セグメントとは、スイッチ、ルーター、ファイアウォールなどの転送デバイス上での分離手法を使用することにより、ネットワークをセグメントと呼ばれる論理的なサブネットワークに分割するプロセスのことです。ネットワークのセグメントは、さまざまな組織やデータ タイプからのトラフィックを分離する必要がある場合に必要です。
セグメント対応のトポロジでは、セグメントごとに異なる仮想プライベート ネットワーク (VPN) プロファイルを有効にすることができます。たとえば、ゲスト トラフィックをリモート データセンターのファイアウォール サービスにバックホールすることができます。動的トンネルに基づくブランチからブランチへの音声メディア トラフィックのダイレクト フローが可能になり、PCI セグメントでトラフィックをデータセンターにバックホールして PCI ネットワーク外部に出すことができます。
エンタープライズのセグメント機能を有効にするには、オペレータ ポータルの [システム プロパティ (System Properties)] に移動し、システム プロパティ enterprise.capability.enableSegmentation の値を [True] に設定します。システム プロパティの設定方法の詳細については、『VMware SASE Orchestrator のデプロイおよび監視ガイド』の「システム プロパティ」セクションを参照してください。
デフォルトでは、エンタープライズごとに最大 16 個のセグメントを設定できます。ただし、このデフォルト値をエンタープライズごとに最大 128 セグメントに増やすことができます。許可されるセグメントの最大数は、enterprise.segments.system.maximum システム プロパティで定義して確認してください。セグメント機能のために設定する必要のあるさまざまなシステム プロパティの詳細については、『VMware SASE Orchestrator のデプロイおよび監視ガイド』の「システム プロパティのリスト」セクションの「セグメント」表を参照してください。
制限事項
- SASE Orchestrator と Edge をバージョン 4.3 以降にアップグレードする必要があります。
- エンタープライズに 128 セグメントを設定した後は、Edge を 4.3 より前のバージョンにダウングレードすることはできません。Edge をダウングレードする必要がある場合は、Edge をダウングレードする前にセグメント数がエンタープライズのデフォルト値である 16 であることを確認し、残りのセグメントを削除してください。
エンタープライズの新しいセグメントの設定
セグメントを設定するには、次の手順を実行します。
- エンタープライズ ポータルの [SD-WAN] サービスで、 の順にクリックします。
- [セグメント (Segments)] ページに既存のセグメントが表示されます。
- [追加 (Add)] をクリックして新しいセグメントを追加し、次の詳細を設定します。
オプション 説明 セグメント名 (Segment Name) セグメントの名前を入力します。許可される最大文字数は 256 文字です。 説明 (Description) セグメントの説明テキストを入力します。許可される最大文字数は 256 文字です。 タイプ (Type) 次のいずれかのセグメント タイプを選択します。 - [標準 (Regular)]:標準的なセグメントのタイプ。
- [プライベート (Private)]:エンドユーザーのプライバシー要件に対応するために、可視性が制限される必要があるトラフィック フローで使用します。
- [CDE]:VMware が PCI 認定の SD-WAN サービスを提供します。CDE (Cardholder Data Environment) のタイプは、PCI を必要とし、VMware の PCI 認証を活用するトラフィック フローで使用されます。
注: グローバル セグメントの場合は、 [標準 (Regular)] または [プライベート (Private)] のいずれかのタイプを設定できます。非グローバル セグメントの場合、タイプは [標準 (Regular)]、 [CDE]、または [プライベート (Private)] に設定できます。サービス VLAN (Service VLAN) サービス VLAN の識別子を入力します。詳細については、サービス VLAN を使用したマッピング セグメントの定義を参照してください。 パートナーに委任 (Delegate To Partner) デフォルトでは、このチェックボックスはオンになっています。このチェックボックスをオンにしない場合、パートナーは、インターフェイスの割り当てを含め、セグメント内の設定を変更できません。 カスタマーに委任 (Delegate To Customer) デフォルトでは、このチェックボックスはオンになっています。このチェックボックスをオンにしない場合、カスタマーは、インターフェイスの割り当てを含め、セグメント内の設定を変更できません。 - [変更の保存 (Save Changes)] をクリックします。
- VMware のコントロール、VMware の管理、およびセグメントでのすべての送受信パケットと送信されたバイト数をカウントする単一の IP フロー以外の、ユーザー フローの統計情報を Orchestrator にアップロードしません。たとえば、送信元 IP アドレス、宛先 IP アドレスなどのカスタマー フロー統計情報は、[プライベート (Private)] セグメントに関連するフローの [監視 (Monitor)] タブには表示されません。
- [リモート診断 (Remote Diagnostics)] のフローをユーザーが表示することはできません。
- [インターネット マルチパス (Internet Multipath)] として設定されているすべてのビジネス ポリシーが、Edge によって [ダイレクト (Direct)] に自動的に上書きされるよう設定されているため、トラフィックを [インターネット マルチパス (Internet Multipath)] として送信することはできません。
セグメントが [CDE] として設定されている場合、VMware でホストされた Orchestrator およびコントローラは PCI セグメントを認識し、PCI スコープに配置されます。(非 CDE Gateway としてマークされている)Gateway は PCI トラフィックを認識または送信せず、PCI の範囲外に配置されます。
セグメントを削除するには、セグメントを選択して [削除 (Delete)] をクリックします。プロファイルで使用されているセグメントは削除できません。