세분화는 스위치, 라우터 또는 방화벽과 같은 격리 기술을 전달 디바이스에서 사용하여 네트워크를 세그먼트라고 하는 논리적 하위 네트워크로 분할하는 프로세스입니다. 네트워크 세분화는 서로 다른 조직 및/또는 데이터 유형의 트래픽을 격리해야 하는 경우에 중요합니다.

세그먼트 인식 토폴로지에서는 세그먼트마다 다른 VPN(Virtual Private Network) 프로필을 활성화할 수 있습니다. 예를 들어, 게스트 트래픽을 원격 데이터 센터 방화벽 서비스에 백홀할 수 있습니다. 음성 미디어는 동적 터널을 기준으로 분기 간에 직접 흐를 수 있으며 PCI 세그먼트는 데이터 센터에 트래픽을 백홀하여 PCI 네트워크를 종료할 수 있습니다.

엔터프라이즈에 대해 세분화 기능을 활성화하려면 운영자 포털에서 시스템 속성(System Properties)으로 이동한 다음, 시스템 속성 enterprise.capability.enableSegmentation의 값을 True로 설정합니다. 시스템 속성을 구성하는 방법에 대한 자세한 내용은 VMware SD-WAN Orchestrator 배포 및 모니터링 가이드의 “시스템 속성” 섹션을 참조하십시오.

기본적으로 엔터프라이즈당 최대 16개의 세그먼트를 구성할 수 있습니다. 그러나 이 기본값을 엔터프라이즈당 최대 128개 세그먼트로 늘리도록 선택할 수 있습니다. enterprise.segments.system.maximum 시스템 속성에서 허용되는 최대 세그먼트 수를 정의해야 합니다. 세분화 기능을 위해 설정해야 하는 다양한 시스템 속성에 대한 자세한 내용은 VMware SD-WAN Orchestrator 배포 및 모니터링 가이드의 "시스템 속성 목록" 섹션에서 "세분화" 테이블을 참조하십시오.

제한 사항

기본값을 엔터프라이즈당 최대 128개 세그먼트로 늘리기 전에 다음과 같은 제한 사항을 유의하십시오.
  • SD-WAN Orchestrator 및 Edge를 버전 4.3 이상으로 업그레이드해야 합니다.
  • 엔터프라이즈에 대해 128개 세그먼트를 구성한 후 Edge를 4.3보다 낮은 버전으로 다운그레이드할 수 없습니다. Edge를 다운그레이드해야 하는 경우 Edge를 다운그레이드하기 전에 모든 엔터프라이즈의 기본값인 16개 세그먼트만 유지하고 나머지 세그먼트는 삭제해야 합니다.

엔터프라이즈를 위한 새 세그먼트 구성

엔터프라이즈에 대한 새 세그먼트를 구성하려면 다음 단계를 수행합니다.
  1. SD-WAN Orchestrator 탐색 패널에서 구성(Configure) > 세그먼트(Segments)로 이동합니다. 선택한 엔터프라이즈에 대한 세그먼트(Segments) 페이지가 나타납니다.
    configure-segments
  2. + 버튼을 클릭하고 다음 세부 정보를 입력하여 새 세그먼트를 구성합니다.
    필드 설명
    세그먼트 이름 세그먼트의 이름입니다(최대 256자).
    설명 세그먼트에 대한 설명입니다(최대 256자).
    유형 세그먼트 유형은 다음 중 하나일 수 있습니다.
    • 일반(Regular) - 표준 세그먼트 유형입니다.
    • 개인(Private) - 최종 사용자 개인 정보 보호 요구 사항을 해결하기 위해 제한된 가시성을 요구하는 트래픽 흐름에 사용됩니다.
    • CDE - VMware은 PCI 인증 SD-WAN 서비스를 제공합니다. CDE(카드 소유자 데이터 환경) 유형은 PCI가 필요하고 VMware PCI 인증서를 활용하려고 하는 트래픽 흐름에 사용됩니다.
    참고: 글로벌 세그먼트의 경우 유형을 일반(Regular) 또는 개인(Private)으로 설정할 수 있습니다. 비글로벌 세그먼트의 경우 유형은 일반(Regular), CDE 또는 개인(Private)일 수 있습니다.
    Service VLAN(서비스 VLAN) 서비스 VLAN 식별자입니다. 자세한 내용은 보안 VNF에서 "세그먼트와 서비스 VLAN 간 매핑 정의(선택 사항)" 섹션을 참조하십시오.
    파트너에 위임(Delegate To Partner) 기본적으로 이 확인란은 선택되어 있습니다. 선택하지 않으면 파트너는 인터페이스 할당을 포함하는 세그먼트 내 구성을 변경할 수 없습니다.
    고객에 위임(Delegate To Customer) 기본적으로 이 확인란은 선택되어 있습니다. 선택하지 않으면 고객은 인터페이스 할당을 포함하는 세그먼트 내 구성을 변경할 수 없습니다.
  3. 변경 내용 저장(Save Changes)을 클릭합니다.
세그먼트가 개인(Private)으로 구성된 경우 세그먼트는 다음과 같습니다.
  • VMware 제어, VMware 관리 및 세그먼트에서 전송된 패킷과 바이트를 모두 계산하는 단일 IP 흐름을 제외한 사용자 흐름 통계는 Orchestrator에 업로드하지 않습니다.
  • 사용자가 원격 진단에서 흐름을 볼 수 있도록 허용하지 않습니다.
  • 인터넷 다중 경로(Internet Multipath)로 설정된 모든 비즈니스 정책이 자동으로 Edge에 의해 직접(Direct)으로 재정의되므로 트래픽이 인터넷 다중 경로(Internet Multipath)로 전송되도록 허용하지 않습니다.

세그먼트가 CDE로 구성된 경우 VMware 호스팅 Orchestrator 및 컨트롤러가 PCI 세그먼트를 인식하며 PCI 범위에 포함됩니다. 게이트웨이(비 CDE 게이트웨이로 표시)는 PCI 트래픽을 인식 또는 전송하지 않으며 PCI 범위를 벗어납니다.