La segmentation est le processus de division du réseau en sous-réseaux logiques appelés segments à l'aide de techniques d'isolation sur un périphérique de transfert tel qu'un commutateur, un routeur ou un pare-feu. La segmentation de réseau est importante lorsque le trafic provenant de différentes organisations et/ou de différents types de données doit être isolé.
Dans la topologie prenant en charge les segments, vous pouvez activer différents profils VPN (Virtual Private Network, réseau privé virtuel) pour chaque segment. Par exemple, vous pouvez relier le trafic invité aux services de pare-feu de centre de données à distance : les supports vocaux peuvent circuler directement d'une branche à l'autre en fonction des tunnels dynamiques. Le segment PCI peut relier le trafic au centre de données pour sortir du réseau PCI.
Note : Vous pouvez configurer un maximum de 16 segments par client d'entreprise.
Pour configurer un nouveau segment pour une entreprise, procédez comme suit :
- Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) > Segments. La page Segments de l'entreprise sélectionnée s'affiche.
- Cliquez sur le bouton + et entrez les détails suivants pour configurer un nouveau segment.
Champ Description Nom du segment Nom du segment (jusqu'à 256 caractères). Description Description du segment (jusqu'à 256 caractères). Type Le type de segment peut être l'un des suivants : - Régulier (Regular) : type de segment standard.
- Privé (Private) : utilisé pour les flux de trafic qui nécessitent une visibilité limitée afin de répondre aux exigences de confidentialité de l'utilisateur final.
- CDE : VMware fournit un service SD-WAN certifié PCI. Le type CDE (Cardholder Data Environment, environnement de données du titulaire de la carte) est utilisé pour les flux de trafic qui exigent PCI et qui souhaitent exploiter la certification PCI VMware.
Note : Pour le segment global, vous pouvez définir le type sur Régulier (Regular) ou Privé (Private). Pour les segments non globaux, le type peut être Régulier (Regular), CDE ou Privé (Private).VLAN de service (Service VLAN) Identifiant du VLAN de service. Pour plus d'informations, reportez-vous à la section Définir le mappage entre les segments et les VLAN de service (facultatif) au VNF de sécurité. Déléguer au partenaire (Delegate To Partner) Cette case est cochée par défaut. Si vous la décochez, le partenaire ne peut pas modifier les configurations dans le segment, notamment l'attribution de l'interface. Déléguer au client (Delegate To Customer) Cette case est cochée par défaut. Si vous la décochez, le client ne peut pas modifier les configurations dans le segment, notamment l'attribution de l'interface. - Cliquez sur Enregistrer les modifications (Save Changes).
Si le segment est configuré comme
Privé (Private), le segment :
- ne charge pas les statistiques de flux d'utilisateur vers Orchestrator, à l'exception du contrôle de VMware, de la gestion de VMware et d'un flux IP unique qui compte tous les paquets transmis et reçus, ainsi que les octets envoyés sur le segment ;
- ne permet pas aux utilisateurs d'afficher les flux dans les diagnostics à distance ;
- ne permet pas d'envoyer le trafic en tant que Chemins multiples Internet (Internet Multipath), car toutes les stratégies d'entreprise qui sont configurées sur Chemins multiples Internet (Internet Multipath) sont automatiquement remplacées par Direct par le dispositif Edge.
Si le segment est configuré en tant que CDE, Orchestrator et le contrôleur hébergés sur VMware connaissent le segment PCI et se trouvent dans l'étendue de PCI. Les passerelles (marquées passerelles non-CDE) ne le reconnaissent pas ou transmettent le trafic PCI et sont hors de portée de PCI.