Segmentace je proces rozdělení sítě na logické podsítě nazývané segmenty, a to pomocí izolačních technik na předávacím zařízení, jako je přepínač, směrovač nebo brána firewall. Segmentace sítě je nutná, je-li třeba izolovat provoz různých organizací nebo datových typů.

V topologii využívající segmenty mohou být pro každý ze segmentů aktivovány různé profily virtuální privátní sítě (VPN). Například provoz hosta může být přeposlán na služby brány firewall vzdáleného datového centra, hlasová média mohou procházet přímo z větve do větve na základě dynamických tunelových propojení a segment PCI může přeposílat provoz do datového centra a opustit síť PCI.

Chcete-li aktivovat segmentaci pro podnikovou funkci, na portálu operátora přejděte na možnost Systémové vlastnosti (System Properties) a poté nastavte hodnotu vlastnosti systému enterprise.capability.enableSegmentation jako True. Pro více informací o konfiguraci vlastností systému si prostudujte téma „Systémové vlastnosti“ v průvodci nasazením a monitorováním systému VMware SASE Orchestrator.

Ve výchozím nastavení můžete konfigurovat maximálně 16 segmentů na podnik. Můžete se však rozhodnout zvýšit tuto výchozí hodnotu na maximální hodnotu 128 segmentů na podnik. Maximální počet povolených segmentů definujte ve vlastnosti systému enterprise.segments.system.maximum. Pro více informací o různých vlastnostech systému, které musíte nastavit pro schopnost segmentace, si prostudujte tabulku „Segmentace“ v části „Seznam systémových vlastností“ v průvodci nasazením a monitorováním systému VMware SASE Orchestrator.

Omezení

Než zvýšíte výchozí hodnotu na maximálně 128 segmentů na podnik, mějte na paměti následující omezení:
  • Je povinné upgradovat váš systém SASE Orchestrator a zařízení Edge na verzi 4.3 nebo vyšší.
  • Po nakonfigurování 128 segmentů pro podnik nelze zařízení Edge downgradovat na verzi nižší než 4.3. Pokud potřebujete nástroje Edge downgradovat, ujistěte se, že máte pouze 16 segmentů, což je výchozí hodnota pro jakýkoli podnik, a před provedením downgradu pro zařízení Edge odstraňte zbývající segmenty.

Konfigurace nového segmentu pro podnik

Konfigurace segmentů:

  1. Ve službě SD-WAN podnikového portálu klikněte na možnost Konfigurovat (Configure) > Segmenty (Segments).
  2. Na stránce Segmenty (Segments) se zobrazí stávající segmenty.
  3. Kliknutím na možnost Přidat (Add) přidáte nový segment a nakonfigurujete následující údaje:
    Možnost Popis
    Název segmentu (Segment Name) Zadejte název segmentu. Maximální povolený počet znaků je 256.
    Popis (Description) Zadejte popisný text pro segment. Maximální povolený počet znaků je 256.
    Typ (Type) Zvolte typ segmentu jako jeden z následujících:
    • Běžný (Regular) – standardní druh segmentu.
    • Privátní (Private) – používá se pro toky provozu, které vyžadují omezenou viditelnost, aby splnily požadavky na ochranu osobních údajů koncových uživatelů.
    • CDEVMware poskytuje službu SD-WAN certifikovanou PCI. Typ Datové prostředí držitele karty (Cardholder Data Environment – CDE) je určen zákazníkům, kteří vyžadují rozhraní PCI a chtějí využívat certifikaci PCI VMware.
    Poznámka: U globálního segmentu můžete nastavit typ na Běžný (Regular) nebo Privátní (Private). U neglobálních segmentů může být typ Běžný (Regular), CDE nebo Privátní (Private).
    Služba VLAN (Service VLAN) Zadejte identifikátor služby VLAN. Další informace naleznete v tématu Definování segmentů mapování pomocí služeb VLAN.
    Delegovat na partnera (Delegate To Partner) Ve výchozím nastavení je toto pole zaškrtnuté. Pokud toto políčko není zaškrtnuto, partner nemůže změnit konfigurace v rámci segmentu, včetně přiřazení rozhraní.
    Delegovat na zákazníka (Delegate To Customer) Ve výchozím nastavení je toto pole zaškrtnuté. Pokud toto políčko není zaškrtnuto, zákazník nemůže změnit konfigurace v rámci segmentu, včetně přiřazení rozhraní.
  4. Klikněte na tlačítko Uložit změny (Save Changes).
Pokud je segment nakonfigurován jako Privátní (Private), pak segment:
  • Nenahrává statistiky uživatelských toků do Orchestratoru s výjimkou řízení VMware, správy VMware a toku s jednou IP adresou, který počítá všechny odeslané a přijaté pakety a bajty odeslané na segment. Například statistiky toku zákazníka jako Zdrojová IP adresa (Source IP), Cílová IP adresa (Destination IP) atd. se nezobrazují na kartě Monitorování (Monitor) pro toky související se segmentem Privátní (Private).
  • Nepovoluje uživatelům prohlížet toky ve vzdálené diagnostice.
  • Nepovoluje, aby byl provoz odesílán jako Vícecestný internet (Internet Multipath), protože všechny pravidla řízení nastavené na Vícecestný internet (Internet Multipath) jsou zařízením Edge automaticky přepsány na Přímý (Direct).

Pokud je segment nakonfigurován jako CDE, budou mít aplikace Orchestrator a řadič hostovaní na serveru VMware informace o segmentu PCI a budou se nacházet v oboru PCI. Brány (označené jako brány jiné než CDE) nebudou mít o datovém toku PCI informace, nebudou tento tok přenášet a budou mimo obor PCI.

Chcete-li segment odstranit, vyberte ho a klikněte na možnost Odstranit (Delete). Segment používaný profilem nelze odstranit.