セグメントとは、スイッチ、ルーター、ファイアウォールなどの転送デバイス上での分離手法を使用することにより、ネットワークをセグメントと呼ばれる論理的なサブネットワークに分割するプロセスのことです。ネットワークのセグメントは、さまざまな組織やデータ タイプからのトラフィックを分離する必要がある場合に重要です。
セグメント対応のトポロジでは、セグメントごとに異なる仮想プライベート ネットワーク (VPN) プロファイルを有効にすることができます。たとえば、ゲスト トラフィックをリモート データセンターのファイアウォール サービスにバックホールすることができます。動的トンネルに基づくブランチからブランチへの音声メディア トラフィックのダイレクト フローが可能になり、PCI セグメントでトラフィックをデータセンターにバックホールして PCI ネットワーク外部に出すことができます。
注: エンタープライズ ユーザーごとに最大 16 個のセグメントを構成できます。
エンタープライズに新しいセグメントを構成するには、次の手順を実行します。
- SD-WAN Orchestrator のナビゲーション パネルから、[構成 (Configure)] > [セグメント (Segments)] の順に移動します。選択したエンタープライズの [セグメント (Segments)] ページが表示されます。
- [+] ボタンをクリックし、次の詳細を入力して新しいセグメントを構成します。
フィールド 説明 セグメント名 セグメントの名前(最大 256 文字)です。 説明 セグメントの説明(最大 256 文字)です。 タイプ セグメントのタイプは、次のいずれかになります。 - [標準 (Regular)]:標準的なセグメントのタイプ。
- [プライベート (Private)]:エンドユーザーのプライバシー要件に対応するために、可視性が制限される必要があるトラフィック フローで使用します。
- [CDE]:VMware が PCI 認定の SD-WAN サービスを提供します。CDE (Cardholder Data Environment) のタイプは、PCI を必要とし、VMware の PCI 認証を活用するトラフィック フローで使用されます。
注: グローバル セグメントの場合は、 [標準 (Regular)] または [プライベート (Private)] のいずれかのタイプを設定できます。非グローバル セグメントの場合、タイプは [標準 (Regular)]、 [CDE]、または [プライベート (Private)] に設定できます。サービス VLAN (Service VLAN) サービス VLAN の識別子です。詳細については、セキュリティ VNFの「セグメントとサービス VLAN 間のマッピングを定義する(オプション)」セクションを参照してください。 パートナーに委任 (Delegate To Partner) デフォルトでは、このチェックボックスが選択されています。選択を解除した場合、パートナーは、インターフェイスの割り当てなど、セグメント内の構成を変更できません。 ユーザーに委任 (Delegate To Customer) デフォルトでは、このチェックボックスが選択されています。選択を解除した場合、ユーザーは、インターフェイスの割り当てなど、セグメント内の構成を変更できません。 - [変更の保存 (Save Changes)] をクリックします。
セグメントが
[プライベート (Private)] として構成されている場合、セグメントは次のようになります。
- VMware のコントロール、VMware の管理、およびセグメントでのすべての送受信パケットと送信されたバイト数をカウントする単一の IP フロー以外の、ユーザー フローの統計情報を Orchestrator にアップロードしません。
- [リモート診断 (Remote Diagnostics)] のフローをユーザーが表示することはできません。
- [インターネット マルチパス (Internet Multipath)] として設定されているすべてのビジネス ポリシーが、Edge によって [ダイレクト (Direct)] に自動的にオーバーライドされるよう設定されているため、トラフィックを [インターネット マルチパス (Internet Multipath)] として送信することはできません。
セグメントが [CDE] として構成されている場合、VMware でホストされた Orchestrator およびコントローラは PCI セグメントを認識し、PCI スコープに配置されます。(非 CDE ゲートウェイとしてマークされている)ゲートウェイは PCI トラフィックを認識または送信せず、PCI の範囲外に配置されます。