La segmentation est le processus de division du réseau en sous-réseaux logiques appelés segments à l'aide de techniques d'isolation sur un périphérique de transfert tel qu'un commutateur, un routeur ou un pare-feu. La segmentation réseau est requise lorsque le trafic provenant de différentes organisations et types de données doit être isolé.

Dans la topologie prenant en charge les segments, vous pouvez activer différents profils VPN (Virtual Private Network, réseau privé virtuel) pour chaque segment. Par exemple, vous pouvez relier le trafic invité aux services de pare-feu de centre de données à distance : les supports vocaux peuvent circuler directement d'un site distant à l'autre en fonction des tunnels dynamiques. Le segment PCI peut établir un backhaul du trafic au centre de données pour sortir du réseau PCI.

Pour activer la capacité de segmentation d'une entreprise, accédez à Propriétés système (System Properties) dans le portail de l'opérateur, puis définissez la valeur de la propriété système enterprise.capability.enableSegmentation sur Vrai (True). Pour plus d'informations sur la configuration des propriétés système, reportez-vous à la section « Propriétés système » du Guide de déploiement de surveillance de VMware SASE Orchestrator.

Par défaut, vous pouvez configurer au plus 16 segments par entreprise. Cependant, vous pouvez choisir d'augmenter cette valeur par défaut à un maximum de 128 segments par entreprise. Assurez-vous que vous définissez le nombre maximal de segments autorisés dans la propriété système enterprise.segments.system.maximum. Pour plus d'informations sur les différentes propriétés système que vous devez configurer pour la capacité de segmentation, reportez-vous au tableau « Segmentation » de la section « Liste des propriétés système » du Guide de déploiement de surveillance de VMware SASE Orchestrator.

Limitations

Gardez à l'esprit les limitations suivantes avant d'augmenter la valeur par défaut à un maximum de 128 segments par entreprise :
  • Vous devez obligatoirement mettre à niveau votre dispositif SASE Orchestrator et vos dispositifs Edge vers la version 4.3 ou une version ultérieure.
  • Après avoir configuré 128 segments pour une entreprise, vous ne pouvez pas rétrograder vos dispositifs Edge vers une version antérieure à la version 4.3. Si vous devez rétrograder vos dispositifs Edge, assurez-vous que vous ne disposez que de 16 segments, ce qui est la valeur par défaut d'une entreprise, puis supprimez les segments restants avant de rétrograder les dispositifs Edge.

Configurer un nouveau segment pour une entreprise

Pour configurer les segments :

  1. Dans le service SD-WAN du portail d'entreprise, cliquez sur Configurer (Configure) > Segments.
  2. La page Segments affiche les segments existants.
  3. Cliquez sur Ajouter (Add) pour ajouter un nouveau segment et configurer les détails suivants :
    Option Description
    Nom du segment (Segment Name) Entrez un nom pour le segment. Le nombre maximal de caractères autorisés est de 256.
    Description Entrez un texte descriptif pour le segment. Le nombre maximal de caractères autorisés est de 256.
    Type Choisissez le type de segment suivant :
    • Normal (Regular) : type de segment standard.
    • Privé (Private) : utilisé pour les flux de trafic qui nécessitent une visibilité limitée afin de répondre aux exigences de confidentialité de l'utilisateur final.
    • CDE : VMware fournit un service SD-WAN certifié PCI. Le type CDE (Cardholder Data Environment, environnement de données du titulaire de la carte) est utilisé pour les flux de trafic qui exigent PCI et qui souhaitent exploiter la certification PCI VMware.
    Note : Pour le segment global, vous pouvez définir le type sur Normal (Regular) ou Privé (Private). Pour les segments non globaux, le type peut être Normal (Regular), CDE ou Privé (Private).
    VLAN de service (Service VLAN) Entrez l'identifiant VLAN de service. Pour plus d'informations, reportez-vous à la section Définir des segments de mappage avec des VLAN de service.
    Déléguer au partenaire (Delegate To Partner) Cette case est cochée par défaut. Si cette case n'est pas sélectionnée, le partenaire ne peut pas modifier les configurations dans le segment, y compris l'attribution de l'interface.
    Déléguer au client (Delegate To Customer) Cette case est cochée par défaut. Si cette case n'est pas cochée, le client ne peut pas modifier les configurations dans le segment, y compris l'attribution de l'interface.
  4. Cliquez sur Enregistrer les modifications (Save Changes).
Si le segment est configuré comme Privé (Private), le segment :
  • ne charge pas les statistiques de flux d'utilisateur vers Orchestrator, à l'exception du contrôle de VMware, de la gestion de VMware et d'un flux IP unique qui compte tous les paquets transmis et reçus, ainsi que les octets envoyés sur le segment ; Par exemple, les statistiques de flux client telles que l'adresse IP source, l'adresse IP de destination, etc., ne sont pas affichées dans l'onglet Surveiller (Monitor) pour les flux liés au segment Privé (Private).
  • ne permet pas aux utilisateurs d'afficher les flux dans les diagnostics à distance ;
  • ne permet pas d'envoyer le trafic en tant que Chemins multiples Internet (Internet Multipath), car toutes les business policies qui sont configurées sur Chemins multiples Internet (Internet Multipath) sont automatiquement remplacées par Direct par le dispositif Edge.

Si le segment est configuré en tant que CDE, Orchestrator et le contrôleur hébergés sur VMware connaissent le segment PCI et se trouvent dans l'étendue de PCI. Les passerelles (marquées passerelles non-CDE) ne le reconnaissent pas ou transmettent le trafic PCI et sont hors de portée de PCI.

Pour supprimer un segment, sélectionnez-le et cliquez sur Supprimer (Delete). Vous ne pouvez pas supprimer un segment utilisé par un profil.