La segmentación es el proceso de dividir la red en subredes lógicas llamadas “segmentos” mediante técnicas de aislamiento en un dispositivo de reenvío, como un conmutador, un enrutador o un firewall. La segmentación de redes es obligatoria cuando se debe aislar el tráfico de diferentes organizaciones y tipos de datos.

En la topología con reconocimiento de segmentos, se pueden activar diferentes perfiles de red privada virtual (Virtual Private Network, VPN) para cada segmento. Por ejemplo, el tráfico del invitado se puede retornar a los servicios de firewall de centro de datos remoto, los medios de voz pueden fluir directamente de una sucursal a otra a través de túneles dinámicos, y el segmento PCI puede retornar el tráfico al centro de datos para salir de la red PCI.

Para activar la capacidad de segmentación para una empresa, en el portal de operadores, desplácese hasta Propiedades del sistema (System Properties) y, a continuación, establezca el valor de la propiedad del sistema enterprise.capability.enableSegmentation como Verdadero (True). Para obtener más información sobre cómo configurar las propiedades del sistema, consulte la sección "Propiedades del sistema" de la Guía de implementación y supervisión del sistema de VMware SASE Orchestrator.

De forma predeterminada, puede configurar un máximo de 16 segmentos por empresa. Sin embargo, puede optar por aumentar este valor predeterminado hasta un máximo de 128 segmentos por empresa. Asegúrese de definir el número máximo de segmentos permitidos en la propiedad del sistema enterprise.segments.system.maximum. Para obtener más información sobre las diversas propiedades del sistema que debe configurar para la capacidad de segmentación, consulte la tabla "Segmentación" en la sección "Lista de propiedades del sistema" de la Guía de implementación y supervisión de VMware SASE Orchestrator.

Limitaciones

Tenga en cuenta las siguientes limitaciones antes de aumentar el valor predeterminado a un máximo de 128 segmentos por empresa:
  • Es obligatorio actualizar la versión de SASE Orchestrator y las instancias de Edge a la versión 4.3 o superior.
  • Después de configurar 128 segmentos para una empresa, no puede rebajar las instancias de Edge a una versión anterior a la 4.3. Si necesita rebajar la versión de las instancias de Edge, asegúrese de tener solo 16 segmentos, que es el valor predeterminado para cualquier empresa, y elimine los segmentos restantes antes de rebajar la versión de las instancias de Edge.

Configurar un nuevo segmento para una empresa

Para configurar los segmentos, haga lo siguiente:

  1. En el servicio de SD-WAN del portal de empresas, haga clic en Configurar (Configure) > Segmentos (Segments).
  2. La página Segmentos (Segments) muestra los segmentos existentes.
  3. Haga Agregar (Add) para agregar un nuevo segmento y configure los siguientes detalles:
    Opción Descripción
    Nombre del segmento (Segment Name) Introduzca un nombre para el segmento. El número máximo de caracteres permitido es 256.
    Descripción (Description) Introduzca un texto descriptivo para el segmento. El número máximo de caracteres permitido es 256.
    Tipo (Type) Elija el tipo de segmento como una de las siguientes opciones:
    • Regular: el tipo de segmento estándar.
    • Privado (Private): se utiliza para flujos de tráfico que requieren visibilidad limitada a fin de cumplir con los requisitos de privacidad de los usuarios finales.
    • CDE: VMware proporciona el servicio SD-WAN con certificación PCI. El tipo Entorno de datos del titular de la tarjeta (Cardholder Data Environment, CDE) se utiliza para flujos de tráfico donde se requiere PCI y se desea aprovechar la certificación PCI de VMware.
    Nota: Para un segmento global, puede establecer el tipo Regular o Privado (Private). Para los segmentos no globales, el tipo puede ser Regular, CDE o Privado (Private).
    VLAN de servicio (Service VLAN) Introduzca el identificador de la VLAN de servicio. Para obtener más información, consulte Definir segmentos de asignación con redes VLAN de servicio.
    Delegar a socio (Delegate To Partner) Esta casilla de verificación se encuentra seleccionada de forma predeterminada. Si esta casilla de verificación no está seleccionada, el socio no puede cambiar las configuraciones dentro del segmento, incluida la asignación de interfaz.
    Delegar a cliente (Delegate To Customer) Esta casilla de verificación se encuentra seleccionada de forma predeterminada. Si esta casilla de verificación no está seleccionada, el cliente no puede cambiar las configuraciones dentro del segmento, incluida la asignación de interfaz.
  4. Haga clic en Guardar cambios (Save Changes).
Si el segmento se configura como Privado (Private), el segmento:
  • No carga las estadísticas de flujo del usuario a Orchestrator, excepto el control de VMware, la administración de VMware y un flujo de IP único que cuenta todos los paquetes transmitidos y recibidos y los bytes enviados en el segmento. Por ejemplo, las estadísticas de flujo del cliente, como IP de origen, IP de destino, etc., no se muestran en la pestaña Supervisar (Monitor) para los flujos relacionados con el segmento Privado (Private).
  • No permite que los usuarios vean los flujos en Diagnósticos remotos (Remote Diagnostics).
  • No permite que el tráfico se envíe como Multipath de Internet (Internet Multipath), ya que la instancia de Edge anula automáticamente todas las directivas empresariales establecidas en Multipath de Internet (Internet Multipath) y reemplaza su valor por Directo (Direct).

Si el segmento se configura como CDE, el orquestador y la controladora alojados en VMware reconocerán el segmento PCI y quedarán en el ámbito de PCI. Las puertas de enlace (marcadas como puertas de enlace no CDE) no tendrán en cuenta ni transmitirán el tráfico PCI y estarán fuera del alcance de PCI.

Para eliminar un segmento, selecciónelo y haga clic en Eliminar (Delete). No puede eliminar un segmento utilizado por un perfil.