分段是指将网络拆分为逻辑子网络(称为分段)的过程,这是在转发设备(如交换机、路由器或防火墙)上使用隔离技术完成的。当必须隔离来自不同组织和具有不同数据类型的流量时,需要网络分段。
在分段感知拓扑中,可以为每个分段激活不同的虚拟专用网络 (Virtual Private Network, VPN) 配置文件。例如,可以将客户机流量回传到远程数据中心防火墙服务,语音媒体可以根据动态隧道直接在分支之间流动,PCI 分段可以将流量回传到数据中心以离开 PCI 网络。
要为企业激活分段功能,请在操作员门户中,导航到系统属性 (System Properties),然后将 enterprise.capability.enableSegmentation 系统属性的值设置为 True。有关如何配置系统属性的更多信息,请参阅《VMware SASE Orchestrator 部署和监控指南》中的“系统属性”章节。
默认情况下,每个企业最多可配置 16 个分段。但是,您可以选择将此默认值增大到每个企业最多 128 个分段。确保在 enterprise.segments.system.maximum 系统属性中定义了允许的最大分段数。有关您必须为分段功能设置的各种系统属性的更多信息,请参阅《VMware SASE Orchestrator 部署和监控指南》的“系统属性列表”章节中的“分段”表。
限制
- 您必须将 SASE Orchestrator 和 Edge 升级到 4.3 或更高版本。
- 为企业配置 128 个分段后,无法将 Edge 降级到低于 4.3 的版本。如果需要降级 Edge,请在降级 Edge 之前,确保只有 16 个分段(这是所有企业的默认值),并删除其余的分段。
为企业配置新的分段
要配置分段,请执行以下操作:
- 在企业门户的 SD-WAN 服务中,单击 。
- 分段 (Segments) 页面将显示现有的分段。
- 单击添加 (Add) 以添加新分段并配置以下详细信息:
选项 描述 分段名称 (Segment Name) 输入分段的名称。允许的最大字符数为 256。 描述 (Description) 输入分段的说明性文本。允许的最大字符数为 256。 类型 (Type) 选择以下某个选项作为分段类型: - 常规 (Regular) - 标准分段类型。
- 专用 (Private) - 用于需要有限可见性的流量,以便满足最终用户的隐私要求。
- CDE - VMware 提供 PCI 认证的 SD-WAN 服务。持卡人数据环境 (Cardholder Data Environment, CDE) 类型用于需要使用 PCI 并希望利用 VMware PCI 认证的流量。
注: 对于全局分段,您可以将类型设置为 常规 (Regular) 或 专用 (Private)。对于非全局分段,类型可以是 常规 (Regular)、 CDE 或 专用 (Private)。服务 VLAN (Service VLAN) 输入服务 VLAN 标识符。有关更多信息,请参阅定义分段和服务 VLAN 之间的映射。 委派给合作伙伴 (Delegate To Partner) 默认情况下,将选中该复选框。如果未选中该复选框,则合作伙伴无法更改分段中的配置,包括接口分配。 委派给客户 (Delegate To Customer) 默认情况下,将选中该复选框。如果未选中该复选框,则客户无法更改分段中的配置,包括接口分配。 - 单击保存更改 (Save Changes)。
- 不会将用户流量统计信息上载到 Orchestrator,但 VMware 控制、VMware 管理以及统计在分段上发送和接收的所有数据包与发送的字节数的单个 IP 流量除外。例如,对于与专用 (Private) 分段相关的流量,“源 IP”(Source IP)、“目标 IP”(Destination IP) 等客户流量统计信息不会显示在监控 (Monitor) 选项卡中。
- 不允许用户在“远程诊断”(Remote Diagnostics) 中查看流量。
- 不允许将流量作为 Internet 多路径 (Internet Multipath) 发送,因为 Edge 自动使用直接 (Direct) 覆盖设置为 Internet 多路径 (Internet Multipath) 的所有业务策略。
如果将分段配置为 CDE,则 VMware 托管的 Orchestrator 和控制器可以识别 PCI 分段,并位于 PCI 范围内。网关(标记为非 CDE 网关)无法识别或传输 PCI 流量并且没有位于 PCI 范围内。
要移除某个分段,请选择该分段,然后单击删除 (Delete)。您无法删除配置文件所使用的分段。