商務原則規則會設定成根據應用程式、來源和目的地等準則,來操控流量、管理頻寬並確保服務品質。所有層級的操作員、合作夥伴和管理員都可以建立商務原則。商務原則會比對參數,例如 IP 位址、連接埠、VLAN 識別碼、介面、網域名稱、通訊協定、作業系統、物件群組、應用程式和 DSCP 標籤。當資料封包符合相符條件時,會採取相關聯的一或多個動作。如果封包不符合任何參數,則會在封包上採取預設動作。您可以為設定檔和 Edge 建立商務原則。

必要條件

請確定您具有網路 IP 位址的詳細資料。

程序

  1. 在企業入口網站的 SD-WAN 服務中,移至設定 (Configure) > 設定檔 (Profiles)設定檔 (Profiles) 頁面即會顯示現有的設定檔。
  2. 按一下設定檔的連結,或按一下設定檔的裝置 (Device) 資料行中的檢視 (View) 連結。裝置 (Device) 索引標籤中會顯示組態選項。
  3. 按一下商務原則 (Business Policy) 索引標籤。
    設定檔 (Profiles) 頁面中,您可以直接導覽至 商務原則 (Business Policy) 頁面,方法是按一下設定檔的 商務原則 (Business Policy) 資料行中的 檢視 (View) 連結。
  4. 商務原則 (Business Policy) 頁面中,按一下 + 新增 (+ ADD)新增規則 (Add Rule) 視窗即會顯示。
  5. 輸入規則名稱,並選取 IP 版本。您可以根據選取的 IP 版本,來設定來源和目的地 IP 位址,如下所示:
    • IPv4 和 IPv6 (IPv4 and IPv6) - 允許在比對準則中設定 IPv4 和 IPv6 位址。如果選擇此模式,則可以從包含位址群組 (具有兩種位址群組類型) 的物件群組中,選擇 IP 位址。依預設,會選取這種位址類型。
    • IPv4 - 適用於僅以 IPv4 位址作為來源和目的地的流量。
    • IPv6 - 適用於僅以 IPv6 位址作為來源和目的地的流量。
      備註: 升級時,舊版中的商務原則規則會移至 IPv4 模式。
  6. 比對 (Match) 索引標籤中,設定來源、目的地和應用程式流量的比對準則。
    欄位 說明
    來源 (Source)
    允許指定封包的來源。請選取下列任一選項:
    • 任何 (Any) - 依預設會允許所有來源位址。
    • 物件群組 (Object Group) - 可讓您選取位址群組和服務群組的組合。

      如果位址類型為 IPv4,則只認定位址群組中的 IPv4 位址符合流量來源。

      如果位址類型為 IPv6,則只認定位址群組中的 IPv6 位址符合流量來源。

      如果位址類型為 [IPv4 和 IPv6 (IPv4 and IPv6)],則會認定位址群組中的 IPv4 和 IPv6 位址均符合流量來源。

      如需詳細資訊,請參閱物件群組使用物件群組來設定商務原則
      備註: 如果所選位址群組包含任何網域名稱,則會在與來源相符時忽略這些網域名稱。
    • 定義 (Define) - 可讓您定義來自特定 VLAN、介面、IP 位址、連接埠或作業系統的來源流量。選取下列其中一個選項:
      • VLAN - 比對來自指定 VLAN (從下拉式功能表中選取) 的流量。
      • 介面 (Interface) - 比對來自指定介面 (從下拉式功能表中選取) 的流量。
        備註: 如果無法選取介面,則介面不會啟動或不會指派給此區段。
      • IP 位址 (IP Address) - 比對來自指定 IP 位址 (IPv4 或 IPv6) 的流量。
        備註: 如果選取 IPv4 和 IPv6 (IPv4 and IPv6) (混合模式) 作為 IP 版本,則此選項無法使用。在混合模式中,會根據指定的 VLAN 或介面來比對流量。
        除了 IP 位址,您還可以指定下列其中一個位址類型以比對來源流量:
        • CIDR 首碼 (CIDR prefix) - 如果您想要將網路定義為 CIDR 值 (例如:172.10.0.0 /16),請選擇此選項。
        • 子網路遮罩 (Subnet mask) - 如果您想要根據子網路遮罩定義網路 (例如 172.10.0.0 255.255.0.0),請選擇此選項。
        • 萬用字元遮罩 (Wildcard mask) - 如果您想要能夠將強制執行原則的範圍縮小到共用相符主機 IP 位址值之不同 IP 子網路間的一組裝置,請選擇此選項。萬用字元遮罩會根據反向的子網路遮罩比對 IP 或一組 IP 位址。遮罩的二進位值中若包含「0」,表示值是固定的,遮罩的二進位值中若包含「1」,則表示值是萬用字元 (可以是 1 或 0)。以 IP 位址為 172.0.0 的萬用字元遮罩 0.0.0.255 (二進位對等項目 = 00000000.00000000.00000000.11111111) 為例,前三個八位元數字是固定值,最後一個八位元數字是可變值。該選項僅適用於 IPv4 位址。
      • 連接埠 (Port) - 比對來自指定的來源連接埠或連接埠範圍的流量。
      • 作業系統 (Operating System) - 比對來自指定作業系統 (從下拉式功能表中選取) 的流量。
    目的地 (Destination) 允許指定封包的目的地。請選取下列任一選項:
    • 任何 (Any) - 依預設會允許所有目的地位址。
    • 物件群組 (Object Group) - 可讓您選取位址群組和服務群組的組合。如需詳細資訊,請參閱物件群組使用物件群組來設定商務原則
    • 定義 (Define) - 可讓您為傳至特定 IP 位址、網域名稱、通訊協定或連接埠的目的地流量定義比對準則。選取下列其中一個選項,依預設會選取任何 (Any)
      • 任何 (Any) - 比對所有目的地流量。
      • 網際網路 (Internet) - 比對傳輸至目的地的所有網際網路流量 (與 SD-WAN 路由不相符的流量)。
      • Edge - 比對傳輸至 Edge 的所有流量。
      • 透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destination via Gateway) - 比對透過與設定檔相關聯之閘道傳輸至指定非 SD-WAN 目的地的所有流量。請確定您已在設定檔層級將透過閘道的非 SD-WAN 站台相關聯。
      • 透過 Edge 的非 SD-WAN 目的地 (Non SD-WAN Destination via Edge) - 比對透過與 Edge 或設定檔相關聯之 Edge 傳輸至指定非 SD-WAN 目的地的所有流量。請確定您已在設定檔或 Edge 層級將透過 Edge 的非 SD-WAN 站台相關聯。
    • 網域名稱 (Domain name) - 比對整個網域名稱的流量,或網域名稱 (Domain Name) 欄位中指定之部分網域名稱的流量。例如,「salesforce」將會比對「www.salesforce.com」的流量。
    • 通訊協定 (Protocol) - 比對指定的通訊協定 (從下拉式功能表中選取) 的流量。支援的通訊協定為:GRE、ICMP、TCP 和 UDP。
      備註: 混合 (Mixed) 模式不支援 ICMP。
    • 連接埠 (Port) - 比對來自指定的來源連接埠或連接埠範圍的流量。
    應用程式 (Application) 選取下列任一選項:
    • 任何 (Any) - 依預設會將商務原則規則套用至任何應用程式。
    • 定義 (Define) - 允許選取要套用商務原則規則的特定應用程式。此外也可以指定 DSCP 值,以比對具有預設 DSCP/TOS 標籤的傳入流量。
    備註:
    • 當建立僅符合某應用程式的商務原則規則時,若要對此類應用程式套用網路服務動作,Edge 可能需要使用 DPI (深度封包檢查) 引擎。通常,DPI 不會根據第一個封包來判斷應用程式。DPI 引擎通常需要使用流量中的前 5-10 個封包,才能識別應用程式。對於收到的前幾個封包,流量未進行分類,並符合較不特定的商務原則,這可能會導致流量採用不同的路徑,即 [直接 (Direct)] 而不是 [多重路徑 (Multipath)],具體取決於其所符合的原則。DPI 確定流量類型後,即會符合為此類型的流量設定的較特定原則。但是,該流量將繼續採用其所符合之原始原則中的路徑,因為轉到新路徑會中斷流量。這可能會導致流向特定目的地 IP 和連接埠的第一個流量採用同一個路徑。填入應用程式快取後,流向相同目的地 IP 和連接埠的後續流量,將採用較特定的原則為此類流量所設定的另一個路徑。
    • DPI 對流量進行分類後,會將目的地 IP 和連接埠新增至應用程式快取,並立即對流向該相同目的地 IP 和連接埠的任何後續流量進行分類。如果 10 分鐘內沒有流量到達該目的地 IP 和連接埠,應用程式快取項目即會到期。在 DPI 識別應用程式之前,流向該目的地 IP 和連接埠的下一個流量必須再次經過 DPI,而根據其所符合的原則,可能採用非預期的路徑。
  7. 動作 (Action) 索引標籤中,設定當流量符合定義的準則時,所要執行的動作。
    備註: 根據您的 比對 (Match) 選項,某些動作可能無法使用。
    欄位 說明
    優先順序 (Priority) 指定下列其中一個規則優先順序:
    • 高 (High)
    • 一般 (Normal)
    • 低 (Low)
    啟用速率限制 選取啟用速率限制 (Enable Rate Limit) 核取方塊,以設定輸入和輸出流量方向的限制。
    備註: 按流量執行速率限制。僅當您在商務原則中指定了連結或 Edge 介面時,對上游流量的速率限制才有作用。如果將 [操控 (Steering)] 選項設定為 [自動 (Auto)]、[傳輸 (Transport)] 或 [群組 (Group)],則速率限制會套用至所有對應連結的總頻寬。在這種情況下,可能不會如您預期般強制執行嚴格的速率限制。如果要強制執行嚴格的速率限制,您應在商務原則中操控流量,使其指向單一連結或 Edge 介面。
    網路服務 (Network Service) 網路服務 (Network Service) 設定為下列其中一個選項:
    • 直接 (Direct) - 繞過 SD-WAN 閘道,直接將 WAN 線路的輸出流量傳送至目的地。
      備註:

      依預設,Edge 偏好安全路由,而不是商務原則。實際上,這表示 Edge 將透過 MultiPath (分支到分支或透過閘道的雲端,具體取決於路由) 轉送流量,即使商務原則設定成透過直接路徑來傳送該流量也是如此,但前提是 Edge 已從合作夥伴閘道或其他 Edge 收到安全預設路由或更具體的安全路由。

      可以藉由為客戶啟用 [安全預設路由覆寫 (Secure Default Route Override)] 功能,針對合作夥伴閘道安全路由,覆寫此行為。合作夥伴超級使用者或操作員可以啟用此功能,該功能會覆寫亦符合商務原則的所有合作夥伴閘道安全路由。[安全預設路由覆寫 (Secure Default Route Override)] 不會覆寫中樞安全路由。

    • 多重路徑 (Multi-Path) - 將流量從一個 SD-WAN Edge 傳送至另一個 SD-WAN Edge
    • 網際網路回傳 (Internet Backhaul) - 只有在目的地 (Destination) 設定為網際網路 (Internet) 時,才會啟動此網路服務。
      備註: 網際網路回傳 (Internet Backhaul) 網路服務只會套用至網際網路流量 (以不符合已知本機路由或 VPN 路由而已網路首碼為目的地的 WAN 流量)。

      如需這些選項的相關資訊,請參閱設定商務原則規則的網路服務

    如果在設定檔層級啟用了條件式回傳,則依預設會將其套用至針對該設定檔而設定的所有商務原則。您可以藉由選取關閉條件式回傳 (Turn off Conditional Backhaul) 核取方塊,來關閉所選原則的條件式回傳,以便將選取的流量 (直接、多重路徑和 CSS) 排除於此行為之外。

    如需有關如何啟用和疑難排解條件式回傳功能的詳細資訊,請參閱條件式回傳

    連結操控 (Link Steering) 選取下列其中一個連結操控模式:
    • 自動 (Auto) - 依預設,所有應用程式都會設定為自動連結操控模式。當應用程式處於自動連結操控模式時,DMPO 會根據應用程式類型自動選擇最佳的連結,並在必要時自動啟用隨選修復。
      • 傳輸群組 (Transport Group) - 在操控原則中指定下列任一傳輸群組選項,以便在不同的裝置類型或位置之間套用相同的商務原則組態,這可能會有完全不同的 WAN 電信業者和 WAN 介面:
        • 公用有線 (Public Wired)
        • 公用無線 (Public Wireless)
        • 私人有線 (Private Wired)
      • 介面 (Interface) - 連結操控會繫結至實體介面,主要將用於路由目的。
        備註: 此選項只能在 Edge 覆寫層級使用。
      • WAN 連結 (WAN Link) - 允許根據特定的私人連結定義原則規則。在此選項中,介面組態是獨立的,且不同於 WAN 連結組態。您將能夠選取手動設定或自動探索到的 WAN 連結。
        備註: 此選項只能在 Edge 覆寫層級使用。
    • 內部封包 DSCP 標籤 (Inner Packet DSCP Tag) - 從下拉式功能表中選取 [內部封包 DSCP 標籤 (Inner Packet DSCP Tag)]。
    • 外部封包 DSCP 標籤 (Outer Packet DSCP Tag) - 從下拉式功能表中選取 [外部封包 DSCP 標籤 (Outer Packet DSCP Tag)]。
    備註: 當網路服務設定為 直接 (Direct) 時,「連結操控」模式不支援僅限 IPv6 的介面和僅限 IPv6 的 WAN 連結。

    如需與連結操控模式和 DSCP、底層和覆疊流量的 DSCP 標記相關的詳細資訊,請參閱設定連結操控模式

    啟用 NAT (Enable NAT) 啟用或停用 NAT。此選項不適用於 IPv4 和 IPv6 (IPv4 and IPv6) 模式。如需詳細資訊,請參閱設定以原則為基礎的 NAT
    服務類別 (Service Class) 選取下列其中一個服務類別選項:
    • 即時 (Real-time)
    • 交易式 (Transactional)
    • 大量 (Bulk)
    備註: 此選項僅適用於自訂應用程式。
    VMware 應用程式/類別屬於其中一個類別。
  8. 設定必要的設定之後,請按一下建立 (Create)
    系統會為選取的設定檔建立商務原則規則,並將其顯示在 設定檔商務原則 (Profile Business Policy) 頁面的 商務原則規則 (Business Policy Rules) 區域下方。
    備註: 無法在 Edge 層級更新在設定檔層級建立的規則。若要覆寫規則,使用者需要在 Edge 層級,使用新參數建立相同的規則,以覆寫設定檔層級的規則。

    對於 IPv6IPv4 和 IPv6 (IPv4 and IPv6) 模式,只能從 Orchestrator 建立商務原則規則。您只能透過 API 來執行其餘的作業,例如 [更新 (Update)] 和 [刪除 (Delete)]。

    相關資訊:覆疊 QoS CoS 對應