ビジネス ポリシー ルールは、トラフィック、帯域幅管理をステアリングし、アプリケーション、送信元、宛先などの基準に基づいてサービス品質を確保するように設定されます。すべてのレベルのオペレータ、パートナー、および管理者は、ビジネス ポリシーを作成できます。ビジネス ポリシーは、IP アドレス、ポート、VLAN ID、インターフェイス、ドメイン名、プロトコル、オペレーティング システム、オブジェクト グループ、アプリケーション、DSCP タグなどのパラメータと一致します。データ パケットが一致条件に一致すると、関連付けられた 1 つまたは複数のアクションが実行されます。パケットがパラメータに一致しない場合、パケットに対してデフォルトのアクションが実行されます。プロファイルと Edge のビジネス ポリシーを作成できます。

前提条件

ネットワークの IP アドレスの詳細があることを確認してください。

手順

  1. エンタープライズ ポータルの [SD-WAN] サービスで、[設定 (Configure)] > [プロファイル (Profiles)] の順に移動します。[プロファイル (Profiles)] ページに既存のプロファイルが表示されます。
  2. プロファイルへのリンクをクリックするか、プロファイルの [デバイス (Device)] 列にある [表示 (View)] リンクをクリックします。設定オプションは、[デバイス (Device)] タブに表示されます。
  3. [ビジネス ポリシー (Business Policy)] タブをクリックします。
    [プロファイル (Profile)] ページから、プロファイルの [Biz. Pol] 列にある [表示 (View)] リンクをクリックして、 [ビジネス ポリシー(Business Policy)] ページに移動できます。
  4. [ビジネス ポリシー (Business Policy)] 画面で、[+ 追加 (+ ADD)] をクリックします。[ルールの追加 (Add Rule)] ウィンドウが表示されます。
  5. ルール名を入力し、IP バージョンを選択します。次のように、選択した IP バージョンに応じて送信元と宛先の IP アドレスを設定できます。
    • [IPv4 と IPv4 (IPv4 and IPv6)]:一致基準で IPv4 と IPv6 の両方のアドレスを設定できます。このモードを選択した場合は、両方のタイプのアドレス グループを持つアドレス グループを含むオブジェクト グループから IP アドレスを選択できます。デフォルトでは、このアドレス タイプが選択されています。
    • [IPv4] - 送信元および宛先として IPv4 アドレスのみを持つトラフィックに適用されます。
    • [IPv6] - 送信元および宛先として IPv6 アドレスのみを持つトラフィックに適用されます。
      注: アップグレードすると、以前のバージョンのビジネス ポリシー ルールが IPv4 モードに移行されます。
  6. [一致 (Match)] タブで、送信元、宛先、およびアプリケーション トラフィックの一致基準を設定します。
    フィールド 説明
    送信元 (Source)
    パケットの送信元を指定します。次のいずれかのオプションを選択します。
    • [任意 (Any)] - すべての送信元アドレスをデフォルトで許可します。
    • [オブジェクト グループ (Object Group)] - アドレス グループとサービス グループの組み合わせを選択できます。

      アドレス タイプが IPv4 の場合、[アドレス グループ (Address Groups)] の IPv4 アドレスのみがトラフィックの送信元と一致すると見なされます。

      アドレス タイプが IPv6 の場合、[アドレス グループ (Address Groups)] の IPv6 アドレスのみがトラフィックの送信元と一致すると見なされます。

      アドレス タイプが IPv4 と IPv6 の両方の場合、[アドレス グループ (Address Groups)] の IPv4 と IPv6 の両方のアドレスがトラフィックの送信元と一致すると見なされます。

      詳細については、オブジェクト グループおよびオブジェクト グループを使用したビジネス ポリシーの設定を参照してください。
      注: 選択したアドレス グループにドメイン名が含まれている場合、送信元で一致を探している場合は無視されます。
    • [定義 (Define)]:特定の VLAN、インターフェイス、IP アドレス、ポート、またはオペレーティング システムから送信元トラフィックを定義できます。次のいずれかのオプションを選択します。
      • [VLAN (VLAN)]:ドロップダウン メニューから選択した、指定された VLAN からのトラフィックと一致します。
      • [インターフェイス (Interface)]:ドロップダウン メニューから選択された、特定のインターフェイスからのトラフィックを一致させます。
        注: インターフェイスを選択できない場合、インターフェイスが有効になっていないか、このセグメントに割り当てられていません。
      • [IP アドレス (IP Address)]:指定された IP アドレス(IPv4 または IPv6)からのトラフィックを一致させます。
        注: IP バージョンとして [IPv4 と IPv6](混合モード)を選択した場合、このオプションは使用できません。混合モードでは、指定された VLAN またはインターフェイスのいずれかに基づくトラフィックと一致します。
        IP アドレスとともに、次のいずれかのアドレス タイプを指定して、送信元トラフィックを一致させることができます。
        • [CIDR プレフィックス (CIDR prefix)] - ネットワークを CIDR 値(たとえば 172.10.0.0 /16)として定義する場合は、このオプションをオンにします。
        • [サブネット マスク (Subnet mask)] - サブネット マスク(たとえば 172.10.0.0 255.255.0.0)に基づいてネットワークを定義する場合は、このオプションをオンにします。
        • [ワイルドカード マスク (Wildcard mask)] - 一致するホスト IP アドレス値を共有する異なる IP サブネット間で、ポリシーの適用を一連のデバイスに絞り込むには、このオプションを選択します。ワイルドカード マスクは、逆のサブネット マスクに基づいて IP アドレスまたは IP アドレスのセットと一致します。マスクのバイナリ値の「0」は、値が固定されていること、マスクのバイナリ値の「1」は、値がワイルドカード(「1」または「0」)であることを意味します。たとえば、IP アドレスが 172.0.0 のワイルドカード マスク 0.0.0.255(2 進数の 00000000.00000000.00000000.11111111)では、最初の 3 つのオクテットは固定値で、最後のオクテットは変数値です。このオプションは、IPv4 アドレスでのみ使用できます。
      • [ポート (Ports)]:指定された送信元ポートまたはポート範囲からのトラフィックを一致させます。
      • [オペレーティング システム (Operating System)]:ドロップダウン メニューから選択された、指定されたオペレーティング システムからのトラフィックを一致させます。
    宛先 (Destination) パケットの宛先を指定します。次のいずれかのオプションを選択します。
    • [任意 (Any)] - すべての宛先アドレスをデフォルトで許可します。
    • [オブジェクト グループ (Object Group)] - アドレス グループとサービス グループの組み合わせを選択できます。詳細については、オブジェクト グループおよびオブジェクト グループを使用したビジネス ポリシーの設定を参照してください。
    • [定義 (Define)]:特定の IP アドレス、ドメイン名、プロトコル、またはポートへの宛先トラフィックの一致条件を定義できます。次のいずれかのオプションを選択します。デフォルトでは、[任意 (Any)] が選択されています。
      • [任意 (Any)]:すべての宛先トラフィックを一致させます。
      • [インターネット(Internet)]:宛先へのすべてのインターネット トラフィック(SD-WAN ルートに一致しないトラフィック)を一致させます。
      • [Edge]:Edge へのすべてのトラフィックを一致させます。
      • [Gateway 経由の Non SD-WAN Destination (Non SD-WAN Destination via Gateway)]:プロファイルに関連付けられている Gateway を介して指定された Non SD-WAN Destination へのすべてのトラフィックを一致させます。Gateway 経由の Non SD-WAN Site がプロファイル レベルで関連付けられていることを確認します。
      • [Edge 経由の Non SD-WAN Destination (Non SD-WAN Destination via Edge)]:Edge またはプロファイルに関連付けられている Edge を介して指定された Non SD-WAN Destination へのすべてのトラフィックを一致させます。Edge 経由の Non SD-WAN Site がプロファイルまたは Edge レベルで関連付けられていることを確認します。
    • [ドメイン名 (Domain name)][ドメイン名 (Domain Name)] フィールドに指定されたドメイン名全体、またはドメイン名の一部へのトラフィックを一致させます。たとえば、\"salesforce\" はトラフィックを \"www.salesforce.com\" に一致させます。
    • [プロトコル (Protocol)]:ドロップダウン メニューから選択された、指定されたプロトコルへのトラフィックを一致させます。サポートされるプロトコルは、GRE、ICMP、TCP、UDP です。
      注: ICMP は、 [混合 (Mixed)] モードではサポートされません。
    • [ポート (Ports)]:指定された送信元ポートまたはポート範囲からのトラフィックを一致させます。
    アプリケーション (Application) 次のいずれかのオプションを選択します。
    • [任意 (Any)]:デフォルトでは、ビジネス ポリシー ルールがすべてのアプリケーションに適用されます。
    • [定義 (Define)]:ビジネス ポリシー ルールを適用する特定のアプリケーションを選択できます。さらに、DSCP 値を指定して、受信したトラフィックを事前設定された DSCP/TOS タグと一致させることができます。
    注:
    • アプリケーションのみに一致するビジネス ポリシー ルールを作成する場合、このようなアプリケーションにネットワーク サービス アクションを適用するために、Edge で DPI (詳細なパケット インスペクション) エンジンの使用が必要になることがあります。一般的に、DPI は最初のパケットに基づいてアプリケーションを特定しません。DPI エンジンは通常、アプリケーションを識別するためにフロー内の最初の 5 ~ 10 パケットを必要とします。最初に受信した数パケットの場合、トラフィックは未分類で、より具体的でないビジネス ポリシーに一致するため、一致するポリシーによっては、トラフィックが「マルチパス」ではなく「ダイレクト」という異なるパスを使用する可能性があります。DPI によってトラフィック タイプが決定されると、このタイプのトラフィック用に設定されたより具体的なポリシーと一致します。ただし、新しいパスにステアリングするとフローが中断されるため、そのフローは一致した元のポリシーからのパスを引き続き使用します。これにより、特定の宛先 IP アドレスとポートへの最初のフローが 1 つのパスを使用する可能性があります。アプリケーション キャッシュが入力されると、同じ宛先 IP アドレスとポートへの後続のフローは、このタイプのトラフィックに対するより具体的なポリシーで設定されている別のパスを使用します。
    • DPI がトラフィックを分類すると、宛先 IP アドレスとポートがアプリケーション キャッシュに追加され、同じ宛先 IP アドレスとポートへのその後のフローがすぐに分類されます。アプリケーション キャッシュ エントリは、その宛先 IP アドレスとポートに送信されるトラフィックがない状態で 10 分経過すると期限切れになります。その宛先 IP アドレスとポートへの次のフローは DPI を再度経由する必要があり、DPI がアプリケーションを識別する前に一致するポリシーに基づいて予期しないパスを使用することがあります。
  7. [アクション (Action)] タブで、トラフィックが定義された条件に一致したときに実行されるアクションを設定します。
    注: 選択した [一致 (Match)] のタイプによっては、一部のアクションが使用できない場合があります。
    フィールド 説明
    優先度 (Priority) ルールの優先度を次のいずれかに指定します。
    • [高 (High)]
    • [中 (Normal)]
    • [低 (Low)]
    レート制限を有効化 (Enable Rate Limit) 受信トラフィックおよび送信トラフィック方向の制限を設定するには、[レート制限を有効化 (Enable Rate Limit)] チェック ボックスをオンにします。
    注: レート制限はフローごとに実行されます。アップストリーム トラフィックのレート制限は、ビジネス ポリシーでリンクまたは Edge インターフェイスを指定した場合にのみ機能します。[ステアリング (Steering)] オプションを [自動 (Auto)]、[トランスポート (Transport)]、または [グループ (Group)] に設定すると、レート制限は対応するすべてのリンクの合計帯域幅に適用されます。その場合、厳密なレート制限が想定どおりに適用されないことがあります。厳密なレート制限を適用する場合は、ビジネス ポリシーの 1 つのリンクまたは Edge インターフェイスにトラフィックをステアリングする必要があります。
    ネットワーク サービス (Network Service) [ネットワーク サービス (Network Service)] を次のいずれかのオプションに設定します。
    • [ダイレクト (Direct)]SD-WAN Gateway をバイパスして、トラフィックを WAN 回線から宛先に直接送信します。
      注:

      デフォルトでは、Edge はビジネス ポリシーよりもセキュアなルートを優先します。実際には、Edge が Partner Gateway や別の Edge からセキュアなデフォルト ルートまたはより具体的なセキュア ルートを受信した場合、そのトラフィックをダイレクト パス経由で送信するようにビジネス ポリシーが設定されていても、Edge はマルチパス(ルートに応じてブランチ間または Gateway 経由のクラウド)を介してトラフィックを転送します。

      この動作は、カスタマーの「セキュアなデフォルト ルートの上書き」機能を有効にすることで、Partner Gateway のセキュアなルートに対して上書きできます。パートナー スーパー ユーザーまたはオペレータは、この機能を有効にできます。これにより、ビジネス ポリシーにも一致するすべての Partner Gateway のセキュアなルートが上書きされます。「セキュアなデフォルト ルートの上書き」は、ハブのセキュアなルートを上書きしません。

    • [マルチパス (Multi-Path)]:トラフィックを 1 台の SD-WAN Edge から別の SD-WAN Edge に送信します。
    • [インターネット バックホール (Internet Backhaul)]:このネットワーク サービスは、[宛先 (Destination)][インターネット (Internet)] として設定されている場合にのみ有効になります。
      注: [インターネット バックホール (Internet Backhaul)] ネットワーク サービスは、インターネット トラフィック(既知のローカル ルートまたは VPN ルートと一致しないネットワーク プレフィックスに送信される WAN トラフィック)にのみ適用されます。

      これらのオプションに関する情報については、ビジネス ポリシー ルールのネットワーク サービスの設定を参照してください。

    条件付きバックホールがプロファイル レベルで有効になっている場合、デフォルトではそのプロファイルに対して設定されているすべてのビジネス ポリシーに適用されます。選択したポリシーの条件付きバックホールをオフにして、選択したトラフィック(直接、マルチパス、および CSS)をこの動作から除外するには、[条件付きバックホールをオフにする (Turn off Conditional Backhaul)] チェックボックスをオンにします。

    条件付きバックホール機能を有効にしてトラブルシューティングを行う方法については、条件付きバックホールを参照してください。

    リンク ステアリング (Link Steering) 次のいずれかのリンク ステアリング モードを選択します。
    • [自動 (Auto)]:デフォルトでは、すべてのアプリケーションが自動リンク ステアリング モードに設定されています。アプリケーションが自動リンク ステアリング モードになっている場合、DMPO はアプリケーション タイプに基づいて最適なリンクを自動的に選択し、必要に応じてオンデマンド修正を自動的に有効にします。
      • [トランスポート グループ (Transport Group)]:ステアリング ポリシーで次のトランスポート グループ オプションのいずれかを指定します。これにより、WAN キャリアと WAN インターフェイスがまったく異なる各種デバイス タイプまたは場所にわたって同じビジネス ポリシー設定を適用できるようになります。
        • [パブリック 有線 (Public Wired)]
        • [パブリック 無線 (Public Wireless)]
        • [プライベート 有線 (Private Wired)]
      • [インターフェイス (Interface)]:リンク ステアリングは物理インターフェイスに結び付けられており、主にルーティングの目的で使用されます。
        注: このオプションは、Edge 固有のルール レベルでのみ許可されます。
      • [WAN リンク (WAN Link)]:特定のプライベート リンクに基づいてポリシー ルールを定義できます。このオプションの場合、インターフェイスの設定は WAN リンクの設定とは分離されます。手動で設定または自動検出された WAN リンクを選択できるようになります。
        注: このオプションは、Edge 固有のルール レベルでのみ許可されます。
    • [内部パケットの DSCP タグ (Inner Packet DSCP Tag)]:ドロップダウン メニューから内部パケットの DSCP タグを選択します。
    • [外部パケットの DSCP タグ (Inner Packet DSCP Tag)]:ドロップダウン メニューから外部パケットの DSCP タグを選択します。
    注: ネットワーク サービスが [直接 (Direct)] として設定されている場合、リンク ステアリング モードでは IPv6 のみのインターフェイスと IPv6 のみの WAN リンクはサポートされません。

    リンク ステアリング モードと DSCP について、またアンダーレイとオーバーレイの両トラフィックの DSCP マーキングの詳細については、リンク ステアリング モードの設定を参照してください。

    NAT の有効化 (Enable NAT) NAT を有効または無効にします。このオプションは、[IPv4 と IPv6 (IPv4 and IPv6)] モードでは使用できません。詳細については、ポリシー ベースの NAT の設定を参照してください。
    サービス クラス (Service Class) 以下のいずれかのサービス クラス オプションを選択します。
    • [リアルタイム (Real-time)]
    • [トランザクション (Transactional)]
    • [一括 (Bulk)]
    注: このオプションは、カスタム アプリケーションでのみ使用できます。
    VMware のアプリケーション/カテゴリは、これらのカテゴリのいずれかに属します。
  8. 必要な設定を行った後、[保存 (Save)] をクリックします。
    選択したプロファイルに対してビジネス ポリシー ルールが作成され、 [プロファイルのビジネス ポリシー (Profile Business Policy)] ページの [ビジネス ポリシー ルール (Business Policy Rules)] 領域に表示されます。
    注: プロファイル レベルで作成されたルールは、Edge レベルでは更新できません。ルールを上書きするには、ユーザーはプロファイル レベルのルールを上書きするための新しいパラメータを使用して、Edge レベルで同じルールを作成する必要があります。

    [IPv6] モードと [IPv4 と IPv6 (IPv4 and IPv6)] モードでは、Orchestrator からのビジネス ポリシー ルールの作成のみを実行できます。更新や削除などの残りの操作は、API を介してのみ実行できます。