SD-WAN Orchestrator では、トラフィックを許可またはドロップするために、プロファイルおよび Edge レベルでビジネス ポリシー ルールを構成できます。すべてのレベルのオペレータ、パートナー、および管理者は、ビジネス ポリシーを作成できます。ビジネス ポリシーは、IP アドレス、ポート、VLAN ID、インターフェイス、ドメイン名、プロトコル、オペレーティング システム、オブジェクト グループ、アプリケーション、DSCP タグなどのパラメータと一致します。データ パケットが一致条件に一致すると、関連付けられた 1 つまたは複数のアクションが実行されます。パケットがパラメータに一致しない場合、パケットに対してデフォルトのアクションが実行されます。

[開始する前に]:デバイスの IP アドレスを確認し、ワイルドカード マスクを設定することによる影響を理解する必要があります。

ビジネス ポリシーを作成するには、次の手順を実行します。
  1. SD-WAN Orchestrator から [構成 (Configure)] > [プロファイル (Profile)] > [ビジネス ポリシー (Business Policy)] の順に移動します。
  2. [ビジネス ポリシー (Business Policy)] 領域で、[新規ルール (New Rule)] をクリックします。[ルールの構成 (Configure Rule)] ダイアログ ボックスが表示されます。
  3. [ルール名 (Rule Name)] ボックスに、ルールの一意の名前を入力します。
  4. [一致 (Match)] 領域で、トラフィック フローの一致条件を構成します。選択したオプションによって、ダイアログ ボックスのフィールドが変更される場合があります。
    設定 説明
    送信元 (Source) 送信元トラフィックの一致基準を指定できるようにします。次のいずれかのオプションを選択します。
    • [任意 (Any)]:すべての送信元トラフィックをデフォルトで一致させます。
    • [オブジェクト グループ (Object Group)]:送信元に対して一致されるアドレス グループとポート グループの組み合わせを選択できます。詳細については、オブジェクト グループおよびオブジェクト グループを使用したビジネス ポリシーの構成を参照してください。
      注: 選択したアドレス グループにドメイン名が含まれている場合、送信元で一致を探している場合は無視されます。
    • [定義 (Define)]:特定の VLAN、インターフェイス、IP アドレス、ポート、またはオペレーティング システムから送信元トラフィックの一致条件を定義できます。次のいずれかのオプションを選択します。デフォルトでは、[なし (None)] が選択されています。
      • VLAN:ドロップダウン メニューから選択された、指定された VLAN からのトラフィックを一致させます。
      • インターフェイス (Interface):ドロップダウン メニューから選択された、特定のインターフェイスからのトラフィックを一致させます。
        注: インターフェイスを選択できない場合、インターフェイスが無効になっているか、このセグメントに割り当てられていません。
      • IP アドレス (IP Address):指定された IP アドレスからのトラフィックを一致させます。IP アドレスとともに、次のいずれかのオプションを指定して、送信元トラフィックを一致させることができます。
        • CIDR プリフィックス (CIDR prefix):ネットワークを CIDR 値(たとえば、172.10.0.0 /16)として定義する場合は、このオプションを選択します。
        • サブネット マスク (Subnet mask):サブネット マスク(たとえば、172.10.0.0 255.255.0.0)に基づいてネットワークを定義する場合は、このオプションを選択します。
        • ワイルドカード マスク (Wildcard mask):一致するホスト IP アドレス値を共有する異なる IP サブネット間で、ポリシーの適用を一連のデバイスに絞り込むには、このオプションを選択します。ワイルドカード マスクは、逆のサブネット マスクに基づいて IP アドレスまたは IP アドレスのセットと一致します。マスクのバイナリ値の「0」は、値が固定されていること、マスクのバイナリ値の「1」は、値がワイルドカード(「1」または「0」)であることを意味します。たとえば、IP アドレスが 172.0.0 のワイルドカード マスク 0.0.0.255(2 進数の 00000000.00000000.00000000.11111111)では、最初の 3 つのオクテットは固定値で、最後のオクテットは変数値です。
      • ポート (Port):指定された送信元ポートまたはポート範囲からのトラフィックを一致させます。
      • オペレーティング システム (Operating System):ドロップダウン メニューから選択された、指定されたオペレーティング システムからのトラフィックを一致させます。
    宛先 (Destination) 宛先トラフィックの一致基準を指定できるようにします。次のいずれかのオプションを選択します。
    • [任意 (Any)]:すべての宛先トラフィックをデフォルトで一致させます。
    • [オブジェクト グループ (Object Group)]:宛先に対して一致されるアドレス グループとポート グループの組み合わせを選択できます。詳細については、オブジェクト グループおよびオブジェクト グループを使用したビジネス ポリシーの構成を参照してください。
    • [定義 (Define)]:特定の IP アドレス、ドメイン名、プロトコル、またはポートへの宛先トラフィックの一致条件を定義できます。次のいずれかのオプションを選択します。デフォルトでは、[任意 (Any)] が選択されています。
      • 任意 (Any):すべての宛先トラフィックを一致させます。
      • インターネット(Internet):宛先へのすべてのインターネット トラフィック(SD-WAN ルートに一致しないトラフィック)を一致させます。
      • Edge:Edge へのすべてのトラフィックを一致させます。
      • ゲートウェイ経由の非 SD-WAN 宛先 (Non SD-WAN Destination via Gateway):プロファイルに関連付けられているゲートウェイを介して指定された Non VMware SD-WAN Site へのすべてのトラフィックを一致させます。ゲートウェイ経由の非 SD-WAN サイトがプロファイル レベルで関連付けられていることを確認します。
      • Edge 経由の非 SD-WAN 宛先 (Non SD-WAN Destination via Edge):Edge またはプロファイルに関連付けられている Edge を介して指定された Non VMware SD-WAN Site へのすべてのトラフィックを一致させます。Edge 経由の非 SD-WAN サイトがプロファイルまたは Edge レベルで関連付けられていることを確認します。

      プロトコル (Protocol):ドロップダウン メニューから選択された、指定されたプロトコルへのトラフィックを一致させます。サポートされるプロトコルは、GRE、ICMP、TCP、UDP です。

      ドメイン (Domain):[ドメイン名 (Domain Name)] フィールドに指定されたドメイン名全体、またはドメイン名の一部へのトラフィックを一致させます。たとえば、\"salesforce\" はトラフィックを \"www.salesforce.com\" に一致させます。

    アプリケーション (Application) 次のいずれかのオプションを選択します。
    • [任意 (Any)]:デフォルトでは、ビジネス ポリシー ルールがすべてのアプリケーションに適用されます。
    • [定義 (Define)]:ビジネス ポリシー ルールを適用する特定のアプリケーションを選択できます。さらに、DSCP 値を指定して、受信したトラフィックを事前設定された DSCP/TOS タグと一致させることができます。
    選択した [一致 (Match)] のタイプによっては、一部のアクションが使用できない場合があります。
  5. [アクション (Action)] 領域で、ルールのアクションを構成します。
    設定 説明
    優先度 (Priority) ルールの優先度を次のいずれかに指定します。
    • [高 (High)]
    • [中 (Normal)]
    • [低 (Low)]
    受信トラフィックおよび送信トラフィック方向の制限を設定するには、[レート制限 (Rate Limit)] チェックボックスをオンにします。
    ネットワーク サービス (Network Service) [ネットワーク サービス (Network Service)] を次のいずれかのオプションに設定します。
    • [ダイレクト (Direct)]SD-WAN Gateway をバイパスして、トラフィックを WAN 回線から宛先に直接送信します。
    • [マルチパス (Multi-Path)]:トラフィックを 1 台の SD-WAN Edge から別の SD-WAN Edge に送信します。
    • [インターネット バックホール (Internet Backhaul)]:このネットワーク サービスは、[宛先 (Destination)][インターネット (Internet)] として設定されている場合にのみ有効になります。
      注: [インターネット バックホール (Internet Backhaul)] ネットワーク サービスは、インターネット トラフィック(既知のローカル ルートまたは VPN ルートと一致しないネットワーク プリフィックスに送信される WAN トラフィック)にのみ適用されます。
    これらのオプションに関する情報については、ビジネス ポリシー ルールのネットワーク サービスの構成を参照してください。
    リンク ステアリング (Link Steering) 次のいずれかのリンク ステアリング モードを選択します。
    • [自動 (Auto)]:デフォルトでは、すべてのアプリケーションが自動リンク ステアリング モードに設定されています。アプリケーションが自動リンク ステアリング モードになっている場合、DMPO はアプリケーション タイプに基づいて最適なリンクを自動的に選択し、必要に応じてオンデマンド修正を自動的に有効にします。ドロップダウン メニューから内部パケットの DSCP タグおよび外部パケットの DSCP タグを入力します。
    • [トランスポート グループ (Transport Group)]:ステアリング ポリシーで次のトランスポート グループ オプションのいずれかを指定します。これにより、WAN キャリアと WAN インターフェイスがまったく異なる各種デバイス タイプまたは場所にわたって同じビジネス ポリシー構成を適用できるようになります。
      • [パブリック有線 (Public Wired)]
      • [パブリック無線 (Public Wireless)]
      • [プライベート有線 (Private Wired)]
    • [インターフェイス (Interface)]:リンク ステアリングは物理インターフェイスに結び付けられており、主にルーティングの目的で使用されます。
      注: このオプションは、Edge オーバーライド レベルでのみ許可されます。
    • [WAN リンク (WAN Link)]:特定のプライベート リンクに基づいてポリシー ルールを定義できます。このオプションの場合、インターフェイスの構成は WAN リンクの構成とは分離されます。手動で構成または自動検出された WAN リンクを選択できるようになります。
      注: このオプションは、Edge オーバーライド レベルでのみ許可されます。

    リンク ステアリング モードと DSCP について、またアンダーレイとオーバーレイの両トラフィックの DSCP マーキングの詳細については、リンク ステアリング モードの構成を参照してください。

    NAT NAT を無効または有効にします。詳細については、ポリシー ベースの NAT の構成を参照してください。
    サービス クラス (Service Class) 以下のいずれかのサービス クラス オプションを選択します。
    • [リアルタイム (Real-time)]
    • [トランザクション (Transactional)]
    • [一括 (Bulk)]
    注: このオプションは、カスタム アプリケーションでのみ使用できます。
    VMware のアプリケーション/カテゴリは、これらのカテゴリのいずれかに属します。
  6. [OK] をクリックします。選択したプロファイルに対してビジネス ポリシー ルールが作成され、[プロファイルのビジネス ポリシー (Profile Business Policy)] ページの [ビジネス ポリシー (Business Policy)] 領域に表示されます。

    関連情報:オーバーレイ QoS CoS マッピング