La segmentazione è il processo di divisione della rete in sottoreti logiche, denominate segmenti, utilizzando tecniche di isolamento su un dispositivo di inoltro come uno switch, un router o un firewall. La segmentazione della rete è necessaria quando il traffico proveniente da diverse organizzazioni e/o tipi di dati deve essere isolato.

Nella topologia basata su segmenti, è possibile attivare diversi profili VPN (Virtual Private Network) per ciascun segmento. Ad esempio, è possibile eseguire il backhaul del traffico Guest in servizi firewall di data center remoti, il flusso multimediale vocale può essere diretto da filiale a filiale in base a tunnel dinamici e il segmento PCI può eseguire il backhaul del traffico verso il data center per uscire dalla rete PCI.

Per attivare la funzionalità di segmentazione per un'azienda, nel portale dell'operatore passare a Proprietà di sistema (System Properties) e quindi impostare il valore della proprietà di sistema enterprise.capability.enableSegmentation su True. Per ulteriori informazioni su come configurare le proprietà di sistema, fare riferimento alla sezione "Proprietà di sistema" nella Guida alla distribuzione e al monitoraggio di VMware SASE Orchestrator.

Per impostazione predefinita, è possibile configurare al massimo 16 segmenti per azienda. È tuttavia possibile scegliere di aumentare questo valore predefinito fino a 128 segmenti per azienda. Assicurarsi di definire il numero massimo di segmenti consentiti nella proprietà di sistema enterprise.segments.system.maximum. Per ulteriori informazioni sulle varie proprietà di sistema che è necessario configurare per la funzionalità di segmentazione, fare riferimento alla tabella "Segmentazione" nella sezione "Elenco delle proprietà di sistema" della Guida alla distribuzione e al monitoraggio di VMware SASE Orchestrator.

Limitazioni

Prima di aumentare il valore predefinito fino a 128 segmenti per azienda, tenere presenti le limitazioni seguenti:
  • È obbligatorio aggiornare SASE Orchestrator e gli Edge alla versione 4.3 o successiva.
  • Dopo aver configurato 128 segmenti per un'azienda, non è possibile eseguire il downgrade degli Edge a una versione precedente alla 4.3. Se è necessario eseguire il downgrade degli Edge, assicurarsi che il valore massimo sia 16 segmenti, ovvero il valore predefinito per qualsiasi azienda, ed eliminare i segmenti rimanenti prima di eseguire il downgrade degli Edge.

Configurazione di un nuovo segmento per un'azienda

Per configurare i segmenti:

  1. Nel servizio SD-WAN del portale dell'azienda, fare clic su Configura (Configure) > Segmenti (Segments).
  2. Nella pagina Segmenti (Segments) vengono visualizzati i segmenti esistenti.
  3. Fare clic su Aggiungi (Add) per aggiungere un nuovo segmento e configurare i seguenti dettagli:
    Opzione Descrizione
    Nome segmento (Segment Name) Immettere un nome per il segmento. Il numero massimo di caratteri consentiti è 256.
    Descrizione (Description) Immettere un testo descrittivo per il segmento. Il numero massimo di caratteri consentiti è 256.
    Tipo (Type) Scegliere il tipo di segmento tra i seguenti:
    • Regolare (Regular): il tipo di segmento standard.
    • Privato (Private): utilizzato per i flussi di traffico che richiedono una visibilità limitata al fine di soddisfare i requisiti di privacy degli utenti finali.
    • CDE: VMware fornisce il servizio SD-WAN certificato PCI. Il tipo di ambiente CDE (Cardholder Data Environment) viene utilizzato per i flussi di traffico che richiedono PCI e desiderano utilizzare la certificazione PCI di VMware.
    Nota: Per il segmento globale, è possibile impostare il tipo Regolare (Regular) o Privato (Private). Per i segmenti non globali, il tipo può essere Regolare (Regular), CDE o Privato (Private).
    VLAN servizio (Service VLAN) Immettere l'identificatore della VLAN del servizio. Per ulteriori informazioni, vedere Definizione dei segmenti di mappatura con la VLAN del servizio.
    Delega a partner (Delegate To Partner) Questa casella di controllo è selezionata per impostazione predefinita. Se questa casella di controllo non è selezionata, il partner non può modificare le configurazioni all'interno del segmento, inclusa l'assegnazione dell'interfaccia.
    Delega a cliente (Delegate To Customer) Questa casella di controllo è selezionata per impostazione predefinita. Se questa casella di controllo non è selezionata, il cliente non può modificare le configurazioni all'interno del segmento, inclusa l'assegnazione dell'interfaccia.
  4. Fare clic su Salva modifiche (Save Changes).
Se il segmento è configurato come Privato (Private), il segmento:
  • Non carica le statistiche del flusso utente in Orchestrator ad eccezione di Controllo VMware, Gestione VMware e un singolo flusso IP che conta tutti i pacchetti trasmessi e ricevuti, nonché i byte inviati nel segmento. Ad esempio, le statistiche del flusso del cliente, come IP di origine (Source IP), IP di destinazione (Destination IP) e così via, non vengono visualizzate nella scheda Monitora (Monitor) per i flussi correlati al segmento Privato (Private).
  • Non consente agli utenti di visualizzare i flussi nella diagnostica remota.
  • Non consente l'invio del traffico come multipath Internet poiché tutti i criteri di business impostati per multipath Internet vengono sovrascritti automaticamente in Diretto (Direct) dall'Edge.

Se il segmento è configurato come CDE, allora Orchestrator e controller in hosting in VMware saranno a conoscenza del segmento PCI e saranno nell'ambito PCI. I gateway (contrassegnati come gateway non-CDE) non conosceranno né trasmetteranno il traffico PCI e saranno fuori dall'ambito PCI.

Per rimuovere un segmento, selezionarlo e fare clic su Elimina (Delete). Non è possibile eliminare un segmento utilizzato da un profilo.