SD-WAN Orchestrator permet de configurer des règles de business policy au niveau du profil et du dispositif Edge. Les opérateurs, les partenaires et les administrateurs de tous les niveaux peuvent créer une business policy. La business policy correspond aux paramètres tels que les adresses IP, les ports, les ID VLAN, les interfaces, les noms de domaine, les protocoles, le système d'exploitation, les groupes d'objets, les applications et les balises DSCP. Lorsqu'un paquet de données correspond aux conditions de correspondance, l'action ou les actions associées sont effectuées. Si un paquet ne correspond à aucun paramètre, une action par défaut lui est appliquée.
Avant de commencer : vous devez connaître les adresses IP de vos périphériques et comprendre les implications de la définition d'un masque wildcard.
- Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles) > Business Policy.
- Dans la zone Business Policy, cliquez sur Nouvelle règle (New Rule). La boîte de dialogue Configurer la règle (Configure Rule) s'affiche.
- Dans la boîte Nom de la règle (Rule Name), entrez un nom unique pour la règle.
- Dans la zone Correspondance (Match), configurez les conditions de correspondance pour le flux de trafic. L'option que vous choisissez peut modifier les champs de la boîte de dialogue :
Paramètres Description Source Permet de spécifier des critères de correspondance pour le trafic source. Sélectionnez l'une des options suivantes : - Indifférent (Any) : correspond à l'ensemble du trafic source par défaut.
- Groupe d'objets (Object Group) : permet de sélectionner une combinaison de groupes d'adresses et de groupes de ports à faire correspondre pour la source. Pour plus d'informations, reportez-vous aux sections Groupes d'objets et Configurer les business policies avec des groupes d'objets.
Note : Si le groupe d'adresses sélectionné contient des noms de domaine, ceux-ci sont ignorés lors de la recherche de correspondances pour la source.
- Définir (Define) : permet de définir les critères correspondants pour le trafic source à partir d'un VLAN, d'une adresse IP, d'un port ou d'un système d'exploitation spécifique. Sélectionnez l'une des options suivantes, par défaut, l'option Aucune (None) est sélectionnée :
- VLAN : correspond au trafic provenant du VLAN spécifié, sélectionné dans le menu déroulant.
- Interface : correspond au trafic provenant de l'interface spécifiée, sélectionné dans le menu déroulant.
Note : Si une interface ne peut pas être sélectionnée, elle n'est ni activée ni attribuée à ce segment.
- Adresse IP (IP Address) : correspond au trafic provenant de l'adresse IP spécifiée. Avec l'adresse IP, vous pouvez spécifier l'une des options suivantes pour faire correspondre le trafic source :
- Préfixe CIDR (CIDR prefix) : choisissez cette option pour définir le réseau comme valeur CIDR (par exemple :
172.10.0.0 /16
). - Masque de sous-réseau (Subnet mask) : choisissez cette option pour définir le réseau selon un masque de sous-réseau (par exemple,
172.10.0.0 255.255.0.0
). - Masque wildcard (Wildcard mask) : choisissez cette option si vous souhaitez pouvoir limiter l'application d'une stratégie à un ensemble de périphériques sur différents sous-réseaux IP qui partagent une valeur d'adresse IP d'hôte correspondante. Le masque wildcard correspond à une adresse IP ou à un ensemble d'adresses IP basées sur le masque de sous-réseau inversé. Un « 0 » dans la valeur binaire du masque signifie que la valeur est fixe et un « 1 » dans la valeur binaire du masque signifie que la valeur est sauvage (elle peut être 1 ou 0). Par exemple, un masque wildcard de 0.0.0.255 (équivalent binaire = 00000000.00000000.00000000.11111111) avec une adresse IP de 172.0.0, les trois premiers octets étant des valeurs fixes et le dernier octet étant une valeur variable.
- Préfixe CIDR (CIDR prefix) : choisissez cette option pour définir le réseau comme valeur CIDR (par exemple :
- Port : correspond au trafic provenant du port source ou de la plage de ports spécifiés.
- Système d'exploitation (Operating System) : correspond au trafic provenant du système d'exploitation spécifié, sélectionné dans le menu déroulant.
Destination Permet de spécifier des critères de correspondance pour le trafic de destination. Sélectionnez l'une des options suivantes : - Indifférent (Any) : correspond à l'ensemble du trafic de destination par défaut.
- Groupe d'objets (Object Group) : permet de sélectionner une combinaison de groupes d'adresses et de groupes de ports à faire correspondre pour la destination. Pour plus d'informations, reportez-vous aux sections Groupes d'objets et Configurer les business policies avec des groupes d'objets.
- Définir (Define) : permet de définir les critères correspondants pour le trafic de destination sur une adresse IP, un nom de domaine, un protocole ou un port spécifique. Sélectionnez l'une des options suivantes, par défaut, l'option Indifférent (Any) est sélectionnée :
- Indifférent (Any) : correspond à l'ensemble du trafic de destination.
- Internet : correspond à l'ensemble du trafic Internet (trafic qui ne correspond pas à une route SD-WAN) vers la destination.
- Dispositif Edge (Edge) : correspond à l'ensemble du trafic vers un dispositif Edge.
- Destination non-SD-WAN via une passerelle (Non SD-WAN Destination via Gateway) : correspond à l'ensemble du trafic vers l'instance de Destination non-SD-WAN spécifiée via une passerelle, associé à un profil. Assurez-vous que vous avez associé vos sites non-SD-WAN via une passerelle au niveau du profil.
- Destination non-SD-WAN via un dispositif Edge (Non SD-WAN Destination via Edge ) : correspond à l'ensemble du trafic vers l'instance de Destination non-SD-WAN spécifiée via le dispositif Edge, associé à un dispositif Edge ou à un profil. Assurez-vous que vous avez associé vos sites non-SD-WAN via un dispositif Edge au niveau du profil ou du dispositif Edge.
Protocole (Protocol) : correspond au trafic du protocole spécifié, sélectionné dans le menu déroulant. Les protocoles pris en charge sont les suivants : GRE, ICMP, TCP et UDP.
Domaine : correspond au trafic pour le nom de domaine complet ou une partie du nom de domaine spécifiée dans le champ Nom de domaine (Domain Name). Par exemple, « salesforce » fait correspondre le trafic avec « www.salesforce.com ».
Application Sélectionnez l'une des options suivantes : - Indifférent (Any) : applique la règle de business policy à n'importe quelle application par défaut.
- Définir (Define) : permet de sélectionner une application spécifique pour appliquer la règle de business policy. En outre, il est possible de spécifier une valeur DSCP pour faire correspondre le trafic entrant avec une balise DSCP/TOS prédéfinie.
Note :- Lors de la création d'une règle de business policy correspondant à une application uniquement, le dispositif Edge devra peut-être utiliser le moteur d'inspection approfondie des paquets (DPI, Deep Packet Inspection) pour appliquer l'action de service réseau pour cette application. En général, la DPI ne détermine pas l'application en fonction du premier paquet. Le moteur DPI a généralement besoin des 5 à 10 premiers paquets du flux pour identifier l'application. Pour les premiers paquets reçus, le trafic n'est pas classé et correspond à une business policy moins spécifique, ce qui peut amener le trafic à prendre un autre chemin, c'est-à-dire « Direct » au lieu de « Chemins multiples », selon la stratégie à laquelle il correspond. Une fois que la DPI a déterminé le type de trafic, elle correspond à une stratégie plus spécifique configurée pour ce type de trafic. Toutefois, ce flux continue de prendre le chemin à partir de la stratégie d'origine à laquelle il correspondait, car la direction vers un nouveau chemin interromprait le flux. Cela peut amener le premier flux vers une adresse IP et un port de destination spécifiques à prendre un chemin unique. Une fois le cache de l'application renseigné, les flux suivants vers la même adresse IP et le même port de destination prennent un autre chemin comme configuré dans une stratégie plus spécifique pour ce type de trafic.
- Une fois que la DPI a classé le trafic, elle ajoute l'adresse IP et le port de destination au cache de l'application, puis classe immédiatement tous les flux suivants vers cette même adresse IP et ce même port de destination. L'entrée du cache de l'application expire après 10 minutes sans trafic vers cette adresse IP et ce port de destination. Le flux suivant vers cette adresse IP et ce port de destination doit passer à nouveau par la DPI et peut prendre un chemin inattendu en fonction de la stratégie à laquelle il correspond avant que la DPI n'identifie l'application.
- Dans la zone Action, configurez les actions de la règle :
Paramètres Description Priorité (Priority) Désignez la priorité de la règle comme l'une des options suivantes : - Élevée (High)
- Normale (Normal)
- Faible (Low)
Note : La limite de débit pour le trafic en amont fonctionne uniquement lorsque vous spécifiez un lien ou une interface Edge dans la Business Policy. Si vous définissez l'option Choix (Steering) sur Auto, Transport ou Groupe (Group), la limite de débit s'appliquera à la bande passante totale de tous les liens correspondants. Cela peut ne pas appliquer une limite de débit stricte comme vous vous y attendez. Si vous souhaitez appliquer une limite de débit stricte, vous devez diriger le trafic vers un lien ou une interface Edge unique dans la Business Policy.Service réseau (Network Service) Définissez Service réseau (Network Service) sur l'une des options suivantes : - Direct : envoie le trafic du circuit WAN directement à la destination, en contournant l'instance de SD-WAN Gateway.
Note :
Par défaut, le dispositif Edge préfère une route sécurisée à une business policy. En pratique, cela signifie que le dispositif Edge transfère le trafic via des chemins multiples (site distant vers site distant ou cloud via une passerelle, selon la route), même si une business policy est configurée pour envoyer ce trafic via le chemin direct si le dispositif Edge a reçu des routes par défaut sécurisées ou des routes sécurisées plus spécifiques de la passerelle partenaire ou d'un autre dispositif Edge.
Ce comportement peut être remplacé pour les routes sécurisées de la passerelle partenaire en activant la fonctionnalité « Remplacement de route par défaut sécurisé » (Secure Default Route Override) pour un client. Un super utilisateur partenaire ou un opérateur peut activer cette fonctionnalité qui remplace toutes les routes sécurisées de la passerelle partenaire qui correspondent également à une business policy. La fonctionnalité « Remplacement de route par défaut sécurisé » (Secure Default Route Override) ne remplace pas les routes sécurisées du Hub.
- Chemins multiples (Multi-Path) : envoie le trafic d'un dispositif SD-WAN Edge à un autre dispositif SD-WAN Edge.
- Backhaul Internet (Internet Backhaul) : ce service réseau n'est activé que si Destination est définie sur Internet.
Note : Le service réseau Backhaul Internet (Internet Backhaul) ne s'applique qu'au trafic Internet (c'est-à-dire, au trafic WAN destiné aux préfixes réseau qui ne correspondent pas à une route locale ou à une route VPN connue).
Pour plus d'informations sur ces options, reportez-vous à la section Configurer le service réseau pour la règle de Business Policy.
Si le backhaul conditionnel (Conditional Backhaul) est activé au niveau du profil, il s'applique par défaut à toutes les business policies configurées pour ce profil. Vous pouvez désactiver le backhaul conditionnel pour les stratégies sélectionnées afin d'exclure le trafic sélectionné (direct, à chemins multiples et CSS) de ce comportement en cochant la case Désactiver le backhaul conditionnel (Turn off Conditional Backhaul).
Pour plus d'informations sur l'activation et le dépannage de la fonctionnalité de backhaul conditionnel, reportez-vous à la section Backhaul conditionnel.
Choix du lien (Link Steering) Sélectionnez l'un des modes de choix du lien suivants : - Auto : par défaut, toutes les applications sont définies sur le mode de choix du lien automatique. Lorsqu'une application est en mode de choix du lien automatique, l'optimisation dynamique des chemins multiples (DMPO, Dynamic Multipath Optimization) choisit automatiquement les meilleures liens en fonction du type d'application et active automatiquement la correction à la demande en cas de nécessité. Entrez une balise DSCP de paquet interne et une balise DSCP de paquet externe dans les menus déroulants appropriés.
- Groupe de transport (Transport Group) : spécifiez l'une des options de groupe de transport suivantes dans la stratégie de direction afin d'appliquer la même configuration de Business Policy à des types de périphériques ou à des emplacements différents, qui peuvent comporter des opérateurs WAN et des interfaces WAN complètement distincts.
- Lien filaire public (Public Wired)
- Lien sans fil publique (Public Wireless)
- Lien filaire privé (Private Wired)
- Interface : le choix du lien est lié à une interface physique et est utilisé principalement à des fins de routage.
Note : Cette option est uniquement autorisée au niveau du remplacement du dispositif Edge.
- Lien WAN (WAN Link) : permet de définir des règles de stratégie basées sur des liens privés spécifiques. Pour cette option, la configuration de l'interface est distincte de la configuration du lien WAN. Vous pouvez sélectionner un lien WAN qui était configuré manuellement ou découvert automatiquement.
Note : Cette option est uniquement autorisée au niveau du remplacement du dispositif Edge.
Note : Lorsque le service réseau est configuré comme Direct, les interfaces IPv6 uniquement et les liens WAN IPv6 uniquement ne sont pas pris en charge en mode de choix du lien.Pour plus d'informations sur les modes de choix du lien, DSCP et le marquage DSCP pour le trafic de sous-couche et d'overlay, reportez-vous à la section Configurer les modes de choix du lien.
NAT Activez ou désactivez NAT. Pour plus d'informations, reportez-vous à la section Configurer la NAT basée sur la stratégie. Classe de service (Service Class) Sélectionnez l'une des options de classe de service suivantes : - En temps réel (Real-time)
- Transactionnel (Transactional)
- En bloc (Bulk)
Note : Cette option est uniquement destinée à une application personnalisée.Les applications/catégories VMware appartiennent à l'une de ces catégories. - Cliquez sur OK. La règle de business policy est créée pour le profil sélectionné et s'affiche dans la zone Business Policy de la page Business policy de profil (Profile Business Policy).
Informations connexes : Mappage CoS QoS d'overlay