SD-WAN Orchestrator의 프로필 및 Edge 수준에서 트래픽을 허용하거나 삭제하는 비즈니스 정책 규칙을 구성할 수 있습니다. 모든 수준의 운영자, 파트너 및 관리자는 비즈니스 정책을 생성할 수 있습니다. 비즈니스 정책은 IP 주소, 포트, VLAN ID, 인터페이스, 도메인 이름, 프로토콜, 운영 체제, 개체 그룹, 애플리케이션 및 DSCP 태그와 같은 매개 변수와 일치합니다. 데이터 패킷이 일치 조건에 맞으면 연결된 작업이 수행됩니다. 패킷이 매개 변수와 일치하지 않으면 해당 패킷에 대해 기본 작업이 수행됩니다.

시작하기 전에 수행할 작업(Before you begin): 디바이스의 IP 주소를 파악하고 와일드카드 마스크 설정의 영향을 이해합니다.

비즈니스 정책을 생성하려면 다음을 수행합니다.
  1. SD-WAN Orchestrator에서 구성(Configure)>프로필(Profiles)>비즈니스 정책(Business Policy)으로 이동합니다.
  2. 비즈니스 정책(Business Policy) 영역에서 새 규칙(New Rule)을 클릭합니다. 규칙 구성(Configure Rule) 대화상자가 나타납니다.
  3. 규칙 이름(Rule Name) 상자에 규칙의 고유한 이름을 입력합니다.
  4. 일치(Match) 영역에서 트래픽 흐름에 대한 일치 조건을 구성합니다. 선택하는 옵션에 따라 대화상자의 필드가 달라질 수 있습니다.
    설정 설명
    소스(Source) 소스 트래픽에 대해 일치 조건을 지정할 수 있습니다. 다음 옵션 중 하나를 선택합니다.
    • 임의(Any) - 기본적으로 모든 소스 트래픽과 일치합니다.
    • 개체 그룹(Object Group) - 소스와 일치시키도록 주소 그룹 및 포트 그룹의 조합을 선택할 수 있습니다. 자세한 내용은 개체 그룹개체 그룹으로 비즈니스 정책 구성을 참조하십시오.
      참고: 선택한 주소 그룹에 도메인 이름이 포함되어 있으면 소스와 일치하는 경우 해당 주소가 무시됩니다.
    • 정의(Define) - 특정 VLAN, 인터페이스, IP 주소, 포트 또는 운영 체제에서 소스 트래픽에 대한 일치 조건을 정의할 수 있습니다. 다음 옵션 중 하나를 선택하십시오. 기본적으로 없음(None)이 선택되어 있습니다.
      • VLAN - 드롭다운 메뉴에서 선택된 지정된 VLAN의 트래픽을 일치시킵니다.
      • 인터페이스(Interface) - 드롭다운 메뉴에서 선택된 지정된 인터페이스의 트래픽을 일치시킵니다.
        참고: 인터페이스를 선택할 수 없는 경우에는 인터페이스가 사용하지 않도록 설정되었거나 이 세그먼트에 할당되지 않은 것입니다.
      • IP 주소(IP Address) - 지정된 IP 주소의 트래픽을 일치시킵니다. 다음 옵션 중 하나를 IP 주소와 함께 지정하여 소스 트래픽과 일치시킬 수 있습니다.
        • CIDR 접두사(CIDR prefix) - 네트워크가 CIDR 값(예: 172.10.0.0 /16)으로 정의되도록 하려면 이 옵션을 선택합니다.
        • 서브넷 마스크(Subnet mask) - 서브넷 마스크(예: 172.10.0.0 255.255.0.0)를 기준으로 네트워크를 정의하려면 이 옵션을 선택합니다.
        • 와일드카드 마스크(Wildcard mask) - 정책 적용의 범위를 일치하는 호스트 IP 주소 값을 공유하는 여러 IP 서브넷에 걸쳐 있는 디바이스 집합으로 좁히려면 이 옵션을 선택합니다. 와일드카드 마스크는 역 서브넷 마스크를 기준으로 하는 IP 또는 IP 주소 집합과 일치합니다. 마스크의 이진 값에 있는 '0'은 값이 고정되었음을 의미하고, 마스크의 이진 값에 있는 '1'은 값이 와일드카드(1 또는 0일 수 있음)임을 의미합니다. 예를 들어 IP 주소가 172.0.0인 와일드카드 마스크 0.0.0.255(해당 이진 = 00000000.00000000.00000000.11111111)에서 처음 3개의 8진수는 고정 값이고 마지막 8진수는 변수 값입니다.
      • 포트(Port) - 지정된 소스 포트 또는 포트 범위의 트래픽을 일치시킵니다.
      • 운영 체제(Operating System) - 드롭다운 메뉴에서 선택된 지정된 운영 체제의 트래픽을 일치시킵니다.
    대상(Destination) 대상 트래픽에 대해 일치 조건을 지정할 수 있습니다. 다음 옵션 중 하나를 선택합니다.
    • 임의(Any) - 기본적으로 모든 대상 트래픽과 일치합니다.
    • 개체 그룹(Object Group) - 대상과 일치시키도록 주소 그룹 및 포트 그룹의 조합을 선택할 수 있습니다. 자세한 내용은 개체 그룹개체 그룹으로 비즈니스 정책 구성을 참조하십시오.
    • 정의(Define) - 특정 IP 주소, 도메인 이름, 프로토콜 또는 포트에 대한 트래픽의 일치 조건을 정의할 수 있습니다. 다음 옵션 중 하나를 선택하십시오. 기본적으로 임의(Any)가 선택되어 있습니다.
      • 임의(Any) - 모든 대상 트래픽과 일치합니다.
      • 인터넷(Internet) - 모든 인터넷 트래픽(SD-WAN 경로와 일치하지 않는 트래픽)을 대상에 일치시킵니다.
      • Edge - 모든 트래픽을 Edge에 일치시킵니다.
      • 게이트웨이를 통한 비 SD-WAN 대상(Non SD-WAN Destinations via Gateway) - 프로필과 연결되며 게이트웨이를 통해 지정된 비 SD-WAN 대상에 모든 트래픽을 일치시킵니다. 프로필 수준에서 게이트웨이를 통한 비 SD-WAN 사이트와 연결되어 있는지 확인합니다.
      • Edge를 통한 비 SD-WAN 대상(Non SD-WAN Destinations via Edge) - Edge 또는 프로필과 연결되며 Edge를 통해 지정된 비 SD-WAN 대상에 모든 트래픽을 일치시킵니다. 프로필 또는 Edge 수준에서 Edge를 통한 비 SD-WAN 사이트와 연결되어 있는지 확인합니다.

      프로토콜(Protocol) - 드롭다운 메뉴에서 선택된 지정된 프로토콜에 트래픽을 일치시킵니다. 지원되는 프로토콜은 GRE, ICMP, TCP 및 UDP입니다.

      도메인(Domain) - 전체 도메인 이름 또는 도메인 이름(Domain Name) 필드에 지정된 도메인 이름의 일부에 트래픽을 일치시킵니다. 예를 들어 \"salesforce\"를 입력하면 \"www.salesforce.com\"에 대한 트래픽을 일치 항목으로 검색합니다.

    애플리케이션(Application) 다음 옵션 중 하나를 선택합니다.
    • 임의(Any) - 기본적으로 모든 애플리케이션에 비즈니스 정책 규칙을 적용합니다.
    • 정의(Define) - 비즈니스 정책 규칙을 적용할 특정 애플리케이션을 선택할 수 있습니다. 또한 미리 설정된 DSCP/TOS 태그를 사용하여 전송되는 트래픽과 일치하도록 DSCP 값을 지정할 수 있습니다.
    일치(Match) 옵션에 따라, 일부 작업을 사용하지 못할 수 있습니다.
  5. 작업(Action) 영역에서 규칙에 대한 작업을 구성합니다.
    설정 설명
    우선 순위(Priority) 규칙의 우선 순위를 다음 중 하나로 지정합니다.
    • 높음(High)
    • 보통(Normal)
    • 낮음(Low)
    속도 제한(Rate Limit) 확인란을 선택하여 인바운드 및 아웃바운드 트래픽 방향에 대한 제한을 설정합니다.
    네트워크 서비스(Network Service) 네트워크 서비스(Network Service)를 다음 옵션 중 하나로 설정합니다.
    • 직접(Direct) - SD-WAN Gateway를 우회하여 WAN 회로에서 대상으로 직접 트래픽을 전송합니다.
    • 다중 경로(Multi-Path) - 한 SD-WAN Edge에서 다른 SD-WAN Edge로 트래픽을 전송합니다.
    • 인터넷 Backhaul(Internet Backhaul) - 대상(Destination)인터넷(Internet)으로 설정된 경우에만 이 네트워크 서비스가 사용하도록 설정됩니다.
      참고: 인터넷 Backhaul(Internet Backhaul) 네트워크 서비스는 인터넷 트래픽(알려진 로컬 경로 또는 VPN 경로와 일치하지 않는 네트워크 접두사로 향하는 WAN 트래픽)에만 적용됩니다.

      이러한 옵션에 대한 자세한 내용은 비즈니스 정책 규칙에 대한 네트워크 서비스 구성을 참조하십시오.

    프로필 수준에서 조건부 Backhaul을 사용하도록 설정한 경우 기본적으로 해당 프로필에 대해 구성된 모든 비즈니스 정책에 적용됩니다. 조건부 Backhaul 해제(Turn off Conditional Backhaul) 확인란을 선택하여 선택한 정책의 조건부 Backhaul을 해제함으로써 선택한 트래픽(직접, 다중 경로, CSS)을 이 동작에서 제외할 수 있습니다.

    조건부 Backhaul 기능을 사용하도록 설정하고 문제를 해결하는 방법에 대한 자세한 내용은 조건부 Backhaul(Conditional Backhaul)을 참조하십시오.

    링크 조절(Link Steering) 다음 링크 조절 모드 중 하나를 선택합니다.
    • 자동(Auto) - 기본적으로 모든 애플리케이션이 자동 링크 조절 모드로 설정됩니다. 애플리케이션을 자동 링크 조절 모드에 있는 경우 DMPO는 자동으로 애플리케이션 유형을 기준으로 최상의 링크를 선택하고, 필요할 때 자동으로 요청 시 업데이트 적용을 사용하도록 설정합니다. 드롭다운 메뉴에서 내부 패킷 DSCP 태그(Inner Packet DSCP Tag)를 입력하고 드롭다운 메뉴에서 외부 패킷 DSCP 태그(Outer Packet DSCP Tag)를 입력합니다.
    • 전송 그룹(Transport Group) - 동일한 비즈니스 정책 구성을 서로 다른 디바이스 유형 또는 위치(WAN 통신업체 및 WAN 인터페이스가 완전히 다를 수 있음)에 적용할 수 있도록 조절 정책에 다음 전송 그룹 옵션 중 하나를 지정합니다.
      • 공용 유선(Public Wired)
      • 공용 무선(Public Wireless)
      • 사설 유선(Private Wired)
    • 인터페이스(Interface) - 링크 조절은 물리적 인터페이스에 연결되며 주로 라우팅 용도로 사용됩니다.
      참고: 이 옵션은 Edge 재정의 수준에서만 허용됩니다.
    • WAN 링크(WAN Link) - 특정 개인 링크를 기준으로 정책 규칙을 정의할 수 있습니다. 이 옵션의 경우 인터페이스 구성은 WAN 링크 구성과는 별도로 구분됩니다. 수동으로 구성되었거나 자동 검색된 WAN 링크를 선택할 수 있게 됩니다.
      참고: 이 옵션은 Edge 재정의 수준에서만 허용됩니다.
    참고: 네트워크 서비스가 직접(Direct)으로 구성되면 [링크 조절(Link Steering)] 모드에서 IPv6 전용 인터페이스 및 IPv6 전용 WAN 링크가 지원되지 않습니다.

    링크 조절 모드 및 DSCP, 언더레이 및 오버레이 트래픽에 대한 DSCP 표시와 관련된 자세한 내용은 링크 조절 모드 구성을 참조하십시오.

    NAT NAT를 활성화하거나 비활성화합니다. 자세한 내용은 정책 기반 NAT 구성을 참조하십시오.
    서비스 클래스(Service Class) 다음 서비스 클래스 옵션 중 하나를 선택합니다.
    • 실시간(Real-time)
    • 트랜잭션(Transactional)
    • 대량(Bulk)
    참고: 이 옵션은 사용자 지정 애플리케이션에만 해당됩니다.
    VMware 애플리케이션/범주는 이러한 범주 중 하나에 속합니다.
  6. 확인(OK)을 클릭합니다. 선택한 프로필에 대한 비즈니스 정책 규칙이 생성되고 프로필 비즈니스 정책(Profile Business Policy) 페이지의 비즈니스 정책(Business Policy) 영역 아래에 나타납니다.

    관련 정보: 오버레이 QoS CoS 매핑