ビジネス ポリシー ルールは、トラフィック、帯域幅管理をステアリングし、アプリケーション、送信元、宛先などの基準に基づいてサービス品質を確保するように構成されます。すべてのレベルのオペレータ、パートナー、および管理者は、ビジネス ポリシーを作成できます。ビジネス ポリシーは、IP アドレス、ポート、VLAN ID、インターフェイス、ドメイン名、プロトコル、オペレーティング システム、オブジェクト グループ、アプリケーション、DSCP タグなどのパラメータと一致します。データ パケットが一致条件に一致すると、関連付けられた 1 つまたは複数のアクションが実行されます。パケットがパラメータに一致しない場合、パケットに対してデフォルトのアクションが実行されます。
[開始する前に]:デバイスの IP アドレスを確認し、ワイルドカード マスクを設定することによる影響を理解する必要があります。
- SD-WAN Orchestrator から の順にクリックします。
- [ビジネス ポリシー (Business Policy)] ページには、既存のポリシーが表示されます。新しいビジネス ポリシーを作成するには、[新規ルール (New Rule)] をクリックします。
- 表示される [ルールの設定 (Configure Rule)] ウィンドウで、次のように設定します。
- [ルール名 (Rule Name)] ボックスに、ルールの一意の名前を入力します。
- [一致 (Match)] 領域で、トラフィック フローの一致条件を設定します。選択したオプションによって、ダイアログ ボックスのフィールドが変更される場合があります。
設定 説明 タイプ (Type) デフォルトでは、IPv4 アドレス タイプが選択されています。次のように、選択したタイプに応じて送信元と宛先の IP アドレスを設定できます。 - [混合 (Mixed)]:一致基準で IPv4 と IPv6 の両方のアドレスを設定できます。このモードを選択した場合は、両方のタイプのアドレスを持つアドレス グループを含むオブジェクト グループから IP アドレスを選択できます。
- [IPv4] - 送信元および宛先として IPv4 アドレスのみを持つトラフィックに適用されます。デフォルトでは、このアドレス タイプが選択されています。
- [IPv6] - 送信元および宛先として IPv6 アドレスのみを持つトラフィックに適用されます。
注: [混合 (Mixed)] または [IPv6] アドレス タイプでビジネス ポリシー ルールを設定するには、新しい Orchestrator ユーザー インターフェイスを使用する必要があります。詳細については、 新しい Orchestrator UI を使用したビジネス ポリシー ルールの作成を参照してください。
注: アップグレードすると、以前のバージョンのビジネス ポリシー ルールが IPv4 モードに移行されます。送信元 (Source) 送信元トラフィックの一致基準を指定できるようにします。次のいずれかのオプションを選択します。 - [任意 (Any)]:すべての送信元トラフィックをデフォルトで一致させます。
- [オブジェクト グループ (Object Group)]:送信元に対して一致されるアドレス グループとポート グループの組み合わせを選択できます。
[アドレス タイプ (Address Type)] が [IPv4] の場合、[アドレス グループ (Address Groups)] の IPv4 アドレスのみがトラフィックの送信元と一致すると見なされます。
[アドレス タイプ (Address Type)] が [IPv6] の場合、[アドレス グループ (Address Groups)] の IPv6 アドレスのみがトラフィックの送信元と一致すると見なされます。
[アドレス タイプ (Address Type)] が [混合 (Mixed)] の場合、[アドレス グループ (Address Groups)] の IPv4 と IPv6 の両方のアドレスがトラフィックの送信元と一致すると見なされます。
詳細については、オブジェクト グループおよびオブジェクト グループを使用したビジネス ポリシーの設定を参照してください。注: 選択したアドレス グループにドメイン名が含まれている場合、送信元で一致を探している場合は無視されます。 - [定義 (Define)]:特定の VLAN、インターフェイス、IP アドレス、ポート、またはオペレーティング システムから送信元トラフィックの一致条件を定義できます。次のいずれかのオプションを選択します。デフォルトでは、[なし (None)] が選択されています。
- VLAN:ドロップダウン メニューから選択された、指定された VLAN からのトラフィックを一致させます。
- インターフェイス (Interface):ドロップダウン メニューから選択された、特定のインターフェイスからのトラフィックを一致させます。
注: インターフェイスを選択できない場合、インターフェイスが有効になっていないか、このセグメントに割り当てられていません。
- IP アドレス (IP Address):指定された IP4 または IPv6 アドレスからのトラフィックを一致させます。このオプションは、[混合 (Mixed)] モードでは使用できません。IP アドレスとともに、次のいずれかのオプションを指定して、送信元トラフィックを一致させることができます。
- CIDR プレフィックス (CIDR prefix):ネットワークを CIDR 値(たとえば、
172.10.0.0 /16
)として定義する場合は、このオプションを選択します。 - サブネット マスク (Subnet mask):サブネット マスク(たとえば、
172.10.0.0 255.255.0.0
)に基づいてネットワークを定義する場合は、このオプションを選択します。 - ワイルドカード マスク (Wildcard mask):一致するホスト IP アドレス値を共有する異なる IP サブネット間で、ポリシーの適用を一連のデバイスに絞り込むには、このオプションを選択します。ワイルドカード マスクは、逆のサブネット マスクに基づいて IP アドレスまたは IP アドレスのセットと一致します。マスクのバイナリ値の「0」は、値が固定されていること、マスクのバイナリ値の「1」は、値がワイルドカード(「1」または「0」)であることを意味します。たとえば、IP アドレスが 172.0.0 のワイルドカード マスク 0.0.0.255(2 進数の 00000000.00000000.00000000.11111111)では、最初の 3 つのオクテットは固定値で、最後のオクテットは変数値です。このオプションは、IPv4 アドレスでのみ使用できます。
- CIDR プレフィックス (CIDR prefix):ネットワークを CIDR 値(たとえば、
- ポート (Port):指定された送信元ポートまたはポート範囲からのトラフィックを一致させます。
- オペレーティング システム (Operating System):ドロップダウン メニューから選択された、指定されたオペレーティング システムからのトラフィックを一致させます。
宛先 (Destination) 宛先トラフィックの一致基準を指定できるようにします。次のいずれかのオプションを選択します。 - [任意 (Any)]:すべての宛先トラフィックをデフォルトで一致させます。
- [オブジェクト グループ (Object Group)]:宛先に対して一致されるアドレス グループとポート グループの組み合わせを選択できます。
[アドレス タイプ (Address Type)] が [IPv4] の場合、[アドレス グループ (Address Groups)] の IPv4 アドレスのみがトラフィックの宛先と一致すると見なされます。
[アドレス タイプ (Address Type)] が [IPv6] の場合、[アドレス グループ (Address Groups)] の IPv6 アドレスのみがトラフィックの宛先と一致すると見なされます。
[アドレス タイプ (Address Type)] が [混合 (Mixed)] の場合、[アドレス グループ (Address Groups)] の IPv4 と IPv6 の両方のアドレスがトラフィックの宛先と一致すると見なされます。
詳細については、オブジェクト グループおよびオブジェクト グループを使用したビジネス ポリシーの設定を参照してください。 - [定義 (Define)]:特定の IP アドレス、ドメイン名、プロトコル、またはポートへの宛先トラフィックの一致条件を定義できます。次のいずれかのオプションを選択します。デフォルトでは、[任意 (Any)] が選択されています。
- 任意 (Any):すべての宛先トラフィックを一致させます。
- インターネット(Internet):宛先へのすべてのインターネット トラフィック(SD-WAN ルートに一致しないトラフィック)を一致させます。
- Edge:Edge へのすべてのトラフィックを一致させます。
- Gateway 経由の Non SD-WAN Destination (Non SD-WAN Destination via Gateway):プロファイルに関連付けられている Gateway を介して指定された Non SD-WAN Destination へのすべてのトラフィックを一致させます。Gateway 経由の Non SD-WAN Site がプロファイル レベルで関連付けられていることを確認します。
- Edge 経由の Non SD-WAN Destination (Non SD-WAN Destination via Edge):Edge またはプロファイルに関連付けられている Edge を介して指定された Non SD-WAN Destination へのすべてのトラフィックを一致させます。Edge 経由の Non SD-WAN Site がプロファイルまたは Edge レベルで関連付けられていることを確認します。
プロトコル (Protocol):ドロップダウン メニューから選択された、指定されたプロトコルへのトラフィックを一致させます。サポートされるプロトコルは、GRE、ICMP、TCP、UDP です。注: ICMP は、 [混合 (Mixed)] モードではサポートされません。ドメイン (Domain):[ドメイン名 (Domain Name)] フィールドに指定されたドメイン名全体、またはドメイン名の一部へのトラフィックを一致させます。たとえば、\"salesforce\" はトラフィックを \"www.salesforce.com\" に一致させます。
アプリケーション (Application) 次のいずれかのオプションを選択します。 - [任意 (Any)]:デフォルトでは、ビジネス ポリシー ルールがすべてのアプリケーションに適用されます。
- [定義 (Define)]:ビジネス ポリシー ルールを適用する特定のアプリケーションを選択できます。さらに、DSCP 値を指定して、受信したトラフィックを事前設定された DSCP/TOS タグと一致させることができます。
注:- アプリケーションのみに一致するビジネス ポリシー ルールを作成する場合、このようなアプリケーションにネットワーク サービス アクションを適用するために、Edge で DPI (詳細なパケット インスペクション) エンジンの使用が必要になることがあります。一般的に、DPI は最初のパケットに基づいてアプリケーションを特定しません。DPI エンジンは通常、アプリケーションを識別するためにフロー内の最初の 5 ~ 10 パケットを必要とします。最初に受信した数パケットの場合、トラフィックは未分類で、より具体的でないビジネス ポリシーに一致するため、一致するポリシーによっては、トラフィックが「マルチパス」ではなく「ダイレクト」という異なるパスを使用する可能性があります。DPI によってトラフィック タイプが決定されると、このタイプのトラフィック用に設定されたより具体的なポリシーと一致します。ただし、新しいパスにステアリングするとフローが中断されるため、そのフローは一致した元のポリシーからのパスを引き続き使用します。これにより、特定の宛先 IP アドレスとポートへの最初のフローが 1 つのパスを使用する可能性があります。アプリケーション キャッシュが入力されると、同じ宛先 IP アドレスとポートへの後続のフローは、このタイプのトラフィックに対するより具体的なポリシーで設定されている別のパスを使用します。
- DPI がトラフィックを分類すると、宛先 IP アドレスとポートがアプリケーション キャッシュに追加され、同じ宛先 IP アドレスとポートへのその後のフローがすぐに分類されます。アプリケーション キャッシュ エントリは、その宛先 IP アドレスとポートに送信されるトラフィックがない状態で 10 分経過すると期限切れになります。その宛先 IP アドレスとポートへの次のフローは DPI を再度経由する必要があり、DPI がアプリケーションを識別する前に一致するポリシーに基づいて予期しないパスを使用することがあります。
- [アクション (Action)] 領域で、ルールのアクションを設定します。
設定 説明 優先度 (Priority) ルールの優先度を次のいずれかに指定します。 - [高 (High)]
- [中 (Normal)]
- [低 (Low)]
注: レート制限はフローごとに実行されます。アップストリーム トラフィックのレート制限は、ビジネス ポリシーでリンクまたは Edge インターフェイスを指定した場合にのみ機能します。[ステアリング (Steering)] オプションを [自動 (Auto)]、[トランスポート (Transport)]、または [グループ (Group)] に設定すると、レート制限は対応するすべてのリンクの合計帯域幅に適用されます。その場合、厳密なレート制限が想定どおりに適用されないことがあります。厳密なレート制限を適用する場合は、ビジネス ポリシーの 1 つのリンクまたは Edge インターフェイスにトラフィックをステアリングする必要があります。ネットワーク サービス (Network Service) [ネットワーク サービス (Network Service)] を次のいずれかのオプションに設定します。 - [ダイレクト (Direct)]:SD-WAN Gateway をバイパスして、トラフィックを WAN 回線から宛先に直接送信します。
注:
デフォルトでは、Edge はビジネス ポリシーよりもセキュアなルートを優先します。実際には、Edge が Partner Gateway や別の Edge からセキュアなデフォルト ルートまたはより具体的なセキュア ルートを受信した場合、そのトラフィックをダイレクト パス経由で送信するようにビジネス ポリシーが設定されていても、Edge はマルチパス(ルートに応じてブランチ間または Gateway 経由のクラウド)を介してトラフィックを転送します。
この動作は、カスタマーの「セキュアなデフォルト ルートの上書き」機能を有効にすることで、Partner Gateway のセキュアなルートに対して上書きできます。パートナー スーパー ユーザーまたはオペレータは、この機能を有効にできます。これにより、ビジネス ポリシーにも一致するすべての Partner Gateway のセキュアなルートが上書きされます。「セキュアなデフォルト ルートの上書き」は、ハブのセキュアなルートを上書きしません。
- [マルチパス (Multi-Path)]:トラフィックを 1 台の SD-WAN Edge から別の SD-WAN Edge に送信します。
- [インターネット バックホール (Internet Backhaul)]:このネットワーク サービスは、[宛先 (Destination)] が [インターネット (Internet)] として設定されている場合にのみ有効になります。
注: [インターネット バックホール (Internet Backhaul)] ネットワーク サービスは、インターネット トラフィック(既知のローカル ルートまたは VPN ルートと一致しないネットワーク プレフィックスに送信される WAN トラフィック)にのみ適用されます。
これらのオプションに関する情報については、ビジネス ポリシー ルールのネットワーク サービスの設定を参照してください。
条件付きバックホールがプロファイル レベルで有効になっている場合、デフォルトではそのプロファイルに対して設定されているすべてのビジネス ポリシーに適用されます。選択したポリシーの条件付きバックホールをオフにして、選択したトラフィック(直接、マルチパス、および CSS)をこの動作から除外するには、[条件付きバックホールをオフにする (Turn off Conditional Backhaul)] チェックボックスをオンにします。
条件付きバックホール機能を有効にしてトラブルシューティングを行う方法については、条件付きバックホールを参照してください。
リンク ステアリング (Link Steering) 次のいずれかのリンク ステアリング モードを選択します。 - [自動 (Auto)]:デフォルトでは、すべてのアプリケーションが自動リンク ステアリング モードに設定されています。アプリケーションが自動リンク ステアリング モードになっている場合、DMPO はアプリケーション タイプに基づいて最適なリンクを自動的に選択し、必要に応じてオンデマンド修正を自動的に有効にします。ドロップダウン メニューから内部パケットの DSCP タグおよび外部パケットの DSCP タグを入力します。
- [トランスポート グループ (Transport Group)]:ステアリング ポリシーで次のトランスポート グループ オプションのいずれかを指定します。これにより、WAN キャリアと WAN インターフェイスがまったく異なる各種デバイス タイプまたは場所にわたって同じビジネス ポリシー設定を適用できるようになります。
- [パブリック 有線 (Public Wired)]
- [パブリック 無線 (Public Wireless)]
- [プライベート 有線 (Private Wired)]
- [インターフェイス (Interface)]:リンク ステアリングは物理インターフェイスに結び付けられており、主にルーティングの目的で使用されます。
注: このオプションは、Edge 固有のルール レベルでのみ許可されます。
- [WAN リンク (WAN Link)]:特定のプライベート リンクに基づいてポリシー ルールを定義できます。このオプションの場合、インターフェイスの設定は WAN リンクの設定とは分離されます。手動で設定または自動検出された WAN リンクを選択できるようになります。
注: このオプションは、Edge 固有のルール レベルでのみ許可されます。
注: ネットワーク サービスが [直接 (Direct)] として設定されている場合、リンク ステアリング モードでは IPv6 のみのインターフェイスと IPv6 のみの WAN リンクはサポートされません。リンク ステアリング モードと DSCP について、またアンダーレイとオーバーレイの両トラフィックの DSCP マーキングの詳細については、リンク ステアリング モードの設定を参照してください。
NAT NAT を有効または無効にします。このオプションは、[混合 (Mixed)] モードでは使用できません。詳細については、ポリシー ベースの NAT の設定を参照してください。 サービス クラス (Service Class) 以下のいずれかのサービス クラス オプションを選択します。 - [リアルタイム (Real-time)]
- [トランザクション (Transactional)]
- [一括 (Bulk)]
注: このオプションは、カスタム アプリケーションでのみ使用できます。VMware のアプリケーション/カテゴリは、これらのカテゴリのいずれかに属します。 - [OK] をクリックします。選択したプロファイルに対してビジネス ポリシー ルールが作成され、[プロファイルのビジネス ポリシー (Profile Business Policy)] ページの [ビジネス ポリシー (Business Policy)] 領域に表示されます。
[IPv6] モードと [混合 (Mixed)] モードでは、Orchestrator からのビジネス ポリシー ルールの作成のみを実行できます。更新や削除などの残りの操作は、API を介してのみ実行できます。
関連情報:オーバーレイ QoS CoS マッピング