La segmentación es el proceso de dividir la red en subredes lógicas llamadas “segmentos” mediante técnicas de aislamiento en un dispositivo de reenvío, como un conmutador, un enrutador o un firewall. La segmentación de redes es importante cuando se debe aislar el tráfico de diferentes organizaciones o tipos de datos.
En la topología con reconocimiento de segmentos, se pueden activar diferentes perfiles de red privada virtual (Virtual Private Network, VPN) para cada segmento. Por ejemplo, el tráfico del invitado se puede retornar a los servicios de firewall de centro de datos remoto, los medios de voz pueden fluir directamente de una sucursal a otra a través de túneles dinámicos, y el segmento PCI puede retornar el tráfico al centro de datos para salir de la red PCI.
Para activar la capacidad de segmentación para una empresa, en el portal de operadores, desplácese hasta Propiedades del sistema (System Properties) y, a continuación, establezca el valor de la propiedad del sistema enterprise.capability.enableSegmentation como Verdadero (True). Para obtener más información sobre cómo configurar las propiedades del sistema, consulte la sección "Propiedades del sistema" de la Guía de implementación y supervisión del sistema de VMware SD-WAN Orchestrator.
De forma predeterminada, puede configurar un máximo de 16 segmentos por empresa. Sin embargo, puede optar por aumentar este valor predeterminado hasta un máximo de 128 segmentos por empresa. Asegúrese de definir el número máximo de segmentos permitidos en la propiedad del sistema enterprise.segments.system.maximum. Para obtener más información sobre las diversas propiedades del sistema que debe configurar para la capacidad de segmentación, consulte la tabla "Segmentación" en la sección "Lista de propiedades del sistema" de la Guía de implementación y supervisión de VMware SD-WAN Orchestrator.
Limitaciones
- Es obligatorio actualizar la versión de SD-WAN Orchestrator y las instancias de Edge a la versión 4.3 o superior.
- Después de configurar 128 segmentos para una empresa, no puede rebajar las instancias de Edge a una versión anterior a la 4.3. Si necesita rebajar la versión de las instancias de Edge, asegúrese de tener solo 16 segmentos, que es el valor predeterminado para cualquier empresa, y elimine los segmentos restantes antes de rebajar la versión de las instancias de Edge.
Configurar un nuevo segmento para una empresa
- En el panel de navegación de SD-WAN Orchestrator, vaya a Configurar (Configure) > Segmentos (Segments). Se mostrará la página Segmentos (Segments) para la empresa seleccionada.
- Haga clic en el botón + e introduzca los siguientes detalles para configurar un nuevo segmento.
Campo Descripción Nombre del segmento (Segment Name) El nombre del segmento (hasta 256 caracteres). Descripción La descripción del segmento (hasta 256 caracteres). Tipo El tipo de segmento puede ser uno de los siguientes: - Regular: el tipo de segmento estándar.
- Privado (Private): se utiliza para flujos de tráfico que requieren visibilidad limitada a fin de cumplir con los requisitos de privacidad de los usuarios finales.
- CDE: VMware proporciona el servicio SD-WAN con certificación PCI. El tipo Entorno de datos del titular de la tarjeta (Cardholder Data Environment, CDE) se utiliza para flujos de tráfico donde se requiere PCI y se desea aprovechar la certificación PCI de VMware.
Nota: Para un segmento global, puede establecer el tipo Regular o Privado (Private). Para los segmentos no globales, el tipo puede ser Regular, CDE o Privado (Private).VLAN de servicio (Service VLAN) El identificador de la red VLAN de servicio. Para obtener más información, consulte la sección Definir asignación entre segmentos y VLAN de servicio (opcional) de Instancias de VNF de seguridad. Delegar a socio (Delegate To Partner) Esta casilla de verificación se encuentra seleccionada de forma predeterminada. Si anula la selección, el socio no puede cambiar las configuraciones dentro del segmento, incluida la asignación de la interfaz. Delegar a cliente (Delegate To Customer) Esta casilla de verificación se encuentra seleccionada de forma predeterminada. Si anula la selección, el cliente no puede cambiar las configuraciones dentro del segmento, incluida la asignación de la interfaz. - Haga clic en Guardar cambios (Save Changes).
- No carga las estadísticas de flujo del usuario a Orchestrator, excepto el control de VMware, la administración de VMware y un flujo de IP único que cuenta todos los paquetes transmitidos y recibidos y los bytes enviados en el segmento.
- No permite que los usuarios vean los flujos en Diagnósticos remotos (Remote Diagnostics).
- No permite que el tráfico se envíe como Multipath de Internet (Internet Multipath), ya que la instancia de Edge anula automáticamente todas las directivas empresariales establecidas en Multipath de Internet (Internet Multipath) y reemplaza su valor por Directo (Direct).
Si el segmento se configura como CDE, el orquestador y la controladora alojados en VMware reconocerán el segmento PCI y quedarán en el ámbito de PCI. Las puertas de enlace (marcadas como puertas de enlace no CDE) no tendrán en cuenta ni transmitirán el tráfico PCI y estarán fuera del alcance de PCI.