비즈니스 정책 규칙은 트래픽, 대역폭 관리를 조정하고 애플리케이션, 소스 및 대상 등과 같은 기준에 따라 서비스 품질을 보장하도록 구성됩니다. 모든 수준의 운영자, 파트너 및 관리자는 비즈니스 정책을 생성할 수 있습니다. 비즈니스 정책은 IP 주소, 포트, VLAN ID, 인터페이스, 도메인 이름, 프로토콜, 운영 체제, 개체 그룹, 애플리케이션 및 DSCP 태그와 같은 매개 변수와 일치합니다. 데이터 패킷이 일치 조건에 맞으면 연결된 작업이 수행됩니다. 패킷이 매개 변수와 일치하지 않으면 해당 패킷에 대해 기본 작업이 수행됩니다.
시작하기 전에 수행할 작업(Before you begin): 디바이스의 IP 주소를 파악하고 와일드카드 마스크 설정의 영향을 이해합니다.
- SD-WAN Orchestrator에서 을 클릭합니다.
- 비즈니스 정책(Business Policy) 페이지에는 기존 정책이 표시됩니다. 새 비즈니스 정책을 생성하려면 새 규칙(New Rule)을 클릭합니다.
- 표시되는 규칙 구성(Configure Rule) 창에서 다음을 구성합니다.
- 규칙 이름(Rule Name) 상자에 규칙의 고유한 이름을 입력합니다.
- 일치(Match) 영역에서 트래픽 흐름에 대한 일치 조건을 구성합니다. 선택하는 옵션에 따라 대화상자의 필드가 달라질 수 있습니다.
설정 설명 유형 기본적으로 IPv4 주소 유형이 선택됩니다. 다음과 같이 선택한 유형에 따라 소스 및 대상 IP 주소를 구성할 수 있습니다. - 혼합(Mixed) – 일치하는 조건에서 IPv4 및 IPv6 주소를 모두 구성할 수 있습니다. 이 모드를 선택하면 두 가지 유형의 주소가 있는 주소 그룹이 포함된 개체 그룹에서 IP 주소를 선택할 수 있습니다.
- IPv4 – IPv4 주소만 소스 및 대상으로 사용하여 트래픽에 적용합니다. 기본적으로 이 주소 유형이 선택됩니다.
- IPv6 – IPv6 주소만 소스 및 대상으로 사용하여 트래픽에 적용합니다.
참고: 혼합(Mixed) 또는 IPv6 주소 유형으로 비즈니스 정책 규칙을 구성하려면 새 Orchestrator UI를 사용해야 합니다. 자세한 내용은 새 Orchestrator UI를 사용하여 비즈니스 정책 규칙 생성 항목을 참조하십시오.
참고: 업그레이드하면 이전 버전의 비즈니스 정책 규칙이 IPv4 모드로 변경되었습니다.소스(Source) 소스 트래픽에 대해 일치 조건을 지정할 수 있습니다. 다음 옵션 중 하나를 선택합니다. - 임의(Any) - 기본적으로 모든 소스 트래픽과 일치합니다.
- 개체 그룹(Object Group) - 소스와 일치시키도록 주소 그룹 및 포트 그룹의 조합을 선택할 수 있습니다.
주소 유형(Address Type)이 IPv4인 경우 주소 그룹의 IPv4 주소만 트래픽 소스와 일치하는 것으로 간주됩니다.
주소 유형(Address Type)이 IPv6인 경우 주소 그룹의 IPv6 주소만 트래픽 소스와 일치하는 것으로 간주됩니다.
주소 유형(Address Type)이 혼합(Mixed)인 경우 주소 그룹의 IPv4 및 IPv6 주소만 트래픽 소스와 일치하는 것으로 간주됩니다.
자세한 내용은 개체 그룹 및 개체 그룹을 사용하여 비즈니스 정책 구성 항목을 참조하십시오.참고: 선택한 주소 그룹에 도메인 이름이 포함되어 있으면 소스와 일치하는 경우 해당 주소가 무시됩니다. - 정의(Define) - 특정 VLAN, 인터페이스, IP 주소, 포트 또는 운영 체제에서 소스 트래픽에 대한 일치 조건을 정의할 수 있습니다. 다음 옵션 중 하나를 선택하십시오. 기본적으로 없음(None)이 선택되어 있습니다.
- VLAN - 드롭다운 메뉴에서 선택된 지정된 VLAN의 트래픽을 일치시킵니다.
- 인터페이스(Interface) - 드롭다운 메뉴에서 선택된 지정된 인터페이스의 트래픽을 일치시킵니다.
참고: 인터페이스를 선택할 수 없는 경우에는 인터페이스가 활성화되지 않았거나 이 세그먼트에 할당되지 않은 것입니다.
- IP 주소(IP Address) - 지정된 IPv4 또는 IPv6 주소의 트래픽을 일치시킵니다. 이 옵션은 혼합(Mixed) 모드에서 사용할 수 없습니다. 다음 옵션 중 하나를 IP 주소와 함께 지정하여 소스 트래픽과 일치시킬 수 있습니다.
- CIDR 접두사(CIDR prefix) - 네트워크가 CIDR 값(예:
172.10.0.0 /16
)으로 정의되도록 하려면 이 옵션을 선택합니다. - 서브넷 마스크(Subnet mask) - 서브넷 마스크(예:
172.10.0.0 255.255.0.0
)를 기준으로 네트워크를 정의하려면 이 옵션을 선택합니다. - 와일드카드 마스크(Wildcard mask) - 정책 적용의 범위를 일치하는 호스트 IP 주소 값을 공유하는 여러 IP 서브넷에 걸쳐 있는 디바이스 집합으로 좁히려면 이 옵션을 선택합니다. 와일드카드 마스크는 역 서브넷 마스크를 기준으로 하는 IP 또는 IP 주소 집합과 일치합니다. 마스크의 이진 값에 있는 '0'은 값이 고정되었음을 의미하고, 마스크의 이진 값에 있는 '1'은 값이 와일드카드(1 또는 0일 수 있음)임을 의미합니다. 예를 들어 IP 주소가 172.0.0인 와일드카드 마스크 0.0.0.255(해당 이진 = 00000000.00000000.00000000.11111111)에서 처음 3개의 8진수는 고정 값이고 마지막 8진수는 변수 값입니다. 이 옵션은 IPv4 주소에만 사용할 수 있습니다.
- CIDR 접두사(CIDR prefix) - 네트워크가 CIDR 값(예:
- 포트(Port) - 지정된 소스 포트 또는 포트 범위의 트래픽을 일치시킵니다.
- 운영 체제(Operating System) - 드롭다운 메뉴에서 선택된 지정된 운영 체제의 트래픽을 일치시킵니다.
대상(Destination) 대상 트래픽에 대해 일치 조건을 지정할 수 있습니다. 다음 옵션 중 하나를 선택합니다. - 임의(Any) - 기본적으로 모든 대상 트래픽과 일치합니다.
- 개체 그룹(Object Group) - 대상과 일치시키도록 주소 그룹 및 포트 그룹의 조합을 선택할 수 있습니다.
주소 유형(Address Type)이 IPv4인 경우 주소 그룹의 IPv4 주소만 트래픽 대상과 일치하는 것으로 간주됩니다.
주소 유형(Address Type)이 IPv6인 경우 주소 그룹의 IPv6 주소만 트래픽 대상과 일치하는 것으로 간주됩니다.
주소 유형(Address Type)이 혼합(Mixed)인 경우 주소 그룹의 IPv4 및 IPv6 주소만 트래픽 대상과 일치하는 것으로 간주됩니다.
자세한 내용은 개체 그룹 및 개체 그룹을 사용하여 비즈니스 정책 구성 항목을 참조하십시오. - 정의(Define) - 특정 IP 주소, 도메인 이름, 프로토콜 또는 포트에 대한 트래픽의 일치 조건을 정의할 수 있습니다. 다음 옵션 중 하나를 선택하십시오. 기본적으로 임의(Any)가 선택되어 있습니다.
- 임의(Any) - 모든 대상 트래픽과 일치합니다.
- 인터넷(Internet) - 모든 인터넷 트래픽(SD-WAN 경로와 일치하지 않는 트래픽)을 대상에 일치시킵니다.
- Edge - 모든 트래픽을 Edge에 일치시킵니다.
- 게이트웨이를 통한 비 SD-WAN 대상(Non SD-WAN Destinations via Gateway) - 프로필과 연결되며 게이트웨이를 통해 지정된 비 SD-WAN 대상에 모든 트래픽을 일치시킵니다. 프로필 수준에서 게이트웨이를 통한 비 SD-WAN 사이트와 연결되어 있는지 확인합니다.
- Edge를 통한 비 SD-WAN 대상(Non SD-WAN Destinations via Edge) - Edge 또는 프로필과 연결되며 Edge를 통해 지정된 비 SD-WAN 대상에 모든 트래픽을 일치시킵니다. 프로필 또는 Edge 수준에서 Edge를 통한 비 SD-WAN 사이트와 연결되어 있는지 확인합니다.
프로토콜(Protocol) - 드롭다운 메뉴에서 선택된 지정된 프로토콜에 트래픽을 일치시킵니다. 지원되는 프로토콜은 GRE, ICMP, TCP 및 UDP입니다.참고: ICMP는 혼합(Mixed) 모드에서 지원되지 않습니다.도메인(Domain) - 전체 도메인 이름 또는 도메인 이름(Domain Name) 필드에 지정된 도메인 이름의 일부에 트래픽을 일치시킵니다. 예를 들어 \"salesforce\"를 입력하면 \"www.salesforce.com\"에 대한 트래픽을 일치 항목으로 검색합니다.
애플리케이션(Application) 다음 옵션 중 하나를 선택합니다. - 임의(Any) - 기본적으로 모든 애플리케이션에 비즈니스 정책 규칙을 적용합니다.
- 정의(Define) - 비즈니스 정책 규칙을 적용할 특정 애플리케이션을 선택할 수 있습니다. 또한 미리 설정된 DSCP/TOS 태그를 사용하여 전송되는 트래픽과 일치하도록 DSCP 값을 지정할 수 있습니다.
참고:- 애플리케이션과만 일치하는 비즈니스 정책 규칙을 생성할 때 이러한 애플리케이션에 대해 네트워크 서비스 작업을 적용하려면 Edge가 DPI(심층 패킷 검사) 엔진을 사용해야 할 수 있습니다. 일반적으로 DPI는 첫 번째 패킷을 기준으로 애플리케이션을 확인하지 않습니다. DPI 엔진은 일반적으로 애플리케이션을 식별하기 위해 흐름의 처음 5-10개 패킷이 필요합니다. 수신된 처음 몇 개 패킷의 경우 트래픽이 분류되지 않고 덜 구체적인 비즈니스 정책과 일치하므로 트래픽이 일치하는 정책에 따라 다른 경로(예: '다중 경로'가 아닌 '직접')를 사용하게 됩니다. DPI가 트래픽 유형을 확인하면 이 유형의 트래픽에 대해 구성된 보다 구체적인 정책과 일치합니다. 그러나 새 경로로 조절되면 흐름이 중단되기 때문에 해당 흐름은 일치하는 원래 정책의 경로를 계속 유지합니다. 이로 인해 특정 대상 IP 및 포트로의 첫 번째 흐름이 하나의 경로를 사용할 수 있습니다. 애플리케이션 캐시가 채워지면 동일한 대상 IP 및 포트로의 후속 흐름은 이 유형의 트래픽에 대해 보다 구체적인 정책에 구성된 다른 경로를 따릅니다.
- DPI가 트래픽을 분류하면 애플리케이션 캐시에 대상 IP 및 포트를 추가하고, 동일한 대상 IP 및 포트로의 후속 흐름을 즉시 분류합니다. 해당 대상 IP 및 포트로 이동하는 트래픽이 10분 동안 없으면 애플리케이션 캐시 항목이 만료됩니다. 대상 IP 및 포트에 대한 다음 흐름은 DPI를 다시 통과해야 하며, DPI가 애플리케이션을 식별하기 전에 일치하는 정책에 따라 예기치 않은 경로를 사용할 수 있습니다.
- 작업(Action) 영역에서 규칙에 대한 작업을 구성합니다.
설정 설명 우선 순위(Priority) 규칙의 우선 순위를 다음 중 하나로 지정합니다. - 높음(High)
- 보통(Normal)
- 낮음(Low)
참고: 속도 제한은 흐름별로 수행됩니다. 업스트림 트래픽에 대한 속도 제한은 비즈니스 정책에서 링크 또는 Edge 인터페이스를 지정하는 경우에만 작동합니다. [조절(Steering)] 옵션을 [자동(Auto)], [전송(Transport)] 또는 [그룹(Group)]으로 설정하면 해당 링크의 총 대역폭에 속도 제한이 적용됩니다. 이 경우 예상한 대로 엄격한 속도 제한이 적용되지 않을 수 있습니다. 엄격한 속도 제한을 적용하려면 비즈니스 정책에서 트래픽을 단일 링크 또는 Edge 인터페이스로 조절해야 합니다.네트워크 서비스(Network Service) 네트워크 서비스(Network Service)를 다음 옵션 중 하나로 설정합니다. - 직접(Direct) - SD-WAN Gateway를 우회하여 WAN 회로에서 대상으로 직접 트래픽을 전송합니다.
참고:
Edge는 기본적으로 비즈니스 정책보다 보안 경로를 선호합니다. 실제로 이것은 비즈니스 정책이 직접 경로를 통해 해당 트래픽을 전송하도록 구성되어 있더라도 Edge가 파트너 게이트웨이 또는 다른 Edge에서의 보안 기본 경로 또는 보다 구체적인 보안 경로를 수신한 경우 다중 경로(경로에 따라 분기 간 또는 게이트웨이를 통한 클라우드)를 통해 트래픽을 전달한다는 것을 의미합니다.
고객에 대해 “보안 기본 경로 재정의(Secure Default Route Override)” 기능을 활성화하여 파트너 게이트웨이 보안 경로에 대해 이 동작을 재정의할 수 있습니다. 파트너 수퍼유저 또는 운영자는 이 기능을 활성화하여 비즈니스 정책과 일치하는 모든 파트너 게이트웨이 보안 경로를 재정의할 수 있습니다. "보안 기본 경로 재정의(Secure Default Route Override)"는 허브 보안 경로를 재정의하지 않습니다.
- 다중 경로(Multi-Path) - 한 SD-WAN Edge에서 다른 SD-WAN Edge로 트래픽을 전송합니다.
- 인터넷 백홀(Internet Backhaul) - 대상(Destination)이 인터넷(Internet)으로 설정된 경우에만 이 네트워크 서비스가 활성화됩니다.
참고: 인터넷 백홀(Internet Backhaul) 네트워크 서비스는 인터넷 트래픽(알려진 로컬 경로 또는 VPN 경로와 일치하지 않는 네트워크 접두사로 향하는 WAN 트래픽)에만 적용됩니다.
이러한 옵션에 대한 자세한 내용은 비즈니스 정책 규칙에 대한 네트워크 서비스 구성 항목을 참조하십시오.
프로필 수준에서 조건부 백홀을 활성화한 경우 기본적으로 해당 프로필에 대해 구성된 모든 비즈니스 정책에 적용됩니다. 조건부 백홀 해제(Turn off Conditional Backhaul) 확인란을 선택하여 선택한 정책의 조건부 백홀을 해제함으로써 선택한 트래픽(직접, 다중 경로, CSS)을 이 동작에서 제외할 수 있습니다.
조건부 백홀 기능을 활성화하고 문제를 해결하는 방법에 대한 자세한 내용은 조건부 백홀 항목을 참조하십시오.
링크 조절(Link Steering) 다음 링크 조절 모드 중 하나를 선택합니다. - 자동(Auto) - 기본적으로 모든 애플리케이션이 자동 링크 조절 모드로 설정됩니다. 애플리케이션을 자동 링크 조절 모드에 있는 경우 DMPO는 자동으로 애플리케이션 유형을 기준으로 최상의 링크를 선택하고, 필요할 때 자동으로 요청 시 업데이트 적용을 활성화합니다. 드롭다운 메뉴에서 내부 패킷 DSCP 태그(Inner Packet DSCP Tag)를 입력하고 드롭다운 메뉴에서 외부 패킷 DSCP 태그(Outer Packet DSCP Tag)를 입력합니다.
- 전송 그룹(Transport Group) - 동일한 비즈니스 정책 구성을 서로 다른 디바이스 유형 또는 위치(WAN 통신업체 및 WAN 인터페이스가 완전히 다를 수 있음)에 적용할 수 있도록 조절 정책에 다음 전송 그룹 옵션 중 하나를 지정합니다.
- 공용 유선(Public Wired)
- 공용 무선(Public Wireless)
- 사설 유선(Private Wired)
- 인터페이스(Interface) - 링크 조절은 물리적 인터페이스에 연결되며 주로 라우팅 용도로 사용됩니다.
참고: 이 옵션은 Edge 재정의 수준에서만 허용됩니다.
- WAN 링크(WAN Link) - 특정 개인 링크를 기준으로 정책 규칙을 정의할 수 있습니다. 이 옵션의 경우 인터페이스 구성은 WAN 링크 구성과는 별도로 구분됩니다. 수동으로 구성되었거나 자동 검색된 WAN 링크를 선택할 수 있게 됩니다.
참고: 이 옵션은 Edge 재정의 수준에서만 허용됩니다.
참고: 네트워크 서비스가 직접(Direct)으로 구성되면 [링크 조절(Link Steering)] 모드에서 IPv6 전용 인터페이스 및 IPv6 전용 WAN 링크가 지원되지 않습니다.링크 조절 모드 및 DSCP, 언더레이 및 오버레이 트래픽에 대한 DSCP 표시와 관련된 자세한 내용은 링크 조절 모드 구성 항목을 참조하십시오.
NAT NAT를 활성화하거나 비활성화합니다. 이 옵션은 혼합(Mixed) 모드에서 사용할 수 없습니다. 자세한 내용은 정책 기반 NAT 구성을 참조하십시오. 서비스 클래스(Service Class) 다음 서비스 클래스 옵션 중 하나를 선택합니다. - 실시간(Real-time)
- 트랜잭션(Transactional)
- 대량(Bulk)
참고: 이 옵션은 사용자 지정 애플리케이션에만 해당됩니다.VMware 애플리케이션/범주는 이러한 범주 중 하나에 속합니다. - 확인(OK)을 클릭합니다. 선택한 프로필에 대한 비즈니스 정책 규칙이 생성되고 프로필 비즈니스 정책(Profile Business Policy) 페이지의 비즈니스 정책(Business Policy) 영역 아래에 나타납니다.
IPv6 및 혼합(Mixed) 모드의 경우 Orchestrator에서 비즈니스 정책 규칙 생성만 수행할 수 있습니다. 업데이트 및 삭제와 같은 나머지 작업은 API를 통해서만 수행할 수 있습니다.
관련 정보: 오버레이 QoS CoS 매핑