit).
    Service réseau (Network Service) Définissez Service réseau (Network Service) sur l'une des options suivantes :
    • Direct  : envoie le trafic du circuit WAN directement à la destination, en contournant l'instance de SD-WAN Gateway.
    • Chemins multiples (Multi-Path) : envoie le trafic d'un dispositif SD-WAN Edge à un autre dispositif SD-WAN Edge.
    • Liaison Internet (Internet Backhaul) : ce service réseau n'est activé que si Destination est définie sur Internet.
      Note : Le service réseau Liaison Internet (Internet Backhaul) ne s'applique qu'au trafic Internet (c'est-à-dire, au trafic WAN destiné aux préfixes réseau qui ne correspondent pas à une route locale ou à une route VPN connue).
    Pour plus d'informations sur ces options, reportez-vous à la section Configurer le service réseau pour la règle de stratégie d'entreprise.
    Direction de liaison (Link Steering) Sélectionnez l'un des modes de direction de liaison suivants :
    • Auto : par défaut, toutes les applications sont définies sur le mode de direction de liaison automatique. Lorsqu'une application est en mode de direction de liaison automatique, l'optimisation dynamique des chemins multiples (DMPO, Dynamic Multipath Optimization) choisit automatiquement les meilleures liaisons en fonction du type d'application et active automatiquement la correction à la demande en cas de nécessité. Entrez une balise DSCP de paquet interne et une balise DSCP de paquet externe dans les menus déroulants appropriés.
    • Groupe de transport (Transport Group) : spécifiez l'une des options de groupe de transport suivantes dans la stratégie de direction afin d'appliquer la même configuration de stratégie d'entreprise à des types de périphériques ou à des emplacements différents, qui peuvent comporter des opérateurs WAN et des interfaces WAN complètement distincts.
      • Liaison filaire publique (Public Wired)
      • Liaison sans fil publique (Public Wireless)
      • Liaison filaire privée (Private Wired)
    • Interface : la direction de liaison est liée à une interface physique et est utilisée principalement à des fins de routage.
      Note : Cette option est uniquement autorisée au niveau du remplacement du dispositif Edge.
    • Liaison WAN (WAN Link) : permet de définir des règles de stratégie basées sur des liaisons privées spécifiques. Pour cette option, la configuration de l'interface est distincte de la configuration de la liaison WAN. Vous pouvez sélectionner une liaison WAN qui était configurée manuellement ou découverte automatiquement.
      Note : Cette option est uniquement autorisée au niveau du remplacement du dispositif Edge.

    Pour plus d'informations sur les modes de direction de liaison, DSCP et le marquage DSCP pour le trafic de sous-couche et de superposition, reportez-vous à la section Configurer les modes de direction de liaison.

    NAT Désactivez ou activez la NAT. Pour plus d'informations, reportez-vous à la section Configurer la NAT basée sur la stratégie.
    Classe de service (Service Class) Sélectionnez l'une des options de classe de service suivantes :
    • En temps réel (Real-time)
    • Transactionnel (Transactional)
    • En bloc (Bulk)
    Note : Cette option est uniquement destinée à une application personnalisée.
    Les applications/catégories VMware appartiennent à l'une de ces catégories.
  6. Cliquez sur OK. La règle de stratégie d'entreprise est créée pour le profil sélectionné et s'affiche dans la zone Stratégie d'entreprise (Business Policy) de la page Stratégie d'entreprise de profil (Profile Business Policy).

    Informations connexes : Mappage CoS QoS de superposition