Segmentace je proces rozdělení sítě na logické podsítě nazývané segmenty, a to pomocí izolačních technik na předávacím zařízení, jako je přepínač, směrovač nebo brána firewall. Segmentace sítě je důležitá, je-li třeba izolovat provoz různých organizací a/nebo datových typů.

V topologii využívající segmenty mohou být pro každý ze segmentů aktivovány různé profily virtuální privátní sítě (VPN). Například provoz hosta může být přeposlán na služby brány firewall vzdáleného datového centra, hlasová média mohou procházet přímo z větve do větve na základě dynamických tunelových propojení a segment PCI může přeposílat provoz do datového centra a opustit síť PCI.

Chcete-li povolit segmentaci pro podnikovou funkci, na portálu operátora přejděte na možnost Systémové vlastnosti (System Properties) a poté nastavte hodnotu vlastnosti systému enterprise.capability.enableSegmentation jako True. Pro více informací o konfiguraci vlastností systému si prostudujte téma „Systémové vlastnosti“ v průvodci nasazením a monitorováním systému VMware SD-WAN Orchestrator.

Ve výchozím nastavení můžete konfigurovat maximálně 16 segmentů na podnik. Můžete se však rozhodnout zvýšit tuto výchozí hodnotu na maximální hodnotu 128 segmentů na podnik. Maximální počet povolených segmentů definujte ve vlastnosti systému enterprise.segments.system.maximum. Pro více informací o různých vlastnostech systému, které musíte nastavit pro schopnost segmentace, si prostudujte tabulku „Segmentace“ v části „Seznam systémových vlastností“ v průvodci nasazením a monitorováním systému VMware SD-WAN Orchestrator.

Omezení

Než zvýšíte výchozí hodnotu na maximálně 128 segmentů na podnik, mějte na paměti následující omezení:
  • Je povinné upgradovat váš systém SD-WAN Orchestrator a zařízení Edge na verzi 4.3 nebo vyšší.
  • Po nakonfigurování 128 segmentů pro podnik nelze zařízení Edge downgradovat na verzi nižší než 4.3. Pokud potřebujete nástroje Edge downgradovat, ujistěte se, že máte pouze 16 segmentů, což je výchozí hodnota pro jakýkoli podnik, a před provedením downgradu pro zařízení Edge odstraňte zbývající segmenty.

Konfigurace nového segmentu pro podnik

Chcete-li nakonfigurovat nový segment pro podnik, proveďte následující kroky:
  1. V navigačním panelu SD-WAN Orchestrator přejděte do nabídky Konfigurovat (Configure) > Segmenty (Segments). Zobrazí se stránka Segmenty (Segments) pro vybraný podnik.
    configure-segments
  2. Klikněte na tlačítko + a pro konfiguraci nového segmentu zadejte následující podrobnosti.
    Pole Popis
    Název segmentu (Segment Name) Název segmentu (až 256 znaků).
    Popis (Description) Popis segmentu (až 256 znaků).
    Typ (Type) Typ segmentu může být jeden z následujících:
    • Běžný (Regular) – standardní druh segmentu.
    • Privátní (Private) – používá se pro toky provozu, které vyžadují omezenou viditelnost, aby splnily požadavky na ochranu osobních údajů koncových uživatelů.
    • CDEVMware poskytuje službu SD-WAN certifikovanou PCI. Typ Datové prostředí držitele karty (Cardholder Data Environment – CDE) je určen zákazníkům, kteří vyžadují rozhraní PCI a chtějí využívat certifikaci PCI VMware.
    Poznámka: U globálního segmentu můžete nastavit typ na Běžný (Regular) nebo Privátní (Private). U neglobálních segmentů může být typ Běžný (Regular), CDE nebo Privátní (Private).
    Služba VLAN (Service VLAN) Identifikátor služby VLAN. Další informace naleznete v části Definování mapování mezi segmenty a službami VLAN (Volitelné) (Define Mapping between Segments and Service VLANs (Optional)) v tématu VNF zabezpečení.
    Delegovat na partnera (Delegate To Partner) Ve výchozím nastavení je toto pole zaškrtnuté. Pokud zaškrtnutí zrušíte, partner nemůže měnit konfigurace v segmentu včetně přiřazení rozhraní.
    Delegovat na zákazníka (Delegate To Customer) Ve výchozím nastavení je toto pole zaškrtnuté. Pokud zaškrtnutí zrušíte, zákazník nemůže měnit konfigurace v segmentu včetně přiřazení rozhraní.
  3. Klikněte na tlačítko Uložit změny (Save Changes).
Pokud je segment nakonfigurován jako Privátní (Private), pak segment:
  • Nenahrává statistiky uživatelských toků do Orchestratoru s výjimkou řízení VMware, správy VMware a toku s jednou IP adresou, který počítá všechny odeslané a přijaté pakety a bajty odeslané na segment.
  • Nepovoluje uživatelům prohlížet toky ve vzdálené diagnostice.
  • Nepovoluje, aby byl provoz odesílán jako Vícecestný internet (Internet Multipath), protože všechny podnikové zásady nastavené na Vícecestný internet (Internet Multipath) jsou zařízením Edge automaticky přepsány na Přímý (Direct).

Pokud je segment nakonfigurován jako CDE, budou mít aplikace Orchestrator a řadič hostovaní na serveru VMware informace o segmentu PCI a budou se nacházet v oboru PCI. Brány (označené jako brány jiné než CDE) nebudou mít o datovém toku PCI informace, nebudou tento tok přenášet a budou mimo obor PCI.