Le regole dei criteri di business vengono configurate in modo da reindirizzare il traffico, gestire la larghezza di banda e garantire la qualità del servizio in base a criteri come l'applicazione, l'origine, la destinazione e così via. Gli operatori, i partner e gli amministratori di tutti i livelli possono creare un criterio di business. Il criterio di business corrisponde a parametri come indirizzi IP, porte, ID VLAN, interfacce, nomi di dominio, protocolli, sistema operativo, gruppi di oggetti, applicazioni e tag DSCP. Quando un pacchetto di dati soddisfa le condizioni di corrispondenza, vengono eseguite l'azione o le azioni associate. Se un pacchetto non corrisponde ad alcun parametro, viene eseguita un'azione predefinita nel pacchetto. È possibile creare criteri di business per un profilo e un Edge.
Prerequisiti
Assicurarsi di disporre dei dettagli degli indirizzi IP della propria rete.
Procedura
- Nel servizio SD-WAN del portale dell'azienda, passare a Configura (Configure) > Profili (Profiles). Nella pagina Profili (Profiles) vengono visualizzati i profili esistenti.
- Fare clic sul link di un profilo o sul link Visualizza (View) nella colonna Dispositivo (Device) del profilo. Le opzioni di configurazione sono visualizzate nella scheda Dispositivo (Device).
- Fare clic sulla scheda Criterio di business (Business Policy).
Nella pagina Profili (Profiles) è possibile passare direttamente alla pagina Criterio di business (Business Policy) facendo clic sul link Visualizza (View) nella colonna Criterio di business (Biz. Pol) del Profilo.
- Nella pagina Criterio di business (Business Policy), fare clic su + AGGIUNGI (ADD). Viene visualizzata la finestra Aggiungi regola (Add Rule).
- Immettere il nome regola e selezionare la versione IP. È possibile configurare gli indirizzi IP di origine e di destinazione in base alla versione IP selezionata, come indicato di seguito:
- IPv4 e IPv6 (IPv4 and IPv6): consente di configurare entrambi gli indirizzi IPv4 e IPv6 nei criteri di corrispondenza. Se si sceglie questa modalità, è possibile scegliere gli indirizzi IP dei gruppi di oggetti che contengono gruppi di indirizzi con entrambi i tipi di gruppi di indirizzi. Per impostazione predefinita, questo tipo di indirizzo è selezionato.
- IPv4: si applica al traffico con solo gli indirizzi IPv4 come origine e destinazione.
- IPv6: si applica al traffico con solo gli indirizzi IPv6 come origine e destinazione.
Nota: Quando si esegue l'aggiornamento, le regole dei criteri di business delle versioni precedenti vengono spostate in modalità IPv4.
- Nella scheda Corrispondenza (Match), configurare i criteri di corrispondenza per il traffico applicazione, di origine e di destinazione.
Campo Descrizione Origine (Source) Consente di specificare l'origine dei pacchetti. Selezionare una delle opzioni seguenti:- Qualsiasi (Any): consente tutti gli indirizzi di origine per impostazione predefinita.
- Gruppo di oggetti (Object Group): consente di selezionare una combinazione di gruppo di indirizzi e gruppo di servizi.
Se il tipo di indirizzo (Address Type) è IPv4, vengono considerati solo gli indirizzi IPv4 dei gruppi di indirizzi in modo che corrispondano all'origine del traffico.
Se il tipo di indirizzo (Address Type) è IPv6, vengono considerati solo gli indirizzi IPv6 dei gruppi di indirizzi corrispondenti all'origine del traffico.
Se il tipo di indirizzo (Address Type) è IPv4 e IPv6, vengono considerati entrambi gli indirizzi IPv4 e IPv6 dei gruppi di indirizzi in modo che corrispondano all'origine del traffico.
Per ulteriori informazioni, vedere Gruppi di oggetti e Configurazione dei criteri di business con gruppo di oggetti.Nota: Se il gruppo di indirizzi selezionato contiene nomi di dominio, questi vengono ignorati durante la ricerca della corrispondenza per l'origine. - Definisci (Define): consente di definire il traffico di origine da una VLAN, un'interfaccia, un indirizzo IP, una porta o un sistema operativo specifici. Selezionare una delle seguenti opzioni:
- VLAN: corrisponde al traffico proveniente dalla VLAN specificata e selezionata dal menu a discesa.
- Interfaccia (Interface): corrisponde al traffico proveniente dall'interfaccia specificata e selezionata dal menu a discesa.
Nota: Se non è possibile selezionare un'interfaccia, significa che è non è attivata o non è assegnata a questo segmento.
- Indirizzo IP (IP Address): corrisponde al traffico proveniente dall'indirizzo IP specificato (IPv4 o IPv6).
Nota: Questa opzione non è disponibile se si seleziona IPv4 e IPv6 (IPv4 and IPv6) (Modalità mista) come versione IP. In Modalità mista (Mixed mode), il traffico viene associato in base alla VLAN o all'interfaccia specificata.Insieme all'indirizzo IP, è possibile specificare uno dei seguenti tipi di indirizzi per la corrispondenza con il traffico di origine:
- Prefisso CIDR (CIDR prefix): scegliere questa opzione se si desidera che la rete venga definita come valore CIDR (ad esempio,
172.10.0.0 /16
). - Subnet mask: scegliere questa opzione se si desidera che la rete venga definita in base a una subnet mask (ad esempio,
172.10.0.0 255.255.0.0
). - Maschera con caratteri jolly (Wildcard mask): scegliere questa opzione se si desidera poter limitare l'applicazione di un criterio a un set di dispositivi in subnet IP diverse che condividono un valore di indirizzo IP dell'host corrispondente. La maschera con caratteri jolly corrisponde a un IP o a un set di indirizzi IP in base alla subnet mask invertita. Uno "0" all'interno del valore binario della maschera indica che il valore è fisso, mentre un "1" all'interno del valore binario della maschera indica che il valore è un carattere jolly (può essere 1 o 0). Ad esempio, nella maschera con caratteri jolly 0.0.0.255 (equivalente binario = 00000000.00000000.00000000.11111111) con un indirizzo IP 172.0.0, i primi tre ottetti sono valori fissi mentre l'ultimo ottetto è un valore variabile. Questa opzione è disponibile solo per l'indirizzo IPv4.
- Prefisso CIDR (CIDR prefix): scegliere questa opzione se si desidera che la rete venga definita come valore CIDR (ad esempio,
- Porte (Ports): corrisponde al traffico proveniente dalla porta o dall'intervallo di porte di origine specificati.
- Sistema operativo (Operating System): corrisponde al traffico proveniente dal sistema operativo specificato, selezionato dal menu a discesa.
Destinazione (Destination) Consente di specificare la destinazione per i pacchetti. Selezionare una delle opzioni seguenti: - Qualsiasi (Any): consente tutti gli indirizzi di destinazione per impostazione predefinita.
- Gruppo di oggetti (Object Group): consente di selezionare una combinazione di gruppo di indirizzi e gruppo di servizi. Per ulteriori informazioni, vedere Gruppi di oggetti e Configurazione dei criteri di business con gruppo di oggetti.
- Definisci (Define): consente di definire i criteri di corrispondenza per il traffico di destinazione verso un indirizzo IP, un nome di dominio, un protocollo o una porta specifici. Selezionare una delle seguenti opzioni. Per impostazione predefinita, è selezionata l'opzione Qualsiasi (Any):
- Qualsiasi (Any): corrisponde a tutto il traffico di destinazione.
- Internet: corrisponde a tutto il traffico Internet (ovvero il traffico che non corrisponde a una route SD-WAN) verso la destinazione.
- Edge: corrisponde a tutto il traffico verso un Edge.
- Destinazione non SD-WAN tramite gateway (Non SD-WAN Destination via Gateway): corrisponde a tutto il traffico verso il destinazione non SD-WAN specificato tramite gateway, associato a un profilo. Assicurarsi di aver associato i siti non SD-WAN tramite gateway a livello del profilo.
- Destinazione non SD-WAN tramite Edge (Non SD-WAN Destination via Edge): corrisponde a tutto il traffico verso il destinazione non SD-WAN specificato tramite Edge, associato a un Edge o un profilo. Assicurarsi di aver associato i siti non SD-WAN tramite Edge a livello del profilo o dell'Edge.
- Dominio (Domain): associa il traffico per l'intero nome di dominio o una parte del nome di dominio specificato nel campo Nome di dominio (Domain Name). Ad esempio, \"salesforce\" corrisponderà al traffico verso \"www.salesforce.com\".
- Protocollo (Protocol): corrisponde al traffico per il protocollo specificato e selezionato dal menu a discesa. I protocolli supportati sono GRE, ICMP, TCP e UDP.
Nota: ICMP non è supportato nella modalità Misto (Mixed).
- Porte (Ports): corrisponde al traffico proveniente dalla porta o dall'intervallo di porte di origine specificati.
Applicazione (Application) Selezionare una delle seguenti opzioni: - Qualsiasi (Any): per impostazione predefinita, applica la regola del criterio di business a qualsiasi applicazione.
- Definisci (Define): consente di selezionare un'applicazione specifica a cui applicare la regola del criterio di business. È inoltre possibile specificare un valore DSCP da associare al traffico in arrivo con un tag DSCP/TOS preimpostato.
Nota:- Quando si crea una regola del criterio di business che corrisponde solo a un'applicazione, per applicare l'azione del servizio di rete per tale applicazione, l'Edge potrebbe dover utilizzare il motore DPI (Deep Packet Inspection). In genere, DPI non determina l'applicazione in base al primo pacchetto. Per identificare l'applicazione, al motore DPI generalmente occorrono i primi 5-10 pacchetti nel flusso. Per i primi pacchetti ricevuti, il traffico non viene classificato e corrisponde a un criterio di business meno specifico. Il traffico potrebbe quindi seguire un percorso diverso, ad esempio "Diretto" (Direct) anziché "Multipath", in base al criterio a cui corrisponde. Quando DPI determina il tipo di traffico, il traffico corrisponde a un criterio più specifico configurato per questo tipo di traffico. Tale flusso continua tuttavia a seguire il percorso in base al criterio originale a cui corrispondeva, perché il reindirizzamento a un nuovo percorso interromperebbe il flusso. È quindi possibile che il primo flusso verso un IP di destinazione e una porta specifici segua un unico percorso. Una volta popolata la cache dell'app, i flussi successivi verso lo stesso IP di destinazione e la stessa porta seguono un altro percorso configurato in un criterio più specifico per questo tipo di traffico.
- Quando DPI classifica il traffico, aggiunge l'IP di destinazione e la porta alla cache dell'app e classifica immediatamente tutti i flussi successivi verso lo stesso IP di destinazione e la stessa porta. La voce della cache dell'app scade dopo 10 minuti di assenza di traffico verso tali IP di destinazione e porta. Il flusso successivo verso tali IP di destinazione e porta deve passare nuovamente attraverso DPI e potrebbe seguire un percorso imprevisto in base al criterio a cui corrisponde prima che DPI identifichi l'applicazione.
- Nella scheda Azione (Action), configurare le azioni da eseguire quando il traffico corrisponde ai criteri definiti.
Nota: In base alle scelte effettuate in Corrispondenza (Match), alcune azioni potrebbero non essere disponibili.
Campo Descrizione Priorità (Priority) Designare la priorità della regola scegliendo una delle seguenti opzioni: - Alta (High)
- Normale (Normal)
- Bassa (Low)
Abilita limite velocità (Enable Rate Limit) Selezionare la casella di controllo Abilita limite velocità (Enable Rate Limit) per impostare i limiti per le direzioni del traffico in entrata e in uscita. Nota: La limitazione della velocità viene eseguita per flusso. La limitazione della velocità per il traffico upstream funziona solo quando si specifica un link o un'interfaccia dell'Edge nel criterio di business. Se si imposta l'opzione Reindirizzamento (Steering) su Automatico (Auto), Trasporto (Transport) o Gruppo (Group), il limite di velocità verrà applicato alla larghezza di banda totale di tutti i link corrispondenti. È possibile che questa opzione non imponga il limite di velocità rigido previsto. Se si desidera applicare un limite di velocità rigido, è necessario reindirizzare il traffico a un singolo link oppure a una singola interfaccia dell'Edge nel criterio di business.Servizio di rete (Network Service) In Servizio di rete (Network Service) scegliere una delle seguenti opzioni: - Diretto (Direct): invia il traffico al di fuori del circuito WAN direttamente alla destinazione, ignorando il SD-WAN Gateway.
Nota:
Per impostazione predefinita, l'Edge preferisce una route sicura rispetto a un criterio di business. In pratica questo significa che l'Edge invierà il traffico tramite Percorso multiplo (Multipath) (da filiale a filiale o cloud tramite gateway, in base alla route) anche se un criterio di business è configurato per inviare tale traffico tramite Direct path (percorso diretto) se l'Edge ha ricevuto route predefinite sicure o route sicure più specifiche dal gateway partner o da un altro Edge.
Questo comportamento può essere sostituito per le route sicure del gateway partner attivando la funzionalità "Sostituzione route predefinita sicura (Secure Default Route Override)" per un cliente. Un superuser partner o un operatore può attivare questa funzionalità che sostituisce tutte le route sicure del gateway partner che corrispondono anche a un criterio di business. La funzionalità "Sostituzione route predefinita sicura (Secure Default Route Override)" non sostituisce le route sicure dell'hub.
- Percorso multiplo (Multi-Path): invia il traffico da un SD-WAN Edge a un altro SD-WAN Edge.
- Backhaul Internet (Internet Backhaul): questo servizio di rete è attivato solo se l'opzione Destinazione (Destination) è impostata su Internet.
Nota: Il servizio di rete Backhaul Internet (Internet Backhaul) verrà applicato solo al traffico Internet, ovvero il traffico WAN destinato a prefissi di rete che non corrispondono a una route locale o a una route VPN nota.
Per informazioni su queste opzioni, vedere Configurazione del servizio di rete per la regola del criterio di business.
Se il backhaul condizionale è attivato a livello del profilo, per impostazione predefinita verrà applicato a tutti i criteri di business configurati per tale profilo. È possibile disattivare il backhaul condizionale per i criteri selezionati per escludere il traffico selezionato (Diretto, Percorso multiplo e CSS) da questo comportamento selezionando la casella di controllo Disattiva backhaul condizionale (Turn off Conditional Backhaul).
Per ulteriori informazioni su come attivare la funzionalità di backhaul condizionale e risolverne i problemi, vedere Backhaul condizionale.
Reindirizzamento link (Link Steering) Selezionare una delle seguenti modalità di reindirizzamento link: - Automatico (Auto): per impostazione predefinita, per tutte le applicazioni è impostata la modalità di reindirizzamento link automatica. Quando per un'applicazione è attiva la modalità Reindirizzamento link (Link Steering) automatica, DMPO sceglie automaticamente i link migliori in base al tipo di applicazione e attiva automaticamente la correzione su richiesta quando necessario.
- Gruppo di trasporto (Transport Group): specificare una qualsiasi delle seguenti opzioni di gruppo di trasporto nel criterio di reindirizzamento in modo che la stessa configurazione del criterio di business possa essere applicata in diversi tipi di dispositivi o posizioni, che possono avere vettori WAN e interfacce WAN completamente diversi:
- Cablato pubblico (Public Wired)
- Wireless pubblico (Public Wireless)
- Cablato privato (Private Wired)
- Interfaccia (Interface): il reindirizzamento del link è legato a un'interfaccia fisica e verrà utilizzato principalmente a scopo di routing.
Nota: Questa opzione è consentita solo a livello di override dell’Edge.
- Link WAN (WAN link): consente di definire regole dei criteri in base a specifici link privati. Per questa opzione, la configurazione dell'interfaccia è separata e distinta dalla configurazione del link WAN. Sarà possibile selezionare un link WAN configurato manualmente o rilevato automaticamente.
Nota: Questa opzione è consentita solo a livello di override dell’Edge.
- Gruppo di trasporto (Transport Group): specificare una qualsiasi delle seguenti opzioni di gruppo di trasporto nel criterio di reindirizzamento in modo che la stessa configurazione del criterio di business possa essere applicata in diversi tipi di dispositivi o posizioni, che possono avere vettori WAN e interfacce WAN completamente diversi:
- Tag DSCP pacchetto interno (Inner Packet DSCP Tag): selezionare un tag DSCP del pacchetto interno dal menu a discesa.
- Tag DSCP pacchetto esterno (Outer Packet DSCP Tag): selezionare un tag DSCP del pacchetto esterno dal menu a discesa.
Nota: Quando il servizio di rete è configurato come Diretto (Direct), le interfacce solo IPv6 e i link WAN solo IPv6 non sono supportati nella modalità Reindirizzamento link (Link Steering).Per ulteriori informazioni sulle modalità di reindirizzamento del link, su DSCP, nonché sul contrassegno DSCP per il traffico underlay e overlay, vedere Configurazione delle modalità di reindirizzamento link.
Abilita NAT (Enable NAT) Attivare o disattivare NAT. Questa opzione non è disponibile per la modalità IPv4 e IPv6 (IPv4 and IPv6). Per ulteriori informazioni, vedere Configurazione di NAT basato su criteri. Classe di servizio (Service Class) Selezionare una delle seguenti opzioni per la classe di servizio: - Tempo reale (Real Time)
- Transazionale (Transactional)
- Di massa (Bulk)
Nota: Questa opzione è disponibile solo per un'applicazione personalizzata.Le app/categorie di VMware appartengono a una di queste categorie. - Dopo aver configurato le impostazioni richieste, fare clic su Crea (Create).
Viene creata una regola del criterio di business per il Profilo selezionato e viene visualizzata nell'area Regole criteri di business (Business Policy Rules) della pagina Criterio di business profilo (Profile Business Policy).Nota: Le regole create a livello di profilo non possono essere aggiornate a livello di Edge. Per sostituire la regola, l'utente deve creare la stessa regola a livello di Edge con nuovi parametri per sostituire la regola a livello di profilo.
Per le modalità IPv6 e IPv4 e IPv6 (IPv4 and IPv6),, è possibile creare regole dei criteri di business solo da Orchestrator. È possibile eseguire le altre operazioni come Aggiorna (Update) ed Elimina (Delete) solo tramite API.
Informazioni correlate: Mappatura CoS QoS di overlay