分割這個程序是透過在轉送裝置 (例如交換器、路由器或防火牆) 上使用隔離技術,將網路分割成稱為區段的邏輯子網路。當來自不同組織和/或資料類型的流量必須隔離時,網路分割就非常重要。
在區段感知拓撲中,可以為每個區段啟用不同的虛擬私人網路 (VPN) 設定檔。例如,可以將訪客流量回傳至遠端資料中心防火牆服務:語音媒體可根據動態通道直接從「分支到分支」進行傳遞,PCI 區段可將流量回傳至資料中心,以退出 PCI 網路。
備註: 您可以為每個企業客戶設定最多 16 個區段。
若要為企業設定新的區段,請執行下列步驟:
- 在 SD-WAN Orchestrator 導覽面板中,移至設定 (Configure) > 區段 (Segments)。所選企業的區段 (Segments) 頁面隨即出現。
- 按一下 + 按鈕,然後輸入下列詳細資料以設定新的區段。
欄位 說明 區段名稱 區段名稱 (最多 256 個字元)。 說明 區段說明 (最多 256 個字元)。 類型 區段類型可以是下列其中一項: - 一般 (Regular) - 標準區段類型。
- 私人 (Private) - 用於需要有限可見度才能解決使用者隱私權需求的流量。
- CDE - VMware 提供經 PCI 認證的 SD-WAN 服務。持卡人資料環境 (CDE) 類型用於需要 PCI 且想要利用 VMware PCI 認證的流量。
備註: 對於全域區段,您可以將類型設定為 一般 (Regular) 或 私人 (Private)。對於非全域區段,類型可以是 一般 (Regular)、 CDE 或 私人 (Private)。服務 VLAN (Service VLAN) 服務 VLAN 識別碼。如需相關資訊,請參閱安全性 VNF中的定義區段與服務 VLAN 之間的對應 (選擇性) 區段。 委派給合作夥伴 (Delegate To Partner) 依預設會選取此核取方塊。如果取消選取,合作夥伴將無法變更區段內的組態 (包括介面指派)。 委派給客戶 (Delegate To Customer) 依預設會選取此核取方塊。如果取消選取,客戶將無法變更區段內的組態 (包括介面指派)。 - 按一下儲存變更 (Save Changes)。
如果區段設定為
私人 (Private),則區段:
- 除了 VMware 控制、VMware 管理,以及在區段上傳送的所有已傳輸及已接收封包和位元組的單一 IP 流量,不會將使用者流量統計資料上傳至 Orchestrator。
- 不允許使用者在遠端診斷中檢視流量。
- 不允許傳送流量做為網際網路多重路徑 (Internet Multipath),因為所有設定為網際網路多重路徑 (Internet Multipath) 的商務原則會由 Edge 自動覆寫為直接 (Direct)。
如果將區段設定為 CDE,則 VMware 主控的 Orchestrator 和控制器將會感知 PCI 區段,且將位於 PCI 範圍內。閘道 (標記為非 CDE 閘道) 將無法感知或傳輸 PCI 流量,且會位於 PCI 範圍外。