分割這個程序是透過在轉送裝置 (例如交換器、路由器或防火牆) 上使用隔離技術,將網路分割成稱為區段的邏輯子網路。當來自不同組織和/或資料類型的流量必須隔離時,網路分割就非常重要。

在區段感知拓撲中,可以為每個區段啟用不同的虛擬私人網路 (VPN) 設定檔。例如,可以將訪客流量回傳至遠端資料中心防火牆服務:語音媒體可根據動態通道直接從「分支到分支」進行傳遞,PCI 區段可將流量回傳至資料中心,以退出 PCI 網路。
備註: 您可以為每個企業客戶設定最多 16 個區段。
若要為企業設定新的區段,請執行下列步驟:
  1. SD-WAN Orchestrator 導覽面板中,移至設定 (Configure) > 區段 (Segments)。所選企業的區段 (Segments) 頁面隨即出現。
    configure-segments
  2. 按一下 + 按鈕,然後輸入下列詳細資料以設定新的區段。
    欄位 說明
    區段名稱 區段名稱 (最多 256 個字元)。
    說明 區段說明 (最多 256 個字元)。
    類型 區段類型可以是下列其中一項:
    • 一般 (Regular) - 標準區段類型。
    • 私人 (Private) - 用於需要有限可見度才能解決使用者隱私權需求的流量。
    • CDE - VMware 提供經 PCI 認證的 SD-WAN 服務。持卡人資料環境 (CDE) 類型用於需要 PCI 且想要利用 VMware PCI 認證的流量。
    備註: 對於全域區段,您可以將類型設定為 一般 (Regular)私人 (Private)。對於非全域區段,類型可以是 一般 (Regular)CDE私人 (Private)
    服務 VLAN (Service VLAN) 服務 VLAN 識別碼。如需相關資訊,請參閱安全性 VNF中的定義區段與服務 VLAN 之間的對應 (選擇性) 區段。
    委派給合作夥伴 (Delegate To Partner) 依預設會選取此核取方塊。如果取消選取,合作夥伴將無法變更區段內的組態 (包括介面指派)。
    委派給客戶 (Delegate To Customer) 依預設會選取此核取方塊。如果取消選取,客戶將無法變更區段內的組態 (包括介面指派)。
  3. 按一下儲存變更 (Save Changes)
如果區段設定為 私人 (Private),則區段:
  • 除了 VMware 控制、VMware 管理,以及在區段上傳送的所有已傳輸及已接收封包和位元組的單一 IP 流量,不會將使用者流量統計資料上傳至 Orchestrator。
  • 不允許使用者在遠端診斷中檢視流量。
  • 不允許傳送流量做為網際網路多重路徑 (Internet Multipath),因為所有設定為網際網路多重路徑 (Internet Multipath) 的商務原則會由 Edge 自動覆寫為直接 (Direct)

如果將區段設定為 CDE,則 VMware 主控的 Orchestrator 和控制器將會感知 PCI 區段,且將位於 PCI 範圍內。閘道 (標記為非 CDE 閘道) 將無法感知或傳輸 PCI 流量,且會位於 PCI 範圍外。