La segmentación es el proceso de dividir la red en subredes lógicas llamadas “segmentos” mediante técnicas de aislamiento en un dispositivo de reenvío, como un conmutador, un enrutador o un firewall. La segmentación de redes es importante cuando se debe aislar el tráfico de diferentes organizaciones o tipos de datos.

En la topología con reconocimiento de segmentos, se pueden habilitar diferentes perfiles de red privada virtual (Virtual Private Network, VPN) para cada segmento. Por ejemplo, el tráfico del invitado se puede retornar a los servicios de firewall de centro de datos remoto, los medios de voz pueden fluir directamente de una sucursal a otra a través de túneles dinámicos, y el segmento PCI puede retornar el tráfico al centro de datos para salir de la red PCI.
Nota: Es posible configurar un máximo de 16 segmentos por cliente empresarial.
A fin de configurar un nuevo segmento para una empresa, realice los siguientes pasos:
  1. En el panel de navegación de SD-WAN Orchestrator, vaya a Configurar (Configure) > Segmentos (Segments). Se mostrará la página Segmentos (Segments) para la empresa seleccionada.
    configure-segments
  2. Haga clic en el botón + e introduzca los siguientes detalles para configurar un nuevo segmento.
    Campo Descripción
    Nombre del segmento El nombre del segmento (hasta 256 caracteres).
    Descripción La descripción del segmento (hasta 256 caracteres).
    Tipo El tipo de segmento puede ser uno de los siguientes:
    • Regular: el tipo de segmento estándar.
    • Privado (Private): se utiliza para flujos de tráfico que requieren visibilidad limitada a fin de cumplir con los requisitos de privacidad de los usuarios finales.
    • CDE: VMware proporciona el servicio SD-WAN con certificación PCI. El tipo Entorno de datos del titular de la tarjeta (Cardholder Data Environment, CDE) se utiliza para flujos de tráfico donde se requiere PCI y se desea aprovechar la certificación PCI de VMware.
    Nota: Para un segmento global, puede establecer el tipo Regular o Privado (Private). Para los segmentos no globales, el tipo puede ser Regular, CDE o Privado (Private).
    VLAN de servicio (Service VLAN) El identificador de la red VLAN de servicio. Para obtener más información, consulte la sección Definir asignación entre segmentos y VLAN de servicio (opcional) de Instancias de VNF de seguridad.
    Delegar a socio (Delegate To Partner) Esta casilla de verificación se encuentra seleccionada de forma predeterminada. Si anula la selección, el socio no puede cambiar las configuraciones dentro del segmento, incluida la asignación de la interfaz.
    Delegar a cliente (Delegate To Customer) Esta casilla de verificación se encuentra seleccionada de forma predeterminada. Si anula la selección, el cliente no puede cambiar las configuraciones dentro del segmento, incluida la asignación de la interfaz.
  3. Haga clic en Guardar cambios (Save Changes).
Si el segmento se configura como Privado (Private), el segmento:
  • No carga las estadísticas de flujo del usuario a Orchestrator, excepto el control de VMware, la administración de VMware y un flujo de IP único que cuenta todos los paquetes transmitidos y recibidos y los bytes enviados en el segmento.
  • No permite que los usuarios vean los flujos en Diagnósticos remotos (Remote Diagnostics).
  • No permite que el tráfico se envíe como Multipath de Internet (Internet Multipath), ya que la instancia de Edge anula automáticamente todas las directivas empresariales establecidas en Multipath de Internet (Internet Multipath) y reemplaza su valor por Directo (Direct).

Si el segmento se configura como CDE, el orquestador y la controladora alojados en VMware reconocerán el segmento PCI y quedarán en el ámbito de PCI. Las puertas de enlace (marcadas como puertas de enlace no CDE) no tendrán en cuenta ni transmitirán el tráfico PCI y estarán fuera del alcance de PCI.