SD-WAN Orchestrator では、プロファイルおよび Edge レベルでビジネス ポリシー ルールを設定できます。すべてのレベルのオペレータ、パートナー、および管理者は、ビジネス ポリシーを作成できます。ビジネス ポリシーは、IP アドレス、ポート、VLAN ID、インターフェイス、ドメイン名、プロトコル、オペレーティング システム、オブジェクト グループ、アプリケーション、DSCP タグなどのパラメータと一致します。データ パケットが一致条件に一致すると、関連付けられた 1 つまたは複数のアクションが実行されます。パケットがパラメータに一致しない場合、パケットに対してデフォルトのアクションが実行されます。
[開始する前に]:デバイスの IP アドレスを確認し、ワイルドカード マスクを設定することによる影響を理解する必要があります。
ビジネス ポリシーを作成するには、次の手順を実行します。
- SD-WAN Orchestrator から [設定 (Configure)] > [プロファイル (Profile)] > [ビジネス ポリシー (Business Policy)] の順に移動します。
- [ビジネス ポリシー (Business Policy)] 領域で、[新規ルール (New Rule)] をクリックします。[ルールの設定 (Configure Rule)] ダイアログ ボックスが表示されます。
- [ルール名 (Rule Name)] ボックスに、ルールの一意の名前を入力します。
- [一致 (Match)] 領域で、トラフィック フローの一致条件を設定します。選択したオプションによって、ダイアログ ボックスのフィールドが変更される場合があります。
設定 説明 送信元 (Source) 送信元トラフィックの一致基準を指定できるようにします。次のいずれかのオプションを選択します。 - [任意 (Any)]:すべての送信元トラフィックをデフォルトで一致させます。
- [オブジェクト グループ (Object Group)]:送信元に対して一致されるアドレス グループとポート グループの組み合わせを選択できます。詳細については、オブジェクト グループおよびオブジェクト グループを使用したビジネス ポリシーの設定を参照してください。
注: 選択したアドレス グループにドメイン名が含まれている場合、送信元で一致を探している場合は無視されます。
- [定義 (Define)]:特定の VLAN、インターフェイス、IP アドレス、ポート、またはオペレーティング システムから送信元トラフィックの一致条件を定義できます。次のいずれかのオプションを選択します。デフォルトでは、[なし (None)] が選択されています。
- VLAN:ドロップダウン メニューから選択された、指定された VLAN からのトラフィックを一致させます。
- インターフェイス (Interface):ドロップダウン メニューから選択された、特定のインターフェイスからのトラフィックを一致させます。
注: インターフェイスを選択できない場合、インターフェイスが無効になっているか、このセグメントに割り当てられていません。
- IP アドレス (IP Address):指定された IP アドレスからのトラフィックを一致させます。IP アドレスとともに、次のいずれかのオプションを指定して、送信元トラフィックを一致させることができます。
- CIDR プレフィックス (CIDR prefix):ネットワークを CIDR 値(たとえば、
172.10.0.0 /16
)として定義する場合は、このオプションを選択します。 - サブネット マスク (Subnet mask):サブネット マスク(たとえば、
172.10.0.0 255.255.0.0
)に基づいてネットワークを定義する場合は、このオプションを選択します。 - ワイルドカード マスク (Wildcard mask):一致するホスト IP アドレス値を共有する異なる IP サブネット間で、ポリシーの適用を一連のデバイスに絞り込むには、このオプションを選択します。ワイルドカード マスクは、逆のサブネット マスクに基づいて IP アドレスまたは IP アドレスのセットと一致します。マスクのバイナリ値の「0」は、値が固定されていること、マスクのバイナリ値の「1」は、値がワイルドカード(「1」または「0」)であることを意味します。たとえば、IP アドレスが 172.0.0 のワイルドカード マスク 0.0.0.255(2 進数の 00000000.00000000.00000000.11111111)では、最初の 3 つのオクテットは固定値で、最後のオクテットは変数値です。
- CIDR プレフィックス (CIDR prefix):ネットワークを CIDR 値(たとえば、
- ポート (Port):指定された送信元ポートまたはポート範囲からのトラフィックを一致させます。
- オペレーティング システム (Operating System):ドロップダウン メニューから選択された、指定されたオペレーティング システムからのトラフィックを一致させます。
宛先 (Destination) 宛先トラフィックの一致基準を指定できるようにします。次のいずれかのオプションを選択します。 - [任意 (Any)]:すべての宛先トラフィックをデフォルトで一致させます。
- [オブジェクト グループ (Object Group)]:宛先に対して一致されるアドレス グループとポート グループの組み合わせを選択できます。詳細については、オブジェクト グループおよびオブジェクト グループを使用したビジネス ポリシーの設定を参照してください。
- [定義 (Define)]:特定の IP アドレス、ドメイン名、プロトコル、またはポートへの宛先トラフィックの一致条件を定義できます。次のいずれかのオプションを選択します。デフォルトでは、[任意 (Any)] が選択されています。
- 任意 (Any):すべての宛先トラフィックを一致させます。
- インターネット(Internet):宛先へのすべてのインターネット トラフィック(SD-WAN ルートに一致しないトラフィック)を一致させます。
- Edge:Edge へのすべてのトラフィックを一致させます。
- Gateway 経由の Non SD-WAN Destination (Non SD-WAN Destination via Gateway):プロファイルに関連付けられている Gateway を介して指定された Non VMware SD-WAN Site へのすべてのトラフィックを一致させます。Gateway 経由の Non SD-WAN Site がプロファイル レベルで関連付けられていることを確認します。
- Edge 経由の Non SD-WAN Destination (Non SD-WAN Destination via Edge):Edge またはプロファイルに関連付けられている Edge を介して指定された Non VMware SD-WAN Site へのすべてのトラフィックを一致させます。Edge 経由の Non SD-WAN Site がプロファイルまたは Edge レベルで関連付けられていることを確認します。
プロトコル (Protocol):ドロップダウン メニューから選択された、指定されたプロトコルへのトラフィックを一致させます。サポートされるプロトコルは、GRE、ICMP、TCP、UDP です。
ドメイン (Domain):[ドメイン名 (Domain Name)] フィールドに指定されたドメイン名全体、またはドメイン名の一部へのトラフィックを一致させます。たとえば、\"salesforce\" はトラフィックを \"www.salesforce.com\" に一致させます。
アプリケーション (Application) 次のいずれかのオプションを選択します。 - [任意 (Any)]:デフォルトでは、ビジネス ポリシー ルールがすべてのアプリケーションに適用されます。
- [定義 (Define)]:ビジネス ポリシー ルールを適用する特定のアプリケーションを選択できます。さらに、DSCP 値を指定して、受信したトラフィックを事前設定された DSCP/TOS タグと一致させることができます。
注: アプリケーションのみに一致するビジネス ポリシー ルールを作成する場合、このようなアプリケーションにネットワーク サービス アクションを適用するために、Edge で DPI (Deep Packet Inspection) エンジンの使用が必要になることがあります。一般的に、DPI は最初のパケットに基づいてアプリケーションを特定できません。DPI エンジンは通常、アプリケーションを識別するためにフロー内の最初の 5 ~ 10 パケットを必要とします。受信した最初のパケットについてのみ、トラフィックは異なるパスを取る場合があります。つまり、ビジネス ポリシーの設定に応じて、「マルチパス」や「インターネット バックホール」ではなく「直接」パスを取る場合があります。 - [アクション (Action)] 領域で、ルールのアクションを設定します。
設定 説明 優先度 (Priority) ルールの優先度を次のいずれかに指定します。 - [高 (High)]
- [中 (Normal)]
- [低 (Low)]
ネットワーク サービス (Network Service) [ネットワーク サービス (Network Service)] を次のいずれかのオプションに設定します。 - [ダイレクト (Direct)]:SD-WAN Gateway をバイパスして、トラフィックを WAN 回線から宛先に直接送信します。
注: デフォルトでは、Edge はビジネス ポリシーよりもセキュアなルートを優先します。実際には、Edge が Partner Gateway や別の Edge からセキュアなデフォルト ルートまたはより具体的なセキュア ルートを受信した場合、そのトラフィックをダイレクト パス経由で送信するようにビジネス ポリシーが設定されていても、Edge はマルチパス(ルートに応じてブランチ間または Gateway 経由のクラウド)を介してトラフィックを転送します。
- [マルチパス (Multi-Path)]:トラフィックを 1 台の SD-WAN Edge から別の SD-WAN Edge に送信します。
- [インターネット バックホール (Internet Backhaul)]:このネットワーク サービスは、[宛先 (Destination)] が [インターネット (Internet)] として設定されている場合にのみ有効になります。
注: [インターネット バックホール (Internet Backhaul)] ネットワーク サービスは、インターネット トラフィック(既知のローカル ルートまたは VPN ルートと一致しないネットワーク プレフィックスに送信される WAN トラフィック)にのみ適用されます。
リンク ステアリング (Link Steering) 次のいずれかのリンク ステアリング モードを選択します。 - [自動 (Auto)]:デフォルトでは、すべてのアプリケーションが自動リンク ステアリング モードに設定されています。アプリケーションが自動リンク ステアリング モードになっている場合、DMPO はアプリケーション タイプに基づいて最適なリンクを自動的に選択し、必要に応じてオンデマンド修正を自動的に有効にします。ドロップダウン メニューから内部パケットの DSCP タグおよび外部パケットの DSCP タグを入力します。
- [トランスポート グループ (Transport Group)]:ステアリング ポリシーで次のトランスポート グループ オプションのいずれかを指定します。これにより、WAN キャリアと WAN インターフェイスがまったく異なる各種デバイス タイプまたは場所にわたって同じビジネス ポリシー設定を適用できるようになります。
- [パブリック 有線 (Public Wired)]
- [パブリック 無線 (Public Wireless)]
- [プライベート 有線 (Private Wired)]
- [インターフェイス (Interface)]:リンク ステアリングは物理インターフェイスに結び付けられており、主にルーティングの目的で使用されます。
注: このオプションは、Edge オーバーライド レベルでのみ許可されます。
- [WAN リンク (WAN Link)]:特定のプライベート リンクに基づいてポリシー ルールを定義できます。このオプションの場合、インターフェイスの設定は WAN リンクの設定とは分離されます。手動で設定または自動検出された WAN リンクを選択できるようになります。
注: このオプションは、Edge オーバーライド レベルでのみ許可されます。
リンク ステアリング モードと DSCP について、またアンダーレイとオーバーレイの両トラフィックの DSCP マーキングの詳細については、リンク ステアリング モードの構成を参照してください。
NAT NAT を無効または有効にします。詳細については、ポリシー ベースの NAT の設定を参照してください。 サービス クラス (Service Class) 以下のいずれかのサービス クラス オプションを選択します。 - [リアルタイム (Real-time)]
- [トランザクション (Transactional)]
- [一括 (Bulk)]
注: このオプションは、カスタム アプリケーションでのみ使用できます。VMware のアプリケーション/カテゴリは、これらのカテゴリのいずれかに属します。 - [OK] をクリックします。選択したプロファイルに対してビジネス ポリシー ルールが作成され、[プロファイルのビジネス ポリシー (Profile Business Policy)] ページの [ビジネス ポリシー (Business Policy)] 領域に表示されます。
関連情報:オーバーレイ QoS CoS マッピング