세분화는 스위치, 라우터 또는 방화벽과 같은 격리 기술을 전달 디바이스에서 사용하여 네트워크를 세그먼트라고 하는 논리적 하위 네트워크로 분할하는 프로세스입니다. 네트워크 세분화는 서로 다른 조직 및/또는 데이터 유형의 트래픽을 격리해야 하는 경우에 중요합니다.

세그먼트 인식 토폴로지에서는 세그먼트마다 다른 VPN(Virtual Private Network) 프로필을 사용하도록 설정할 수 있습니다. 예를 들어, 게스트 트래픽을 원격 데이터 센터 방화벽 서비스에 backhaul할 수 있습니다. 음성 미디어는 동적 터널을 기준으로 분기 간에 직접 흐를 수 있으며 PCI 세그먼트는 데이터 센터에 트래픽을 backhaul하여 PCI 네트워크를 종료할 수 있습니다.
참고: 엔터프라이즈 고객당 최대 16개의 세그먼트를 구성할 수 있습니다.
엔터프라이즈에 대한 새 세그먼트를 구성하려면 다음 단계를 수행합니다.
  1. SD-WAN Orchestrator 탐색 패널에서 구성(Configure) > 세그먼트(Segments)로 이동합니다. 선택한 엔터프라이즈에 대한 세그먼트(Segments) 페이지가 나타납니다.
    configure-segments
  2. + 버튼을 클릭하고 다음 세부 정보를 입력하여 새 세그먼트를 구성합니다.
    필드 설명
    세그먼트 이름 세그먼트의 이름입니다(최대 256자).
    설명 세그먼트에 대한 설명입니다(최대 256자).
    유형 세그먼트 유형은 다음 중 하나일 수 있습니다.
    • 일반(Regular) - 표준 세그먼트 유형입니다.
    • 개인(Private) - 최종 사용자 개인 정보 보호 요구 사항을 해결하기 위해 제한된 가시성을 요구하는 트래픽 흐름에 사용됩니다.
    • CDE - VMware은 PCI 인증 SD-WAN 서비스를 제공합니다. CDE(카드 소유자 데이터 환경) 유형은 PCI가 필요하고 VMware PCI 인증서를 활용하려고 하는 트래픽 흐름에 사용됩니다.
    참고: 글로벌 세그먼트의 경우 유형을 일반(Regular) 또는 개인(Private)으로 설정할 수 있습니다. 비글로벌 세그먼트의 경우 유형은 일반(Regular), CDE 또는 개인(Private)일 수 있습니다.
    Service VLAN(서비스 VLAN) 서비스 VLAN 식별자입니다. 자세한 내용은 보안 VNF에서 "세그먼트와 서비스 VLAN 간 매핑 정의(선택 사항)" 섹션을 참조하십시오.
    파트너에 위임(Delegate To Partner) 기본적으로 이 확인란은 선택되어 있습니다. 선택하지 않으면 파트너는 인터페이스 할당을 포함하는 세그먼트 내 구성을 변경할 수 없습니다.
    고객에 위임(Delegate To Customer) 기본적으로 이 확인란은 선택되어 있습니다. 선택하지 않으면 고객은 인터페이스 할당을 포함하는 세그먼트 내 구성을 변경할 수 없습니다.
  3. 변경 내용 저장(Save Changes)을 클릭합니다.
세그먼트가 개인(Private)으로 구성된 경우 세그먼트는 다음과 같습니다.
  • VMware 제어, VMware 관리 및 세그먼트에서 전송된 패킷과 바이트를 모두 계산하는 단일 IP 흐름을 제외한 사용자 흐름 통계는 Orchestrator에 업로드하지 않습니다.
  • 사용자가 원격 진단에서 흐름을 볼 수 있도록 허용하지 않습니다.
  • 인터넷 다중 경로(Internet Multipath)로 설정된 모든 비즈니스 정책이 자동으로 Edge에 의해 직접(Direct)으로 재정의되므로 트래픽이 인터넷 다중 경로(Internet Multipath)로 전송되도록 허용하지 않습니다.

세그먼트가 CDE로 구성된 경우 VMware 호스팅 Orchestrator 및 컨트롤러가 PCI 세그먼트를 인식하며 PCI 범위에 포함됩니다. 게이트웨이(비 CDE 게이트웨이로 표시)는 PCI 트래픽을 인식 또는 전송하지 않으며 PCI 범위를 벗어납니다.