分段是指将网络拆分为逻辑子网络(称为分段)的过程,这是在转发设备(如交换机、路由器或防火墙)上使用隔离技术完成的。如果必须隔离来自不同组织和/或具有不同数据类型的流量,网络分段是非常重要的。
在分段感知拓扑中,可以为每个分段激活不同的虚拟专用网络 (VPN) 配置文件。例如,可以将客户机流量回传到远程数据中心防火墙服务,语音媒体可以根据动态隧道直接在分支之间流动,PCI 分段可以将流量回传到数据中心以离开 PCI 网络。
要为企业激活分段功能,请在操作员门户中,导航到系统属性 (System Properties),然后将 enterprise.capability.enableSegmentation 系统属性的值设置为 True。有关如何配置系统属性的更多信息,请参阅《VMware SD-WAN Orchestrator 部署和监控指南》中的“系统属性”章节。
默认情况下,每个企业最多可配置 16 个分段。但是,您可以选择将此默认值增大到每个企业最多 128 个分段。确保在 enterprise.segments.system.maximum 系统属性中定义了允许的最大分段数。有关您必须为分段功能设置的各种系统属性的更多信息,请参阅《VMware SD-WAN Orchestrator 部署和监控指南》的“系统属性列表”章节中的“分段”表。
限制
在将默认值增大到每个企业最多 128 个分段之前,请记住以下限制:
- 您必须将 SD-WAN Orchestrator 和 Edge 升级到 4.3 或更高版本。
- 为企业配置 128 个分段后,无法将 Edge 降级到低于 4.3 的版本。如果需要降级 Edge,请在降级 Edge 之前,确保只有 16 个分段(这是所有企业的默认值),并删除其余的分段。
为企业配置新的分段
要为企业配置新的分段,请执行以下步骤:
- 从 SD-WAN Orchestrator 导航面板中,转到配置 (Configure) > 分段 (Segments)。将显示选定企业的分段 (Segments) 页面。
- 单击 + 按钮,然后输入以下详细信息以配置新的分段。
字段 描述 分段名称 分段的名称(最多 256 个字符)。 描述 分段的描述(最多 256 个字符)。 类型 分段可能具有以下类型之一: - 常规 (Regular) - 标准分段类型。
- 专用 (Private) - 用于需要有限可见性的流量,以便满足最终用户的隐私要求。
- CDE - VMware 提供 PCI 认证的 SD-WAN 服务。持卡人数据环境 (Cardholder Data Environment, CDE) 类型用于需要使用 PCI 并希望利用 VMware PCI 认证的流量。
注: 对于全局分段,您可以将类型设置为 常规 (Regular) 或 专用 (Private)。对于非全局分段,类型可以是 常规 (Regular)、 CDE 或 专用 (Private)。服务 VLAN 服务 VLAN 标识符。有关信息,请参阅安全 VNF中的定义分段和服务 VLAN 之间的映射(可选)部分。 委派给合作伙伴 默认情况下,将选中该复选框。如果取消选中,合作伙伴无法更改分段中的配置,包括接口分配。 委派给客户 默认情况下,将选中该复选框。如果取消选中,客户无法更改分段中的配置,包括接口分配。 - 单击保存更改 (Save Changes)。
如果将分段配置为
专用 (Private),则分段:
- 不会将用户流量统计信息上载到 Orchestrator,但 VMware 控制、VMware 管理以及统计在分段上发送和接收的所有数据包与发送的字节数的单个 IP 流量除外。例如,对于与专用 (Private) 分段相关的流量,“源 IP”(Source IP)、“目标 IP”(Destination IP) 等客户流量统计信息不会显示在监控 (Monitor) 选项卡中。
- 不允许用户在“远程诊断”(Remote Diagnostics) 中查看流量。
- 不允许将流量作为 Internet 多路径 (Internet Multipath) 发送,因为 Edge 自动使用直接 (Direct) 覆盖设置为 Internet 多路径 (Internet Multipath) 的所有业务策略。
如果将分段配置为 CDE,则 VMware 托管的 Orchestrator 和控制器可以识别 PCI 分段,并位于 PCI 范围内。网关(标记为非 CDE 网关)无法识别或传输 PCI 流量并且没有位于 PCI 范围内。