A segmentação é o processo de divisão da rede em sub-redes lógicas chamadas segmentos, utilizando técnicas de isolamento num dispositivo de encaminhamento, como um switch, router ou firewall. A segmentação da rede é importante quando o tráfego de organizações e/ou tipos de dados diferentes deve ser isolado.
Na topologia com deteção de segmentos, é possível ativar diferentes perfis da rede virtual privada (VPN) para cada segmento. Por exemplo, o tráfego de convidados pode realizar um backhaul para serviços remotos de firewall do centro de dados, os meios de voz podem fluir diretamente de ramo a ramo com base em túneis dinâmicos e o segmento PCI pode fazer backhaul do tráfego para o centro de dados para sair da rede PCI.
Para ativar a capacidade de segmentação para um empresa, no portal do operador, navegue para Propriedades do sistema (System Properties) e, em seguida, defina o valor da propriedade de sistema, enterprise.capability.enableSegmentation como Verdadeiro (True). Para obter mais informações sobre como configurar as propriedades do sistema, consulte a secção “Propriedades do sistema” no Guia de implementação e monitorização do VMware SD-WAN Orchestrator.
Por predefinição, pode configurar um máximo de 16 segmentos por empresa. No entanto, pode optar por aumentar este valor predefinido para um máximo de 128 segmentos por empresa. Certifique-se de que define o número máximo de segmentos permitidos na propriedade do sistema enterprise.segments.system.maximum. Para obter mais informações sobre as várias propriedades do sistema que deve configurar para a capacidade de segmentação, consulte a tabela “Segmentação” na secção “Lista de propriedades do sistema” no Guia de implementação e monitorização do VMware SD-WAN Orchestrator.
Limitações
- É obrigatório atualizar o SD-WAN Orchestrator e os Edges para a versão 4.3 ou superior.
- Após configurar 128 segmentos para uma empresa, não é possível mudar os Edges para uma versão inferior à 4.3. Se precisar de mudar os Edges para uma versão inferior, certifique-se de que tem apenas 16 segmentos, que é o valor predefinido para qualquer empresa e elimine os segmentos restantes antes de mudar os Edges para uma versão inferior.
Configurar um novo segmento para uma empresa
- No painel de navegação do SD-WAN Orchestrator, aceda a Configurar > Segmentos (Configure > Segments). É apresentada a página Segmentos (Segments) para a empresa selecionada.
- Clique no botão + e introduza os seguintes detalhes para configurar um novo segmento.
Campo Descrição Nome do segmento (Segment Name) O nome do segmento (até 256 caracteres). Descrição A descrição do segmento (até 256 caracteres). Tipo (Type) O tipo de segmento pode ser um dos seguintes: - Normal (Regular) – O tipo de segmento padrão.
- Privado (Private) – Utilizado para fluxos de tráfego que requerem uma visibilidade limitada para atender aos requisitos de privacidade do utilizador final.
- CDE – O VMware fornece um serviço SD-WAN certificado por PCI. O tipo Cardholder Data Environment (CDE) é utilizado para fluxos de tráfego que requerem PCI e pretendem tirar partido da certificação PCI do VMware.
Nota: Para o segmento global, pode definir o tipo como Normal (Regular) ou Privado (Private). Para segmentos não globais, o tipo pode ser Normal (Regular), CDE ou Privado (Private).VLAN de serviço (Service VLAN) O identificador VLAN do serviço. Para obter informações, consulte a secção Definir mapeamento entre segmentos e VLANs de serviço (opcional) em VNFs de segurança. Delegar no parceiro (Delegate To Partner) Por predefinição, esta caixa de verificação está selecionada. Se a desmarcar, o parceiro não poderá alterar configurações dentro do segmento, incluindo a atribuição da interface. Delegar no cliente (Delegate To Customer) Por predefinição, esta caixa de verificação está selecionada. Se a desmarcar, o cliente não poderá alterar configurações dentro do segmento, incluindo a atribuição da interface. - Clique em Guardar alterações (Save Changes).
- Não enviará estatísticas de fluxo de utilizador para o Orchestrator, exceto para controlo do VMware, gestão do VMware e um único fluxo de IP que conta todos os pacotes e bytes transmitidos e recebidos enviados no segmento. Por exemplo, as estatísticas de fluxo do cliente, como IP de origem, IP de destino, etc., não são mostradas no separador Monitorizar (Monitor) relativamente aos fluxos relacionados com o segmento Privado (Private).
- Não permitirá que os utilizadores vejam fluxos em Diagnóstico remoto (Remote Diagnostics).
- Não permitirá que o tráfego seja enviado como Multicaminho de Internet (Internet Multipath), uma vez que todas as políticas empresariais definidas como Multicaminho de Internet (Internet Multipath) são automaticamente anuladas para Direto (Direct) pelo Edge.
Se o segmento estiver configurado como CDE, o Orchestrator e o controlador alojados no VMware detetarão o segmento PCI e estarão no âmbito do PCI. Gateways (marcados como gateways não-CDE) não estarão cientes nem transmitirão tráfego de PCI e estarão fora do âmbito de PCI.