分段是指将网络拆分为逻辑子网络(称为分段)的过程,这是在转发设备(如交换机、路由器或防火墙)上使用隔离技术完成的。如果必须隔离来自不同组织和/或具有不同数据类型的流量,网络分段是非常重要的。

在分段感知拓扑中,可以为每个分段启用不同的虚拟专用网络 (VPN) 配置文件。例如,可以将客户机流量回传到远程数据中心防火墙服务,语音媒体可以根据动态隧道直接在分支之间流动,PCI 分段可以将流量回传到数据中心以离开 PCI 网络。
注: 您最多可以为每个企业客户配置 16 个分段。
要为企业配置新的分段,请执行以下步骤:
  1. SD-WAN Orchestrator 导航面板中,转到配置 (Configure) > 分段 (Segments)。将显示选定企业的分段 (Segments) 页面。
    configure-segments
  2. 单击 + 按钮,然后输入以下详细信息以配置新的分段。
    字段 描述
    分段名称 分段的名称(最多 256 个字符)。
    描述 分段的描述(最多 256 个字符)。
    类型 分段可能具有以下类型之一:
    • 常规 (Regular) - 标准分段类型。
    • 专用 (Private) - 用于需要有限可见性的流量,以便满足最终用户的隐私要求。
    • CDE - VMware 提供 PCI 认证的 SD-WAN 服务。持卡人数据环境 (Cardholder Data Environment, CDE) 类型用于需要使用 PCI 并希望利用 VMware PCI 认证的流量。
    注: 对于全局分段,您可以将类型设置为 常规 (Regular)专用 (Private)。对于非全局分段,类型可以是 常规 (Regular)CDE专用 (Private)
    服务 VLAN 服务 VLAN 标识符。有关信息,请参阅安全 VNF中的定义分段和服务 VLAN 之间的映射(可选)部分。
    委派给合作伙伴 默认情况下,将选中该复选框。如果取消选中,合作伙伴无法更改分段中的配置,包括接口分配。
    委派给客户 默认情况下,将选中该复选框。如果取消选中,客户无法更改分段中的配置,包括接口分配。
  3. 单击保存更改 (Save Changes)
如果将分段配置为 专用 (Private),则分段:
  • 不会将用户流量统计信息上载到 Orchestrator,但 VMware 控制、VMware 管理以及统计在分段上发送和接收的所有数据包与发送的字节数的单个 IP 流量除外。
  • 不允许用户在“远程诊断”(Remote Diagnostics) 中查看流量。
  • 不允许将流量作为 Internet 多路径 (Internet Multipath) 发送,因为 Edge 自动使用直接 (Direct) 覆盖设置为 Internet 多路径 (Internet Multipath) 的所有业务策略。

如果将分段配置为 CDE,则 VMware 托管的 Orchestrator 和控制器可以识别 PCI 分段,并位于 PCI 范围内。网关(标记为非 CDE 网关)无法识别或传输 PCI 流量并且没有位于 PCI 范围内。