La segmentazione è il processo di divisione della rete in sottoreti logiche, denominate segmenti, utilizzando tecniche di isolamento su un dispositivo di inoltro come uno switch, un router o un firewall. La segmentazione della rete è importante quando il traffico proveniente da diverse organizzazioni e/o tipi di dati deve essere isolato.

Nella topologia basata su segmenti, è possibile abilitare diversi profili VPN (Virtual Private Network) per ciascun segmento. Ad esempio, è possibile eseguire il backhaul del traffico Guest in servizi firewall di data center remoti, il flusso multimediale vocale può essere diretto da filiale a filiale in base a tunnel dinamici e il segmento PCI può eseguire il backhaul del traffico verso il data center per uscire dalla rete PCI.

Per abilitare la funzionalità di segmentazione per un'azienda, nel portale dell'operatore passare a Proprietà di sistema (System Properties) e quindi impostare il valore della proprietà di sistema enterprise.capability.enableSegmentation su True. Per ulteriori informazioni su come configurare le proprietà di sistema, fare riferimento alla sezione "Proprietà di sistema" nella Guida alla distribuzione e al monitoraggio di VMware SD-WAN Orchestrator.

Per impostazione predefinita, è possibile configurare al massimo 16 segmenti per azienda. È tuttavia possibile scegliere di aumentare questo valore predefinito fino a 128 segmenti per azienda. Assicurarsi di definire il numero massimo di segmenti consentiti nella proprietà di sistema enterprise.segments.system.maximum. Per ulteriori informazioni sulle varie proprietà di sistema che è necessario configurare per la funzionalità di segmentazione, fare riferimento alla tabella "Segmentazione" nella sezione "Elenco delle proprietà di sistema" della Guida alla distribuzione e al monitoraggio di VMware SD-WAN Orchestrator.

Limitazioni

Prima di aumentare il valore predefinito fino a 128 segmenti per azienda, tenere presenti le limitazioni seguenti:
  • È obbligatorio aggiornare SD-WAN Orchestrator e gli Edge alla versione 4.3 o successiva.
  • Dopo aver configurato 128 segmenti per un'azienda, non è possibile eseguire il downgrade degli Edge a una versione precedente alla 4.3. Se è necessario eseguire il downgrade degli Edge, assicurarsi che il valore massimo sia 16 segmenti, ovvero il valore predefinito per qualsiasi azienda, ed eliminare i segmenti rimanenti prima di eseguire il downgrade degli Edge.

Configurazione di un nuovo segmento per un'azienda

Per configurare un nuovo segmento per un'azienda, eseguire i passaggi seguenti:
  1. Nel riquadro di spostamento di SD-WAN Orchestrator, passare a Configura (Configure) > Segmenti (Segments). Viene visualizzata la pagina Segmenti (Segments) per l'azienda selezionata.
    configure-segments
  2. Fare clic sul pulsante + e immettere i seguenti dettagli per configurare un nuovo segmento.
    Campo Descrizione
    Nome segmento (Segment Name) Il nome del segmento (fino a 256 caratteri).
    Descrizione (Description) Descrizione del segmento (fino a 256 caratteri).
    Tipo (Type) Il tipo di segmento può essere uno dei seguenti:
    • Regolare (Regular): il tipo di segmento standard.
    • Privato (Private): utilizzato per i flussi di traffico che richiedono una visibilità limitata al fine di soddisfare i requisiti di privacy degli utenti finali.
    • CDE: VMware fornisce il servizio SD-WAN certificato PCI. Il tipo di ambiente CDE (Cardholder Data Environment) viene utilizzato per i flussi di traffico che richiedono PCI e desiderano utilizzare la certificazione PCI di VMware.
    Nota: Per il segmento globale, è possibile impostare il tipo Regolare (Regular) o Privato (Private). Per i segmenti non globali, il tipo può essere Regolare (Regular), CDE o Privato (Private).
    VLAN servizio (Service VLAN) Identificatore VLAN del servizio. Per informazioni, vedere la sezione Definizione della mappatura tra segmenti e VLAN dei servizi (facoltativa) in VNF di sicurezza.
    Delega a partner (Delegate To Partner) Questa casella di controllo è selezionata per impostazione predefinita. Se deselezionata, il partner non può modificare le configurazioni all'interno del segmento, inclusa l'assegnazione dell'interfaccia.
    Delega a cliente (Delegate To Customer) Questa casella di controllo è selezionata per impostazione predefinita. Se deselezionata, il cliente non può modificare le configurazioni all'interno del segmento, inclusa l'assegnazione dell'interfaccia.
  3. Fare clic su Salva modifiche (Save Changes).
Se il segmento è configurato come Privato (Private), il segmento:
  • Non carica le statistiche del flusso utente in Orchestrator ad eccezione di Controllo VMware, Gestione VMware e un singolo flusso IP che conta tutti i pacchetti trasmessi e ricevuti, nonché i byte inviati nel segmento.
  • Non consente agli utenti di visualizzare i flussi nella diagnostica remota.
  • Non consente l'invio del traffico come multipath Internet poiché tutti i criteri di business impostati per multipath Internet vengono sovrascritti automaticamente in Diretto (Direct) dall'Edge.

Se il segmento è configurato come CDE, allora Orchestrator e controller in hosting in VMware saranno a conoscenza del segmento PCI e saranno nell'ambito PCI. I gateway (contrassegnati come gateway non-CDE) non conosceranno né trasmetteranno il traffico PCI e saranno fuori dall'ambito PCI.