SD-WAN Orchestrator では、プロファイルおよび Edge レベルでビジネス ポリシー ルールを設定できます。すべてのレベルのオペレータ、パートナー、および管理者は、ビジネス ポリシーを作成できます。ビジネス ポリシーは、IP アドレス、ポート、VLAN ID、インターフェイス、ドメイン名、プロトコル、オペレーティング システム、オブジェクト グループ、アプリケーション、DSCP タグなどのパラメータと一致します。データ パケットが一致条件に一致すると、関連付けられた 1 つまたは複数のアクションが実行されます。パケットがパラメータに一致しない場合、パケットに対してデフォルトのアクションが実行されます。

[開始する前に]:デバイスの IP アドレスを確認し、ワイルドカード マスクを設定することによる影響を理解する必要があります。

ビジネス ポリシーを作成するには、次の手順を実行します。
  1. SD-WAN Orchestrator から [設定 (Configure)] > [プロファイル (Profile)] > [ビジネス ポリシー (Business Policy)] の順に移動します。
  2. [ビジネス ポリシー (Business Policy)] 領域で、[新規ルール (New Rule)] をクリックします。[ルールの設定 (Configure Rule)] ダイアログ ボックスが表示されます。
  3. [ルール名 (Rule Name)] ボックスに、ルールの一意の名前を入力します。
  4. [一致 (Match)] 領域で、トラフィック フローの一致条件を設定します。選択したオプションによって、ダイアログ ボックスのフィールドが変更される場合があります。
    設定 説明
    送信元 (Source) 送信元トラフィックの一致基準を指定できるようにします。次のいずれかのオプションを選択します。
    • [任意 (Any)]:すべての送信元トラフィックをデフォルトで一致させます。
    • [オブジェクト グループ (Object Group)]:送信元に対して一致されるアドレス グループとポート グループの組み合わせを選択できます。詳細については、オブジェクト グループおよびオブジェクト グループを使用したビジネス ポリシーの設定を参照してください。
      注: 選択したアドレス グループにドメイン名が含まれている場合、送信元で一致を探している場合は無視されます。
    • [定義 (Define)]:特定の VLAN、インターフェイス、IP アドレス、ポート、またはオペレーティング システムから送信元トラフィックの一致条件を定義できます。次のいずれかのオプションを選択します。デフォルトでは、[なし (None)] が選択されています。
      • VLAN:ドロップダウン メニューから選択された、指定された VLAN からのトラフィックを一致させます。
      • インターフェイス (Interface):ドロップダウン メニューから選択された、特定のインターフェイスからのトラフィックを一致させます。
        注: インターフェイスを選択できない場合、インターフェイスが有効になっていないか、このセグメントに割り当てられていません。
      • IP アドレス (IP Address):指定された IP アドレスからのトラフィックを一致させます。IP アドレスとともに、次のいずれかのオプションを指定して、送信元トラフィックを一致させることができます。
        • CIDR プレフィックス (CIDR prefix):ネットワークを CIDR 値(たとえば、172.10.0.0 /16)として定義する場合は、このオプションを選択します。
        • サブネット マスク (Subnet mask):サブネット マスク(たとえば、172.10.0.0 255.255.0.0)に基づいてネットワークを定義する場合は、このオプションを選択します。
        • ワイルドカード マスク (Wildcard mask):一致するホスト IP アドレス値を共有する異なる IP サブネット間で、ポリシーの適用を一連のデバイスに絞り込むには、このオプションを選択します。ワイルドカード マスクは、逆のサブネット マスクに基づいて IP アドレスまたは IP アドレスのセットと一致します。マスクのバイナリ値の「0」は、値が固定されていること、マスクのバイナリ値の「1」は、値がワイルドカード(「1」または「0」)であることを意味します。たとえば、IP アドレスが 172.0.0 のワイルドカード マスク 0.0.0.255(2 進数の 00000000.00000000.00000000.11111111)では、最初の 3 つのオクテットは固定値で、最後のオクテットは変数値です。
      • ポート (Port):指定された送信元ポートまたはポート範囲からのトラフィックを一致させます。
      • オペレーティング システム (Operating System):ドロップダウン メニューから選択された、指定されたオペレーティング システムからのトラフィックを一致させます。
    宛先 (Destination) 宛先トラフィックの一致基準を指定できるようにします。次のいずれかのオプションを選択します。
    • [任意 (Any)]:すべての宛先トラフィックをデフォルトで一致させます。
    • [オブジェクト グループ (Object Group)]:宛先に対して一致されるアドレス グループとポート グループの組み合わせを選択できます。詳細については、オブジェクト グループおよびオブジェクト グループを使用したビジネス ポリシーの設定を参照してください。
    • [定義 (Define)]:特定の IP アドレス、ドメイン名、プロトコル、またはポートへの宛先トラフィックの一致条件を定義できます。次のいずれかのオプションを選択します。デフォルトでは、[任意 (Any)] が選択されています。
      • 任意 (Any):すべての宛先トラフィックを一致させます。
      • インターネット(Internet):宛先へのすべてのインターネット トラフィック(SD-WAN ルートに一致しないトラフィック)を一致させます。
      • Edge:Edge へのすべてのトラフィックを一致させます。
      • Gateway 経由の Non SD-WAN Destination (Non SD-WAN Destination via Gateway):プロファイルに関連付けられている Gateway を介して指定された Non SD-WAN Destination へのすべてのトラフィックを一致させます。Gateway 経由の Non SD-WAN Site がプロファイル レベルで関連付けられていることを確認します。
      • Edge 経由の Non SD-WAN Destination (Non SD-WAN Destination via Edge):Edge またはプロファイルに関連付けられている Edge を介して指定された Non SD-WAN Destination へのすべてのトラフィックを一致させます。Edge 経由の Non SD-WAN Site がプロファイルまたは Edge レベルで関連付けられていることを確認します。

      プロトコル (Protocol):ドロップダウン メニューから選択された、指定されたプロトコルへのトラフィックを一致させます。サポートされるプロトコルは、GRE、ICMP、TCP、UDP です。

      ドメイン (Domain):[ドメイン名 (Domain Name)] フィールドに指定されたドメイン名全体、またはドメイン名の一部へのトラフィックを一致させます。たとえば、\"salesforce\" はトラフィックを \"www.salesforce.com\" に一致させます。

    アプリケーション (Application) 次のいずれかのオプションを選択します。
    • [任意 (Any)]:デフォルトでは、ビジネス ポリシー ルールがすべてのアプリケーションに適用されます。
    • [定義 (Define)]:ビジネス ポリシー ルールを適用する特定のアプリケーションを選択できます。さらに、DSCP 値を指定して、受信したトラフィックを事前設定された DSCP/TOS タグと一致させることができます。
    注:
    • アプリケーションのみに一致するビジネス ポリシー ルールを作成する場合、このようなアプリケーションにネットワーク サービス アクションを適用するために、Edge で DPI (詳細なパケット インスペクション) エンジンの使用が必要になることがあります。一般的に、DPI は最初のパケットに基づいてアプリケーションを特定しません。DPI エンジンは通常、アプリケーションを識別するためにフロー内の最初の 5 ~ 10 パケットを必要とします。最初に受信した数パケットの場合、トラフィックは未分類で、より具体的でないビジネス ポリシーに一致するため、一致するポリシーによっては、トラフィックが「マルチパス」ではなく「ダイレクト」という異なるパスを使用する可能性があります。DPI によってトラフィック タイプが決定されると、このタイプのトラフィック用に設定されたより具体的なポリシーと一致します。ただし、新しいパスにステアリングするとフローが中断されるため、そのフローは一致した元のポリシーからのパスを引き続き使用します。これにより、特定の宛先 IP アドレスとポートへの最初のフローが 1 つのパスを使用する可能性があります。アプリケーション キャッシュが入力されると、同じ宛先 IP アドレスとポートへの後続のフローは、このタイプのトラフィックに対するより具体的なポリシーで設定されている別のパスを使用します。
    • DPI がトラフィックを分類すると、宛先 IP アドレスとポートがアプリケーション キャッシュに追加され、同じ宛先 IP アドレスとポートへのその後のフローがすぐに分類されます。アプリケーション キャッシュ エントリは、その宛先 IP アドレスとポートに送信されるトラフィックがない状態で 10 分経過すると期限切れになります。その宛先 IP アドレスとポートへの次のフローは DPI を再度経由する必要があり、DPI がアプリケーションを識別する前に一致するポリシーに基づいて予期しないパスを使用することがあります。
    選択した [一致 (Match)] のタイプによっては、一部のアクションが使用できない場合があります。
  5. [アクション (Action)] 領域で、ルールのアクションを設定します。
    設定 説明
    優先度 (Priority) ルールの優先度を次のいずれかに指定します。
    • [高 (High)]
    • [中 (Normal)]
    • [低 (Low)]
    受信トラフィックおよび送信トラフィック方向の制限を設定するには、[レート制限 (Rate Limit)] チェックボックスをオンにします。
    ネットワーク サービス (Network Service) [ネットワーク サービス (Network Service)] を次のいずれかのオプションに設定します。
    • [ダイレクト (Direct)]SD-WAN Gateway をバイパスして、トラフィックを WAN 回線から宛先に直接送信します。
      注:

      デフォルトでは、Edge はビジネス ポリシーよりもセキュアなルートを優先します。実際には、Edge が Partner Gateway や別の Edge からセキュアなデフォルト ルートまたはより具体的なセキュア ルートを受信した場合、そのトラフィックをダイレクト パス経由で送信するようにビジネス ポリシーが設定されていても、Edge はマルチパス(ルートに応じてブランチ間または Gateway 経由のクラウド)を介してトラフィックを転送します。

      この動作は、カスタマーの「セキュアなデフォルト ルートの上書き」機能を有効にすることで、Partner Gateway のセキュアなルートに対してオーバーライドできます。パートナー スーパー ユーザーまたはオペレータは、この機能を有効にできます。これにより、ビジネス ポリシーにも一致するすべての Partner Gateway のセキュアなルートがオーバーライドされます。「セキュアなデフォルト ルートの上書き」は、ハブのセキュアなルートをオーバーライドしません。

    • [マルチパス (Multi-Path)]:トラフィックを 1 台の SD-WAN Edge から別の SD-WAN Edge に送信します。
    • [インターネット バックホール (Internet Backhaul)]:このネットワーク サービスは、[宛先 (Destination)][インターネット (Internet)] として設定されている場合にのみ有効になります。
      注: [インターネット バックホール (Internet Backhaul)] ネットワーク サービスは、インターネット トラフィック(既知のローカル ルートまたは VPN ルートと一致しないネットワーク プレフィックスに送信される WAN トラフィック)にのみ適用されます。

      これらのオプションに関する情報については、ビジネス ポリシー ルールのネットワーク サービスの設定を参照してください。

    条件付きバックホールがプロファイル レベルで有効になっている場合、デフォルトではそのプロファイルに対して設定されているすべてのビジネス ポリシーに適用されます。選択したポリシーの条件付きバックホールをオフにして、選択したトラフィック(直接、マルチパス、および CSS)をこの動作から除外するには、[条件付きバックホールをオフにする (Turn off Conditional Backhaul)] チェックボックスをオンにします。

    条件付きバックホール機能を有効にしてトラブルシューティングを行う方法については、条件付きバックホールを参照してください。

    リンク ステアリング (Link Steering) 次のいずれかのリンク ステアリング モードを選択します。
    • [自動 (Auto)]:デフォルトでは、すべてのアプリケーションが自動リンク ステアリング モードに設定されています。アプリケーションが自動リンク ステアリング モードになっている場合、DMPO はアプリケーション タイプに基づいて最適なリンクを自動的に選択し、必要に応じてオンデマンド修正を自動的に有効にします。ドロップダウン メニューから内部パケットの DSCP タグおよび外部パケットの DSCP タグを入力します。
    • [トランスポート グループ (Transport Group)]:ステアリング ポリシーで次のトランスポート グループ オプションのいずれかを指定します。これにより、WAN キャリアと WAN インターフェイスがまったく異なる各種デバイス タイプまたは場所にわたって同じビジネス ポリシー設定を適用できるようになります。
      • [パブリック 有線 (Public Wired)]
      • [パブリック 無線 (Public Wireless)]
      • [プライベート 有線 (Private Wired)]
    • [インターフェイス (Interface)]:リンク ステアリングは物理インターフェイスに結び付けられており、主にルーティングの目的で使用されます。
      注: このオプションは、Edge 固有のルール レベルでのみ許可されます。
    • [WAN リンク (WAN Link)]:特定のプライベート リンクに基づいてポリシー ルールを定義できます。このオプションの場合、インターフェイスの設定は WAN リンクの設定とは分離されます。手動で設定または自動検出された WAN リンクを選択できるようになります。
      注: このオプションは、Edge 固有のルール レベルでのみ許可されます。
    注: ネットワーク サービスが [直接 (Direct)] として設定されている場合、リンク ステアリング モードでは IPv6 のみのインターフェイスと IPv6 のみの WAN リンクはサポートされません。

    リンク ステアリング モードと DSCP について、またアンダーレイとオーバーレイの両トラフィックの DSCP マーキングの詳細については、リンク ステアリング モードの構成を参照してください。

    NAT NAT を有効または無効にします。詳細については、ポリシー ベースの NAT の設定を参照してください。
    サービス クラス (Service Class) 以下のいずれかのサービス クラス オプションを選択します。
    • [リアルタイム (Real-time)]
    • [トランザクション (Transactional)]
    • [一括 (Bulk)]
    注: このオプションは、カスタム アプリケーションでのみ使用できます。
    VMware のアプリケーション/カテゴリは、これらのカテゴリのいずれかに属します。
  6. [OK] をクリックします。選択したプロファイルに対してビジネス ポリシー ルールが作成され、[プロファイルのビジネス ポリシー (Profile Business Policy)] ページの [ビジネス ポリシー (Business Policy)] 領域に表示されます。

    関連情報:オーバーレイ QoS CoS マッピング