商務原則規則會設定成根據應用程式、來源和目的地等準則,來操控流量、管理頻寬並確保服務品質。所有層級的操作員、合作夥伴和管理員都可以建立商務原則。商務原則會比對參數,例如 IP 位址、連接埠、VLAN 識別碼、介面、網域名稱、通訊協定、作業系統、物件群組、應用程式和 DSCP 標籤。當資料封包符合相符條件時,會採取相關聯的一或多個動作。如果封包不符合任何參數,則會在封包上採取預設動作。您可以為設定檔和 Edge 建立商務原則。
必要條件
請確定您具有網路 IP 位址的詳細資料。
程序
- 在企業入口網站的 SD-WAN 服務中,移至設定 (Configure) > 設定檔 (Profiles)。設定檔 (Profiles) 頁面即會顯示現有的設定檔。
- 按一下設定檔的連結,或按一下設定檔的裝置 (Device) 資料行中的檢視 (View) 連結。裝置 (Device) 索引標籤中會顯示組態選項。
- 按一下商務原則 (Business Policy) 索引標籤。
從 設定檔 (Profiles) 頁面中,您可以直接導覽至 商務原則 (Business Policy) 頁面,方法是按一下設定檔的 商務原則 (Business Policy) 資料行中的 檢視 (View) 連結。
- 在商務原則 (Business Policy) 頁面中,按一下 + 新增 (+ ADD)。新增規則 (Add Rule) 視窗即會顯示。
- 輸入規則名稱,並選取 IP 版本。您可以根據選取的 IP 版本,來設定來源和目的地 IP 位址,如下所示:
- IPv4 和 IPv6 (IPv4 and IPv6) - 允許在比對準則中設定 IPv4 和 IPv6 位址。如果選擇此模式,則可以從包含位址群組 (具有兩種位址群組類型) 的物件群組中,選擇 IP 位址。依預設,會選取這種位址類型。
- IPv4 - 適用於僅以 IPv4 位址作為來源和目的地的流量。
- IPv6 - 適用於僅以 IPv6 位址作為來源和目的地的流量。
備註: 升級時,舊版中的商務原則規則會移至 IPv4 模式。
- 在比對 (Match) 索引標籤中,設定來源、目的地和應用程式流量的比對準則。
欄位 說明 來源 (Source) 允許指定封包的來源。請選取下列任一選項:- 任何 (Any) - 依預設會允許所有來源位址。
- 物件群組 (Object Group) - 可讓您選取位址群組和服務群組的組合。
如果位址類型為 IPv4,則只認定位址群組中的 IPv4 位址符合流量來源。
如果位址類型為 IPv6,則只認定位址群組中的 IPv6 位址符合流量來源。
如果位址類型為 [IPv4 和 IPv6 (IPv4 and IPv6)],則會認定位址群組中的 IPv4 和 IPv6 位址均符合流量來源。
如需詳細資訊,請參閱物件群組和使用物件群組來設定商務原則。備註: 如果所選位址群組包含任何網域名稱,則會在與來源相符時忽略這些網域名稱。 - 定義 (Define) - 可讓您定義來自特定 VLAN、介面、IP 位址、連接埠或作業系統的來源流量。選取下列其中一個選項:
- VLAN - 比對來自指定 VLAN (從下拉式功能表中選取) 的流量。
- 介面 (Interface) - 比對來自指定介面 (從下拉式功能表中選取) 的流量。
備註: 如果無法選取介面,則介面不會啟動或不會指派給此區段。
- IP 位址 (IP Address) - 比對來自指定 IP 位址 (IPv4 或 IPv6) 的流量。
備註: 如果選取 IPv4 和 IPv6 (IPv4 and IPv6) (混合模式) 作為 IP 版本,則此選項無法使用。在混合模式中,會根據指定的 VLAN 或介面來比對流量。除了 IP 位址,您還可以指定下列其中一個位址類型以比對來源流量:
- CIDR 首碼 (CIDR prefix) - 如果您想要將網路定義為 CIDR 值 (例如:
172.10.0.0 /16
),請選擇此選項。 - 子網路遮罩 (Subnet mask) - 如果您想要根據子網路遮罩定義網路 (例如
172.10.0.0 255.255.0.0
),請選擇此選項。 - 萬用字元遮罩 (Wildcard mask) - 如果您想要能夠將強制執行原則的範圍縮小到共用相符主機 IP 位址值之不同 IP 子網路間的一組裝置,請選擇此選項。萬用字元遮罩會根據反向的子網路遮罩比對 IP 或一組 IP 位址。遮罩的二進位值中若包含「0」,表示值是固定的,遮罩的二進位值中若包含「1」,則表示值是萬用字元 (可以是 1 或 0)。以 IP 位址為 172.0.0 的萬用字元遮罩 0.0.0.255 (二進位對等項目 = 00000000.00000000.00000000.11111111) 為例,前三個八位元數字是固定值,最後一個八位元數字是可變值。該選項僅適用於 IPv4 位址。
- CIDR 首碼 (CIDR prefix) - 如果您想要將網路定義為 CIDR 值 (例如:
- 連接埠 (Port) - 比對來自指定的來源連接埠或連接埠範圍的流量。
- 作業系統 (Operating System) - 比對來自指定作業系統 (從下拉式功能表中選取) 的流量。
目的地 (Destination) 允許指定封包的目的地。請選取下列任一選項: - 任何 (Any) - 依預設會允許所有目的地位址。
- 物件群組 (Object Group) - 可讓您選取位址群組和服務群組的組合。如需詳細資訊,請參閱物件群組和使用物件群組來設定商務原則。
- 定義 (Define) - 可讓您為傳至特定 IP 位址、網域名稱、通訊協定或連接埠的目的地流量定義比對準則。選取下列其中一個選項,依預設會選取任何 (Any):
- 任何 (Any) - 比對所有目的地流量。
- 網際網路 (Internet) - 比對傳輸至目的地的所有網際網路流量 (與 SD-WAN 路由不相符的流量)。
- Edge - 比對傳輸至 Edge 的所有流量。
- 透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destination via Gateway) - 比對透過與設定檔相關聯之閘道傳輸至指定非 SD-WAN 目的地的所有流量。請確定您已在設定檔層級將透過閘道的非 SD-WAN 站台相關聯。
- 透過 Edge 的非 SD-WAN 目的地 (Non SD-WAN Destination via Edge) - 比對透過與 Edge 或設定檔相關聯之 Edge 傳輸至指定非 SD-WAN 目的地的所有流量。請確定您已在設定檔或 Edge 層級將透過 Edge 的非 SD-WAN 站台相關聯。
- 網域名稱 (Domain name) - 比對整個網域名稱的流量,或網域名稱 (Domain Name) 欄位中指定之部分網域名稱的流量。例如,「salesforce」將會比對「www.salesforce.com」的流量。
- 通訊協定 (Protocol) - 比對指定的通訊協定 (從下拉式功能表中選取) 的流量。支援的通訊協定為:GRE、ICMP、TCP 和 UDP。
備註: 混合 (Mixed) 模式不支援 ICMP。
- 連接埠 (Port) - 比對來自指定的來源連接埠或連接埠範圍的流量。
應用程式 (Application) 選取下列任一選項: - 任何 (Any) - 依預設會將商務原則規則套用至任何應用程式。
- 定義 (Define) - 允許選取要套用商務原則規則的特定應用程式。此外也可以指定 DSCP 值,以比對具有預設 DSCP/TOS 標籤的傳入流量。
備註:- 當建立僅符合某應用程式的商務原則規則時,若要對此類應用程式套用網路服務動作,Edge 可能需要使用 DPI (深度封包檢查) 引擎。通常,DPI 不會根據第一個封包來判斷應用程式。DPI 引擎通常需要使用流量中的前 5-10 個封包,才能識別應用程式。對於收到的前幾個封包,流量未進行分類,並符合較不特定的商務原則,這可能會導致流量採用不同的路徑,即 [直接 (Direct)] 而不是 [多重路徑 (Multipath)],具體取決於其所符合的原則。DPI 確定流量類型後,即會符合為此類型的流量設定的較特定原則。但是,該流量將繼續採用其所符合之原始原則中的路徑,因為轉到新路徑會中斷流量。這可能會導致流向特定目的地 IP 和連接埠的第一個流量採用同一個路徑。填入應用程式快取後,流向相同目的地 IP 和連接埠的後續流量,將採用較特定的原則為此類流量所設定的另一個路徑。
- DPI 對流量進行分類後,會將目的地 IP 和連接埠新增至應用程式快取,並立即對流向該相同目的地 IP 和連接埠的任何後續流量進行分類。如果 10 分鐘內沒有流量到達該目的地 IP 和連接埠,應用程式快取項目即會到期。在 DPI 識別應用程式之前,流向該目的地 IP 和連接埠的下一個流量必須再次經過 DPI,而根據其所符合的原則,可能採用非預期的路徑。
- 在動作 (Action) 索引標籤中,設定當流量符合定義的準則時,所要執行的動作。
備註: 根據您的 比對 (Match) 選項,某些動作可能無法使用。
欄位 說明 優先順序 (Priority) 指定下列其中一個規則優先順序: - 高 (High)
- 一般 (Normal)
- 低 (Low)
啟用速率限制 選取啟用速率限制 (Enable Rate Limit) 核取方塊,以設定輸入和輸出流量方向的限制。 備註: 按流量執行速率限制。僅當您在商務原則中指定了連結或 Edge 介面時,對上游流量的速率限制才有作用。如果將 [操控 (Steering)] 選項設定為 [自動 (Auto)]、[傳輸 (Transport)] 或 [群組 (Group)],則速率限制會套用至所有對應連結的總頻寬。在這種情況下,可能不會如您預期般強制執行嚴格的速率限制。如果要強制執行嚴格的速率限制,您應在商務原則中操控流量,使其指向單一連結或 Edge 介面。網路服務 (Network Service) 將網路服務 (Network Service) 設定為下列其中一個選項: - 直接 (Direct) - 繞過 SD-WAN 閘道,直接將 WAN 線路的輸出流量傳送至目的地。
備註:
依預設,Edge 偏好安全路由,而不是商務原則。實際上,這表示 Edge 將透過 MultiPath (分支到分支或透過閘道的雲端,具體取決於路由) 轉送流量,即使商務原則設定成透過直接路徑來傳送該流量也是如此,但前提是 Edge 已從合作夥伴閘道或其他 Edge 收到安全預設路由或更具體的安全路由。
可以藉由為客戶啟用 [安全預設路由覆寫 (Secure Default Route Override)] 功能,針對合作夥伴閘道安全路由,覆寫此行為。合作夥伴超級使用者或操作員可以啟用此功能,該功能會覆寫亦符合商務原則的所有合作夥伴閘道安全路由。[安全預設路由覆寫 (Secure Default Route Override)] 不會覆寫中樞安全路由。
- 多重路徑 (Multi-Path) - 將流量從一個 SD-WAN Edge 傳送至另一個 SD-WAN Edge。
- 網際網路回傳 (Internet Backhaul) - 只有在目的地 (Destination) 設定為網際網路 (Internet) 時,才會啟動此網路服務。
備註: 網際網路回傳 (Internet Backhaul) 網路服務只會套用至網際網路流量 (以不符合已知本機路由或 VPN 路由而已網路首碼為目的地的 WAN 流量)。
如需這些選項的相關資訊,請參閱設定商務原則規則的網路服務。
如果在設定檔層級啟用了條件式回傳,則依預設會將其套用至針對該設定檔而設定的所有商務原則。您可以藉由選取關閉條件式回傳 (Turn off Conditional Backhaul) 核取方塊,來關閉所選原則的條件式回傳,以便將選取的流量 (直接、多重路徑和 CSS) 排除於此行為之外。
如需有關如何啟用和疑難排解條件式回傳功能的詳細資訊,請參閱條件式回傳。
連結操控 (Link Steering) 選取下列其中一個連結操控模式: - 自動 (Auto) - 依預設,所有應用程式都會設定為自動連結操控模式。當應用程式處於自動連結操控模式時,DMPO 會根據應用程式類型自動選擇最佳的連結,並在必要時自動啟用隨選修復。
- 傳輸群組 (Transport Group) - 在操控原則中指定下列任一傳輸群組選項,以便在不同的裝置類型或位置之間套用相同的商務原則組態,這可能會有完全不同的 WAN 電信業者和 WAN 介面:
- 公用有線 (Public Wired)
- 公用無線 (Public Wireless)
- 私人有線 (Private Wired)
- 介面 (Interface) - 連結操控會繫結至實體介面,主要將用於路由目的。
備註: 此選項只能在 Edge 覆寫層級使用。
- WAN 連結 (WAN Link) - 允許根據特定的私人連結定義原則規則。在此選項中,介面組態是獨立的,且不同於 WAN 連結組態。您將能夠選取手動設定或自動探索到的 WAN 連結。
備註: 此選項只能在 Edge 覆寫層級使用。
- 傳輸群組 (Transport Group) - 在操控原則中指定下列任一傳輸群組選項,以便在不同的裝置類型或位置之間套用相同的商務原則組態,這可能會有完全不同的 WAN 電信業者和 WAN 介面:
- 內部封包 DSCP 標籤 (Inner Packet DSCP Tag) - 從下拉式功能表中選取 [內部封包 DSCP 標籤 (Inner Packet DSCP Tag)]。
- 外部封包 DSCP 標籤 (Outer Packet DSCP Tag) - 從下拉式功能表中選取 [外部封包 DSCP 標籤 (Outer Packet DSCP Tag)]。
備註: 當網路服務設定為 直接 (Direct) 時,「連結操控」模式不支援僅限 IPv6 的介面和僅限 IPv6 的 WAN 連結。如需與連結操控模式和 DSCP、底層和覆疊流量的 DSCP 標記相關的詳細資訊,請參閱設定連結操控模式。
啟用 NAT (Enable NAT) 啟用或停用 NAT。此選項不適用於 IPv4 和 IPv6 (IPv4 and IPv6) 模式。如需詳細資訊,請參閱設定以原則為基礎的 NAT。 服務類別 (Service Class) 選取下列其中一個服務類別選項: - 即時 (Real-time)
- 交易式 (Transactional)
- 大量 (Bulk)
備註: 此選項僅適用於自訂應用程式。VMware 應用程式/類別屬於其中一個類別。 - 設定必要的設定之後,請按一下建立 (Create)。
系統會為選取的設定檔建立商務原則規則,並將其顯示在 設定檔商務原則 (Profile Business Policy) 頁面的 商務原則規則 (Business Policy Rules) 區域下方。備註: 無法在 Edge 層級更新在設定檔層級建立的規則。若要覆寫規則,使用者需要在 Edge 層級,使用新參數建立相同的規則,以覆寫設定檔層級的規則。
對於 IPv6 和 IPv4 和 IPv6 (IPv4 and IPv6) 模式,只能從 Orchestrator 建立商務原則規則。您只能透過 API 來執行其餘的作業,例如 [更新 (Update)] 和 [刪除 (Delete)]。
相關資訊:覆疊 QoS CoS 對應