SD-WAN Orchestrator consente di configurare le regole dei criteri di business a livello di Profilo (Profile) ed Edge. Gli operatori, i partner e gli amministratori di tutti i livelli possono creare un criterio di business. Il criterio di business corrisponde a parametri come indirizzi IP, porte, ID VLAN, interfacce, nomi di dominio, protocolli, sistema operativo, gruppi di oggetti, applicazioni e tag DSCP. Quando un pacchetto di dati soddisfa le condizioni di corrispondenza, vengono eseguite l'azione o le azioni associate. Se un pacchetto non corrisponde ad alcun parametro, viene eseguita un'azione predefinita nel pacchetto.

Prima di iniziare: conoscere gli indirizzi IP dei dispositivi e valutare le implicazioni nell'impostare una maschera con caratteri jolly.

Per creare un criterio di business:
  1. Da SD-WAN Orchestrator, passare a Configura (Configure) > Profili (Profiles) > Criterio di business (Business Policy).
  2. Nell'area Criterio di business (Business Policy), fare clic su Nuova regola (New Rule). Viene visualizzata la finestra di dialogo Configura regola (Configure Rule).
  3. Nella casella Nome regola (Rule Name), immettere un nome univoco per la regola.
  4. Nell'area Corrispondenza (Match), configurare le condizioni di corrispondenza per il flusso del traffico. I campi disponibili nella finestra di dialogo cambiano in base all'opzione scelta:
    Impostazioni Descrizione
    Origine (Source) Consente di specificare i criteri di corrispondenza per il traffico di origine. Selezionare una delle opzioni seguenti:
    • Qualsiasi (Any): corrisponde a tutto il traffico di origine per impostazione predefinita.
    • Gruppo di oggetti (Object Group): consente di selezionare una combinazione di gruppo di indirizzi e gruppo di porte a cui l'origine deve corrispondere. Per ulteriori informazioni, vedere Gruppi di oggetti e Configurazione dei criteri di business con gruppi di oggetti.
      Nota: Se il gruppo di indirizzi selezionato contiene nomi di dominio, questi vengono ignorati durante la ricerca della corrispondenza per l'origine.
    • Definisci (Define): consente di definire i criteri di corrispondenza per il traffico di origine da una VLAN, un'interfaccia, un indirizzo IP, una porta o un sistema operativo specifici. Selezionare una delle seguenti opzioni. Per impostazione predefinita, è selezionata l'opzione Nessuno (None):
      • VLAN: corrisponde al traffico proveniente dalla VLAN specificata, selezionata dal menu a discesa.
      • Interfaccia (Interface): corrisponde al traffico proveniente dall'interfaccia specificata, selezionata dal menu a discesa.
        Nota: Se non è possibile selezionare un'interfaccia, significa che è non è attivata o non è assegnata a questo segmento.
      • Indirizzo IP (IP Address): corrisponde al traffico proveniente dall'indirizzo IP specificato. Insieme all'indirizzo IP, è possibile specificare una delle seguenti opzioni di corrispondenza per il traffico di origine:
        • Prefisso CIDR (CIDR prefix): scegliere questa opzione se si desidera che la rete venga definita come valore CIDR (ad esempio, 172.10.0.0 /16).
        • Subnet mask: scegliere questa opzione se si desidera che la rete venga definita in base a una subnet mask (ad esempio, 172.10.0.0 255.255.0.0).
        • Maschera con caratteri jolly (Wildcard mask): scegliere questa opzione se si desidera poter limitare l'applicazione di un criterio a un set di dispositivi in subnet IP diverse che condividono un valore di indirizzo IP dell'host corrispondente. La maschera con caratteri jolly corrisponde a un IP o a un set di indirizzi IP in base alla subnet mask invertita. Uno "0" all'interno del valore binario della maschera indica che il valore è fisso, mentre un "1" all'interno del valore binario della maschera indica che il valore è un carattere jolly (può essere 1 o 0). Ad esempio, con la maschera jolly 0.0.0.255 (equivalente binario = 00000000.00000000.00000000.11111111) con un indirizzo IP 172.0.0, i primi tre ottetti sono valori fissi mentre l'ultimo ottetto è un valore variabile.
      • Porta (Port): corrisponde al traffico proveniente dalla porta o dall'intervallo di porte di origine specificati.
      • Sistema operativo (Operating System): corrisponde al traffico proveniente dal sistema operativo specificato, selezionato dal menu a discesa.
    Destinazione (Destination) Consente di specificare i criteri di corrispondenza per il traffico di destinazione. Selezionare una delle opzioni seguenti:
    • Qualsiasi (Any): consente tutto il traffico di destinazione per impostazione predefinita.
    • Gruppo di oggetti (Object Group): consente di selezionare una combinazione di gruppo di indirizzi e gruppo di porte a cui la destinazione deve corrispondere. Per ulteriori informazioni, vedere Gruppi di oggetti e Configurazione dei criteri di business con gruppi di oggetti.
    • Definisci (Define): consente di definire i criteri di corrispondenza per il traffico di destinazione verso un indirizzo IP, un nome di dominio, un protocollo o una porta specifici. Selezionare una delle seguenti opzioni. Per impostazione predefinita, è selezionata l'opzione Qualsiasi (Any):
      • Qualsiasi (Any): corrisponde a tutto il traffico di destinazione.
      • Internet: corrisponde a tutto il traffico Internet (ovvero il traffico che non corrisponde a una route SD-WAN) verso la destinazione.
      • Edge: corrisponde a tutto il traffico verso un Edge.
      • Destinazione non SD-WAN tramite gateway (Non SD-WAN Destination via Gateway): corrisponde a tutto il traffico verso il destinazione non SD-WAN specificato tramite gateway, associato a un profilo. Assicurarsi di aver associato i siti non SD-WAN tramite gateway a livello del profilo.
      • Destinazione non SD-WAN tramite Edge (Non SD-WAN Destination via Edge): corrisponde a tutto il traffico verso il destinazione non SD-WAN specificato tramite Edge, associato a un Edge o un profilo. Assicurarsi di aver associato i siti non SD-WAN tramite Edge a livello del profilo o dell'Edge.

      Protocollo (Protocol): corrisponde al traffico per il protocollo specificato, selezionato dal menu a discesa. I protocolli supportati sono GRE, ICMP, TCP e UDP.

      Dominio (Domain): associa il traffico per l'intero nome di dominio o una parte del nome di dominio specificato nel campo Nome di dominio (Domain Name). Ad esempio, \"salesforce\" corrisponderà al traffico verso \"www.salesforce.com\".
    Applicazione (Application) Selezionare una delle seguenti opzioni:
    • Qualsiasi (Any): per impostazione predefinita, applica la regola del criterio di business a qualsiasi applicazione.
    • Definisci (Define): consente di selezionare un'applicazione specifica a cui applicare la regola del criterio di business. È inoltre possibile specificare un valore DSCP da associare al traffico in arrivo con un tag DSCP/TOS preimpostato.
    Nota:
    • Quando si crea una regola del criterio di business che corrisponde solo a un'applicazione, per applicare l'azione del servizio di rete per tale applicazione, l'Edge potrebbe dover utilizzare il motore DPI (Deep Packet Inspection). In genere, DPI non determina l'applicazione in base al primo pacchetto. Per identificare l'applicazione, al motore DPI generalmente occorrono i primi 5-10 pacchetti nel flusso. Per i primi pacchetti ricevuti, il traffico non viene classificato e corrisponde a un criterio di business meno specifico. Il traffico potrebbe quindi seguire un percorso diverso, ad esempio "Diretto" (Direct) anziché "Multipath", in base al criterio a cui corrisponde. Quando DPI determina il tipo di traffico, il traffico corrisponde a un criterio più specifico configurato per questo tipo di traffico. Tale flusso continua tuttavia a seguire il percorso in base al criterio originale a cui corrispondeva, perché il reindirizzamento a un nuovo percorso interromperebbe il flusso. È quindi possibile che il primo flusso verso un IP di destinazione e una porta specifici segua un unico percorso. Una volta popolata la cache dell'app, i flussi successivi verso lo stesso IP di destinazione e la stessa porta seguono un altro percorso configurato in un criterio più specifico per questo tipo di traffico.
    • Quando DPI classifica il traffico, aggiunge l'IP di destinazione e la porta alla cache dell'app e classifica immediatamente tutti i flussi successivi verso lo stesso IP di destinazione e la stessa porta. La voce della cache dell'app scade dopo 10 minuti di assenza di traffico verso tali IP di destinazione e porta. Il flusso successivo verso tali IP di destinazione e porta deve passare nuovamente attraverso DPI e potrebbe seguire un percorso imprevisto in base al criterio a cui corrisponde prima che DPI identifichi l'applicazione.
    In base alle scelte effettuate in Corrispondenza (Match), alcune azioni potrebbero non essere disponibili.
  5. Nell'area Azione (Action), configurare le azioni per la regola:
    Impostazioni Descrizione
    Priorità (Priority) Designare la priorità della regola scegliendo una delle seguenti opzioni:
    • Alta (High)
    • Normale (Normal)
    • Bassa (Low)
    Selezionare la casella di controllo Limite velocità (Rate Limit) per impostare i limiti per le direzioni del traffico in entrata e in uscita.
    Nota: La limitazione della velocità per il traffico upstream funziona solo quando si specifica un link o un'interfaccia dell'Edge nel criterio di business. Se si imposta l'opzione Reindirizzamento (Steering) su Automatico (Auto), Trasporto (Transport) o Gruppo (Group), il limite di velocità verrà applicato alla larghezza di banda totale di tutti i link corrispondenti. È possibile che questa opzione non imponga il limite di velocità rigido previsto. Se si desidera applicare un limite di velocità rigido, è necessario reindirizzare il traffico a un singolo link oppure a una singola interfaccia dell'Edge nel criterio di business.
    Servizio di rete (Network Service) In Servizio di rete (Network Service) scegliere una delle seguenti opzioni:
    • Diretto (Direct): invia il traffico al di fuori del circuito WAN direttamente alla destinazione, ignorando il SD-WAN Gateway.
      Nota:

      Per impostazione predefinita, l'Edge preferisce una route sicura rispetto a un criterio di business. In pratica questo significa che l'Edge invierà il traffico tramite Percorso multiplo (Multipath) (da filiale a filiale o cloud tramite gateway, in base alla route) anche se un criterio di business è configurato per inviare tale traffico tramite Direct path (percorso diretto) se l'Edge ha ricevuto route predefinite sicure o route sicure più specifiche dal gateway partner o da un altro Edge.

      Questo comportamento può essere sostituito per le route sicure del gateway partner attivando la funzionalità "Sostituzione route predefinita sicura (Secure Default Route Override)" per un cliente. Un superuser partner o un operatore può attivare questa funzionalità che sostituisce tutte le route sicure del gateway partner che corrispondono anche a un criterio di business. La funzionalità "Sostituzione route predefinita sicura (Secure Default Route Override)" non sostituisce le route sicure dell'hub.

    • Percorso multiplo (Multi-Path): invia il traffico da un SD-WAN Edge a un altro SD-WAN Edge.
    • Backhaul Internet (Internet Backhaul): questo servizio di rete è attivato solo se l'opzione Destinazione (Destination) è impostata su Internet.
      Nota: Il servizio di rete Backhaul Internet (Internet Backhaul) verrà applicato solo al traffico Internet, ovvero il traffico WAN destinato a prefissi di rete che non corrispondono a una route locale o a una route VPN nota.

      Per informazioni su queste opzioni, vedere Configurazione del servizio di rete per la regola del criterio di business.

    Se il backhaul condizionale è attivato a livello del profilo, per impostazione predefinita verrà applicato a tutti i criteri di business configurati per tale profilo. È possibile disattivare il backhaul condizionale per i criteri selezionati per escludere il traffico selezionato (Diretto, Percorso multiplo e CSS) da questo comportamento selezionando la casella di controllo Disattiva backhaul condizionale (Turn off Conditional Backhaul).

    Per ulteriori informazioni su come attivare la funzionalità di backhaul condizionale e risolverne i problemi, vedere Backhaul condizionale.
    Reindirizzamento link (Link Steering) Selezionare una delle seguenti modalità di reindirizzamento link:
    • Automatico (Auto): per impostazione predefinita, per tutte le applicazioni è impostata la modalità di reindirizzamento link automatica. Quando per un'applicazione è attiva la modalità Reindirizzamento link (Link Steering) automatica, DMPO sceglie automaticamente i link migliori in base al tipo di applicazione e attiva automaticamente la correzione su richiesta quando necessario. Selezionare un Tag DSCP pacchetto interno dal menu a discesa e un Tag DSCP pacchetto esterno dal menu a discesa.
    • Gruppo di trasporto (Transport Group): specificare una qualsiasi delle seguenti opzioni di gruppo di trasporto nel criterio di reindirizzamento in modo che la stessa configurazione del criterio di business possa essere applicata in diversi tipi di dispositivi o posizioni, che possono avere vettori WAN e interfacce WAN completamente diversi:
      • Cablato pubblico (Public Wired)
      • Wireless pubblico (Public Wireless)
      • Cablato privato (Private Wired)
    • Interfaccia (Interface): il reindirizzamento del link è legato a un'interfaccia fisica e verrà utilizzato principalmente a scopo di routing.
      Nota: Questa opzione è consentita solo a livello di override dell’Edge.
    • Link WAN (WAN link): consente di definire regole dei criteri in base a specifici link privati. Per questa opzione, la configurazione dell'interfaccia è separata e distinta dalla configurazione del link WAN. Sarà possibile selezionare un link WAN configurato manualmente o rilevato automaticamente.
      Nota: Questa opzione è consentita solo a livello di override dell’Edge.
    Nota: Quando il servizio di rete è configurato come Diretto (Direct), le interfacce solo IPv6 e i link WAN solo IPv6 non sono supportati nella modalità Reindirizzamento link (Link Steering).

    Per ulteriori informazioni sulle modalità di reindirizzamento del link, su DSCP, nonché sul contrassegno DSCP per il traffico underlay e overlay, vedere Configurazione delle modalità di reindirizzamento link.
    NAT Attivare o disattivare NAT. Per ulteriori informazioni, vedere Configurazione di NAT basato su criteri.
    Classe di servizio (Service Class) Selezionare una delle seguenti opzioni per la classe di servizio:
    • Tempo reale (Real Time)
    • Transazionale (Transactional)
    • Di massa (Bulk)
    Nota: Questa opzione è disponibile solo per un'applicazione personalizzata.
    Le app/categorie di VMware appartengono a una di queste categorie.
  6. Fare clic su OK. Viene creata una regola del criterio di business per il profilo selezionato e viene visualizzata nell'area Criterio di business (Business Policy) della pagina Criterio di business profilo (Profile Business Policy).

    Informazioni correlate: Mappatura CoS QoS di overlay