Bei der Segmentierung wird das Netzwerk in als Segmente bezeichnete logische Subnetzwerke unterteilt, indem Isolierungstechniken auf einem Weiterleitungsgerät, wie z. B. einem Switch, Router oder einer Firewall, verwendet werden. Die Netzwerksegmentierung ist erforderlich, wenn Datenverkehr von verschiedenen Organisationen und Datentypen isoliert werden muss.

In der segmentfähigen Topologie können verschiedene VPN-Profile (Virtual Private Network) für jedes Segment aktiviert werden. Beispielsweise kann der Gastdatenverkehr zu den Firewalldiensten des Remote-Datencenters zurückgeschickt werden, Sprachmedien können auf der Grundlage dynamischer Tunnel direkt von Zweigstelle zu Zweigstelle fließen, und das PCI-Segment kann den Datenverkehr zum Datencenter zurückverlagern, um das PCI-Netzwerk zu verlassen.

Um die Segmentierungsfunktion für ein Unternehmen zu aktivieren, navigieren Sie im Operator-Portal zu Systemeigenschaften (System Properties) und legen Sie dann den Wert der Systemeigenschaft enterprise.capability.enableSegmentation auf True fest. Weitere Informationen zum Konfigurieren von Systemeigenschaften finden Sie im Abschnitt „Systemeigenschaften“ im Handbuch zur Bereitstellung und Überwachung von VMware SASE Orchestrator.

Standardmäßig können Sie maximal 16 Segmente pro Unternehmen konfigurieren. Sie können diesen Standardwert jedoch auf bis zu 128 Segmente pro Unternehmen erhöhen. Stellen Sie sicher, dass Sie die maximale Anzahl an zulässigen Segmenten in der Systemeigenschaft enterprise.segments.system.maximum definieren. Weitere Informationen zu den verschiedenen Systemeigenschaften, die Sie für die Segmentierungsfunktion einrichten müssen, finden Sie in der Tabelle „Segmentierung“ im Abschnitt „Liste der Systemeigenschaften“ im Handbuch zur Bereitstellung und Überwachung von VMware SASE Orchestrator.

Einschränkungen

Beachten Sie die folgenden Einschränkungen, bevor Sie den Standardwert auf maximal 128 Segmente pro Unternehmen erhöhen:
  • Es ist obligatorisch, dass Sie Ihre SASE Orchestrator-Instanz und Ihre Edges auf Version 4.3 oder höher aktualisieren.
  • Nachdem Sie 128 Segmente für ein Unternehmen konfiguriert haben, können Sie Ihre Edges nicht auf eine niedrigere Version als 4.3 herabstufen. Wenn Sie Ihre Edges herabstufen müssen, stellen Sie sicher, dass Sie nur 16 Segmente haben, was der Standardwert für jedes Unternehmen ist, und löschen Sie die restlichen Segmente, bevor Sie die Edges herabstufen.

Konfigurieren eines neuen Segments für ein Unternehmen

So konfigurieren Sie Segmente:

  1. Klicken Sie im SD-WAN-Dienst des Unternehmensportals auf Konfigurieren (Configure) > Segmente (Segments).
  2. Auf der Seite Segmente (Segments) werden die vorhandenen Segmente angezeigt.
  3. Klicken Sie auf Hinzufügen (Add), um ein neues Segment hinzuzufügen, und konfigurieren Sie die folgenden Details:
    Option Beschreibung
    Segmentname (Segment Name) Geben Sie einen Namen für das Segment ein. Maximal 256 Zeichen sind zulässig.
    Beschreibung (Description) Geben Sie einen beschreibenden Text für das Segment ein. Maximal 256 Zeichen sind zulässig.
    Typ (Type) Wählen Sie den Segmenttyp wie folgt aus:
    • Regulär (Regular) – Der Standardsegmenttyp.
    • Privat (Private) – Wird für Datenverkehrsströme mit beschränkter Sichtbarkeit verwendet, um den Datenschutzanforderungen der Endbenutzer Rechnung zu tragen.
    • CDEVMware Bietet einen PCI-zertifizierten SD-WAN-Dienst. Der CDE-Typ (Cardholder Data Environment) wird für Datenverkehrsströme verwendet, die PCI benötigen und die VMware-PCI-Zertifizierung nutzen möchten.
    Hinweis: Für globale Segmente können Sie den Typ entweder auf Regulär (Regular) oder Privat (Private) festlegen. Für nicht globale Segmente kann Regulär (Regular), CDE oder Privat (Private) als Typ verwendet werden.
    Dienst-VLAN (Service VLAN) Geben Sie den Bezeichner des Dienst-VLANs ein. Weitere Informationen finden Sie unter Definieren von Zuordnungssegmenten mit Dienst-VLANs.
    An Partner delegieren (Delegate To Partner) Dieses Kontrollkästchen ist standardmäßig aktiviert. Wenn dieses Kontrollkästchen nicht aktiviert ist, kann der Partner die Konfigurationen innerhalb des Segments, einschließlich der Schnittstellenzuordnung, nicht ändern.
    An Kunden delegieren (Delegate To Customer) Dieses Kontrollkästchen ist standardmäßig aktiviert. Wenn dieses Kontrollkästchen nicht aktiviert ist, kann der Kunde die Konfigurationen innerhalb des Segments, einschließlich der Schnittstellenzuordnung, nicht ändern.
  4. Klicken Sie auf Änderungen speichern (Save Changes).
Die Konfiguration des Segments als Privat (Private) hat folgende Auswirkungen:
  • Das Segment kann keine Flow-Statistiken des Benutzers in Orchestrator hochladen, ausgenommen VMware-Steuerung, VMware-Verwaltung und eines einzelnen IP-Flusses, der alle übertragenen und empfangenen Pakete und Byte für das Segment zählt. Beispielsweise werden Kunden-Flow-Statistiken wie Quell-IP, Ziel-IP usw. auf der Registerkarte Überwachen (Monitor) für die Flows im Zusammenhang mit dem Segment Privat (Private) nicht angezeigt.
  • Benutzer können keine Flows in Remote Diagnostics anzeigen.
  • Datenverkehr darf nicht als Internet Multipath gesendet werden, da alle an Internet Multipath gesendeten Geschäftsrichtlinien automatisch vom Edge in Direkt (Direct) überschrieben werden.

Wenn das Segment als CDE konfiguriert ist, kennen der von VMware gehostete Orchestrator und Controller das PCI-Segment und gehören zum PCI-Geltungsbereich. Gateways (die als Nicht-CDE-Gateways gekennzeichnet sind) erkennen oder übermitteln den PCI-Datenverkehr nicht und befinden sich nicht im PCI-Geltungsbereich.

Um ein Segment zu entfernen, wählen Sie das Segment aus, und klicken Sie auf Löschen (Delete). Ein von einem Profil verwendetes Segment kann nicht gelöscht werden.