A segmentação é o processo de divisão da rede em sub-redes lógicas chamadas segmentos, utilizando técnicas de isolamento num dispositivo de encaminhamento, como um switch, router ou firewall. A segmentação da rede é necessária quando o tráfego de organizações e tipos de dados diferentes deve ser isolado.
Na topologia com deteção de segmentos, é possível ativar diferentes perfis da rede virtual privada (VPN) para cada segmento. Por exemplo, o tráfego de convidados pode realizar um backhaul para serviços remotos de firewall do centro de dados, os meios de voz podem fluir diretamente de ramo a ramo com base em túneis dinâmicos e o segmento PCI pode fazer backhaul do tráfego para o centro de dados para sair da rede PCI.
Para ativar a capacidade de segmentação para um empresa, no portal do operador, navegue para Propriedades do sistema (System Properties) e, em seguida, defina o valor da propriedade de sistema, enterprise.capability.enableSegmentation como Verdadeiro (True). Para obter mais informações sobre como configurar as propriedades do sistema, consulte a secção “Propriedades do sistema” no Guia de implementação e monitorização do VMware SASE Orchestrator.
Por predefinição, pode configurar um máximo de 16 segmentos por empresa. No entanto, pode optar por aumentar este valor predefinido para um máximo de 128 segmentos por empresa. Certifique-se de que define o número máximo de segmentos permitidos na propriedade do sistema enterprise.segments.system.maximum. Para obter mais informações sobre as várias propriedades do sistema que deve configurar para a capacidade de segmentação, consulte a tabela “Segmentação” na secção “Lista de propriedades do sistema” no Guia de implementação e monitorização do VMware SASE Orchestrator.
Limitações
- É obrigatório atualizar o SASE Orchestrator e os Edges para a versão 4.3 ou superior.
- Após configurar 128 segmentos para uma empresa, não é possível mudar os Edges para uma versão inferior à 4.3. Se precisar de mudar os Edges para uma versão inferior, certifique-se de que tem apenas 16 segmentos, que é o valor predefinido para qualquer empresa e elimine os segmentos restantes antes de mudar os Edges para uma versão inferior.
Configurar um novo segmento para uma empresa
Para configurar os segmentos:
- No serviço SD-WAN do portal da empresa, clique em .
- A página Segmentos (Segments) apresenta os segmentos existentes.
- Clique em Adicionar (Add) para adicionar um novo segmento e configurar os seguintes detalhes:
Opção Descrição Nome do segmento (Segment Name) Introduza um nome para o segmento. O número máximo de caracteres permitidos é 256. Descrição (Description) Introduza um texto descritivo para o segmento. O número máximo de caracteres permitidos é 256. Tipo (Type) Escolha o tipo de segmento como um dos seguintes: - Normal (Regular) – O tipo de segmento padrão.
- Privado (Private) – Utilizado para fluxos de tráfego que requerem uma visibilidade limitada para atender aos requisitos de privacidade do utilizador final.
- CDE – O VMware fornece um serviço SD-WAN certificado por PCI. O tipo Cardholder Data Environment (CDE) é utilizado para fluxos de tráfego que requerem PCI e pretendem tirar partido da certificação PCI do VMware.
Nota: Para o segmento global, pode definir o tipo como Normal (Regular) ou Privado (Private). Para segmentos não globais, o tipo pode ser Normal (Regular), CDE ou Privado (Private).VLAN de serviço (Service VLAN) Introduza o identificador VLAN do serviço. Para obter mais informações, consulte Definir os segmentos de mapeamento com as VLANs de serviço. Delegar no parceiro (Delegate To Partner) Por predefinição, esta caixa de verificação está selecionada. Se esta caixa de verificação não estiver selecionada, o parceiro não poderá alterar as configurações dentro do segmento, incluindo a atribuição de interface. Delegar no cliente (Delegate To Customer) Por predefinição, esta caixa de verificação está selecionada. Se esta caixa de verificação não estiver selecionada, o cliente não poderá alterar as configurações dentro do segmento, incluindo a atribuição de interface. - Clique em Guardar alterações (Save Changes).
- Não enviará estatísticas de fluxo de utilizador para o Orchestrator, exceto para controlo do VMware, gestão do VMware e um único fluxo de IP que conta todos os pacotes e bytes transmitidos e recebidos enviados no segmento. Por exemplo, as estatísticas de fluxo do cliente, como IP de origem, IP de destino, etc., não são mostradas no separador Monitorizar (Monitor) relativamente aos fluxos relacionados com o segmento Privado (Private).
- Não permitirá que os utilizadores vejam fluxos em Diagnóstico remoto (Remote Diagnostics).
- Não permitirá que o tráfego seja enviado como Multicaminho de Internet (Internet Multipath), uma vez que todas as políticas empresariais definidas como Multicaminho de Internet (Internet Multipath) são automaticamente anuladas para Direto (Direct) pelo Edge.
Se o segmento estiver configurado como CDE, o Orchestrator e o controlador alojados no VMware detetarão o segmento PCI e estarão no âmbito do PCI. Gateways (marcados como gateways não-CDE) não estarão cientes nem transmitirão tráfego de PCI e estarão fora do âmbito de PCI.
Para remover um segmento, selecione o segmento e clique em Eliminar (Eliminar). Não é possível eliminar um segmento utilizado por um perfil.