Bei der Segmentierung wird das Netzwerk in als Segmente bezeichnete logische Subnetzwerke unterteilt, indem Isolierungstechniken auf einem Weiterleitungsgerät, wie z. B. einem Switch, Router oder einer Firewall, verwendet werden. Netzwerksegmentierung ist wichtig, wenn Datenverkehr aus verschiedenen Organisationen und/oder Datentypen isoliert werden muss.

In der segmentfähigen Topologie können verschiedene VPN-Profile (Virtual Private Network) für jedes Segment aktiviert werden. Beispielsweise kann der Gastdatenverkehr zu den Firewalldiensten des Remote-Datencenters zurückgeschickt werden, Sprachmedien können auf der Grundlage dynamischer Tunnel direkt von Branch zu Branch fließen, und das PCI-Segment kann den Datenverkehr zum Datencenter zurückverlagern, um das PCI-Netzwerk zu verlassen.
Hinweis: Sie können maximal 16 Segmente pro Unternehmenskunde konfigurieren.
Führen Sie die folgenden Schritte aus, um ein neues Segment für ein Unternehmen zu konfigurieren:
  1. Wechseln Sie im Navigationsbereich von SD-WAN Orchestrator zu Konfigurieren (Configure) > Segmente (Segments). Die Seite Segmente (Segments) wird für das ausgewählte Unternehmen angezeigt.
    configure-segments
  2. Klicken Sie auf die Schaltfläche + und geben Sie die folgenden Details zum Konfigurieren eines neuen Segments ein.
    Feld Beschreibung
    Segmentname Der Name des Segments (bis zu 256 Zeichen).
    Beschreibung Die Beschreibung des Segments (bis zu 256 Zeichen).
    Typ Folgende Segmenttypen stehen zur Verfügung:
    • Regulär (Regular) – Der Standardsegmenttyp.
    • Privat (Private) – Wird für Datenverkehrsströme mit beschränkter Sichtbarkeit verwendet, um den Datenschutzanforderungen der Endbenutzer Rechnung zu tragen.
    • CDEVMware Bietet einen PCI-zertifizierten SD-WAN-Dienst. Der CDE-Typ (Cardholder Data Environment) wird für Datenverkehrsströme verwendet, die PCI benötigen und die VMware-PCI-Zertifizierung nutzen möchten.
    Hinweis: Für globale Segmente können Sie den Typ entweder auf Regulär (Regular) oder Privat (Private) festlegen. Für nicht globale Segmente kann Regulär (Regular), CDE oder Privat (Private) als Typ verwendet werden.
    Dienst-VLAN (Service VLAN) Der VLAN-Bezeichner des Diensts. Weitere Informationen finden Sie im Abschnitt Definieren der Zuordnung zwischen Segmenten und Dienst-VLANs (optional) in Sicherheits-VNFs.
    An Partner delegieren (Delegate To Partner) Dieses Kontrollkästchen ist standardmäßig aktiviert. Wenn Sie es deaktivieren, kann der Partner die Konfigurationen innerhalb des Segments, einschließlich der Schnittstellenzuweisung, nicht ändern.
    An Kunden delegieren (Delegate To Customer) Dieses Kontrollkästchen ist standardmäßig aktiviert. Wenn Sie es deaktivieren, kann der Kunde die Konfigurationen innerhalb des Segments, einschließlich der Schnittstellenzuweisung, nicht ändern.
  3. Klicken Sie auf Änderungen speichern (Save Changes).
Die Konfiguration des Segments als Privat (Private) hat folgende Auswirkungen:
  • Das Segment kann keine Flow-Statistiken des Benutzers in Orchestrator hochladen, ausgenommen VMware-Steuerung, VMware-Verwaltung und eines einzelnen IP-Flusses, der alle übertragenen und empfangenen Pakete und Byte für das Segment zählt.
  • Benutzer können keine Flows in Remote Diagnostics anzeigen.
  • Datenverkehr darf nicht als Internet Multipath gesendet werden, da alle an Internet Multipath gesendeten Geschäftsrichtlinien automatisch vom Edge in Direkt (Direct) überschrieben werden.

Wenn das Segment als CDE konfiguriert ist, kennen der von VMware gehostete Orchestrator und Controller das PCI-Segment und gehören zum PCI-Geltungsbereich. Gateways (die als Nicht-CDE-Gateways gekennzeichnet sind) erkennen oder übermitteln den PCI-Datenverkehr nicht und befinden sich nicht im PCI-Geltungsbereich.