Page tree
Skip to end of metadata
Go to start of metadata

Одним из аспектов интеллектуальной обработки трафика в VMware SD-WAN by Velocloud является инструмент Business Policy. Как и правила Firewall, политики могут настраиваться с помощью конфигурационных профилей для каждого сегмента, а могут быть специфичными для конкретного VCE. Для настройки с помощью профилей:

  • в разделе Configure перейдите в пункт Profiles
  • выберите профиль - нажмите на кнопку [Profile_name]
  • откройте вкладку Business Policy

По умолчанию будут присутствовать 24 правила, которые настраивают приоритет обработки, способ балансировки, тип и важность различных категорий приложений от Audio/Video до Web и RDP.

Почти все правила доступны к изменению, неизменяемые находятся в конце списка.

После списка правил на вкладке Business Policy находятся разделы с настройкой весовых коэффициентов для разных типов трафика и ограничения скорости в оверлейных тоннелях. Данные настройки не рекомендуется менять без четкого понимания необходимости изменений и их влияния на логику обработки трафика.

  • в режиме редактирования профиля или отдельного VCE на вкладке Business Policy нажмите на кнопку [New Rule] в правой верхней части окна
  • в окне "Configure Rule":
    • в поле Rule Name введите имя правила

    • в блоке Match задайте критерии для отбора трафика, попадающего под будущую политику обработки трафика:
      • Source - позволяет производить выборку по стандартным параметрам
      • Dectination - позволяет сделать более интеллектуальную балансировку или offload трафика на другую площадку; здесь возможно задать отбор трафика по тем же критериям, что и Source, и указать направление трафика; кроме явного указания подсетей возможно указать критерии отбора с помощью Object Group (группы объектов)

Если группа объектов для указания сразу нескольких объектов не создавалась:

  • в разделе Configure перейдите в пункт Object Group
  • нажмите на кнопку [New]

  • в окне "Configure Address Group" задайте параметры группы и нажмите на кнопку [Create]; обратите внимание, что группы бывают двух видов – группы сетевых адресов и группы портов

  • если планируется использовать группу объектов, выберете ее в выпадающем меню

  • укажите, куда отправляется ваш трафик:
    • Any – категория назначения не играет роли и не учитывается
    • Internet – трафик предназначен адресату в публичном интернете
    • Edge – трафик предназначен Velocloud Edge
    • Non SD-WAN Destination via Gateway – трафик предназначен филиалу, на котором не развернут SD-WAN; трафик передается в VCMP тоннеле до Gateway, а после до филиала через standard based IPsec тоннель
    • Non SD-WAN Destination via Edge - трафик предназначен филиалу, на котором не развернут SD-WAN; трафик передается в VCMP тоннеле до Edge, а после до филиала через standard based IPsec тоннель

Далее приводятся сведения об особенностях некоторых видов Destinations при передаче трафика. Выберете приложение, трафик которого будет подпадать под политику или оставьте Any, чтобы под условия подпадал трафик любого приложения.

База данных сигнатур приложений достаточно обширна и использует технологию Deep Application Recognition. Таким образом, решение не просто классифицирует приложением по портам, а использует полноценный DPI.

  • в окне "Action" произведите следующие настройки:

  • Priority – приоритет отобранного по заданным параметрам трафика по отношению к другому трафику. Имеет связь с типом трафика, например, соотношение приоритета high и трафика класса Real Time выделяет последнему 35 процентов полосы пропускания. Mapping (соответствие) приоритета и класса настраивается в нижней части вкладки Business Policy и упоминалось ранее. Редактирования этих соответствий подразумевают полное понимание и осознание своих действий. Rate Limit позволяет задать ограничения по полосе пропускания в процентах от пропускной способности канала отдельно для Outbound и Inbound
  • Network Service:
    • Direct – передача трафика производится через Velocloud Gateway
    • Multi-Path – передача трафика производится между VCE, минуя Gateway; если в таблице маршрутизации нет маршрутов через Edge, и подсеть назначения не входит в RFC 1918, трафик отправляется на VCG, где производится NAT и отправка в публичный Интернет (чтобы VCG подключился к процессу, требуется определенная лицензия)

По умолчанию VCG имеет самую низкую стоимость маршрута, поэтому всегда будет выбираться в качестве маршрута по умолчанию для трафика в Интернет. Это может быть изменено разными путями. Например, созданием политики с типом Network Service Direct или установки опции Preferred для статических маршрутов по умолчанию.

    • Internet Backhaul – доступен только тогда, когда выбран Internet в качестве Destination; означает, что точка выхода в интернет из оверлейной сети для этого трафика находится не на локальном VCE, а на Backhaul Hub, который выбран при настройке Cloud VPN в соответствующей секции на вкладке Device
  • Link Steering - способ распределения трафика по каналам локального VCE для передачи:
    • Auto – режим установлен по умолчанию; алгоритмы Velocloud автоматически выбирают лучший линк, основываясь на типе приложения и активируя техники улучшения качества канала, когда это необходимо

    • Transport Group – режим транспортной группы, то есть совокупности транспортов одного типа; существуют следующие транспортные группы: Public Wired, Private Wired и Public Wireless. Кроме этого существуют приоритеты переключения:
      • Mandatory – передавать только через выбранную группу, не переключать, даже если каналы отключились

      • Preferred – передавать в выбранной транспортной группе, пока процент потерь не будет равен или выше указанного в пункте Error Correct Before Steering. Если этот параметр отключен, то переключение будет выполнено в соответствии со встроенными алгоритмами Velocloud; например, для Real Time трафика это 0,3% потерь

      • Available – передавать в группу, пока каналы доступны
    • Interface Steering – функция доступна только в режиме конфигурации VCE, но не профиля, так как ссылается на конкретный интерфейс. Если выбрать такие предопределенные Destinations как Direct и Backhaul, можно также задать VLAN тег. Существует возможность привязать ICMP Probe (вариация IP SLA), если DestinationDirect

      •   ICMP Probes настраивается в режиме конфигурации VCE на вкладке Device

    • WAN Link Steering – использование алиасов приватных каналов в качестве указания куда передавать трафик; эта функция используется, например, когда необходимо передавать трафик конкретных приложений через основной MPLS-линк, а публичный канал использовать в качестве резерва

Чтобы создать алиас канала:

  • создайте имя сети:
    • в разделе Configure перейдите в пункт Network Services
    • в блоке Private Network Names нажмите на кнопку [New]

  • привяжите имя сети к реальному MPLS-каналу: Configure > Edges > [Edge_name] > Device > WAN Settings > [Overlay_name] > Edit > Advanced > Private Network Name

  • если это необходимо, настройте маркировку/перемаркировку пакетов в Underlay (строка Inner Packet DSCP tag)
  • включите опцию "Underlay Accounting", чтобы функция работала в настройках интерфейса VCE или конфигурационном профиле

  • если необходима маркировка/перемаркировка оверлейных пакетов, настройте поле Outer Packet DSCP Tag
  • если в качестве Destination выбран Internet, возможно настроить NAT для отобранных пакетов
  • далее выберете Service Class для классифицируемого трафика

Business Policy - это мощный инструмент для управления трафиком приложений в сочетании с поддержанием высокого уровня качества обслуживания. Шаги, которые необходимо предпринять для создания политики:

  • определиться, политика будет действовать на конкретное устройство или на группу устройств
  • инициировать создание политики, задать имя
  • определить критерии соответствия для источника трафика
  • определить критерии соответствия для адресата трафика
  • определить способ передачи трафика (Any, Edge, Internet, non SD-WAN)
  • определить приложение, для которого выполняется классификация
  • задать приоритет обслуживания трафика
  • настроить пути передачи трафика (Direct, Multi-Path, Internet Backhaul)
  • указать правила использования каналов и переключения в случае нарушений SLA и, если необходимо, настроить маркировку
  • настроить Policy Based NAT в случае с Destination Internet, если это необходимо

Указать класс трафика, от которого зависит приоритет обслуживания.

После применения политики ее действие возможно проверить, так как устройство в удобном формате предоставляет диагностическую информацию, какой поток под какое правило попал. Чтобы это сделать, войдите в режим диагностики Test & Troubleshoot > Remote Diagnostics > [Edge_name] > List Active Flows > Run. Данный инструмент предоставляет необходимую информацию о каждом потоке и является полезным подспорьем при определении того, какие потоки существует в сети.

  • No labels