SD-WAN Orchestrator consente di configurare le regole dei criteri di business a livello di Profilo (Profile) ed Edge. Gli operatori, i partner e gli amministratori di tutti i livelli possono creare un criterio di business. Il criterio di business corrisponde a parametri come indirizzi IP, porte, ID VLAN, interfacce, nomi di dominio, protocolli, sistema operativo, gruppi di oggetti, applicazioni e tag DSCP. Quando un pacchetto di dati soddisfa le condizioni di corrispondenza, vengono eseguite l'azione o le azioni associate. Se un pacchetto non corrisponde ad alcun parametro, viene eseguita un'azione predefinita nel pacchetto.

Prima di iniziare: conoscere gli indirizzi IP dei dispositivi e valutare le implicazioni nell'impostare una maschera con caratteri jolly.

Per creare un criterio di business:
  1. Da SD-WAN Orchestrator, passare a Configura (Configure) > Profili (Profiles) > Criterio di business (Business Policy).
  2. Nell'area Criterio di business (Business Policy), fare clic su Nuova regola (New Rule). Viene visualizzata la finestra di dialogo Configura regola (Configure Rule).
  3. Nella casella Nome regola (Rule Name), immettere un nome univoco per la regola.
  4. Nell'area Corrispondenza (Match), configurare le condizioni di corrispondenza per il flusso del traffico. I campi disponibili nella finestra di dialogo cambiano in base all'opzione scelta:
    Impostazioni Descrizione
    Origine (Source) Consente di specificare i criteri di corrispondenza per il traffico di origine. Selezionare una delle opzioni seguenti:
    • Qualsiasi (Any): corrisponde a tutto il traffico di origine per impostazione predefinita.
    • Gruppo di oggetti (Object Group): consente di selezionare una combinazione di gruppo di indirizzi e gruppo di porte a cui l'origine deve corrispondere. Per ulteriori informazioni, vedere Gruppi di oggetti e Configurazione dei criteri di business con gruppi di oggetti.
      Nota: Se il gruppo di indirizzi selezionato contiene nomi di dominio, questi vengono ignorati durante la ricerca della corrispondenza per l'origine.
    • Definisci (Define): consente di definire i criteri di corrispondenza per il traffico di origine da una VLAN, un'interfaccia, un indirizzo IP, una porta o un sistema operativo specifici. Selezionare una delle seguenti opzioni. Per impostazione predefinita, è selezionata l'opzione Nessuno (None):
      • VLAN: corrisponde al traffico proveniente dalla VLAN specificata, selezionata dal menu a discesa.
      • Interfaccia (Interface): corrisponde al traffico proveniente dall'interfaccia specificata, selezionata dal menu a discesa.
        Nota: Se non è possibile selezionare un'interfaccia, significa che è disabilitata o non è assegnata a questo segmento.
      • Indirizzo IP (IP Address): corrisponde al traffico proveniente dall'indirizzo IP specificato. Insieme all'indirizzo IP, è possibile specificare una delle seguenti opzioni di corrispondenza per il traffico di origine:
        • Prefisso CIDR (CIDR prefix): scegliere questa opzione se si desidera che la rete venga definita come valore CIDR (ad esempio, 172.10.0.0 /16).
        • Subnet mask: scegliere questa opzione se si desidera che la rete venga definita in base a una subnet mask (ad esempio, 172.10.0.0 255.255.0.0).
        • Maschera con caratteri jolly (Wildcard mask): scegliere questa opzione se si desidera poter limitare l'applicazione di un criterio a un set di dispositivi in subnet IP diverse che condividono un valore di indirizzo IP dell'host corrispondente. La maschera con caratteri jolly corrisponde a un IP o a un set di indirizzi IP in base alla subnet mask invertita. Uno "0" all'interno del valore binario della maschera indica che il valore è fisso, mentre un "1" all'interno del valore binario della maschera indica che il valore è un carattere jolly (può essere 1 o 0). Ad esempio, con la maschera jolly 0.0.0.255 (equivalente binario = 00000000.00000000.00000000.11111111) con un indirizzo IP 172.0.0, i primi tre ottetti sono valori fissi mentre l'ultimo ottetto è un valore variabile.
      • Porta (Port): corrisponde al traffico proveniente dalla porta o dall'intervallo di porte di origine specificati.
      • Sistema operativo (Operating System): corrisponde al traffico proveniente dal sistema operativo specificato, selezionato dal menu a discesa.
    Destinazione (Destination) Consente di specificare i criteri di corrispondenza per il traffico di destinazione. Selezionare una delle opzioni seguenti:
    • Qualsiasi (Any): consente tutto il traffico di destinazione per impostazione predefinita.
    • Gruppo di oggetti (Object Group): consente di selezionare una combinazione di gruppo di indirizzi e gruppo di porte a cui la destinazione deve corrispondere. Per ulteriori informazioni, vedere Gruppi di oggetti e Configurazione dei criteri di business con gruppi di oggetti.
    • Definisci (Define): consente di definire i criteri di corrispondenza per il traffico di destinazione verso un indirizzo IP, un nome di dominio, un protocollo o una porta specifici. Selezionare una delle seguenti opzioni. Per impostazione predefinita, è selezionata l'opzione Qualsiasi (Any):
      • Qualsiasi (Any): corrisponde a tutto il traffico di destinazione.
      • Internet: corrisponde a tutto il traffico Internet (ovvero il traffico che non corrisponde a una route SD-WAN) verso la destinazione.
      • Edge: corrisponde a tutto il traffico verso un Edge.
      • Destinazione non SD-WAN tramite gateway (Non SD-WAN Destination via Gateway): corrisponde a tutto il traffico verso il Non VMware SD-WAN Site specificato tramite gateway, associato a un profilo. Assicurarsi di aver associato i siti non SD-WAN tramite gateway a livello del profilo.
      • Destinazione non SD-WAN tramite Edge (Non SD-WAN Destination via Edge): corrisponde a tutto il traffico verso il Non VMware SD-WAN Site specificato tramite Edge, associato a un Edge o un profilo. Assicurarsi di aver associato i siti non SD-WAN tramite Edge a livello del profilo o dell'Edge.

      Protocollo (Protocol): corrisponde al traffico per il protocollo specificato, selezionato dal menu a discesa. I protocolli supportati sono GRE, ICMP, TCP e UDP.

      Dominio (Domain): associa il traffico per l'intero nome di dominio o una parte del nome di dominio specificato nel campo Nome di dominio (Domain Name). Ad esempio, \"salesforce\" corrisponderà al traffico verso \"www.salesforce.com\".
    Applicazione (Application) Selezionare una delle opzioni seguenti:
    • Qualsiasi (Any): per impostazione predefinita, applica la regola del criterio di business a qualsiasi applicazione.
    • Definisci (Define): consente di selezionare un'applicazione specifica a cui applicare la regola del criterio di business. È inoltre possibile specificare un valore in DSCP in modo da confrontare il traffico in arrivo con un tag DSCP/TOS preimpostato.
    Nota: Quando si crea una regola del criterio di business che corrisponde solo a un'applicazione, per applicare l'azione del servizio di rete per tale applicazione, l'Edge potrebbe dover utilizzare il motore DPI (Deep Packet Inspection). In genere, DPI non è in grado di determinare l'applicazione in base al primo pacchetto. Per identificare l'applicazione, al motore DPI generalmente occorrono i primi 5-10 pacchetti nel flusso. Per i soli primi pacchetti ricevuti, il traffico potrebbe seguire un percorso diverso, ad esempio 'Diretto' anziché 'MultiPath' o 'Backhaul Internet', in base alla configurazione del criterio di business.
    In base alle scelte effettuate in Corrispondenza (Match), alcune azioni potrebbero non essere disponibili.
  5. Nell'area Azione (Action), configurare le azioni per la regola:
    Impostazioni Descrizione
    Priorità (Priority) Designare la priorità della regola scegliendo una delle seguenti opzioni:
    • Alta (High)
    • Normale (Normal)
    • Bassa (Low)
    Selezionare la casella di controllo Limite velocità (Rate Limit) per impostare i limiti per le direzioni del traffico in entrata e in uscita.
    Servizio di rete (Network Service) In Servizio di rete (Network Service) scegliere una delle seguenti opzioni:
    • Diretto (Direct): invia il traffico al di fuori del circuito WAN direttamente alla destinazione, ignorando il SD-WAN Gateway.
      Nota: Per impostazione predefinita, l'Edge preferisce una route sicura rispetto a un criterio di business. In pratica questo significa che l'Edge invierà il traffico tramite Percorso multiplo (Multipath) (da filiale a filiale o cloud tramite gateway, in base alla route) anche se un criterio di business è configurato per inviare tale traffico tramite Direct path (percorso diretto) se l'Edge ha ricevuto route predefinite sicure o route sicure più specifiche dal gateway partner o da un altro Edge.
    • Percorso multiplo (Multi-Path): invia il traffico da un SD-WAN Edge a un altro SD-WAN Edge.
    • Backhaul Internet (Internet Backhaul): questo servizio di rete è abilitato solo se l'opzione Destinazione (Destination) è impostata su Internet.
      Nota: Il servizio di rete Backhaul Internet (Internet Backhaul) verrà applicato solo al traffico Internet, ovvero il traffico WAN destinato a prefissi di rete che non corrispondono a una route locale o a una route VPN nota.
    Per informazioni su queste opzioni, vedere Configurazione del servizio di rete per la regola del criterio di business.
    Reindirizzamento link (Link Steering) Selezionare una delle seguenti modalità di reindirizzamento link:
    • Automatico (Auto): per impostazione predefinita, per tutte le applicazioni è impostata la modalità di reindirizzamento link automatica. Quando un'applicazione si trova nella modalità di Reindirizzamento link Automatica, DMPO sceglie automaticamente i link migliori in base al tipo di applicazione e abilita automaticamente la correzione su richiesta quando necessario. Selezionare un Tag DSCP pacchetto interno dal menu a discesa e un Tag DSCP pacchetto esterno dal menu a discesa.
    • Gruppo di trasporto (Transport Group): specificare una qualsiasi delle seguenti opzioni di gruppo di trasporto nel criterio di reindirizzamento in modo che la stessa configurazione del criterio di business possa essere applicata in diversi tipi di dispositivi o posizioni, che possono avere vettori WAN e interfacce WAN completamente diversi:
      • Cablato pubblico (Public Wired)
      • Wireless pubblico (Public Wireless)
      • Cablato privato (Private Wired)
    • Interfaccia (Interface): il reindirizzamento del link è legato a un'interfaccia fisica e verrà utilizzato principalmente a scopo di routing.
      Nota: Questa opzione è consentita solo a livello di sostituzione dell'Edge.
    • Link WAN (WAN link): consente di definire regole dei criteri in base a specifici link privati. Per questa opzione, la configurazione dell'interfaccia è separata e distinta dalla configurazione del link WAN. Sarà possibile selezionare un link WAN configurato manualmente o rilevato automaticamente.
      Nota: Questa opzione è consentita solo a livello di override dell'Edge.

    Per ulteriori informazioni sulle modalità di reindirizzamento del link, su DSCP, nonché sul contrassegno DSCP per il traffico underlay e overlay, vedere Configurazione delle modalità di reindirizzamento del link.
    NAT Disabilitare o abilitare NAT. Per ulteriori informazioni, vedere Configurazione di NAT basato su criteri.
    Classe di servizio (Service Class) Selezionare una delle seguenti opzioni per la classe di servizio:
    • Tempo reale (Real Time)
    • Transazionale (Transactional)
    • Di massa (Bulk)
    Nota: Questa opzione è disponibile solo per un'applicazione personalizzata.
    Le app/categorie di VMware appartengono a una di queste categorie.
  6. Fare clic su OK. Viene creata una regola del criterio di business per il profilo selezionato e viene visualizzata nell'area Criterio di business (Business Policy) della pagina Criterio di business profilo (Profile Business Policy).

    Informazioni correlate: Mappatura CoS QoS di overlay