セグメントとは、スイッチ、ルーター、ファイアウォールなどの転送デバイス上での分離手法を使用することにより、ネットワークをセグメントと呼ばれる論理的なサブネットワークに分割するプロセスのことです。ネットワークのセグメントは、さまざまな組織やデータ タイプからのトラフィックを分離する必要がある場合に重要です。
セグメント対応のトポロジでは、セグメントごとに異なる仮想プライベート ネットワーク (VPN) プロファイルを有効にすることができます。たとえば、ゲスト トラフィックをリモート データセンターのファイアウォール サービスにバックホールすることができます。動的トンネルに基づくブランチからブランチへの音声メディア トラフィックのダイレクト フローが可能になり、PCI セグメントでトラフィックをデータセンターにバックホールして PCI ネットワーク外部に出すことができます。
エンタープライズのセグメント機能を有効にするには、オペレータ ポータルの [システム プロパティ (System Properties)] に移動し、システム プロパティ enterprise.capability.enableSegmentation の値を [True] に設定します。システム プロパティの設定方法の詳細については、『VMware SD-WAN Orchestrator のデプロイおよび監視ガイド』の「システム プロパティ」セクションを参照してください。
デフォルトでは、エンタープライズごとに最大 16 個のセグメントを設定できます。ただし、このデフォルト値をエンタープライズごとに最大 128 セグメントに増やすことができます。許可されるセグメントの最大数は、enterprise.segments.system.maximum システム プロパティで定義して確認してください。セグメント機能のために設定する必要のあるさまざまなシステム プロパティの詳細については、『VMware SD-WAN Orchestrator のデプロイおよび監視ガイド』の「システム プロパティのリスト」セクションの「セグメント」表を参照してください。
制限事項
- SD-WAN Orchestrator と Edge をバージョン 4.3 以降にアップグレードする必要があります。
- エンタープライズに 128 セグメントを設定した後は、Edge を 4.3 より前のバージョンにダウングレードすることはできません。Edge をダウングレードする必要がある場合は、Edge をダウングレードする前にセグメント数がエンタープライズのデフォルト値である 16 であることを確認し、残りのセグメントを削除してください。
エンタープライズの新しいセグメントの設定
- SD-WAN Orchestrator のナビゲーション パネルから、[設定 (Configure)] > [セグメント (Segments)] の順に移動します。選択したエンタープライズの [セグメント (Segments)] ページが表示されます。
- [+] ボタンをクリックし、次の詳細を入力して新しいセグメントを設定します。
フィールド 説明 セグメント名 セグメントの名前(最大 256 文字)です。 説明 セグメントの説明(最大 256 文字)です。 タイプ (Type) セグメントのタイプは、次のいずれかになります。 - [標準 (Regular)]:標準的なセグメントのタイプ。
- [プライベート (Private)]:エンドユーザーのプライバシー要件に対応するために、可視性が制限される必要があるトラフィック フローで使用します。
- [CDE]:VMware が PCI 認定の SD-WAN サービスを提供します。CDE (Cardholder Data Environment) のタイプは、PCI を必要とし、VMware の PCI 認証を活用するトラフィック フローで使用されます。
注: グローバル セグメントの場合は、 [標準 (Regular)] または [プライベート (Private)] のいずれかのタイプを設定できます。非グローバル セグメントの場合、タイプは [標準 (Regular)]、 [CDE]、または [プライベート (Private)] に設定できます。サービス VLAN (Service VLAN) サービス VLAN の識別子です。詳細については、セキュリティ VNFの「セグメントとサービス VLAN 間のマッピングを定義する(オプション)」セクションを参照してください。 パートナーに委任 (Delegate To Partner) デフォルトでは、このチェックボックスはオンになっています。選択を解除した場合、パートナーは、インターフェイスの割り当てなど、セグメント内の設定を変更できません。 カスタマーに委任 (Delegate To Customer) デフォルトでは、このチェックボックスはオンになっています。選択を解除した場合、カスタマーは、インターフェイスの割り当てなど、セグメント内の設定を変更できません。 - [変更の保存 (Save Changes)] をクリックします。
- VMware のコントロール、VMware の管理、およびセグメントでのすべての送受信パケットと送信されたバイト数をカウントする単一の IP フロー以外の、ユーザー フローの統計情報を Orchestrator にアップロードしません。たとえば、送信元 IP アドレス、宛先 IP アドレスなどのカスタマー フロー統計情報は、[プライベート (Private)] セグメントに関連するフローの [監視 (Monitor)] タブには表示されません。
- [リモート診断 (Remote Diagnostics)] のフローをユーザーが表示することはできません。
- [インターネット マルチパス (Internet Multipath)] として設定されているすべてのビジネス ポリシーが、Edge によって [ダイレクト (Direct)] に自動的に上書きされるよう設定されているため、トラフィックを [インターネット マルチパス (Internet Multipath)] として送信することはできません。
セグメントが [CDE] として設定されている場合、VMware でホストされた Orchestrator およびコントローラは PCI セグメントを認識し、PCI スコープに配置されます。(非 CDE Gateway としてマークされている)Gateway は PCI トラフィックを認識または送信せず、PCI の範囲外に配置されます。