Les règles de Business Policy sont configurées pour diriger le trafic, la gestion de la bande passante et garantir la qualité de service en fonction de critères tels que l'application, la source et la destination, etc. Les opérateurs, les partenaires et les administrateurs de tous les niveaux peuvent créer une business policy. La business policy correspond aux paramètres tels que les adresses IP, les ports, les ID VLAN, les interfaces, les noms de domaine, les protocoles, le système d'exploitation, les groupes d'objets, les applications et les balises DSCP. Lorsqu'un paquet de données correspond aux conditions de correspondance, l'action ou les actions associées sont effectuées. Si un paquet ne correspond à aucun paramètre, une action par défaut est effectuée sur le paquet. Vous pouvez créer des business policies pour un profil et un dispositif Edge.
Conditions préalables
Assurez-vous que vous disposez des détails des adresses IP de votre réseau.
Procédure
- Dans le service SD-WAN du portail d'entreprise, accédez à Configurer (Configure) > Profils (Profiles). La page Profils (Profiles) affiche les profils existants.
- Cliquez sur le lien d'accès à un profil ou sur le lien Afficher (View) dans la colonne Périphérique (Device) du profil. Les options de configuration s'affichent dans l'onglet Périphérique (Device).
- Cliquez sur l'onglet Business Policy.
Sur la page Profils (Profiles), vous pouvez accéder directement à la page Business Policy en cliquant sur le lien Afficher (View) de la colonne Business Policy du profil.
- Sur la page Business Policy, cliquez sur + AJOUTER (ADD). La fenêtre Ajouter une règle (Add Rule) s'affiche.
- Entrez le nom de la règle et sélectionnez la version de l'adresse IP. Vous pouvez configurer les adresses IP source et de destination en fonction de la version de l'adresse IP sélectionnée, comme suit :
- IPv4 et IPv6 (IPv4 and IPv6) : permet de configurer des adresses IPv4 et IPv6 dans les critères de correspondance. Si vous choisissez ce mode, vous pouvez choisir les adresses IP des groupes d'objets contenant des groupes d'adresses avec les deux types de groupes d'adresses. Par défaut, ce type d'adresse est sélectionné.
- IPv4 : s'applique au trafic avec uniquement l'adresse IPv4 comme source et de destination.
- IPv6 : s'applique au trafic avec uniquement l'adresse IPv6 comme source et de destination.
Note : En cas de mise à niveau, les règles de Business Policy des versions précédentes sont déplacées vers le mode IPv4.
- Dans l'onglet Correspondance (Match), configurez les critères de correspondance pour le trafic source, de destination et d'application.
Champ Description Source Permet de spécifier la source des paquets. Sélectionnez l'une des options suivantes :- Indifférent (Any) : autorise toutes les adresses source par défaut.
- Groupe d'objets (Object Group) : permet de sélectionner une combinaison de groupe d'adresses et de groupe de services.
Si le type d'adresse est IPv4, seule l'adresse IPv4 des groupes d'adresses est considérée comme correspondant à la source du trafic.
Si le type d'adresse est IPv6, seule l'adresse IPv6 des groupes d'adresses est considérée comme correspondant à la source du trafic.
Si le type d'adresse est IPv4 et IPv6, seules les adresses IPv4 et IPv6 des groupes d'adresses sont considérées comme correspondant à la source du trafic.
Pour plus d'informations, reportez-vous aux sections Groupes d'objets et Configurer des Business Policies avec un groupe d'objets.Note : Si le groupe d'adresses sélectionné contient des noms de domaine, ceux-ci sont ignorés lors de la recherche de correspondances pour la source. - Définir (Define) : permet de définir le trafic source à partir d'un VLAN, d'une interface, d'une adresse IP, d'un port ou d'un système d'exploitation spécifique. Sélectionnez l'une des options suivantes :
- VLAN : correspond au trafic provenant du VLAN spécifié, sélectionné dans le menu déroulant.
- Interface : correspond au trafic provenant de l'interface sélectionnée dans le menu déroulant.
Note : Si une interface ne peut pas être sélectionnée, elle n'est ni activée ni attribuée à ce segment.
- Adresse IP (IP Address) : correspond au trafic provenant de l'adresse IP spécifiée (IPv4 ou IPv6).
Note : Cette option n'est pas disponible si vous sélectionnez IPv4 et IPv6 (IPv4 and IPv6) (mode mixte) comme version d'adresse IP. En mode mixte, le trafic est mis en correspondance en fonction du VLAN ou de l'interface spécifié.Avec l'adresse IP, vous pouvez spécifier l'un des types d'adresses suivants pour faire correspondre le trafic source :
- Préfixe CIDR (CIDR prefix) : choisissez cette option si vous souhaitez que le réseau soit défini comme une valeur CIDR (par exemple,
172.10.0.0 /16
). - Masque de sous-réseau (Subnet mask) : choisissez cette option si vous souhaitez que le réseau soit défini en fonction d'un masque de sous-réseau (par exemple,
172.10.0.0 255.255.0.0
). - Masque wildcard (Wildcard mask) : choisissez cette option si vous souhaitez pouvoir limiter l'application d'une stratégie à un ensemble de périphériques sur différents sous-réseaux IP qui partagent une valeur d'adresse IP d'hôte correspondante. Le masque wildcard correspond à une adresse IP ou à un ensemble d'adresses IP basées sur le masque de sous-réseau inversé. Un « 0 » dans la valeur binaire du masque signifie que la valeur est fixe et un « 1 » dans la valeur binaire du masque signifie que la valeur est sauvage (elle peut être 1 ou 0). Par exemple, un masque wildcard de 0.0.0.255 (équivalent binaire = 00000000.00000000.00000000.11111111) avec une adresse IP de 172.0.0, les trois premiers octets étant des valeurs fixes et le dernier octet étant une valeur variable. Cette option est disponible uniquement pour l'adresse IPv4.
- Préfixe CIDR (CIDR prefix) : choisissez cette option si vous souhaitez que le réseau soit défini comme une valeur CIDR (par exemple,
- Ports : correspond au trafic provenant du port source ou de la plage de ports spécifié.
- Système d'exploitation (Operating System) : correspond au trafic provenant du système d'exploitation spécifié, sélectionné dans le menu déroulant.
Destination Permet de spécifier la destination des paquets. Sélectionnez l'une des options suivantes : - Indifférent (Any) : autorise toutes les adresses de destination par défaut.
- Groupe d'objets (Object Group) : permet de sélectionner une combinaison de groupe d'adresses et de groupe de services. Pour plus d'informations, reportez-vous aux sections Groupes d'objets et Configurer des Business Policies avec un groupe d'objets.
- Définir (Define) : permet de définir les critères correspondants pour le trafic de destination sur une adresse IP, un nom de domaine, un protocole ou un port spécifique. Sélectionnez l'une des options suivantes, par défaut, l'option Indifférent (Any) est sélectionnée :
- Indifférent (Any) : correspond à l'ensemble du trafic de destination.
- Internet : correspond à l'ensemble du trafic Internet (trafic qui ne correspond pas à une route SD-WAN) vers la destination.
- Dispositif Edge (Edge) : correspond à l'ensemble du trafic vers un dispositif Edge.
- Destination non-SD-WAN via une passerelle (Non SD-WAN Destination via Gateway) : correspond à l'ensemble du trafic vers l'instance de Destination non-SD-WAN spécifiée via une passerelle, associé à un profil. Assurez-vous que vous avez associé vos sites non-SD-WAN via une passerelle au niveau du profil.
- Destination non-SD-WAN via un dispositif Edge (Non SD-WAN Destination via Edge) : correspond à l'ensemble du trafic vers l'instance de Destination non-SD-WAN spécifiée via le dispositif Edge, associé à un dispositif Edge ou à un profil. Assurez-vous que vous avez associé vos sites non-SD-WAN via un dispositif Edge au niveau du profil ou du dispositif Edge.
- Domaine : correspond au trafic pour le nom de domaine complet ou une partie du nom de domaine spécifiée dans le champ Nom de domaine (Domain Name). Par exemple, « salesforce » fait correspondre le trafic avec « www.salesforce.com ».
- Protocole (Protocol) : correspond au trafic du protocole spécifié, sélectionné dans le menu déroulant. Les protocoles pris en charge sont les suivants : GRE, ICMP, TCP et UDP.
Note : ICMP n'est pas pris en charge en mode Mixte (Mixed).
- Ports : correspond au trafic provenant du port source ou de la plage de ports spécifié.
Application Sélectionnez l'une des options suivantes : - Indifférent (Any) : applique la règle de business policy à n'importe quelle application par défaut.
- Définir (Define) : permet de sélectionner une application spécifique pour appliquer la règle de business policy. En outre, il est possible de spécifier une valeur DSCP pour faire correspondre le trafic entrant avec une balise DSCP/TOS prédéfinie.
Note :- Lors de la création d'une règle de business policy correspondant à une application uniquement, le dispositif Edge devra peut-être utiliser le moteur d'inspection approfondie des paquets (DPI, Deep Packet Inspection) pour appliquer l'action de service réseau pour cette application. En général, la DPI ne détermine pas l'application en fonction du premier paquet. Le moteur DPI a généralement besoin des 5 à 10 premiers paquets du flux pour identifier l'application. Pour les premiers paquets reçus, le trafic n'est pas classé et correspond à une business policy moins spécifique, ce qui peut amener le trafic à prendre un autre chemin, c'est-à-dire « Direct » au lieu de « Chemins multiples », selon la stratégie à laquelle il correspond. Une fois que la DPI a déterminé le type de trafic, elle correspond à une stratégie plus spécifique configurée pour ce type de trafic. Toutefois, ce flux continue de prendre le chemin à partir de la stratégie d'origine à laquelle il correspondait, car la direction vers un nouveau chemin interromprait le flux. Cela peut amener le premier flux vers une adresse IP et un port de destination spécifiques à prendre un chemin unique. Une fois le cache de l'application renseigné, les flux suivants vers la même adresse IP et le même port de destination prennent un autre chemin comme configuré dans une stratégie plus spécifique pour ce type de trafic.
- Une fois que la DPI a classé le trafic, elle ajoute l'adresse IP et le port de destination au cache de l'application, puis classe immédiatement tous les flux suivants vers cette même adresse IP et ce même port de destination. L'entrée du cache de l'application expire après 10 minutes sans trafic vers cette adresse IP et ce port de destination. Le flux suivant vers cette adresse IP et ce port de destination doit passer à nouveau par la DPI et peut prendre un chemin inattendu en fonction de la stratégie à laquelle il correspond avant que la DPI n'identifie l'application.
- Dans l'onglet Action, configurez les actions à effectuer lorsque le trafic correspond aux critères définis.
Note : En fonction de vos choix Correspondance (Match), certaines actions peuvent ne pas être disponibles.
Champ Description Priorité (Priority) Désignez la priorité de la règle comme l'une des options suivantes : - Élevée (High)
- Normale (Normal)
- Faible (Low)
Activer la limite de débit Pour définir les limites des directions de trafic entrant et sortant, cochez la case Activer la limite de débit (Enable Rate Limit). Note : La limite de débit est effectuée par flux. La limite de débit pour le trafic en amont fonctionne uniquement lorsque vous spécifiez un lien ou une interface Edge dans la Business Policy. Si vous définissez l'option Choix (Steering) sur Auto, Transport ou Groupe (Group), la limite de débit s'appliquera à la bande passante totale de tous les liens correspondants. Cela peut ne pas appliquer une limite de débit stricte comme vous vous y attendez. Si vous souhaitez appliquer une limite de débit stricte, vous devez diriger le trafic vers un lien ou une interface Edge unique dans la Business Policy.Service réseau (Network Service) Définissez Service réseau (Network Service) sur l'une des options suivantes : - Direct : envoie le trafic du circuit WAN directement à la destination, en contournant l'instance de SD-WAN Gateway.
Note :
Par défaut, le dispositif Edge préfère une route sécurisée à une business policy. En pratique, cela signifie que le dispositif Edge transfère le trafic via des chemins multiples (site distant vers site distant ou cloud via une passerelle, selon la route), même si une business policy est configurée pour envoyer ce trafic via le chemin direct si le dispositif Edge a reçu des routes par défaut sécurisées ou des routes sécurisées plus spécifiques de la passerelle partenaire ou d'un autre dispositif Edge.
Ce comportement peut être remplacé pour les routes sécurisées de la passerelle partenaire en activant la fonctionnalité « Remplacement de route par défaut sécurisé » (Secure Default Route Override) pour un client. Un super utilisateur partenaire ou un opérateur peut activer cette fonctionnalité qui remplace toutes les routes sécurisées de la passerelle partenaire qui correspondent également à une business policy. La fonctionnalité « Remplacement de route par défaut sécurisé » (Secure Default Route Override) ne remplace pas les routes sécurisées du Hub.
- Chemins multiples (Multi-Path) : envoie le trafic d'un dispositif SD-WAN Edge à un autre dispositif SD-WAN Edge.
- Backhaul Internet (Internet Backhaul) : ce service réseau n'est activé que si Destination est définie sur Internet.
Note : Le service réseau Backhaul Internet (Internet Backhaul) ne s'applique qu'au trafic Internet (c'est-à-dire, au trafic WAN destiné aux préfixes réseau qui ne correspondent pas à une route locale ou à une route VPN connue).
Pour plus d'informations sur ces options, reportez-vous à la section Configurer le service réseau pour la règle de Business Policy.
Si le backhaul conditionnel (Conditional Backhaul) est activé au niveau du profil, il s'applique par défaut à toutes les business policies configurées pour ce profil. Vous pouvez désactiver le backhaul conditionnel pour les stratégies sélectionnées afin d'exclure le trafic sélectionné (direct, à chemins multiples et CSS) de ce comportement en cochant la case Désactiver le backhaul conditionnel (Turn off Conditional Backhaul).
Pour plus d'informations sur l'activation et le dépannage de la fonctionnalité de backhaul conditionnel, reportez-vous à la section Backhaul conditionnel.
Choix du lien (Link Steering) Sélectionnez l'un des modes de choix du lien suivants : - Auto : par défaut, toutes les applications sont définies sur le mode de choix du lien automatique. Lorsqu'une application est en mode de choix du lien automatique, l'optimisation dynamique des chemins multiples (DMPO, Dynamic Multipath Optimization) choisit automatiquement les meilleurs liens en fonction du type d'application et active automatiquement la correction à la demande en cas de nécessité.
- Groupe de transport (Transport Group) : spécifiez l'une des options de groupe de transport suivantes dans la stratégie de direction afin d'appliquer la même configuration de Business Policy à des types de périphériques ou à des emplacements différents, qui peuvent comporter des opérateurs WAN et des interfaces WAN complètement distincts.
- Lien filaire public (Public Wired)
- Lien sans fil publique (Public Wireless)
- Lien filaire privé (Private Wired)
- Interface : le choix du lien est lié à une interface physique et est utilisé principalement à des fins de routage.
Note : Cette option est uniquement autorisée au niveau du remplacement du dispositif Edge.
- Lien WAN (WAN Link) : permet de définir des règles de stratégie basées sur des liens privés spécifiques. Pour cette option, la configuration de l'interface est distincte de la configuration du lien WAN. Vous pouvez sélectionner un lien WAN qui était configuré manuellement ou découvert automatiquement.
Note : Cette option est uniquement autorisée au niveau du remplacement du dispositif Edge.
- Groupe de transport (Transport Group) : spécifiez l'une des options de groupe de transport suivantes dans la stratégie de direction afin d'appliquer la même configuration de Business Policy à des types de périphériques ou à des emplacements différents, qui peuvent comporter des opérateurs WAN et des interfaces WAN complètement distincts.
- Balise DSCP de paquet interne (Inner Packet DSCP Tag) : sélectionnez une balise DSCP de paquet interne dans le menu déroulant.
- Balise DSCP de paquet externe (Outer Packet DSCP Tag) : sélectionnez une balise DSCP de paquet externe dans le menu déroulant.
Note : Lorsque le service réseau est configuré comme Direct, les interfaces IPv6 uniquement et les liens WAN IPv6 uniquement ne sont pas pris en charge en mode de choix du lien.Pour plus d'informations sur les modes de choix du lien, DSCP et le marquage DSCP pour le trafic de sous-couche et d'overlay, reportez-vous à la section Configurer les modes de choix du lien.
Activer NAT (Enable NAT) Activez ou désactivez NAT. Cette option n'est pas disponible pour le mode IPv4 et IPv6 (IPv4 and IPv6). Pour plus d'informations, reportez-vous à la section Configurer la NAT basée sur la stratégie. Classe de service (Service Class) Sélectionnez l'une des options de classe de service suivantes : - En temps réel (Real-time)
- Transactionnel (Transactional)
- En bloc (Bulk)
Note : Cette option est uniquement destinée à une application personnalisée.Les applications/catégories VMware appartiennent à l'une de ces catégories. - Après avoir configuré les paramètres requis, cliquez sur Créer (Create).
La règle de business policy est créée pour le profil sélectionné et s'affiche dans la zone Règles de business policy (Business Policy Rules) de la page Business policy du profil (Profile Business Policy).Note : Les règles créées au niveau du profil ne peuvent pas être mises à jour au niveau du dispositif Edge. Pour remplacer la règle, l'utilisateur doit créer la même règle au niveau du dispositif Edge avec de nouveaux paramètres pour remplacer la règle au niveau du profil.
Pour les modes IPv6 et IPv4 et IPv6 (IPv4 and IPv6), vous pouvez uniquement créer des règles de business policy à partir d'Orchestrator. Vous pouvez effectuer le reste des opérations telles que Mettre à jour (Update) et Supprimer (Delete) uniquement via l'API.
Informations connexes : Mappage CoS QoS d'overlay