分割這個程序是透過在轉送裝置 (例如交換器、路由器或防火牆) 上使用隔離技術,將網路分割成稱為區段的邏輯子網路。當來自不同組織和/或資料類型的流量必須隔離時,網路分割就非常重要。
在區段感知拓撲中,可以為每個區段啟用不同的虛擬私人網路 (VPN) 設定檔。例如,可以將訪客流量回傳至遠端資料中心防火牆服務:語音媒體可根據動態通道直接從「分支到分支」進行傳遞,PCI 區段可將流量回傳至資料中心,以退出 PCI 網路。
若要啟用企業的分割功能,請於操作員入口網站導覽至系統內容 (System Properties),然後將系統內容 enterprise.capability.enableSegmentation 的值設定為 True。如需如何設定系統內容的詳細資訊,請參閱 《VMware SD-WAN Orchestrator 部署和監控指南》中的〈系統內容〉一節。
依預設,您最多可為每個企業設定 16 個區段。不過,您可以選擇將此預設值增加至每個企業最多 128 個區段。確保您在 enterprise.segments.system.maximum 系統內容中定義允許的區段數上限。如需必須為分割功能設定的各種系統內容的詳細資訊,請參閱《VMware SD-WAN Orchestrator 部署和監控指南》中〈系統內容清單〉一節中的「分割」表格。
限制
在將預設值增加至每個企業最多 128 個區段之前,請記住下列限制:
- 您必須將您的 SD-WAN Orchestrator 和 Edge 升級至 4.3 版或更新版本。
- 在您為企業設定 128 個區段後,即無法將 Edge 降級至低於 4.3 的版本。如果您需要降級 Edge,請確保只有 16 個區段,這是任何企業的預設值,並先刪除剩餘區段,然後再降級 Edge。
設定企業的新區段
若要為企業設定新的區段,請執行下列步驟:
- 在 SD-WAN Orchestrator 導覽面板中,移至設定 (Configure) > 區段 (Segments)。所選企業的區段 (Segments) 頁面隨即出現。
- 按一下 + 按鈕,然後輸入下列詳細資料以設定新的區段。
欄位 說明 區段名稱 (Segment Name) 區段名稱 (最多 256 個字元)。 說明 區段說明 (最多 256 個字元)。 類型 區段類型可以是下列其中一項: - 一般 (Regular) - 標準區段類型。
- 私人 (Private) - 用於需要有限可見度才能解決使用者隱私權需求的流量。
- CDE - VMware 提供經 PCI 認證的 SD-WAN 服務。持卡人資料環境 (CDE) 類型用於需要 PCI 且想要利用 VMware PCI 認證的流量。
備註: 對於全域區段,您可以將類型設定為 一般 (Regular) 或 私人 (Private)。對於非全域區段,類型可以是 一般 (Regular)、 CDE 或 私人 (Private)。服務 VLAN (Service VLAN) 服務 VLAN 識別碼。如需相關資訊,請參閱安全性 VNF中的定義區段與服務 VLAN 之間的對應 (選擇性) 區段。 委派給合作夥伴 (Delegate To Partner) 依預設會選取此核取方塊。如果取消選取,合作夥伴將無法變更區段內的組態 (包括介面指派)。 委派給客戶 (Delegate To Customer) 依預設會選取此核取方塊。如果取消選取,客戶將無法變更區段內的組態 (包括介面指派)。 - 按一下儲存變更 (Save Changes)。
如果區段設定為
私人 (Private),則區段:
- 除了 VMware 控制、VMware 管理,以及在區段上傳送的所有已傳輸及已接收封包和位元組的單一 IP 流量,不會將使用者流量統計資料上傳至 Orchestrator。例如,對於與私人 (Private) 區段相關的流量,[來源 IP (Source IP)]、[目的地 IP (Destination IP)] 等客戶流量統計資料並不會顯示在監控 (Monitor) 索引標籤中。
- 不允許使用者在遠端診斷中檢視流量。
- 不允許傳送流量做為網際網路多重路徑 (Internet Multipath),因為所有設定為網際網路多重路徑 (Internet Multipath) 的商務原則會由 Edge 自動覆寫為直接 (Direct)。
如果將區段設定為 CDE,則 VMware 主控的 Orchestrator 和控制器將會感知 PCI 區段,且將位於 PCI 範圍內。閘道 (標記為非 CDE 閘道) 將無法感知或傳輸 PCI 流量,且會位於 PCI 範圍外。
