Bei der Segmentierung wird das Netzwerk in als Segmente bezeichnete logische Subnetzwerke unterteilt, indem Isolierungstechniken auf einem Weiterleitungsgerät, wie z. B. einem Switch, Router oder einer Firewall, verwendet werden. Netzwerksegmentierung ist wichtig, wenn Datenverkehr aus verschiedenen Organisationen und/oder Datentypen isoliert werden muss.

In der segmentfähigen Topologie können verschiedene VPN-Profile (Virtual Private Network) für jedes Segment aktiviert werden. Beispielsweise kann der Gastdatenverkehr zu den Firewalldiensten des Remote-Datencenters zurückgeschickt werden, Sprachmedien können auf der Grundlage dynamischer Tunnel direkt von Zweigstelle zu Zweigstelle fließen, und das PCI-Segment kann den Datenverkehr zum Datencenter zurückverlagern, um das PCI-Netzwerk zu verlassen.

Um die Segmentierungsfunktion für ein Unternehmen zu aktivieren, navigieren Sie im Operator-Portal zu Systemeigenschaften (System Properties) und legen Sie dann den Wert der Systemeigenschaft enterprise.capability.enableSegmentation auf True fest. Weitere Informationen zum Konfigurieren von Systemeigenschaften finden Sie im Abschnitt „Systemeigenschaften“ im Handbuch zur Bereitstellung und Überwachung von VMware SD-WAN Orchestrator.

Standardmäßig können Sie maximal 16 Segmente pro Unternehmen konfigurieren. Sie können diesen Standardwert jedoch auf bis zu 128 Segmente pro Unternehmen erhöhen. Stellen Sie sicher, dass Sie die maximale Anzahl an zulässigen Segmenten in der Systemeigenschaft enterprise.segments.system.maximum definieren. Weitere Informationen zu den verschiedenen Systemeigenschaften, die Sie für die Segmentierungsfunktion einrichten müssen, finden Sie in der Tabelle „Segmentierung“ im Abschnitt „Liste der Systemeigenschaften“ im Handbuch zur Bereitstellung und Überwachung von VMware SD-WAN Orchestrator.

Einschränkungen

Beachten Sie die folgenden Einschränkungen, bevor Sie den Standardwert auf maximal 128 Segmente pro Unternehmen erhöhen:
  • Es ist obligatorisch, dass Sie Ihre SD-WAN Orchestrator-Instanz und Ihre Edges auf Version 4.3 oder höher aktualisieren.
  • Nachdem Sie 128 Segmente für ein Unternehmen konfiguriert haben, können Sie Ihre Edges nicht auf eine niedrigere Version als 4.3 herabstufen. Wenn Sie Ihre Edges herabstufen müssen, stellen Sie sicher, dass Sie nur 16 Segmente haben, was der Standardwert für jedes Unternehmen ist, und löschen Sie die restlichen Segmente, bevor Sie die Edges herabstufen.

Konfigurieren eines neuen Segments für ein Unternehmen

Führen Sie die folgenden Schritte aus, um ein neues Segment für ein Unternehmen zu konfigurieren:
  1. Wechseln Sie im Navigationsbereich von SD-WAN Orchestrator zu Konfigurieren (Configure) > Segmente (Segments). Die Seite Segmente (Segments) wird für das ausgewählte Unternehmen angezeigt.
    configure-segments
  2. Klicken Sie auf die Schaltfläche + und geben Sie die folgenden Details zum Konfigurieren eines neuen Segments ein.
    Bereich Beschreibung
    Segmentname (Segment Name) Der Name des Segments (bis zu 256 Zeichen).
    Beschreibung Die Beschreibung des Segments (bis zu 256 Zeichen).
    Typ (Type) Folgende Segmenttypen stehen zur Verfügung:
    • Regulär (Regular) – Der Standardsegmenttyp.
    • Privat (Private) – Wird für Datenverkehrsströme mit beschränkter Sichtbarkeit verwendet, um den Datenschutzanforderungen der Endbenutzer Rechnung zu tragen.
    • CDEVMware Bietet einen PCI-zertifizierten SD-WAN-Dienst. Der CDE-Typ (Cardholder Data Environment) wird für Datenverkehrsströme verwendet, die PCI benötigen und die VMware-PCI-Zertifizierung nutzen möchten.
    Hinweis: Für globale Segmente können Sie den Typ entweder auf Regulär (Regular) oder Privat (Private) festlegen. Für nicht globale Segmente kann Regulär (Regular), CDE oder Privat (Private) als Typ verwendet werden.
    Dienst-VLAN (Service VLAN) Der VLAN-Bezeichner des Diensts. Weitere Informationen finden Sie im Abschnitt Definieren der Zuordnung zwischen Segmenten und Dienst-VLANs (optional) in Sicherheits-VNFs.
    An Partner delegieren (Delegate To Partner) Dieses Kontrollkästchen ist standardmäßig aktiviert. Wenn Sie es deaktivieren, kann der Partner die Konfigurationen innerhalb des Segments, einschließlich der Schnittstellenzuweisung, nicht ändern.
    An Kunden delegieren (Delegate To Customer) Dieses Kontrollkästchen ist standardmäßig aktiviert. Wenn Sie es deaktivieren, kann der Kunde die Konfigurationen innerhalb des Segments, einschließlich der Schnittstellenzuweisung, nicht ändern.
  3. Klicken Sie auf Änderungen speichern (Save Changes).
Die Konfiguration des Segments als Privat (Private) hat folgende Auswirkungen:
  • Das Segment kann keine Flow-Statistiken des Benutzers in Orchestrator hochladen, ausgenommen VMware-Steuerung, VMware-Verwaltung und eines einzelnen IP-Flusses, der alle übertragenen und empfangenen Pakete und Byte für das Segment zählt. Beispielsweise werden Kunden-Flow-Statistiken wie Quell-IP, Ziel-IP usw. auf der Registerkarte Überwachen (Monitor) für die Flows im Zusammenhang mit dem Segment Privat (Private) nicht angezeigt.
  • Benutzer können keine Flows in Remote Diagnostics anzeigen.
  • Datenverkehr darf nicht als Internet Multipath gesendet werden, da alle an Internet Multipath gesendeten Geschäftsrichtlinien automatisch vom Edge in Direkt (Direct) überschrieben werden.

Wenn das Segment als CDE konfiguriert ist, kennen der von VMware gehostete Orchestrator und Controller das PCI-Segment und gehören zum PCI-Geltungsbereich. Gateways (die als Nicht-CDE-Gateways gekennzeichnet sind) erkennen oder übermitteln den PCI-Datenverkehr nicht und befinden sich nicht im PCI-Geltungsbereich.