分割這個程序是透過在轉送裝置 (例如交換器、路由器或防火牆) 上使用隔離技術,將網路分割成稱為區段的邏輯子網路。當來自不同組織和/或資料類型的流量必須隔離時,網路分割就非常重要。

在區段感知拓撲中,可以為每個區段啟用不同的虛擬私人網路 (VPN) 設定檔。例如,可以將訪客流量回傳至遠端資料中心防火牆服務:語音媒體可根據動態通道直接從「分支到分支」進行傳遞,PCI 區段可將流量回傳至資料中心,以退出 PCI 網路。

若要啟用企業的分割功能,請於操作員入口網站導覽至系統內容 (System Properties),然後將系統內容 enterprise.capability.enableSegmentation 的值設定為 True。如需如何設定系統內容的詳細資訊,請參閱 《VMware SD-WAN Orchestrator 部署和監控指南》中的〈系統內容〉一節。

依預設,您最多可為每個企業設定 16 個區段。不過,您可以選擇將此預設值增加至每個企業最多 128 個區段。確保您在 enterprise.segments.system.maximum 系統內容中定義允許的區段數上限。如需必須為分割功能設定的各種系統內容的詳細資訊,請參閱《VMware SD-WAN Orchestrator 部署和監控指南》中〈系統內容清單〉一節中的「分割」表格。

限制

在將預設值增加至每個企業最多 128 個區段之前,請記住下列限制:
  • 您必須將您的 SD-WAN Orchestrator 和 Edge 升級至 4.3 版或更新版本。
  • 在您為企業設定 128 個區段後,即無法將 Edge 降級至低於 4.3 的版本。如果您需要降級 Edge,請確保只有 16 個區段,這是任何企業的預設值,並先刪除剩餘區段,然後再降級 Edge。

設定企業的新區段

若要為企業設定新的區段,請執行下列步驟:
  1. SD-WAN Orchestrator 導覽面板中,移至設定 (Configure) > 區段 (Segments)。所選企業的區段 (Segments) 頁面隨即出現。
    configure-segments
  2. 按一下 + 按鈕,然後輸入下列詳細資料以設定新的區段。
    欄位 說明
    區段名稱 (Segment Name) 區段名稱 (最多 256 個字元)。
    說明 (Description) 區段說明 (最多 256 個字元)。
    類型 (Type) 區段類型可以是下列其中一項:
    • 一般 (Regular) - 標準區段類型。
    • 私人 (Private) - 用於需要有限可見度才能解決使用者隱私權需求的流量。
    • CDE - VMware 提供經 PCI 認證的 SD-WAN 服務。持卡人資料環境 (CDE) 類型用於需要 PCI 且想要利用 VMware PCI 認證的流量。
    備註: 對於全域區段,您可以將類型設定為 一般 (Regular)私人 (Private)。對於非全域區段,類型可以是 一般 (Regular)CDE私人 (Private)
    服務 VLAN (Service VLAN) 服務 VLAN 識別碼。如需相關資訊,請參閱安全性 VNF中的定義區段與服務 VLAN 之間的對應 (選擇性) 區段。
    委派給合作夥伴 (Delegate To Partner) 依預設會選取此核取方塊。如果取消選取,合作夥伴將無法變更區段內的組態 (包括介面指派)。
    委派給客戶 (Delegate To Customer) 依預設會選取此核取方塊。如果取消選取,客戶將無法變更區段內的組態 (包括介面指派)。
  3. 按一下儲存變更 (Save Changes)
如果區段設定為 私人 (Private),則區段:
  • 除了 VMware 控制、VMware 管理,以及在區段上傳送的所有已傳輸及已接收封包和位元組的單一 IP 流量,不會將使用者流量統計資料上傳至 Orchestrator。
  • 不允許使用者在遠端診斷中檢視流量。
  • 不允許傳送流量做為網際網路多重路徑 (Internet Multipath),因為所有設定為網際網路多重路徑 (Internet Multipath) 的商務原則會由 Edge 自動覆寫為直接 (Direct)

如果將區段設定為 CDE,則 VMware 主控的 Orchestrator 和控制器將會感知 PCI 區段,且將位於 PCI 範圍內。閘道 (標記為非 CDE 閘道) 將無法感知或傳輸 PCI 流量,且會位於 PCI 範圍外。