As regras de política empresarial são configuradas para direcionar o tráfego, para a gestão da largura de banda e para garantir a qualidade do serviço com base em critérios como aplicação, origem e destino, etc. Operadores, parceiros e administradores de todos os níveis podem criar uma política empresarial. A política empresarial corresponde a parâmetros como endereços IP, portas, IDs VLAN, interfaces, nomes de domínio, protocolos, sistema operativo, grupos de objetos, aplicações e etiquetas DSCP. Quando um pacote de dados corresponde às condições de correspondência, é realizada a ação ou ações associadas. Se um pacote não corresponder a nenhum parâmetro, será realizada uma ação predefinida no pacote. Pode criar políticas empresariais para um perfil e um Edge.

Pré-requisitos

Certifique-se de que tem os detalhes dos endereços IP da sua rede.

Procedimento

  1. No serviço SD-WAN do portal da empresa, aceda a Configurar (Configure) > Perfis (Profiles). A página Perfis (Profiles) apresenta os perfis existentes.
  2. Clique na ligação para um perfil ou clique na ligação Ver (View) na coluna Dispositivo (Device) do perfil. As opções de configuração são apresentadas no separador Dispositivo (Device).
  3. Clique no separador Política empresarial (Business Policy).
    A partir da página Perfis (Profiles), pode navegar diretamente para a página Política Empresarial (Business Policy) ao clicar na ligação Ver (View) na coluna Política empresarial (Biz. Pol.) do perfil.
  4. Na página Política empresarial (Business Policy), clique em + ADICIONAR (+ADD). É apresentada a janela Adicionar regra (Add Rule).
  5. Introduza o Nome da regra e selecione a versão IP. Pode configurar os endereços IP de origem e destino de acordo com a versão de IP selecionada, da seguinte forma:
    • IPv4 e IPv6 (IPv4 and IPv6) – Permite configurar tanto endereços IPv4 como IPv6 nos critérios de correspondência. Se escolher este modo, poderá escolher os endereços IP de grupos de objetos que contenham grupos de endereços com ambos os tipos de grupos de endereços. Por predefinição, este tipo de endereço está selecionado.
    • IPv4 – aplicável ao tráfego apenas com o endereço IPv4 como origem e destino.
    • IPv6 – aplicável ao tráfego apenas com o endereço IPv6 como origem e destino.
      Nota: Ao atualizar, as regras de política empresarial de versões anteriores são transferidas para o modo IPv4.
  6. No separador Correspondência (Match), configure os critérios de correspondência para o tráfego de origem, destino e aplicação.
    Campo Descrição
    Origem (Source)
    Permite especificar a origem dos pacotes. Selecione qualquer uma das seguintes opções:
    • Qualquer (Any) – Permite todos os endereços de origem, por predefinição.
    • Grupo de objetos (Object Group) – Permite selecionar uma combinação de grupo de endereços e grupo de serviços.

      Se o tipo de endereço for IPv4, apenas o endereço IPv4 dos grupos de endereços será considerado como correspondente à origem do tráfego.

      Se o tipo de endereço for IPv6, apenas o endereço IPv6 dos grupos de endereços será considerado como correspondente à origem do tráfego.

      Se o tipo de endereço for IPv4 e IPv6, os endereços IPv4 e IPv6 dos grupos de endereços serão considerados como correspondentes à origem do tráfego.

      Para obter mais informações, consulte Grupos de objetos e Configurar políticas empresariais com o grupo de objetos.
      Nota: Se o grupo de endereços selecionado incluir nomes de domínio, estes serão ignorados aquando da correspondência para a origem.
    • Definir (Define) – Permite definir o tráfego de origem a partir de uma VLAN, interface, endereço IP, porta ou sistema operativo específicos. Selecione uma das seguintes opções:
      • VLAN – Corresponde ao tráfego da VLAN especificada, selecionada no menu pendente.
      • Interface – Corresponde ao tráfego da interface especificada, selecionada no menu pendente.
        Nota: Se não for possível selecionar uma interface, a interface não estará ativada ou atribuída a este segmento.
      • Endereço IP (IP Address) – Corresponde ao tráfego do endereço IP especificado (IPv4 ou IPv6).
        Nota: Esta opção não estará disponível se selecionar IPv4 e IPv6 (IPv4 and IPv6) (modo misto) como a versão de IP. No modo misto, o tráfego é correspondido com base na VLAN ou interface especificadas.
        Juntamente com o endereço IP, pode especificar um dos seguintes tipos de endereço para corresponder ao tráfego de origem:
        • Prefixo CIDR (CIDR prefix) – Escolha esta opção se pretender que a rede seja definida como um valor CIDR (por exemplo: 172.10.0.0 /16).
        • Máscara de sub-rede (Subnet mask) – Escolha esta opção se pretender que a rede seja definida como uma máscara de sub-rede (por exemplo, 172.10.0.0 255.255.0.0).
        • Máscara de carácter universal (Wildcard mask) – Escolha esta opção se pretender reduzir a aplicação de uma política a um conjunto de dispositivos em diferentes sub-redes IP que partilham um valor de endereço IP anfitrião correspondente. A máscara de carácter universal corresponde a um IP ou a um conjunto de endereços IP baseados na máscara de sub-rede invertida. Um “0” dentro do valor binário da máscara significa que o valor é fixo e um “1” dentro do valor binário da máscara significa que o valor é variável (pode ser 1 ou 0). Por exemplo, numa máscara de carácter universal de 0.0.0.255 (equivalente binário = 00000000.00000000.00000000.11111111) com um endereço IP de 172.0.0, os três primeiros octetos são valores fixos e o último octeto é um valor variável. Esta opção está disponível apenas para o endereço IPv4.
      • Portas (Ports) – Corresponde ao tráfego da porta de origem especificada ou do intervalo de porta.
      • Sistema operativo (Operating System) – Corresponde ao tráfego do sistema operativo especificado, selecionado no menu pendente.
    Destino (Destination) Permite especificar o destino dos pacotes. Selecione qualquer uma das seguintes opções:
    • Qualquer (Any) – Permite todos os endereços de destino, por predefinição.
    • Grupo de objetos (Object Group) – Permite selecionar uma combinação de grupo de endereços e grupo de serviços. Para obter mais informações, consulte Grupos de objetos e Configurar políticas empresariais com o grupo de objetos.
    • Definir (Define) – Permite definir os critérios de correspondência para o tráfego de destino com um endereço IP, nome de domínio, protocolo ou porta específico. Selecione uma das seguintes opções. Por predefinição, Qualquer (Any) é a opção selecionada:
      • Qualquer (Any) – Corresponde a todo o tráfego de destino.
      • Internet – Corresponde a todo o tráfego de Internet (tráfego que não corresponde a uma rota SD-WAN) com o destino.
      • Edge – Corresponde a todo o tráfego com um Edge.
      • Destino Não-SD-WAN via Gateway (Non SD-WAN Destination via Gateway) – Corresponde a todo o tráfego com o Destino Não-SD-WAN especificado através do gateway, associado a um perfil. Certifique-se de que associou os Non-SD-WAN Sites via gateway ao nível do perfil.
      • Destino Não-SD-WAN via Edge (Non SD-WAN Destination via Edge) – Corresponde a todo o tráfego com o Destino Não-SD-WAN especificado através do Edge, associado a um Edge ou perfil. Certifique-se de que associou os Non-SD-WAN Sites via Edge ao nível do perfil ou Edge.
    • Nome de domínio (Domain Name) – Corresponde ao tráfego de todo o nome de domínio ou de uma parte do nome de domínio especificado no campo Nome de domínio (Domain Name). Por exemplo, \“salesforce\” corresponderá ao tráfego com “www.salesforce.com\”.
    • Protocolo (Protocol) – Corresponde ao tráfego do protocolo especificado, selecionado no menu pendente. Os protocolos suportados são: GRE, ICMP, TCP e UDP.
      Nota: O ICMP não é suportado no modo Misto (Mixed).
    • Portas (Ports) – Corresponde ao tráfego da porta de origem especificada ou do intervalo de porta.
    Aplicação (Application) Selecione uma das seguintes opções:
    • Qualquer (Any) – Aplica a regra da política empresarial a qualquer aplicação por predefinição.
    • Definir (Define) – Permite selecionar uma aplicação específica para aplicar a regra da política empresarial. Além disso, um valor DSCP pode ser especificado para corresponder ao tráfego que vem com uma etiqueta DSCP/TOS predefinida.
    Nota:
    • Ao criar uma regra de política empresarial que corresponda apenas a uma aplicação, para aplicar a Ação de Serviço de Rede para essa aplicação, o Edge poderá ter de utilizar o Motor de DPI (Deep Packet Inspection). Geralmente, a DPI não determina a aplicação com base no primeiro pacote. O Motor de DPI precisa geralmente dos primeiros 5 a 10 pacotes no fluxo para identificar a aplicação. Para os primeiros pacotes recebidos, o tráfego não é classificado e corresponde a uma política empresarial menos específica, o que pode fazer com que o tráfego siga um caminho diferente, ou seja, “Direto” (Direct) em vez de “MultiPath”, dependendo da política a que corresponde. Assim que o DPI determina o tipo de tráfego, efetua a correspondência a uma política mais específica configurada para este tipo de tráfego. No entanto, esse fluxo continua a seguir o caminho da política original a que correspondia, uma vez que o direcionamento para um novo caminho quebraria o fluxo. Isto pode fazer com que o primeiro fluxo para um IP e uma porta de destino específicos siga um caminho. Assim que a cache da aplicação for preenchida, os fluxos subsequentes para o mesmo IP e porta de destino seguem outro caminho, conforme configurado numa política mais específica para este tipo de tráfego.
    • Assim que o DPI classifica o tráfego, adiciona o IP e a porta de destino à cache da aplicação e classifica imediatamente quaisquer fluxos subsequentes para o mesmo IP e porta de destino. A entrada da cache da aplicação expira após 10 minutos sem tráfego para esse IP e porta de destino. O fluxo seguinte para esse IP e porta de destino tem de passar novamente pelo DPI e pode seguir um caminho inesperado com base na política a que corresponde antes de o DPI identificar a aplicação.
  7. No separador Ação (Action), configure as ações a realizar quando o tráfego corresponder aos critérios definidos.
    Nota: Dependendo das escolhas feitas em Correspondência (Match), algumas ações poderão não estar disponíveis.
    Campo Descrição
    Prioridade (Priority) Designe a prioridade da regra como uma das seguintes:
    • Alta (High)
    • Normal
    • Baixa (Low)
    Ativar limite de taxa (Enable Rate Limit) Selecione a caixa de verificação Ativar limite de taxa (Enable Rate Limit) para definir os limites para as direções de tráfego de entrada e saída.
    Nota: A limitação da taxa é efetuada por fluxo. A limitação da taxa para o tráfego a montante só funciona quando especifica uma ligação ou uma interface Edge na Política empresarial. Se definir a opção Direção (Steering) como Automática (Auto), Transporte (Transport) ou Grupo (Group), o limite de taxa será aplicado à largura de banda total de todas as ligações correspondentes. Isto pode não impor um limite de taxa rigoroso como poderia esperar. Se pretender impor um limite de taxa rigoroso, direcione o tráfego para uma única ligação ou interface Edge na Política empresarial.
    Serviço de rede (Network Service) Defina o Serviço de rede (Network Service) para uma das seguintes opções:
    • Direto (Direct) – Envia o tráfego para fora do circuito WAN diretamente para o destino, ignorando o SD-WAN Gateway.
      Nota:

      Por predefinição, o Edge prefere um caminho seguro em vez de uma política empresarial. Na prática, isto significa que o Edge encaminhará o tráfego via Multicaminho (Ramo a ramo ou Cloud via Gateway, consoante o caminho) mesmo que uma política empresarial esteja configurada para enviar esse tráfego através do Caminho direto se o Edge tiver recebido caminhos predefinidos seguros ou caminhos seguros mais específicos do Gateway de parceiro ou de outro Edge.

      Este comportamento pode ser substituído por caminhos seguros do Gateway de parceiro ao ativar a funcionalidade “Sobreposição de caminho predefinido seguro” (Secure Default Route Override) para um cliente. Um operador ou um superutilizador parceiro pode ativar esta funcionalidade que sobrepõe todos os caminhos seguros do Gateway de parceiro que também correspondam a uma política empresarial. A funcionalidade “Sobreposição de caminho predefinido seguro” (Secure Default Route Override) não substitui os caminhos seguros do Hub.

    • Multicaminho (Muti-path) – Envia o tráfego de um SD-WAN Edge para outro SD-WAN Edge.
    • Backhaul de Internet (Internet Backhaul) – Este serviço de rede só é ativado se a opção Destino (Destination) estiver definida como Internet.
      Nota: O serviço de rede Backhaul de Internet (Internet Backhaul) só se aplicará ao tráfego de Internet (tráfego WAN destinado a prefixos de rede que não correspondam a um caminho local conhecido ou caminho VPN).

      Para obter informações sobre estas opções, consulte Configurar o serviço de rede da regra de política empresarial.

    Se o backhaul condicional estiver ativado ao nível do perfil, por predefinição, aplicam-se a todas as políticas empresariais configuradas para esse perfil. Pode desativar o backhaul condicional para as políticas selecionadas para excluir o tráfego selecionado (direto, multicaminho e CSS) deste comportamento selecionando a caixa de verificação Desativar o backhaul condicional (Turn off Conditional Backhaul).

    Para obter mais informações sobre como ativar e resolver problemas sobre a funcionalidade de backhaul condicional, consulte Backhaul condicional.

    Direção de ligação (Link Steering) Selecione um dos seguintes modos de direção de ligação:
    • Auto – Por predefinição, todas as aplicações estão definidas para o modo de direção de ligação automática. Quando uma aplicação está no modo de direção de ligação automática, o DMPO escolhe automaticamente as melhores ligações com base no tipo de aplicação e permite automaticamente a remediação a pedido quando necessário.
      • Grupo de transporte (Transport Group) – Especifique qualquer uma das seguintes opções de grupo de transporte na política de direção para que a mesma configuração de política empresarial possa ser aplicada em diferentes tipos ou locais de dispositivos, que podem ter operadoras WAN e interfaces WAN completamente diferentes:
        • Pública com fios (Public Wired)
        • Pública sem fios (Public Wireless)
        • Privada com fios (Private Wired)
      • Interface – A direção de ligação está ligada a uma interface física e será utilizada principalmente para fins de routing.
        Nota: Esta opção só é permitida ao nível de sobreposição de configuração do Edge.
      • Ligação WAN (WAN Link) – Permite definir regras de políticas baseadas em ligações privadas específicas. Para esta opção, a configuração da interface é separada e distinta da configuração da ligação WAN. Poderá selecionar uma ligação WAN que foi configurada manualmente ou autodescoberta.
        Nota: Esta opção só é permitida ao nível de sobreposição de configuração do Edge.
    • Etiqueta DSCP de pacote interno (Inner Packet DSCP Tag) – Selecione uma etiqueta DSCP de pacote interno no menu pendente.
    • Etiqueta DSCP de pacote externo (Outer Packet DSCP Tag) – Selecione uma etiqueta DSCP de pacote externo no menu pendente.
    Nota: Quando o Serviço de rede (Network Service) é configurado como Direto (Direct), as interfaces apenas IPv6 e ligações WAN apenas IPv6 não são suportadas no modo Direção de ligação (Link Steering).

    Para obter mais informações sobre os modos de direção de ligação e DSCP, marcação DSCP para tráfego de underlay e overlay, consulte Configurar os modos de direção de ligação.

    Ativar NAT (Enable NAT) Ative ou desative o NAT. Esta opção não está disponível para o modo IPv4 e IPv6 (IPv4 and IPv6). Para obter mais informações, consulte Configurar NAT baseado em políticas.
    Classe de serviço (Service Class) Selecione uma das seguintes opções de classe de serviço:
    • Tempo real (Real-time)
    • Transacional (Transactional)
    • Em massa (Bulk)
    Nota: Esta opção é apenas para uma aplicação personalizada.
    As aplicações/categorias do VMware pertencem a uma destas categorias.
  8. Depois de configurar as definições necessárias, clique em Criar (Create).
    Uma regra de política empresarial é criada para o perfil selecionado e aparece na área Regras de política empresarial (Business Policy Rules) da página Política empresarial do perfil (Profile Business Policy).
    Nota: As regras criadas ao nível do perfil não podem ser atualizadas ao nível do Edge. Para sobrepor a regra, o utilizador tem de criar a mesma regra ao nível do Edge com novos parâmetros para sobrepor a regra ao nível do perfil.

    Para os modos IPv6 e IPv4 e IPv6 (IPv4 and IPv6), só pode criar regras de política empresarial no Orchestrator. Poderá realizar as restantes operações, como Atualizar e Eliminar, apenas através da API.

    Informações relacionadas: Mapeamento CoS de QoS de overlay