세분화는 스위치, 라우터 또는 방화벽과 같은 격리 기술을 전달 디바이스에서 사용하여 네트워크를 세그먼트라고 하는 논리적 하위 네트워크로 분할하는 프로세스입니다. 네트워크 세분화는 서로 다른 조직 및/또는 데이터 유형의 트래픽을 격리해야 하는 경우에 중요합니다.

세그먼트 인식 토폴로지에서는 세그먼트마다 다른 VPN(Virtual Private Network) 프로필을 활성화할 수 있습니다. 예를 들어, 게스트 트래픽을 원격 데이터 센터 방화벽 서비스에 백홀할 수 있습니다. 음성 미디어는 동적 터널을 기준으로 분기 간에 직접 흐를 수 있으며 PCI 세그먼트는 데이터 센터에 트래픽을 백홀하여 PCI 네트워크를 종료할 수 있습니다.

엔터프라이즈에 대해 세분화 기능을 활성화하려면 운영자 포털에서 시스템 속성(System Properties)으로 이동한 다음, 시스템 속성 enterprise.capability.enableSegmentation의 값을 True로 설정합니다. 시스템 속성을 구성하는 방법에 대한 자세한 내용은 VMware SD-WAN Orchestrator 배포 및 모니터링 가이드의 “시스템 속성” 섹션을 참조하십시오.

기본적으로 엔터프라이즈당 최대 16개의 세그먼트를 구성할 수 있습니다. 그러나 이 기본값을 엔터프라이즈당 최대 128개 세그먼트로 늘리도록 선택할 수 있습니다. enterprise.segments.system.maximum 시스템 속성에서 허용되는 최대 세그먼트 수를 정의해야 합니다. 세분화 기능을 위해 설정해야 하는 다양한 시스템 속성에 대한 자세한 내용은 VMware SD-WAN Orchestrator 배포 및 모니터링 가이드의 "시스템 속성 목록" 섹션에서 "세분화" 테이블을 참조하십시오.

제한 사항

기본값을 엔터프라이즈당 최대 128개 세그먼트로 늘리기 전에 다음과 같은 제한 사항을 유의하십시오.
  • SD-WAN Orchestrator 및 Edge를 버전 4.3 이상으로 업그레이드해야 합니다.
  • 엔터프라이즈에 대해 128개 세그먼트를 구성한 후 Edge를 4.3보다 낮은 버전으로 다운그레이드할 수 없습니다. Edge를 다운그레이드해야 하는 경우 Edge를 다운그레이드하기 전에 모든 엔터프라이즈의 기본값인 16개 세그먼트만 유지하고 나머지 세그먼트는 삭제해야 합니다.

엔터프라이즈를 위한 새 세그먼트 구성

엔터프라이즈에 대한 새 세그먼트를 구성하려면 다음 단계를 수행합니다.
  1. SD-WAN Orchestrator 탐색 패널에서 구성(Configure) > 세그먼트(Segments)로 이동합니다. 선택한 엔터프라이즈에 대한 세그먼트(Segments) 페이지가 나타납니다.
    configure-segments
  2. + 버튼을 클릭하고 다음 세부 정보를 입력하여 새 세그먼트를 구성합니다.
    필드 설명
    세그먼트 이름 세그먼트의 이름입니다(최대 256자).
    설명 세그먼트에 대한 설명입니다(최대 256자).
    유형 세그먼트 유형은 다음 중 하나일 수 있습니다.
    • 일반(Regular) - 표준 세그먼트 유형입니다.
    • 개인(Private) - 최종 사용자 개인 정보 보호 요구 사항을 해결하기 위해 제한된 가시성을 요구하는 트래픽 흐름에 사용됩니다.
    • CDE - VMware은 PCI 인증 SD-WAN 서비스를 제공합니다. CDE(카드 소유자 데이터 환경) 유형은 PCI가 필요하고 VMware PCI 인증서를 활용하려고 하는 트래픽 흐름에 사용됩니다.
    참고: 글로벌 세그먼트의 경우 유형을 일반(Regular) 또는 개인(Private)으로 설정할 수 있습니다. 비글로벌 세그먼트의 경우 유형은 일반(Regular), CDE 또는 개인(Private)일 수 있습니다.
    Service VLAN(서비스 VLAN) 서비스 VLAN 식별자입니다. 자세한 내용은 보안 VNF에서 "세그먼트와 서비스 VLAN 간 매핑 정의(선택 사항)" 섹션을 참조하십시오.
    파트너에 위임(Delegate To Partner) 기본적으로 이 확인란은 선택되어 있습니다. 선택하지 않으면 파트너는 인터페이스 할당을 포함하는 세그먼트 내 구성을 변경할 수 없습니다.
    고객에 위임(Delegate To Customer) 기본적으로 이 확인란은 선택되어 있습니다. 선택하지 않으면 고객은 인터페이스 할당을 포함하는 세그먼트 내 구성을 변경할 수 없습니다.
  3. 변경 내용 저장(Save Changes)을 클릭합니다.
세그먼트가 개인(Private)으로 구성된 경우 세그먼트는 다음과 같습니다.
  • VMware 제어, VMware 관리 및 세그먼트에서 전송된 패킷과 바이트를 모두 계산하는 단일 IP 흐름을 제외한 사용자 흐름 통계는 Orchestrator에 업로드하지 않습니다. 예를 들어 소스 IP, 대상 IP 등과 같은 고객 흐름 통계는 개인(Private) 세그먼트와 관련된 흐름에 대한 모니터링(Monitor) 탭에 표시되지 않습니다.
  • 사용자가 원격 진단에서 흐름을 볼 수 있도록 허용하지 않습니다.
  • 인터넷 다중 경로(Internet Multipath)로 설정된 모든 비즈니스 정책이 자동으로 Edge에 의해 직접(Direct)으로 재정의되므로 트래픽이 인터넷 다중 경로(Internet Multipath)로 전송되도록 허용하지 않습니다.

세그먼트가 CDE로 구성된 경우 VMware 호스팅 Orchestrator 및 컨트롤러가 PCI 세그먼트를 인식하며 PCI 범위에 포함됩니다. 게이트웨이(비 CDE 게이트웨이로 표시)는 PCI 트래픽을 인식 또는 전송하지 않으며 PCI 범위를 벗어납니다.