La segmentation est le processus de division du réseau en sous-réseaux logiques appelés segments à l'aide de techniques d'isolation sur un périphérique de transfert tel qu'un commutateur, un routeur ou un pare-feu. La segmentation de réseau est importante lorsque le trafic provenant de différentes organisations et/ou de différents types de données doit être isolé.

Dans la topologie prenant en charge les segments, vous pouvez activer différents profils VPN (Virtual Private Network, réseau privé virtuel) pour chaque segment. Par exemple, vous pouvez relier le trafic invité aux services de pare-feu de centre de données à distance : les supports vocaux peuvent circuler directement d'un site distant à l'autre en fonction des tunnels dynamiques. Le segment PCI peut établir un backhaul du trafic au centre de données pour sortir du réseau PCI.

Pour activer la capacité de segmentation d'une entreprise, accédez à Propriétés système (System Properties) dans le portail de l'opérateur, puis définissez la valeur de la propriété système enterprise.capability.enableSegmentation sur Vrai (True). Pour plus d'informations sur la configuration des propriétés système, reportez-vous à la section « Propriétés système » du Guide de déploiement de surveillance de VMware SD-WAN Orchestrator.

Par défaut, vous pouvez configurer au plus 16 segments par entreprise. Cependant, vous pouvez choisir d'augmenter cette valeur par défaut à un maximum de 128 segments par entreprise. Assurez-vous que vous définissez le nombre maximal de segments autorisés dans la propriété système enterprise.segments.system.maximum. Pour plus d'informations sur les différentes propriétés système que vous devez configurer pour la capacité de segmentation, reportez-vous au tableau « Segmentation » de la section « Liste des propriétés système » du Guide de déploiement de surveillance de VMware SD-WAN Orchestrator.

Limitations

Gardez à l'esprit les limitations suivantes avant d'augmenter la valeur par défaut à un maximum de 128 segments par entreprise :
  • Vous devez obligatoirement mettre à niveau votre dispositif SD-WAN Orchestrator et vos dispositifs Edge vers la version 4.3 ou une version ultérieure.
  • Après avoir configuré 128 segments pour une entreprise, vous ne pouvez pas rétrograder vos dispositifs Edge vers une version antérieure à la version 4.3. Si vous devez rétrograder vos dispositifs Edge, assurez-vous que vous ne disposez que de 16 segments, ce qui est la valeur par défaut d'une entreprise, puis supprimez les segments restants avant de rétrograder les dispositifs Edge.

Configurer un nouveau segment pour une entreprise

Pour configurer un nouveau segment pour une entreprise, procédez comme suit :
  1. Dans le panneau de navigation de SD-WAN Orchestrator, accédez à Configurer (Configure) > Segments. La page Segments de l'entreprise sélectionnée s'affiche.
    configure-segments
  2. Cliquez sur le bouton + et entrez les détails suivants pour configurer un nouveau segment.
    Champ Description
    Nom du segment Nom du segment (jusqu'à 256 caractères).
    Description Description du segment (jusqu'à 256 caractères).
    Type Le type de segment peut être l'un des suivants :
    • Normal (Regular) : type de segment standard.
    • Privé (Private) : utilisé pour les flux de trafic qui nécessitent une visibilité limitée afin de répondre aux exigences de confidentialité de l'utilisateur final.
    • CDE : VMware fournit un service SD-WAN certifié PCI. Le type CDE (Cardholder Data Environment, environnement de données du titulaire de la carte) est utilisé pour les flux de trafic qui exigent PCI et qui souhaitent exploiter la certification PCI VMware.
    Note : Pour le segment global, vous pouvez définir le type sur Normal (Regular) ou Privé (Private). Pour les segments non globaux, le type peut être Normal (Regular), CDE ou Privé (Private).
    VLAN de service (Service VLAN) Identifiant du VLAN de service. Pour plus d'informations, reportez-vous à la section Définir le mappage entre les segments et les VLAN de service (facultatif) au VNF de sécurité.
    Déléguer au partenaire (Delegate To Partner) Cette case est cochée par défaut. Si vous la décochez, le partenaire ne peut pas modifier les configurations dans le segment, notamment l'attribution de l'interface.
    Déléguer au client (Delegate To Customer) Cette case est cochée par défaut. Si vous la décochez, le client ne peut pas modifier les configurations dans le segment, notamment l'attribution de l'interface.
  3. Cliquez sur Enregistrer les modifications (Save Changes).
Si le segment est configuré comme Privé (Private), le segment :
  • ne charge pas les statistiques de flux d'utilisateur vers Orchestrator, à l'exception du contrôle de VMware, de la gestion de VMware et d'un flux IP unique qui compte tous les paquets transmis et reçus, ainsi que les octets envoyés sur le segment ; Par exemple, les statistiques de flux client telles que l'adresse IP source, l'adresse IP de destination, etc., ne sont pas affichées dans l'onglet Surveiller (Monitor) pour les flux liés au segment Privé (Private).
  • ne permet pas aux utilisateurs d'afficher les flux dans les diagnostics à distance ;
  • ne permet pas d'envoyer le trafic en tant que Chemins multiples Internet (Internet Multipath), car toutes les business policies qui sont configurées sur Chemins multiples Internet (Internet Multipath) sont automatiquement remplacées par Direct par le dispositif Edge.

Si le segment est configuré en tant que CDE, Orchestrator et le contrôleur hébergés sur VMware connaissent le segment PCI et se trouvent dans l'étendue de PCI. Les passerelles (marquées passerelles non-CDE) ne le reconnaissent pas ou transmettent le trafic PCI et sont hors de portée de PCI.