As regras de política empresarial são configuradas para direcionar o tráfego, para a gestão da largura de banda e para garantir a qualidade do serviço com base em critérios como aplicação, origem e destino, etc. Operadores, parceiros e administradores de todos os níveis podem criar uma política empresarial. A política empresarial corresponde a parâmetros como endereços IP, portas, IDs VLAN, interfaces, nomes de domínio, protocolos, sistema operativo, grupos de objetos, aplicações e etiquetas DSCP. Quando um pacote de dados corresponde às condições de correspondência, é realizada a ação ou ações associadas. Se um pacote não corresponder a nenhum parâmetro, será tomada uma ação predefinida no pacote.

Antes de começar: conheça os endereços IP dos dispositivos e compreenda as implicações de configurar uma máscara de carácter universal.

Para criar uma política empresarial:
  1. No SD-WAN Orchestrator, clique em Configurar > Perfis > Política empresarial (Configure > Profiles > Business Policy).
  2. A página Política empresarial (Business Policy) apresenta as políticas existentes. Para criar uma nova política empresarial, clique em Nova regra (New Rule).
  3. Na janela Configurar regra (Configure Rule) apresentada, configure o seguinte:
  4. Na caixa Nome da regra (Rule Name), introduza um nome exclusivo para a regra.
  5. Na área Match (Correspondência), configure as condições de correspondência para o fluxo de tráfego. A opção que escolher pode alterar os campos na caixa de diálogo:
    Definições Descrição
    Tipo Por predefinição, está selecionado o tipo de endereço IPv4. Pode configurar os endereços IP de origem e destino de acordo com o tipo selecionado, da seguinte forma:
    • Misto (Mixed) – Permite configurar endereços IPv4 e IPv6 nos critérios de correspondência. Se escolher este modo, poderá escolher os endereços IP de grupos de objetos que contenham grupos de endereços com ambos os tipos de grupos de endereços.
    • IPv4 – aplicável ao tráfego apenas com o endereço IPv4 como origem e destino. Por predefinição, este tipo de endereço está selecionado.
    • IPv6 – aplicável ao tráfego apenas com o endereço IPv6 como origem e destino.
      Nota: Para configurar as regras de política empresarial com o tipo de endereço Misto (Mixed) ou IPv6,, tem de utilizar a Nova IU do Orchestrator. Para obter mais informações, consulte Criar regra de política empresarial com a nova IU do Orchestrator.
    Nota: Ao atualizar, as regras de política empresarial de versões anteriores são transferidas para o modo IPv4.
    Origem Permite especificar critérios de correspondência para o tráfego de origem. Selecione qualquer uma das seguintes opções:
    • Qualquer (Any) – Corresponde a todo o tráfego de origem, por predefinição.
    • Grupo de objetos (Object Group) – permite selecionar uma combinação de grupo de endereços e grupo de portas que devem corresponder para a origem.

      Se Tipo de endereço (Address Type) for IPv4, apenas o endereço IPv4 dos grupos de endereços será considerado como correspondente à origem do tráfego.

      Se Tipo de endereço (Address Type) for IPv6, apenas o endereço IPv6 dos grupos de endereços será considerado como correspondente à origem do tráfego.

      Se Tipo de endereço (Address Type) for Misto (Mixed), os endereços IPv4 e IPv6 em Grupos de endereços (Address Groups) serão considerados como correspondentes à origem do tráfego.

      Para obter mais informações, consulte Grupos de objetos e Configurar políticas empresariais com grupos de objetos.
      Nota: Se o grupo de endereços selecionado incluir nomes de domínio, estes serão ignorados aquando da correspondência para a origem.
    • Definir (Define) – Permite definir os critérios de correspondência para o tráfego de origem a partir de uma VLAN, interface, endereço IP, porta ou sistema operativo específico. Selecione uma das seguintes opções, por predefinição, Nenhum (None) é a opção selecionada:
      • VLAN – Corresponde ao tráfego da VLAN especificada, selecionada no menu pendente.
      • Interface – Corresponde ao tráfego da interface especificada, selecionada no menu pendente.
        Nota: Se não for possível selecionar uma interface, a interface não estará ativada ou atribuída a este segmento.
      • Endereço IP – Corresponde ao tráfego do endereço IPv4 ou IPv6 especificado. Esta opção não está disponível para o modo Misto (Mixed). Juntamente com o endereço IP, pode especificar uma das seguintes opções para corresponder ao tráfego de origem:
        • Prefixo CIDR (CIDR prefix) – Escolha esta opção se pretender que a rede seja definida como um valor CIDR (por exemplo: 172.10.0.0 /16).
        • Máscara de sub-rede (Subnet mask) – Escolha esta opção se pretender que a rede seja definida como uma máscara de sub-rede (por exemplo, 172.10.0.0 255.255.0.0).
        • Máscara de carácter universal (Wildcard mask) – Escolha esta opção se pretender reduzir a aplicação de uma política a um conjunto de dispositivos em diferentes sub-redes IP que partilham um valor de endereço IP anfitrião correspondente. A máscara de carácter universal corresponde a um IP ou a um conjunto de endereços IP baseados na máscara de sub-rede invertida. Um “0” dentro do valor binário da máscara significa que o valor é fixo e um “1” dentro do valor binário da máscara significa que o valor é variável (pode ser 1 ou 0). Por exemplo, numa máscara de carácter universal de 0.0.0.255 (equivalente binário = 00000000.00000000.00000000.11111111) com um endereço IP de 172.0.0, os três primeiros octetos são valores fixos e o último octeto é um valor variável. Esta opção está disponível apenas para o endereço IPv4.
      • Porta (Port) – Corresponde ao tráfego da porta de origem especificada ou do intervalo de porta.
      • Sistema operativo (Operating System) – Corresponde ao tráfego do sistema operativo especificado, selecionado no menu pendente.
    Destino Permite especificar critérios de correspondência para o tráfego de destino. Selecione qualquer uma das seguintes opções:
    • Qualquer (Any) – Corresponde todo o tráfego de destino, por predefinição.
    • Grupo de objetos (Object Group) – permite selecionar uma combinação de grupo de endereços e grupo de portas que devem corresponder para o destino.

      Se Tipo de endereço (Address Type) for IPv4, apenas o endereço IPv4 dos grupos de endereços será considerado como correspondente ao destino do tráfego.

      Se Tipo de endereço (Address Type) for IPv6, apenas o endereço IPv6 dos grupos de endereços será considerado como correspondente ao destino do tráfego.

      Se Tipo de endereço (Address Type) for Misto (Mixed), os endereços IPv4 e IPv6 em Grupos de endereços (Address Groups) serão considerados como correspondentes ao destino do tráfego.

      Para obter mais informações, consulte Grupos de objetos e Configurar políticas empresariais com grupos de objetos.
    • Definir (Define) – Permite definir os critérios de correspondência para o tráfego de destino com um endereço IP, nome de domínio, protocolo ou porta específico. Selecione uma das seguintes opções. Por predefinição, Qualquer (Any) é a opção selecionada:
      • Qualquer (Any) – Corresponde a todo o tráfego de destino.
      • Internet – Corresponde a todo o tráfego de Internet (tráfego que não corresponde a uma rota SD-WAN) com o destino.
      • Edge – Corresponde a todo o tráfego com um Edge.
      • Destino não-SD-WAN via gateway (Non SD-WAN Destination via Gateway) – Corresponde a todo o tráfego com o Destino Não-SD-WAN especificado através do gateway, associado a um perfil. Certifique-se de que associou os Non-SD-WAN Sites via gateway ao nível do perfil.
      • Destino não-SD-WAN via Edge (Non SD-WAN Destination via Edge) – Corresponde a todo o tráfego com o Destino Não-SD-WAN especificado através do Edge, associado a um Edge ou perfil. Certifique-se de que associou os Non-SD-WAN Sites via Edge ao nível do perfil ou Edge.
      Protocolo (Protocol) – Corresponde ao tráfego do protocolo especificado, selecionado no menu pendente. Os protocolos suportados são: GRE, ICMP, TCP e UDP.
      Nota: O ICMP não é suportado no modo Misto (Mixed).

      Domínio (Domain) – Corresponde ao tráfego de todo o nome de domínio ou de uma parte do nome de domínio especificado no campo Nome de domínio (Domain Name). Por exemplo, \“salesforce\” corresponderá ao tráfego com “www.salesforce.com\”.

    Aplicação (Application) Selecione uma das seguintes opções:
    • Qualquer (Any) – Aplica a regra da política empresarial a qualquer aplicação por predefinição.
    • Definir (Define) – Permite selecionar uma aplicação específica para aplicar a regra da política empresarial. Além disso, um valor DSCP pode ser especificado para corresponder ao tráfego que vem com uma etiqueta DSCP/TOS predefinida.
    Nota:
    • Ao criar uma regra de política empresarial que corresponda apenas a uma aplicação, para aplicar a Ação de Serviço de Rede para essa aplicação, o Edge poderá ter de utilizar o Motor de DPI (Deep Packet Inspection). Geralmente, a DPI não determina a aplicação com base no primeiro pacote. O Motor de DPI precisa geralmente dos primeiros 5 a 10 pacotes no fluxo para identificar a aplicação. Para os primeiros pacotes recebidos, o tráfego não é classificado e corresponde a uma política empresarial menos específica, o que pode fazer com que o tráfego siga um caminho diferente, ou seja, “Direto” (Direct) em vez de “MultiPath”, dependendo da política a que corresponde. Assim que o DPI determina o tipo de tráfego, efetua a correspondência a uma política mais específica configurada para este tipo de tráfego. No entanto, esse fluxo continua a seguir o caminho da política original a que correspondia, uma vez que o direcionamento para um novo caminho quebraria o fluxo. Isto pode fazer com que o primeiro fluxo para um IP e uma porta de destino específicos siga um caminho. Assim que a cache da aplicação for preenchida, os fluxos subsequentes para o mesmo IP e porta de destino seguem outro caminho, conforme configurado numa política mais específica para este tipo de tráfego.
    • Assim que o DPI classifica o tráfego, adiciona o IP e a porta de destino à cache da aplicação e classifica imediatamente quaisquer fluxos subsequentes para o mesmo IP e porta de destino. A entrada da cache da aplicação expira após 10 minutos sem tráfego para esse IP e porta de destino. O fluxo seguinte para esse IP e porta de destino tem de passar novamente pelo DPI e pode seguir um caminho inesperado com base na política a que corresponde antes de o DPI identificar a aplicação.
    Dependendo das suas escolhas de Correspondência (Match), algumas ações podem não estar disponíveis.
  6. Na área Ação (Action), configure as ações para a regra:
    Definições Descrição
    Prioridade (Priority) Designe a prioridade da regra como uma das seguintes:
    • Alta (High)
    • Normal
    • Baixa (Low)
    Selecione a caixa de verificação Limite de taxa (Rate Limit) para definir os limites para as direções de tráfego de entrada e saída.
    Nota: A limitação da taxa é efetuada por fluxo. A limitação da taxa para o tráfego a montante só funciona quando especifica uma ligação ou uma interface Edge na Política empresarial. Se definir a opção Direção (Steering) como Automática (Auto), Transporte (Transport) ou Grupo (Group), o limite de taxa será aplicado à largura de banda total de todas as ligações correspondentes. Isto pode não impor um limite de taxa rigoroso como poderia esperar. Se pretender impor um limite de taxa rigoroso, direcione o tráfego para uma única ligação ou interface Edge na Política empresarial.
    Serviço de rede (Network Service) Defina o Serviço de rede (Network Service) para uma das seguintes opções:
    • Direto (Direct) – Envia o tráfego para fora do circuito WAN diretamente para o destino, ignorando o SD-WAN Gateway.
      Nota:

      Por predefinição, o Edge prefere um caminho seguro em vez de uma política empresarial. Na prática, isto significa que o Edge encaminhará o tráfego via Multicaminho (Ramo a ramo ou Cloud via Gateway, consoante o caminho) mesmo que uma política empresarial esteja configurada para enviar esse tráfego através do Caminho direto se o Edge tiver recebido caminhos predefinidos seguros ou caminhos seguros mais específicos do Gateway de parceiro ou de outro Edge.

      Este comportamento pode ser substituído por caminhos seguros do Gateway de parceiro ao ativar a funcionalidade “Sobreposição de caminho predefinido seguro” (Secure Default Route Override) para um cliente. Um operador ou um superutilizador parceiro pode ativar esta funcionalidade que sobrepõe todos os caminhos seguros do Gateway de parceiro que também correspondam a uma política empresarial. A funcionalidade “Sobreposição de caminho predefinido seguro” (Secure Default Route Override) não substitui os caminhos seguros do Hub.

    • Multicaminho (Muti-path) – Envia o tráfego de um SD-WAN Edge para outro SD-WAN Edge.
    • Backhaul de Internet (Internet Backhaul) – Este serviço de rede só é ativado se a opção Destino (Destination) estiver definida como Internet.
      Nota: O serviço de rede Backhaul de Internet (Internet Backhaul) só se aplicará ao tráfego de Internet (tráfego WAN destinado a prefixos de rede que não correspondam a um caminho local conhecido ou caminho VPN).

      Para obter informações sobre estas opções, consulte Configurar o serviço de rede da regra de política empresarial.

    Se o backhaul condicional estiver ativado ao nível do perfil, por predefinição, aplicam-se a todas as políticas empresariais configuradas para esse perfil. Pode desativar o backhaul condicional para as políticas selecionadas para excluir o tráfego selecionado (direto, multicaminho e CSS) deste comportamento selecionando a caixa de verificação Desativar o backhaul condicional (Turn off Conditional Backhaul).

    Para obter mais informações sobre como ativar e resolver problemas sobre a funcionalidade de backhaul condicional, consulte Backhaul condicional.

    Direção de ligação (Link Steering) Selecione um dos seguintes modos de direção de ligação:
    • Auto – Por predefinição, todas as aplicações estão definidas para o modo de direção de ligação automática. Quando uma aplicação está no modo de direção de ligação automática, o DMPO escolhe automaticamente as melhores ligações com base no tipo de aplicação e permite automaticamente a remediação a pedido quando necessário. Introduza uma etiqueta DSCP de pacote interno no menu pendente e uma etiqueta DSCP de pacote externo no menu pendente.
    • Grupo de transporte (Transport Group) – Especifique qualquer uma das seguintes opções de grupo de transporte na política de direção para que a mesma configuração de política empresarial possa ser aplicada em diferentes tipos ou locais de dispositivos, que podem ter operadoras WAN e interfaces WAN completamente diferentes:
      • Pública com fios (Public Wired)
      • Pública sem fios (Public Wireless)
      • Privada com fios (Private Wired)
    • Interface – A direção de ligação está ligada a uma interface física e será utilizada principalmente para fins de routing.
      Nota: Esta opção só é permitida ao nível de sobreposição de configuração do Edge.
    • Ligação WAN (WAN Link) – Permite definir regras de políticas baseadas em ligações privadas específicas. Para esta opção, a configuração da interface é separada e distinta da configuração da ligação WAN. Poderá selecionar uma ligação WAN que foi configurada manualmente ou autodescoberta.
      Nota: Esta opção só é permitida ao nível de sobreposição de configuração do Edge.
    Nota: Quando o Serviço de rede (Network Service) é configurado como Direto (Direct), as interfaces apenas IPv6 e ligações WAN apenas IPv6 não são suportadas no modo Direção de ligação (Link Steering).

    Para obter mais informações sobre os modos de direção de ligação e DSCP, marcação DSCP para tráfego de underlay e overlay, consulte Configurar os modos de direção de ligação.

    NAT Ative ou desative o NAT. Esta opção não está disponível para o modo Misto (Mixed). Para obter mais informações, consulte Configurar NAT baseado em políticas.
    Classe de serviço (Service Class) Selecione uma das seguintes opções de classe de serviço:
    • Tempo real (Real-time)
    • Transacional (Transactional)
    • Em massa (Bulk)
    Nota: Esta opção é apenas para uma aplicação personalizada.
    As aplicações/categorias do VMware pertencem a uma destas categorias.
  7. Clique em OK. A regra de política empresarial é criada para o perfil selecionado e aparece na área Política empresarial (Business Policy) da página Política empresarial do perfil (Profile Business Policy).

    Para os modos IPv6 e Misto, só pode criar regras de política empresarial no Orchestrator. Poderá realizar as restantes operações, como Atualizar e Eliminar, apenas através da API.

Informações relacionadas: Mapeamento CoS de QoS de overlay