Guía de administración de NSX - VMware NSX Data Center for ... · Combinar secciones de regla de...

Guía de administración de NSXActualización 7

VMware NSX Data Center for vSphere 6.4

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware:

https://docs.vmware.com/es/

Si tiene comentarios relacionados con esta documentación, envíelos a:

[email protected]

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Spain, S.L.Calle Rafael Boti 262.ª plantaMadrid 28023Tel.: +34 914125000www.vmware.com/es

Copyright © 2010-2019 VMware, Inc. Todos los derechos reservados. Información sobre el copyright y la marca comercial.

Guía de administración de NSX

VMware, Inc. 2

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

http://pubs.vmware.com/copyright-trademark.html

Contenido

Guía de administración de NSX 13

1 Requisitos del sistema de NSX Data Center for vSphere 14

2 Puertos y protocolos requeridos por NSX Data Center for vSphere 17

3 Descripción general de NSX Data Center for vSphere 18Componentes de NSX Data Center for vSphere 20

Plano de datos 20

Plano de control 21

Plano de administración 22

Plataforma de consumo 23

NSX Edge 23

NSX Services 26

4 Descripción general de Cross-vCenter Networking and Security 28Beneficios de Cross-vCenter NSX 28

Cómo funciona Cross-vCenter NSX 29

Matriz de compatibilidad de servicios en Cross-vCenter NSX 31

Clúster universal de NSX Controller 32

Zona de transporte universal 32

Conmutadores lógicos universales 32

Enrutadores lógicos (distribuidos) universales 33

Reglas de firewall universal 33

Objetos de seguridad y red universal 34

Topologías de Cross-vCenter NSX 35

Cross-vCenter NSX de varios sitios y de un solo sitio 35

Salida local 37

Modificar los roles de NSX Manager 38

Escenarios de recuperación ante desastres con cross-vCenter NSX 39

Escenario 1: fallo programado de todo el sitio 44

Escenario 2: fallo imprevisto de todo el sitio 48

Escenario 3: conmutación por recuperación completa del sitio principal 53

5 Zonas de transporte 58Comprender los modos de replicación 60

Agregar una zona de transporte 63

Editar una zona de transporte 64

VMware, Inc. 3

Expandir una zona de transporte 65

Contraer una zona de transporte 66

Modo Operación con controlador desconectado (Controller Disconnected Operation, CDO) 66

6 Conmutadores lógicos 67Agregar un conmutador lógico 69

Agregar un conmutador lógico 70

Conectar un conmutador lógico a NSX Edge 72

Implementar servicios en un conmutador lógico 73

Conectar máquinas virtuales a un conmutador lógico 74

Probar la conectividad del conmutador lógico 74

Evitar la suplantación en un conmutador lógico 75

Editar un conmutador lógico 75

Escenario del conmutador lógico 75

John Admin asigna el grupo de identificadores de segmentos a NSX Manager 78

John Admin configura los parámetros de transporte de la VXLAN 79

John Admin agrega una zona de transporte 80

John Admin crea un conmutador lógico 80

7 Configurar una puerta de enlace de hardware 82Escenario: configuración de ejemplo de puerta de enlace de hardware 83

Configurar el clúster de replicación 85

Conectar la puerta de enlace de hardware a las instancias de NSX Controller 86

Agregar certificado de puerta de enlace de hardware 87

Enlazar el conmutador lógico al conmutador físico 89

8 Puentes L2 91Agregar puente de Capa 2 92

Agregar un puente de Capa 2 a un entorno con enrutamiento lógico 93

Mejorar el rendimiento de los puentes 95

Habilitar el ajuste de escala en lado de recepción del software (Software Receive Side Scaling)95

9 Enrutamiento 97Agregar un enrutador lógico (distribuido) 97

Agregar una puerta de enlace de servicios Edge 111

Especificar una configuración global 119

Configuración de NSX Edge 121

Trabajar con certificados 121

Modo FIPS 127

Administración de dispositivos NSX Edge 129

Administrar reservas de recursos de dispositivos NSX Edge 131


VMware, Inc. 4

Trabajar con interfaces 134

Agregar una subinterfaz 138

Cambiar configuración de reglas automáticas 141

Cambiar credenciales de CLI 142

Acerca de High Availability 142

Forzar sincronización de NSX Edge con NSX Manager 146

Configure los servidores de Syslog para NSX Edge 148

Comprobar el estado de los servicios NSX Edge 148

Volver a implementar NSX Edge 149

Descargar registros de soporte técnico para NSX Edge 151

Agregar una ruta estática 152

Configurar OSPF en un enrutador lógico (distribuido) 153

Configurar el protocolo OSPF en una puerta de enlace de servicios Edge 159

Configurar BGP 165

Configurar la redistribución de rutas 169

Ver el identificador de configuración local de NSX Manager 171

Configurar el identificador de configuración regional en un enrutador (distribuido) lógico universal 171

Configurar el identificador de configuración regional en un host o un clúster 172

Topología, limitaciones y soporte del enrutamiento de multidifusión 173

Configurar la multidifusión de un enrutador lógico (distribuido) 175

Configurar el protocolo de multidifusión en una puerta de enlace de servicios Edge 177

Topología de multidifusión 179

10 Firewall lógico 181Distributed Firewall 181

Firewall relacionado con el contexto 184

Temporizadores de sesión 193

Detección de IP para máquinas virtuales 196

Excluir las máquinas virtuales de la protección de firewall 198

Ver eventos de umbral de memoria y CPU del firewall 199

Uso del recurso Distributed Firewall 200

Firewall de Edge 200

Trabajar con reglas de firewall de NSX Edge 200

Trabajar con secciones de reglas de firewall 222

Agregar una sección de reglas de firewall 222

Combinar secciones de regla de firewall 224

Eliminar una sección de reglas de firewall 224

Bloquear secciones de regla de firewall 225

Desbloquear secciones de regla de firewall 225

Trabajar con reglas de firewall 226

Agregar una regla de firewall 227


VMware, Inc. 5

Editar la regla de Distributed Firewall predeterminada 235

Forzar sincronización de las reglas de Distributed Firewall 236

Reglas de firewall con un protocolo personalizado de Capa 3 236

Guardar una configuración sin publicar 237

Cargar una configuración de firewall guardada 238

Filtrar reglas de firewall 238

Cambiar el orden de una regla de firewall 239

Comportamiento de las reglas de firewall en los grupos de seguridad 239

Restablecimiento y recuento de reglas de firewall 240

Registros de firewall 240

11 Escenarios de firewall 245Escenarios del firewall relacionado con el contexto 245

Configurar la identificación de aplicaciones 247

12 Introducción al firewall de identidad 248Flujo de trabajo del firewall de identidad 249

Configuraciones admitidas y probadas del firewall de identidad 250

13 Trabajar con dominios de Active Directory 255Registrar un dominio de Windows con NSX Manager 255

Sincronizar un dominio de Windows con Active Directory 257

Editar un dominio de Windows 258

Habilitar el acceso al registro de seguridad de solo lectura en Windows 2008 258

Comprobar los privilegios de Directory 259

14 Utilizar SpoofGuard 261Crear una directiva SpoofGuard 262

Aprobar direcciones IP 263

Cambiar una dirección IP 264

Borrar una dirección IP 265

15 Redes privadas virtuales (VPN) 267Descripción general de SSL VPN-Plus 267

Configurar el acceso de red de SSL VPN-Plus 268

Instalar el cliente SSL VPN-Plus 281

Configurar los ajustes del servidor proxy en un cliente SSL VPN-Plus 284

Registros de SSL VPN-Plus 285

Editar la configuración de cliente 286

Editar configuración general 286

Editar diseño del portal web 287


VMware, Inc. 6

Trabajar con grupos de direcciones IP para SSL VPN 288

Trabajar con redes privadas 289

Trabajar con paquetes de instalación 291

Trabajar con usuarios 292

Trabajar con scripts de inicio y cierre de sesión 293

Descripción general de IPsec VPN 294

VPN IPSec basada en directivas 294

VPN IPSec basada en rutas 295

Configurar el sitio de VPN IPSec basada en directivas 297

Configurar el sitio de VPN IPSec basada en rutas 308

Editar el sitio VPN IPSec 309

Deshabilitar sitios VPN IPSec 310

Eliminar el sitio VPN IPSec 310

Terminología de IPsec 310

Fase 1 y fase 2 de IKEv1 311

Ejemplo de configuración del sitio de VPN IPSec basada en directivas 313

Usar un enrutador de servicios integrados Cisco 2821 315

Usar Cisco ASA 5510 318

Utilizar un dispositivo Cisco CSR 1000V 320

Configurar WatchGuard Firebox X500 324

Descripción general de VPN de Capa 2 324

Prácticas recomendadas de VPN L2 327

VPN de Capa 2 mediante SSL 334

VPN de Capa 2 mediante IPSec 340

Edge independiente como cliente VPN de Capa 2 341

Escenario: agregar una red VLAN o VXLAN ampliada 349

Escenario: eliminar una red VLAN o VXLAN ampliada 354

16 Equilibrador de carga lógico 356Configurar equilibrio de carga 360

Configurar el servicio de equilibrador de carga 362

Crear un monitor de servicio 364

Agregar un grupo de servidores 371

Crear un perfil de aplicación 374

Agregar una regla de aplicación 383

Agregar servidores virtuales 390

Administrar perfiles de aplicaciones 392

Editar un perfil de aplicación 392

Configurar la terminación SSL para un equilibrador de carga 392

Eliminar un perfil de aplicación 393

Administrar monitores de servicio 394


VMware, Inc. 7

Editar un monitor de servicio 394

Eliminar un monitor de servicio 394

Administrar grupos de servidores 395

Editar un grupo de servidores 395

Configurar un equilibrador de carga para utilizar el modo transparente 395

Eliminar un grupo de servidores 396

Mostrar estado del grupo 396

Administrar servidores virtuales 397

Editar un servidor virtual 397

Eliminar un servidor virtual 398

Administrar reglas de aplicaciones 398

Editar una regla de aplicación 398

Eliminar una regla de aplicación 398

Servidores web de equilibrio de carga que utilizan autenticación NTLM 399

Modos de conexión HTTP del equilibrador de carga 399

Escenarios de configuración del equilibrador de carga de NSX 402

Escenario: configurar un equilibrador de carga one-armed 402

Escenario: configurar un equilibrador de carga en línea 407

Escenario: configurar el equilibrador de carga de NSX para Plaftorm Services Controller 411

Escenario: descarga de SSL 416

Escenario: Importar un certificado SSL 421

Escenario: Passthrough SSL 423

Escenario: Autenticación SSL de cliente y servidor 425

17 Otros servicios Edge 428Administrar servicio DHCP 428

Agregar un grupo de direcciones IP de DHCP 429

Iniciar el servicio DHCP 430

Editar un grupo de direcciones IP de DHCP 431

Agregar un enlace DHCP estático 431

Editar enlace DHCP 433

Configurar retransmisión de DHCP 433

Agregar servidor de relé DHCP 435

Agregar agente de retransmisión DHCP 436

Configurar servidores DNS 437

18 Service Composer 438Utilizar Service Composer 440

Crear un grupo de seguridad en Service Composer 441

Configuración global 444

Crear una directiva de seguridad 446


VMware, Inc. 8

Aplicar una directiva de seguridad a un grupo de seguridad 451

Service Composer Canvas 452

Trabajar con etiquetas de seguridad 454

Selección de ID único 455

Ver etiquetas de seguridad aplicadas 456

Crear una etiqueta de seguridad 456

Asignar una etiqueta de seguridad 457

Editar una etiqueta de seguridad 458

Eliminar una etiqueta de seguridad 458

Ver servicios efectivos 458

Ver servicios efectivos en una directiva de seguridad 458

Ver errores de servicios en una directiva de seguridad 459

Ver servicios efectivos en una máquina virtual 459

Trabajar con directivas de seguridad 460

Administrar la prioridad de las directivas de seguridad 460

Editar directiva de seguridad 461

Eliminar una directiva de seguridad 461

Importar y exportar configuraciones de directivas de seguridad 461

Exportar la configuración de una directiva de seguridad 462

Importar la configuración de una directiva de seguridad 463

Situaciones de Service Composer 464

Situación de máquinas infectadas en cuarentena 464

Realizar copias de seguridad de la configuración de seguridad 469

19 Guest Introspection 472Instalar Guest Introspection en los clústeres de host 473

Instalar Thin Agent de Guest Introspection en máquinas virtuales de Windows 475

Instalar Thin Agent de Guest Introspection en máquinas virtuales Linux 477

Ver el estado de Guest Introspection 479

Mensajes de auditoría de Guest Introspection 479

Eventos de Guest Introspection 479

Desinstalar un módulo de Guest Introspection 481

Desinstalar Guest Introspection para Linux 481

20 Extensibilidad de la red 483Inserción de servicio distribuido 484

Inserción de servicio basado en Edge 484

Integrar servicios de terceros 484

Implementar un servicio de partner 485

Consumir servicios del proveedor mediante Service Composer 487

Redireccionar el tráfico a la solución de un proveedor mediante el firewall lógico 487


VMware, Inc. 9

Usar el equilibrador de carga de un partner 488

Eliminar integración de terceros 489

21 Administración de usuarios 490Usuarios y permisos de NSX según la función 490

Configurar Single Sign-On 501

Administrar derechos de usuario 502

Administrar la cuenta de usuario predeterminado 504

Asignar una función a un usuario de vCenter 504

Asignación de funciones según el grupo 505

Crear un usuario con acceso a la interfaz web mediante la CLI 508

Editar una cuenta de usuario 510

Cambiar un rol de usuario 510

Deshabilitar o habilitar una cuenta de usuario 511

Eliminar una cuenta de usuario 511

22 Objetos de seguridad y red 513Trabajar con grupos de direcciones IP 513

Crear un grupo de direcciones IP 514

Editar un grupo de direcciones IP 515

Eliminar un grupo de direcciones IP 515

Trabajar con grupos de direcciones MAC 516

Crear un grupo de direcciones MAC 516

Editar un grupo de direcciones MAC 517

Eliminar un grupo de direcciones MAC 517

Trabajar con grupos de direcciones IP 517

Crear un grupo de direcciones IP 518

Editar un grupo de direcciones IP 518

Eliminar un grupo de direcciones IP 519

Trabajar con grupos de seguridad 519

Comportamiento de las reglas de firewall en los grupos de seguridad 520

Crear un grupo de seguridad 520

Editar un grupo de seguridad 524

Eliminar un grupo de seguridad 524

Trabajar con servicios y grupos de servicios 525

Crear un servicio 525

Crear un grupo de servicios 526

Editar un servicio o un grupo de servicios 527

Eliminar un servicio o un grupo de servicios 527

23 Operaciones y administración 529


VMware, Inc. 10

Agregar y asignar una licencia 529

Usar el panel de control 530

Widget personalizado 532

Panel de control Escala de sistema (System Scale) 533

Comprobar estado del canal de comunicación 534

Administración de NSX Controller 534

Cambiar el nombre de NSX Controller 534

Cambiar la contraseña del controlador 535

Configurar syslog, NTP y DNS para el clúster de NSX Controller 536

Descargar registros de soporte técnico para NSX Controller 537

Modo desconectado del controlador para varios sitios 538

Habilitar el modo Operación con controlador desconectado (Controller Disconnected Operation, CDO) 539

Deshabilitar el modo Operación con controlador desconectado (Controller Disconnected Operation, CDO) 540

Volver a sincronizar la configuración de CDO 540

Cambiar el puerto VXLAN 541

Programa de mejora de la experiencia de cliente 543

Editar la opción del programa de mejora de la experiencia de cliente 543

Acerca de los registros de NSX 544

Registros de auditoría 545

Usar NSX Ticket Logger 545

Ver el registro de auditoría 546

Eventos del sistema 547

Ver el informe de eventos del sistema 547

Formato de un evento del sistema 547

Alarmas 548

Formato de una alarma 549

Trabajar con traps SNMP 549

Configuración del sistema de administración 553

Iniciar sesión en el dispositivo virtual de NSX Manager 553

Editar fecha y hora de NSX Manager 554

Cambiar la dirección IP del dispositivo de NSX Manager 555

Configurar un servidor syslog para NSX Manager 557

Cambiar la configuración de TLS y el modo FIPS en NSX Manager 558

Editar servidores DNS 559

Editar detalles de Lookup Service 560

Editar vCenter Server 560

Descargar registros de soporte técnico para NSX 561

Certificación SSL de NSX Manager 561

Copia de seguridad y restauración de NSX 564

Copia de seguridad y restauración de NSX Manager 565


VMware, Inc. 11

Hacer copias de seguridad de conmutadores distribuidos de vSphere 572

Hacer una copia de seguridad de vCenter 572

Herramientas de diagnóstico y supervisión de NSX 572

Flow Monitoring 572

Configurar IPFIX 579

Administrador de reglas de aplicaciones (Application Rule Manager) 597

Supervisión de la latencia de red 608

Recopilación de datos de supervisión de endpoints 610

Traceflow 613

Captura de paquetes 616

Herramienta de recopilación de paquetes de soporte técnico 619


VMware, Inc. 12


Guía de administración de NSX describe cómo configurar, supervisar y mantener el centro de datos de VMware NSX® para el sistema vSphere® usando la interfaz de usuario VMware NSX®Manager™, VMware vSphere® Web Client y VMware vSphere®Client™. La información incluye instrucciones de configuración paso a paso y prácticas recomendadas.

Importante NSX for vSphere ahora se denomina NSX Data Center for vSphere.

Público objetivoEste manual está destinado a quienes deseen instalar o utilizar NSX Data Center for vSphere en un entorno de VMware vSphere®. La información de este manual está escrita para administradores de sistemas con experiencia que estén familiarizados con la tecnología de máquinas virtuales y las operaciones de centros de datos. Este manual asume que está familiarizado con vSphere, incluido VMware ESXi™, VMware vCenter Server® y vSphere Web Client.

Instrucciones de tareasLas instrucciones para las tareas de esta guía se basan en vSphere Web Client. También puede realizar algunas tareas de esta guía con el nuevo vSphere Client. La terminología, la topología y el flujo de trabajo de la interfaz de usuario del nuevo vSphere Client están estrechamente alineados con los mismos aspectos y elementos de vSphere Web Client.

Nota No todas las funcionalidades del complemento NSX para vSphere Web Client se implementaron para vSphere Client en NSX 6.4. Si desea obtener una lista actualizada de funcionalidades que no se admiten, consulte https://docs.vmware.com/es/VMware-NSX-for-vSphere/6.4/rn/nsx-vsphere-client-65-functionality-support.html.

Glosario de publicaciones técnicas de VMwarePublicaciones técnicas de VMware proporciona un glosario de términos que podrían resultarle desconocidos. Si desea ver las definiciones de los términos que se utilizan en la documentación técnica de VMware, acceda a la página http://www.vmware.com/support/pubs.

VMware, Inc. 13

https://docs.vmware.com/es/VMware-NSX-for-vSphere/6.4/rn/nsx-vsphere-client-65-functionality-support.html


http://www.vmware.com/support/pubs

Requisitos del sistema de NSX Data Center for vSphere 1Antes de instalar o actualizar NSX Data Center for vSphere, tenga en cuenta los recursos y la configuración de red. Puede instalar un NSX Manager por vCenter Server, una instancia de Guest Introspection por host ESXi y varias instancias de NSX Edge por centro de datos.

HardwareEsta tabla muestra los requisitos de hardware para los dispositivos NSX Data Center for vSphere.

Tabla 1-1. Requisitos de hardware para dispositivos

Dispositivo Memoria vCPU Espacio de disco

NSX Manager 16 GB (24 GB para implementaciones de NSX Data Center for vSphere de mayor tamaño)

4 (8 para implementaciones de NSX Data Center for vSphere de mayor tamaño)

60 GB

NSX Controller 4 GB 4 28 GB

NSX Edge

(El enrutador lógico distribuido se implementa como un dispositivo compacto)

n Compacto: 512 MB

n Grande: 1 GB

n Cuádruple: 2 GB

n Extra grande: 8 GB

n Compacto: 1

n Grande: 2

n Tamaño cuádruple: 4

n Extra grande: 6

n Compacto, grande: 1 disco de 584 MB + 1 disco de 512 MB

n Cuádruple, grande: 1 disco de 584 MB + 2 discos de 512 MB

n Extra grande: 1 disco de 584 MB + 1 disco de 2 GB + 1 disco de 512 MB

Guest Introspection

2 GB 2 5 GB (el espacio aprovisionado es 6,26 GB)

Como directriz general, aumente los recursos de NSX Manager a 8 vCPU y 24 GB de RAM si el entorno administrado contiene más de 256 hipervisores o más de 2.000 máquinas virtuales.

Para conocer los detalles de tamaño específicos, póngase en contacto con el servicio de soporte técnico de VMware.

Para obtener información sobre cómo aumentar la asignación de memoria y vCPU para sus dispositivos virtuales, consulte "Asignar recursos de memoria" y "Cambiar el número de CPU virtuales" en Administrar máquinas virtuales de vSphere.

VMware, Inc. 14

El espacio aprovisionado para un dispositivo Guest Introspection aparece como 6,26 GB para Guest Introspection. Esto ocurre porque vSphere ESX Agent Manager crea una instantánea de la máquina virtual de servicio para crear clones más rápidos si varios hosts de un clúster comparten el almacenamiento. Para obtener más información sobre cómo deshabilitar esta opción mediante ESX Agent Manager, consulte la documentación de ESX Agent Manager.

Latencia de redDebe asegurarse de que la latencia de red entre los componentes sea igual o inferior a la máxima latencia descrita.

Tabla 1-2. Máxima latencia de red entre los componentes

Componentes Máxima latencia

Nodos de NSX Manager y NSX Controller 150 ms RTT

NSX Manager y hosts ESXi 150 ms RTT

NSX Manager y sistema vCenter Server 150 ms RTT

NSX Manager y NSX Manager en un entorno de cross-vCenter NSX

150 ms RTT

NSX Controller y hosts ESXi 150 ms RTT

SoftwarePara ver la información de interoperabilidad más reciente, consulte la sección sobre matrices de interoperabilidad del producto en http://partnerweb.vmware.com/comp_guide/sim/interop_matrix.php.

Para las versiones recomendadas de NSX Data Center for vSphere, de vCenter Server y de ESXi, consulte las notas de la versión de NSX Data Center for vSphere a la que va a actualizar. Las notas de la versión están disponible en el sitio de documentación de NSX Data Center for vSphere: https://docs.vmware.com/es/VMware-NSX-for-vSphere/index.html.

Para que una instancia de NSX Manager participe en una implementación de Cross-vCenter NSX, se deben dar las condiciones siguientes:

Componente Versión

NSX Manager 6.2 o posterior

NSX Controller 6.2 o posterior

vCenter Server 6.0 o posterior

ESXi n ESXi 6.0 o versiones posteriores

n Clústeres de host que cuentan con NSX 6.2 o VIB posteriores


VMware, Inc. 15

http://partnerweb.vmware.com/comp_guide/sim/interop_matrix.php

https://docs.vmware.com/es/VMware-NSX-for-vSphere/index.html

https://docs.vmware.com/es/VMware-NSX-for-vSphere/index.html

Para administrar todas las instancias de NSX Manager en una implementación de Cross-vCenter NSX desde una sola instancia de vSphere Web Client, debe conectar los sistemas vCenter Server en Enhanced Linked Mode. Consulte Usar Modo vinculado mejorado (Enhanced Linked Mode) en Administración de vCenter Server y hosts .

Para verificar la compatibilidad de las soluciones de partners con NSX, consulte la Guía de compatibilidad de VMware para Networking and Security en http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security.

Acceso de clientes y usuariosLos siguientes elementos son necesarios para administrar el entorno de NSX Data Center for vSphere:

n Resolución de nombres directa e inversa. Esta opción es necesaria si agregó hosts ESXi por nombre al inventario de vSphere; en caso contrario, NSX Manager no podrá resolver las direcciones IP.

n Permisos para agregar y encender máquinas virtuales.

n Acceda al almacén de datos en el que almacena archivos de máquina virtual y a los permisos de cuenta para copiar los archivos en ese almacén de datos.

n Las cookies deben estar habilitadas en el explorador web para acceder a la interfaz de usuario de NSX Manager.

n El puerto 443 debe estar abierto entre NSX Manager y el host ESXi; vCenter Server y los dispositivos NSX Data Center for vSphere que se implementarán. Este puerto requiere que se descargue el archivo OVF en el host ESXi para la implementación.

n Un navegador web que se admita para la versión de vSphere Web Client que está utilizando. Consulte "Usar vSphere Web Client" en la documentación Administrar vCenter Server y hosts para obtener información detallada.

n Para obtener más información sobre cómo usar vSphere Client (HTML5) en vSphere 6.5 con NSX Data Center for vSphere 6.4, consulte https://docs.vmware.com/es/VMware-NSX-for-vSphere/6.4/rn/nsx-vsphere-client-65-functionality-support.html.


VMware, Inc. 16

http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security




Puertos y protocolos requeridos por NSX Data Center for vSphere 2NSX Data Center for vSphere requiere que se abran varios puertos para que pueda funcionar correctamente.

n Si cuenta con un entorno cross-vCenter NSX y sus sistemas vCenter Server están en Modo vinculado mejorado (Enhanced Linked Mode), cada dispositivo NSX Manager debe tener la conectividad necesaria con cada sistema vCenter Serverdel entorno. En este modo, podrá administrar cualquier instancia de NSX Manager de cualquier sistema vCenter Server.

n Cuando actualiza desde una versión de anterior de NSX a 6.4.x, Guest Introspection y los clústeres de hosts se deben actualizar para que se puedan crear y aplicar correctamente las directivas de host de sesión de escritorio remoto (Remote Desktop Session Host, RDSH).

Para obtener la lista de todos los puertos y protocolos compatibles de NSX 6.4.0 y versiones posteriores, consulte el portal Puertos y protocolos de VMware en https://ports.vmware.com/home/NSX-Data-Center-for-vSphere. Puede utilizar este portal para descargar la lista en formato CSV, Excel o PDF.

VMware, Inc. 17

https://ports.vmware.com/home/NSX-Data-Center-for-vSphere

https://ports.vmware.com/home/NSX-Data-Center-for-vSphere

Descripción general de NSX Data Center for vSphere 3Las organizaciones de TI han obtenido beneficios importantes como resultado directo de la virtualización de servidores. La consolidación de servidores redujo la complejidad física, aumentó la eficiencia operativa y la capacidad de reasignar dinámicamente los recursos subyacentes para cumplir, de forma rápida y óptima, las necesidades de las aplicaciones empresariales cada vez más dinámicas.

La arquitectura del centro de datos definido por software (SDDC) de VMware ahora extiende las tecnologías de virtualización a toda la infraestructura del centro de datos físico. NSX Data Center for vSphere es un producto clave de la arquitectura del SDDC. Con NSX Data Center for vSphere, la virtualización aporta a las redes lo que ya se ofrece en términos de capacidad informática y almacenamiento. De manera muy similar al modo en que la virtualización del servidor, mediante programación, crea, elimina y restaura máquinas virtuales basadas en software, así como crea instantáneas de ellas, la virtualización de redes de NSX Data Center for vSphere, mediante programación, crea, elimina y restaura redes virtuales basadas en software, y crea instantáneas de ellas. El resultado es un enfoque de redes transformador que no solo permite que los administradores del centro de datos alcancen muchísima mayor agilidad y mejor economía, sino que también permite la implementación de un modelo operativo muy simplificado para la red física subyacente. Gracias a que se puede implementar en cualquier red IP, incluidos los modelos de redes tradicionales existentes y las arquitecturas de tejido de última generación de cualquier proveedor, NSX Data Center for vSphere es una solución que no provoca interrupciones. De hecho, con NSX Data Center for vSphere, la infraestructura de red física existente es todo lo que se necesita para implementar un centro de datos definido por software.

VMware, Inc. 18

Memoria y recursos informáticos físicos

Aplicación

Entorno x86

Hipervisor del servidor

Aplicación Aplicación

Máquinavirtual

Máquinavirtual

Requisito: x86

Desacoplado

Máquinavirtual

Red física

Carga de trabajo

Servicio de red de Capa 2, Capa 3, Capas 4-7

Plataforma de virtualización de red

Carga de trabajo Carga de trabajo

Redvirtual

Redvirtual

Requisito: transporte de IP

Redvirtual

La imagen de arriba establece una analogía entre la virtualización informática y de red. Con la virtualización del servidor, una capa de abstracción de software (hipervisor de servidor) reproduce los atributos conocidos de un servidor físico x86 (por ejemplo, CPU, RAM, disco, NIC) en el software; de este modo, esos atributos pueden ensamblarse programáticamente en cualquier combinación arbitraria para producir una única máquina virtual en cuestión de segundos.

Con la virtualización de red, el equivalente funcional de un hipervisor de red reproduce en el software el conjunto completo de servicios de red de Capa 2 a Capa 7 (por ejemplo, conmutación, enrutamiento, control de acceso, protección de firewall, calidad de servicio [QoS] y equilibrio de carga). Como consecuencia, estos servicios pueden ensamblarse mediante programación en cualquier combinación arbitraria para producir redes virtuales únicas y aisladas en cuestión de segundos.

Con la virtualización de red se obtienen beneficios similares a los que ofrece la virtualización del servidor. Por ejemplo, así como las máquinas virtuales son independientes de la plataforma x86 subyacente y permiten que TI trate los hosts físicos como un grupo con capacidad informática, las redes virtuales son independientes del hardware de red IP subyacente y permiten que TI trate la red física como un grupo con capacidad de transporte que puede consumirse y reasignarse a petición. A diferencia de las arquitecturas heredadas, las redes virtuales pueden aprovisionarse, cambiarse, almacenarse, eliminarse y restaurarse de forma programática sin volver a configurar la topología o el hardware físico subyacente. Al combinar las capacidades y los beneficios que ofrecen las soluciones conocidas de virtualización de almacenamiento y del servidor, este enfoque de redes transformador despliega todo el potencial del centro de datos definido por software.

NSX Data Center for vSphere puede configurarse mediante vSphere Web Client, una interfaz de línea de comandos (CLI) y una REST API.

Este capítulo incluye los siguientes temas:

n Componentes de NSX Data Center for vSphere

n NSX Edge


VMware, Inc. 19

n NSX Services

Componentes de NSX Data Center for vSphereEn esta sección se describen los componentes de la solución NSX Data Center for vSphere.

CMP

NSXController

NSXManager

Plataforma de consumo

NSXEdge

Plano de datos

FirewallDLRVXLANVDSNSX

vSwitch

Módulos de extensión del hipervisor

+

Plano de administración

Plano de control estado de tiempo de ejecución

Debe tener en cuenta que una Cloud Management Platform (CMP) no es un componente de NSX Data Center for vSphere. Sin embargo, NSX Data Center for vSphere proporciona integración con casi cualquier CMP a través de la REST API e integración inmediata con las CMP de VMware.

Plano de datosEl plano de datos consta de NSX Virtual Switch, que se basa en vSphere Distributed Switch (VDS) con otros componentes para habilitar servicios. Los módulos de kernel, los agentes de espacio de usuarios, los archivos de configuración y los scripts de instalación están empaquetados en VIB, y se ejecutan dentro del kernel del hipervisor para proporcionar servicios, como el enrutamiento distribuido y el firewall lógico, y habilitar capacidades de puente con VXLAN.


VMware, Inc. 20

NSX Virtual Switch (basado en VDS) abstrae la red física y proporciona conmutación en el hipervisor en el nivel de acceso. Es fundamental para la virtualización de red, ya que habilita redes lógicas que son independientes de las construcciones físicas, como las VLAN. Algunos de los beneficios de vSwitch son los siguientes:

n Compatibilidad con redes de superposición con protocolos (como VXLAN) y configuración de red centralizada Las redes de superposición habilitan las siguientes capacidades:

n Uso reducido de identificadores de VLAN en la red física

n Creación de una superposición de Capa 2 (L2) lógica flexible en las redes IP existentes de la infraestructura física existente sin que sea necesario volver a establecer la arquitectura de las redes del centro de datos

n Aprovisionamiento de comunicación (Este-Oeste y Norte-Sur) a la vez que se mantiene el aislamiento entre las empresas

n Cargas de trabajo y máquinas virtuales de aplicaciones que son independientes de la red de superposición y funcionan como si estuvieran conectadas a una red física de Capa 2

n Escala masiva facilitada de hipervisores

n Varias características, como la creación de reflejo del puerto, NetFlow/IPFIX, la restauración y la copia de seguridad de la configuración, la comprobación del estado de red y la calidad de servicio (QoS) y LACP, proporcionan un kit de herramientas integral para la administración del tráfico, la supervisión y la solución de problemas de una red virtual

Los enrutadores lógicos pueden proporcionar un puente de Capa 2 desde el espacio de red lógica (VXLAN) hasta la red física (VLAN).

El dispositivo de puerta de enlace generalmente es un dispositivo virtual NSX Edge. NSX Edge ofrece servicios de Capa 2 y Capa 3, firewall perimetral, equilibrio de carga y otros, como SSL VPN y DHCP.

Plano de controlEl plano de control se ejecuta en el clúster de NSX Controller. NSX Controller es un sistema de administración de estado avanzado distribuido que proporciona funciones del plano de control para funciones de enrutamiento y conmutación lógicos. Es el punto de control central para todos los conmutadores lógicos de una red, además de que conserva la información de todos los hosts, conmutadores lógicos (VXLAN) y enrutadores lógicos distribuidos.

El clúster de NSX Controller se encarga de administrar los módulos de conmutación y enrutamiento distribuido de los hipervisores. Por la controladora no pasa ningún tráfico del plano de datos. Los nodos de controladora se implementan en un clúster de tres miembros para habilitar la escala y la alta disponibilidad. Cualquier error en los nodos no afecta el tráfico del plano de datos.

NSX Controller funciona distribuyendo la información de red a los hosts. Para alcanzar un alto nivel de resiliencia, NSX Controller se integra en un clúster para ofrecer escalabilidad horizontal y HA. El clúster de NSX Controller debe contener tres nodos. Los tres dispositivos virtuales proporcionan, mantienen y actualizan el estado de funcionamiento de las redes del dominio NSX. NSX Manager se utiliza para implementar los nodos de NSX Controller.


VMware, Inc. 21

Los tres nodos de NSX Controller forman un clúster de control. El clúster de controladoras requiere cuórum (también llamado mayoría) para poder evitar una situación de "cerebro dividido". En ese tipo de situaciones, las incoherencias de datos surgen del mantenimiento de dos conjuntos de datos distintos que se superponen. Las inconsistencias pueden deberse a condiciones de error y a problemas con la sincronización de datos. Al tener tres nodos de controladora se garantiza la redundancia de datos en caso de que ocurra un error en un nodo de NSX Controller.

Un clúster de controladoras tiene varias funciones, entre ellas:

n Proveedor de API

n Servidor de persistencia

n Administrador de conmutadores

n Administrador lógico

n Servidor de directorio

A cada función le corresponde un nodo de controladora maestro. Si se producen errores en un nodo del controlador principal de una función, el clúster elige un nuevo nodo principal para esa función entre los nodos disponibles de NSX Controller. El nuevo nodo principal de NSX Controller para esa función vuelve a asignar las porciones perdidas de trabajo entre los nodos de NSX Controller restantes.

NSX Data Center for vSphere admite tres modos para el plano de control de conmutadores lógicos: multidifusión, unidifusión e híbrido. Al utilizar un clúster de controladoras para administrar los conmutadores lógicos basados en VXLAN deja de ser necesaria la compatibilidad de multidifusión de la infraestructura de red física. No es necesario proporcionar direcciones IP para un grupo de multidifusión ni habilitar las características de enrutamiento de PMI o de intromisión de IGMP en los enrutadores o los conmutadores físicos. Por lo tanto, los modos híbrido y de unidifusión desacoplan a NSX de la red física. Las VXLAN que están en el modo de unidifusión del plano de control no requieren que la red física admita la multidifusión para poder administrar el tráfico de difusión, de unidifusión desconocida y de multidifusión (BUM) dentro de un conmutador lógico. El modo de unidifusión replica todo el tráfico BUM localmente en el host y no requiere la configuración de la red física. En el modo híbrido, parte de la replicación del tráfico BUM se descarga en el conmutador físico del primer salto para lograr un mejor rendimiento. El modo híbrido requiere la intromisión de IGMP en el conmutador del primer salto y el acceso a un solicitante de IGMP en cada subred de VTEP.

Plano de administraciónNSX Manager crea el plano de administración. Este es el componente que administra la red centralizada de NSX Data Center for vSphere. Proporciona el único punto de configuración y los puntos de entrada de la API de REST.

NSX Manager se instala como dispositivo virtual en cualquier host ESXi del entorno de vCenter Server. NSX Manager y vCenter Server tienen una relación uno a uno. Por cada instancia de NSX Manager, hay una de vCenter Server. Esto es cierto incluso en un entorno de Cross-vCenter NSX.


VMware, Inc. 22

En un entorno de Cross-vCenter NSX, existen un NSX Manager principal y uno o varios dispositivos NSX Manager secundarios. La instancia principal de NSX Manager permite crear y administrar conmutadores lógicos universales, enrutadores lógicos (distribuidos) universales y reglas de firewall universales. Las instancias secundarias de NSX Manager se utilizan para administrar servicios de red que corresponden localmente a la instancia específica de NSX Manager. Puede haber hasta siete instancias secundarias de NSX Manager con la instancia principal de NSX Manager en un entorno de Cross-vCenter NSX.

Plataforma de consumoEl uso de NSX Data Center for vSphere se puede controlar directamente desde la interfaz de usuario de NSX Manager, disponible en vSphere Web Client. En general, los usuarios finales unen la virtualización de red con Cloud Management Platform (CMP) para implementar aplicaciones. NSX Data Center for vSphere proporciona una integración completa en prácticamente cualquier CMP a través de REST API. La integración inmediata también está disponible mediante VMware vRealize Automation Center, vCloud Director y OpenStack con el complemento Neutron.

NSX EdgePuede instalar NSX Edge como una puerta de enlace de servicios Edge (ESG) o un enrutador lógico distribuido (DLR). La cantidad de dispositivos Edge, incluidos las ESG y los DLR, está limitada a 250 por host.

Puerta de enlace de servicios EdgeLa ESG brinda acceso a todos los servicios de NSX Edge, como firewall, NAT, DHCP, VPN, equilibrio de carga y alta disponibilidad. Puede instalar varios dispositivos virtuales de ESG en un centro de datos. Cada dispositivo virtual de ESG puede tener un total de diez interfaces de red interna y vínculo superior. Con un tronco, una ESG puede tener hasta 200 subinterfaces. Las interfaces internas se conectan a grupos de puertos protegidos y actúan como puerta de enlace para todas las máquinas virtuales protegidas del grupo de puertos. La subred asignada a la interfaz interna puede ser un espacio de IP enrutado públicamente o un espacio de direcciones privado (RFC 1918) con uso de NAT. Las reglas de firewall y otros servicios NSX Edge se aplican en el tráfico entre las interfaces de red.

Las interfaces de vínculo superior de las ESG se conectan a grupos de puertos de vínculo superior que tienen acceso a una red compartida de la empresa o a un servicio que proporciona redes de capa de acceso. Se pueden configurar varias direcciones IP externas para los servicios de NAT, VPN de sitio a sitio y equilibrador de carga.

Enrutador lógico distribuidoEl DLR proporciona enrutamiento distribuido de Este a Oeste con espacio de dirección IP de empresa y aislamiento de ruta de acceso de datos. Las máquinas virtuales o cargas de trabajo que residen en el mismo host, en diferentes subredes, pueden comunicarse entre sí sin necesidad de atravesar una interfaz de enrutamiento tradicional.


VMware, Inc. 23

Un enrutador lógico puede tener ocho interfaces de vínculo superior y hasta mil interfaces internas. Una interfaz de vínculo superior de un DLR generalmente se empareja con una ESG, con un conmutador de tránsito lógico de Capa 2 interviniente entre el DLR y la ESG. Una interfaz interna de un DLR se empareja con una máquina virtual alojada en un hipervisor ESXi, mediante un conmutador lógico interviniente entre la máquina virtual y el DLR.

El DLR tiene dos componentes principales:

n El plano de control del DLR es un elemento que proporciona el dispositivo virtual del DLR (también denominado máquina virtual de control). Está máquina virtual es compatible con los protocolos de enrutamiento dinámico (BGP y OSPF), intercambia actualizaciones de enrutamiento con el dispositivo de salto de Capa 3 siguiente (generalmente, la puerta de enlace de servicios Edge) y se comunica con NSX Manager y el clúster de NSX Controller. La alta disponibilidad para el dispositivo virtual del DLR se admite mediante la configuración activo-en espera: se proporciona un par de máquinas virtuales que funcionan en los modos activo/en espera cuando se crea el DLR con la característica HA habilitada.

n En el nivel del plano de datos, hay módulos de kernel del DLR (VIB) que se instalan en los hosts ESXi que son parte del dominio NSX. Los módulos de kernel son similares a las tarjetas de línea de un chasis modular que admite el enrutamiento de Capa 3. Los módulos de kernel tienen una base de información de enrutamiento (RIB) (también conocida como tabla de enrutamiento) que se inserta desde el clúster de controladoras. Las funciones del plano de datos de búsqueda de rutas y búsqueda de entradas de ARP se ejecutan mediante los módulos de kernel. Los módulos de kernel están equipados con interfaces lógicas (denominadas LIF) que se conectan a diferentes conmutadores lógicos y a cualquier grupo de puertos respaldado por VLAN. Cada LIF tiene asignada una dirección IP que representa la puerta de enlace IP predeterminada del segmento de Capa 2 lógico al que se conecta y una dirección vMAC. La dirección IP es única para cada LIF, mientras que la misma vMAC se asigna a todas las LIF definidas.


VMware, Inc. 24

Figura 3-1. Componentes de enrutamiento lógico

VPN VP

NSXManager1

25

3

4

6

NSX Edge (actúa como el enrutador del siguiente salto)

192.168.100.0/24

Redexterna

Clúster delcontrolador

Dispositivode enrutador

lógico

vSphere Distributed Switch

OSPF, BGP

Control

Emparejamiento

Máquina virtual web

172.16.10.11

172.16.10.1

Máquina virtual de aplicaciones172.16.20.11

172.16.20.1

Enrutadorlógico

Control192.168.10.1

192.168.10.2

Ruta de datos192.168.10.3

1 Una instancia de DLR se crea a partir de la interfaz de usuario de NSX Manager (o con llamadas API) usando el enrutamiento, con lo cual se aprovechan OSPF o BGP.

2 NSX Controller usa el plano de control con los hosts ESXi para insertar la nueva configuración del DLR, incluidas las LIF y sus direcciones IP y vMAC asociadas.

3 Si asumimos que el protocolo de enrutamiento también está habilitado en el dispositivo de salto siguiente (NSX Edge [ESG] en este ejemplo), el emparejamiento OSPF o BGP se establece entre la ESG y la máquina virtual de control del DLR. Posteriormente, la ESG y el DLR pueden intercambiar información de enrutamiento:

n La máquina virtual de control del DLR se puede configurar para redistribuir en OSPF los prefijos IP de todas las redes lógicas conectadas (172.16.10.0/24 y 172.16.20.0/24 en este ejemplo). Como consecuencia, esta máquina virtual inserta esos anuncios de ruta en NSX Edge. Observe que el salto siguiente de esos prefijos no es la dirección IP asignada a la máquina virtual de control (192.168.10.3), sino la dirección IP que identifica el componente del plano de datos del DLR (192.168.10.2). La primera se conoce como la "dirección del protocolo" del DLR, mientras que la segunda es la "dirección de reenvío".


VMware, Inc. 25

n NSX Edge inserta en la máquina virtual de control los prefijos para comunicarse con las redes IP de la red externa. En la mayoría de los casos, es posible que NSX Edge envíe una sola ruta predeterminada, porque representa el único punto de salida hacia la infraestructura de red física.

4 La máquina virtual de control del DLR inserta las rutas IP conocidas por NSX Edge en el clúster de controladoras.

5 El clúster de controladoras es el responsable de distribuir las rutas conocidas de la máquina virtual de control del DLR a los hipervisores. Cada nodo de controladora del clúster es responsable de distribuir la información de una instancia de enrutador lógico en particular. En una implementación con varias instancias de enrutador lógico implementadas, la carga se distribuye entre los nodos de controladora. Una instancia de enrutador lógico distinta generalmente se asocia con cada empresa implementada.

6 Los módulos de kernel de enrutamiento del DLR de los hosts controlan el tráfico de la ruta de acceso de datos para la comunicación con la red externa mediante NSX Edge.

NSX ServicesLos componentes de NSX Data Center for vSphere funcionan juntos para ofrecer los siguientes VMware NSX®Services™ funcionales.

Conmutadores lógicosUna implementación de nube o un centro de datos virtual tiene una variedad de aplicaciones en varias empresas. Estas aplicaciones y empresas requieren un aislamiento entre sí por motivos de seguridad, aislamiento de errores y direcciones IP que no se superpongan. NSX Data Center for vSphere permite la creación de varios conmutadores lógicos, cada uno de los cuales es un dominio de difusión lógico único. Una máquina virtual de aplicaciones o empresa se puede conectar de forma lógica a un conmutador lógico. Esto permite flexibilidad y velocidad de implementación, al mismo tiempo que brinda todas las características de los dominios de difusión de una red física (VLAN) sin los problemas físicos de árbol de expansión o dispersión en la Capa 2.

Un conmutador lógico se distribuye a todos los hosts de vCenter (o todos los hosts de un entorno de Cross-vCenter NSX) y puede abarcar todos estos hosts. Esto permite la movilidad de la máquina virtual (vMotion) dentro del centro de datos sin las restricciones del límite de la Capa 2 física (VLAN). La infraestructura física no está limitada por los límites de la tabla de MAC/FIB, dado que el conmutador lógico contiene el dominio de difusión en software.

Enrutadores lógicosEl enrutamiento proporciona la información de reenvío necesaria entre los dominios de difusión de Capa 2 y permite disminuir el tamaño de los dominios de difusión de Capa 2, así como mejorar la eficiencia y la escala de la red. NSX Data Center for vSphere amplía esta inteligencia hasta donde residen las cargas de trabajo para el enrutamiento de este a oeste. Esto permite una comunicación más directa de una máquina virtual a otra sin la costosa necesidad en cuanto a tiempo y dinero de ampliar los saltos. Al mismo tiempo, los enrutadores lógicos proporcionan conectividad de norte a sur y permiten que las empresas accedan a redes públicas.


VMware, Inc. 26

Firewall lógicoEl firewall lógico proporciona mecanismos de seguridad para los centros de datos virtuales dinámicos. El componente firewall distribuido del firewall lógico permite segmentar entidades del centro de datos virtual, como máquinas virtuales basadas en nombres y atributos de máquinas virtuales, identidad del usuario, objetos de vCenter (por ejemplo, centros de datos) y hosts, así como atributos de redes tradicionales (direcciones IP, VLAN, etc.). El componente firewall de Edge ayuda a cumplir con los requisitos clave de seguridad de perímetro, como la creación de DMZ según las construcciones de IP/VLAN, y permite el aislamiento de empresa a empresa en los centros de datos virtuales de varias empresas.

La característica de supervisión de flujo muestra la actividad de red entre las máquinas virtuales en el nivel del protocolo de aplicaciones. Puede utilizar esta información para auditar el tráfico de red, definir y refinar las directivas de firewall, e identificar amenazas a la red.

Redes privadas virtuales (VPN) lógicasSSL VPN-Plus permite a los usuarios remotos acceder a aplicaciones privadas de la empresa. La VPN IPsec ofrece conectividad de sitio a sitio entre una instancia de NSX Edge y sitios remotos con NSX Data Center for vSphere o con enrutadores de hardware/puertas de enlace VPN de terceros. La VPN de Capa 2 permite ampliar el centro de datos permitiendo que las máquinas virtuales mantengan la conectividad de red al mismo tiempo que mantienen la misma dirección IP en los límites geográficos.

Equilibrador de carga lógicoEl equilibrador de carga de NSX Edge distribuye las conexiones de cliente dirigidas a una sola dirección IP virtual (VIP) en varios destinos configurados como miembros de un grupo de equilibrio de carga. Distribuye las solicitudes de servicio entrante de manera uniforme entre varios servidores de forma tal que la distribución de carga sea transparente para los usuarios. Así, el equilibrio de carga ayuda a lograr una utilización de recursos óptima, maximizar la capacidad de proceso, minimizar el tiempo de respuesta y evitar la sobrecarga.

Service ComposerService Composer permite aprovisionar y asignar los servicios de red y seguridad a las aplicaciones en una infraestructura virtual. Estos servicios se asignan a un grupo de seguridad y los servicios se aplican a las máquinas virtuales del grupo de seguridad por medio de una directiva de seguridad.

Extensibilidad de NSX Data Center for vSphereLos proveedores de soluciones de terceros pueden integrar sus soluciones con la plataforma de NSX Data Center for vSphere para permitir que los clientes tengan una experiencia integrada en todos los productos de VMware y las soluciones de partners. Los operadores del centro de datos pueden aprovisionar redes virtuales complejas de varios niveles en cuestión de segundos, independientemente de los componentes o la topología de red subyacente.


VMware, Inc. 27

Descripción general de Cross-vCenter Networking and Security 4NSX Data Center for vSphere permite administrar varios entornos desde una única instancia principal de NSX Manager.


n Beneficios de Cross-vCenter NSX

n Cómo funciona Cross-vCenter NSX

n Matriz de compatibilidad de servicios en Cross-vCenter NSX

n Clúster universal de NSX Controller

n Zona de transporte universal

n Conmutadores lógicos universales

n Enrutadores lógicos (distribuidos) universales

n Reglas de firewall universal

n Objetos de seguridad y red universal

n Topologías de Cross-vCenter NSX

n Modificar los roles de NSX Manager

n Escenarios de recuperación ante desastres con cross-vCenter NSX

Beneficios de Cross-vCenter NSXLos entornos de NSX que contienen más de un sistema vCenter Server pueden administrarse de manera centralizada.

Hay varios motivos por los que pueden requerirse varios sistemas vCenter Server. Por ejemplo:

n Para superar límites de escala de vCenter Server

n Para admitir productos que requieren varios sistemas vCenter Server o sistemas vCenter Server dedicados, como Horizon View o Site Recovery Manager

VMware, Inc. 28

n Para separar entornos, por ejemplo, por unidad de negocios, arrendatario, organización o tipo de entorno

En NSX Data Center for vSphere 6.2 y versiones posteriores, puede crear objetos universales en el NSX Manager principal, que se sincronizan en todos los sistemas vCenter Server del entorno.

Cross-vCenter NSX incluye estas características:

n Mayor expansión de las redes lógicas. Las mismas redes lógicas están disponibles en el entorno de cross-vCenter NSX, por lo que es posible que las máquinas virtuales de cualquier clúster en cualquier sistema vCenter Server se conecten con la misma red lógica.

n Administración centralizada de directivas de seguridad. Las reglas de firewall se administran desde una ubicación centralizada y se aplican a la máquina virtual independientemente de la ubicación o del sistema vCenter Server.

n Se admiten los límites de movilidad en vSphere 6, incluidos Cross vCenter y vMotion de larga distancia en todos los conmutadores lógicos.

n Mayor compatibilidad con entornos de varios sitios, desde distancia de metros hasta 150 ms RTT. Esto incluye centros de datos activo-activo y activo-pasivo.

Los entornos de Cross-vCenter NSX ofrecen varios beneficios:

n Administración centralizada de objetos universales, lo que reduce el esfuerzo de administración.

n Mayor movilidad de las cargas de trabajo. Las máquinas virtuales pueden migrarse mediante vMotion a todas las instancias de vCenter Server sin necesidad de volver a configurar la máquina virtual ni de cambiar las reglas de firewall.

n Funciones mejoradas de varios sitios y recuperación de desastres.

Nota Se admite la funcionalidad Cross-vCenter NSX en vSphere 6.0 y versiones posteriores.

Cómo funciona Cross-vCenter NSXEn un entorno de Cross-vCenter NSX, puede haber varias instancias de vCenter Server, cada una emparejada con su propia instancia de NSX Manager. A un NSX Manager se asigna la función de NSX Manager principal y al resto se asigna la función de NSX Manager secundario.

La instancia principal de NSX Manager se utiliza para implementar un clúster de controladores universales que proporciona el plano de control al entorno de Cross-vCenter NSX. Las instancias secundarias de NSX Manager no tienen su propio clúster de controladoras.

La instancia principal de NSX Manager puede crear objetos universales, como conmutadores lógicos universales. Estos objetos se sincronizan con las instancias secundarias de NSX Manager mediante el servicio de sincronización universal de NSX. Puede ver los objetos desde las instancias secundarias de NSX Manager, pero no puede editarlos. Debe utilizar la instancia principal de NSX Manager para administrar objetos universales.


VMware, Inc. 29

En las instancias principales y secundarias de NSX Manager, se pueden crear objetos locales para el entorno específico, como los conmutadores lógicos y los enrutadores lógicos (distribuidos). Solo existen en el entorno en el que se crearon. No están visibles en otras instancias de NSX Manager del entorno de Cross-vCenter NSX.

A las instancias de NSX Manager se les puede asignar el rol independiente. Un NSX Manager independiente administra un entorno con un solo NSX Manager y un solo vCenter. Una instancia de NSX Manager independiente no puede crear objetos universales.

Nota Si cambia la función de una instancia principal de NSX Manager a una independiente y existen objetos universales en el entorno de NSX, se asigna la función de tránsito a NSX Manager. Los objetos universales se mantienen, pero no pueden cambiarse, así como tampoco pueden crearse otros objetos universales. Se pueden eliminar objetos universales del rol de tránsito. Utilice la función de tránsito de forma temporal; por ejemplo, cuando se cambie el NSX Manager principal.

Enrutador lógico distribuido universal

Firewalldistribuidouniversal

Configuración de objetos universales(vSphere Web Client y API)

Sincronización de objetos universales

vCenter con NSXManager (principal)

Clúster decontroladoresuniversales

Sitio B

Zona de transporte universal

Conmutadores lógicos universales

Sitio A

vCenter con NSXManager (secundario)

Sitio H


Inventario local de vCenter Inventario local de vCenterInventario local de vCenter


VMware, Inc. 30

Matriz de compatibilidad de servicios en Cross-vCenter NSXHay un subconjunto de servicios de NSX Data Center for vSphere disponibles para la sincronización universal en Cross-vCenter NSX. Los servicios que no están disponibles para la sincronización universal pueden configurarse para su uso local con NSX Manager.

Tabla 4-1. Matriz de compatibilidad de servicios de NSX Data Center for vSphere en Cross-vCenter NSX

Servicio de NSX Data Center for vSphere Detalles

¿Admite la sincronización de Cross-vCenter NSX ?

Conmutador lógico Zona de transporte Sí

Conmutador lógico Sí

Puentes de Capa 2 No

Enrutamiento Enrutador lógico (distribuido) Sí

Dispositivo enrutador lógico (distribuido) No por diseño. Se deben crear dispositivos en cada instancia de NSX Manager si se necesitan varios dispositivos por enrutador lógico universal. Esto permite distintas configuraciones por dispositivo, lo que puede ser necesario en un entorno con salida local configurada.

Puerta de enlace de servicios NSX Edge No

Firewall lógico Firewall distribuido Sí

Lista de exclusiones No

SpoofGuard No

Supervisión de flujo para flujos agregados

No

Inserción de servicios de red No

Firewall de Edge No

VPN No

Equilibrador de carga lógico No

Otros servicios Edge No

Service Composer No

Extensibilidad de la red No

Objetos de seguridad y red Grupos de dirección IP (conjuntos IP) Sí

Grupos de dirección MAC (conjuntos MAC)

Sí

Grupos de direcciones IP No


VMware, Inc. 31

Tabla 4-1. Matriz de compatibilidad de servicios de NSX Data Center for vSphere en Cross-vCenter NSX (continuación)

Servicio de NSX Data Center for vSphere Detalles

¿Admite la sincronización de Cross-vCenter NSX ?

Grupos de seguridad Sí, pero la configuración de pertenencia a grupos varía de los grupos de seguridad universal a los de seguridad no universal. Consulte "Crear un grupo de seguridad" (Create a Security Group) en la Guía de administración de NSX para obtener más detalles.

Servicios (Services) Sí

Grupos de servicio Sí

Etiquetas de seguridad Sí

Puerta de enlace de hardware (también conocida como el VTEP de hardware)

No. Consulte "Configurar una puerta de enlace de hardware" (Hardware Gateway Sample Configuration) en la Guía de administración de NSX para obtener más detalles.

Clúster universal de NSX ControllerCada entorno de Cross-vCenter NSX tiene un clúster de controladoras universal asociado con la instancia de NSX Manager principal. Las instancias de NSX Manager secundarias no tienen clúster de controladoras.

Dado que el clúster de controladores universal es el único clúster de controladores para el entorno de Cross-vCenter NSX, mantiene información sobre los conmutadores lógicos universales y los enrutadores lógicos universales, al igual que sobre los conmutadores lógicos y los enrutadores lógicos que son locales en cada NSX Manager.

Para evitar cualquier superposición de los identificadores de objetos, se mantienen grupos de identificadores distintos para los objetos universales y los objetos locales.

Zona de transporte universalEn un entorno de Cross-vCenter NSX, puede haber solo una zona de transporte universal.

La zona de transporte universal se crea en la instancia de NSX Manager principal y se sincroniza en las instancias de NSX Manager secundarias. Los clústeres que deben participar en redes lógicas universales deben agregarse a la zona de transporte universal desde las instancias de NSX Manager correspondientes.

Conmutadores lógicos universalesLos conmutadores lógicos universales permiten que las redes de Capa 2 abarquen varios sitios.


VMware, Inc. 32

Al crear un conmutador lógico en una zona de transporte universal, se crea un conmutador lógico universal. Este conmutador está disponible en todos los clústeres de la zona de transporte universal. La zona de transporte universal puede incluir clústeres en cualquier instancia de vCenter del entorno de Cross-vCenter NSX.

El grupo de identificadores de segmentos se utiliza para asignar VNI a los conmutadores lógicos y el grupo de identificadores de segmentos universales se utiliza para asignar VNI a los conmutadores lógicos universales. Estos grupos no deben superponerse.

Debe utilizar un enrutador lógico universal para efectuar el enrutamiento entre los conmutadores lógicos universales. Si necesita realizar un enrutamiento entre un conmutador lógico universal y un conmutador lógico, debe utilizar una puerta de enlace de servicios Edge.

Enrutadores lógicos (distribuidos) universalesLos enrutadores lógicos (distribuidos) universales ofrecen administración centralizada y una configuración de enrutamiento que se puede personalizar en el nivel del enrutador lógico universal, el clúster o el host.

Cuando crea un enrutador lógico universal, debe elegir si desea habilitar la salida local, dado que esto no se puede modificar después de la creación. La salida local permite controlar las rutas que se proporcionan a los hosts ESXi según un identificador, el identificador de región.

A cada instancia de NSX Manager se le asigna un identificador de región, que está establecido en el UUID de NSX Manager de forma predeterminada. Puede anular el identificador de región en los niveles siguientes:

n Enrutador lógico universal

n Clúster

n Host ESXi

Si no habilita la salida local, el identificador de región se omite y todos los hosts ESXi conectados al enrutador lógico universal reciben las mismas rutas. Habilitar o no la salida local en un entorno de Cross-vCenter NSX es una decisión de diseño, pero no es necesaria para todas las configuraciones de Cross-vCenter NSX.

Reglas de firewall universalEl firewall distribuido en un entorno de Cross-vCenter NSX permite la administración centralizada de las reglas que aplican a todas las instancias de vCenter Server del entorno. Es compatible con Cross-vCenter vMotion, lo que permite mover cargas de trabajo o máquinas virtuales de una instancia de vCenter Server a otra y extender sin problemas la seguridad del centro de datos definido por software.

A medida que el centro de datos necesita escalar horizontalmente, es posible que la instancia de vCenter Server existente no escale en el mismo nivel. Esto puede requerir que se mueva un conjunto de aplicaciones a hosts más nuevos administrados por otra instancia de vCenter Server. O quizás se deban mover las aplicaciones de la etapa de copias intermedias a producción en un entorno donde los


VMware, Inc. 33

servidores de copias intermedias sean administrados por una instancia de vCenter Server y los servidores de producción, por otra instancia de vCenter Server. El firewall distribuido es compatible con estas situaciones de Cross-vCenter vMotion, dado que replica las directivas de firewall que se definen para la instancia de NSX Manager principal en hasta siete instancias de NSX Manager secundarias.

Desde la instancia principal de NSX Manager, puede crear secciones de reglas de firewall distribuido marcadas para la sincronización universal. Puede crear más de una sección universal de reglas de Capa 2 y más de una sección universal de reglas de Capa 3. Las secciones universales siempre se muestran en la parte superior de las instancias principal y secundarias de NSX Manager. Estas secciones y sus reglas se sincronizan en todas las instancias de NSX Manager secundarias del entorno. Las reglas en otras secciones siguen siendo locales en la instancia de NSX Manager adecuada.

Las características de firewall distribuido siguientes no son compatibles en un entorno de Cross-vCenter NSX.

n Lista de exclusiones

n SpoofGuard

n Supervisión de flujo para flujos agregados

n Inserción de servicios de red

n Firewall de Edge

Service Composer no es compatible con la sincronización universal, por lo que no es posible utilizarlo para crear reglas de firewall distribuido en la sección universal.

Objetos de seguridad y red universalPuede crear objetos de seguridad y red personalizados para utilizarlos en las reglas de firewall distribuido en la sección universal.

Los grupos de seguridad universal (Universal Security Groups, USG) pueden tener los elementos siguientes:

n Conjuntos de direcciones IP universales

n Conjuntos de direcciones MAC universales

n Grupos de seguridad universales

n Etiquetas de seguridad universales

n Criterios dinámicos

Los objetos de seguridad y redes universales se crean, eliminan y actualizan únicamente en la instancia principal de NSX Manager, pero se pueden leer en la instancia secundaria de NSX Manager. El servicio de sincronización universal sincroniza los objetos universales en distintas instancias de vCenter de forma inmediata y bajo petición mediante el uso de la sincronización forzada.


VMware, Inc. 34

Los grupos de seguridad universal se utilizan en dos tipos de implementación: múltiples entornos cross-vCenter NSX activos e implementaciones en espera activas de cross-vCenter NSX, donde un sitio está activo en un momento determinado y el resto se encuentra en espera. Solo las implementaciones en espera activas pueden tener grupos de seguridad universales con pertenencia dinámica basada en la pertenencia estática del nombre de la máquina virtual en función de la etiqueta de seguridad universal. Una vez que se crea un grupo de seguridad universal, este ya no se puede editar para habilitar o deshabilitar la funcionalidad de escenario en espera activo. La pertenencia se define mediante los objetos incluidos, no se pueden utilizar los objetos excluidos.

Los grupos de seguridad universales no se pueden crear desde Service Composer. Los grupos de seguridad creados desde Service Composer son locales para esa instancia de NSX Manager.

Topologías de Cross-vCenter NSXSe puede implementar Cross-vCenter NSX en un solo sitio físico o en varios sitios.

Cross-vCenter NSX de varios sitios y de un solo sitioUn entorno de Cross-vCenter NSX permite utilizar los mismos conmutadores lógicos y otros objetos de red en varios entornos de NSX Data Center for vSphere. Los sistemas vCenter Server correspondientes pueden encontrarse en el mismo sitio o en sitios diferentes.

Independientemente de que el entorno de Cross-vCenter NSX se encuentre en un solo sitio o atraviese varios sitios, se puede utilizar una configuración similar. Estas dos topologías de ejemplo consisten en lo siguiente:

n Una zona de transporte universal que incluye todos los clústeres del sitio o de los sitios.

n Conmutadores lógicos universales asociados a la zona de transporte universal. Se utilizan dos conmutadores lógicos universales para conectar las máquinas virtuales y se utiliza uno como red de tránsito para el vínculo superior del enrutador.

n Se agregan máquinas virtuales a los conmutadores lógicos universales.

n Un enrutador lógico universal con un dispositivo NSX Edge para permitir el enrutamiento dinámico. El dispositivo de enrutamiento lógico universal tiene interfaces internas en los conmutadores lógicos universales de la máquina virtual y una interfaz de vínculo superior en el conmutador lógico universal de la red de tránsito.

n Puertas de enlace de servicios Edge (ESG) conectadas a la red de tránsito y la red física del enrutador de salida.

Para obtener más información sobre las topologías de cross-vCenter NSX, consulte la guía de diseño de Cross-vCenter NSX en https://communities.vmware.com/docs/DOC-32552.


VMware, Inc. 35

https://communities.vmware.com/docs/DOC-32552

Figura 4-1. Cross-vCenter NSX en un solo sitio

VPN VP

VPN VP


Puerta deenlace de servicios NSX Edge



OSPF, BGP

Sitio A

E1 E8

Dispositivo delenrutador lógicouniversal



Emparejamiento x8


Conmutadorlógico universalRed de tránsito

Enrutadores físicos


VMware, Inc. 36

Figura 4-2. Cross-vCenter NSX que abarca dos sitios

VPN VP

VPN VP



Puerta de enlace de servicios

NSX Edge


OSPF, BGP

Sitio B

E1 E8

Dispositivo delenrutador lógicouniversal



Emparejamiento

Sitio A

Enrutadores físicos


Conmutadorlógico universalRed de tránsito

Salida localTodos los sitios de un entorno de Cross-vCenter NSX de varios sitios pueden utilizar los mismos enrutadores físicos para el tráfico de salida. No obstante, si es necesario personalizar las rutas de salida, debe habilitarse la característica de salida local al crear el enrutador lógico universal.

La salida local le permite personalizar las rutas en el nivel del enrutador lógico universal, del clúster o del host. Este ejemplo de un entorno de Cross-vCenter NSX en varios sitios tiene la salida local habilitada. Las puertas de enlace de servicios Edge (ESG) en cada sitio tienen una ruta predeterminada que envía tráfico saliente a través de los enrutadores físicos del sitio. El enrutador lógico universal está configurado con dos dispositivos, uno en cada sitio. Los dispositivos conocen las rutas de las ESG de su sitio. Las rutas conocidas se envían al clúster universal de controladoras. Dado que la salida local está habilitada,


VMware, Inc. 37

el identificador de configuración regional del sitio se asocia con esas rutas. El clúster universal de controladoras envía a los hosts rutas con identificadores de configuración regional coincidentes. Las rutas conocidas del dispositivo del sitio A se envían a los hosts del sitio A y las rutas conocidas del dispositivo del sitio B se envían a los hosts del sitio B.

Para obtener más información sobre la salida local, consulte la guía de diseño de Cross-vCenter NSX en https://communities.vmware.com/docs/DOC-32552.


VPN VP

VPN VP

VPN VP

VPN VP


Puerta de enlacede serviciosNSX Edge


OSPF, BGP

Sitio B

Sitio AEnrutadores

físicos

Conmutadorlógico universal

Red de tránsito A

E1 E8

Enrutadorlógico universalDispositivoprincipal



Emparejamiento

Sitio A

Sitio AEnrutadores

físicos

Puerta de enlacede serviciosNSX Edge

OSPF, BGP

Sitio BEnrutadores

físicos

E1 E8

Sitio BEnrutadores

físicos

Emparejamiento


Conmutadorlógico universalRed de tránsito B Enrutador

lógico universalDispositivosecundario

Id. de configuración regional: Sitio A Id. de configuración regional: Sitio B

Modificar los roles de NSX ManagerUna instancia de NSX Manager puede tener roles, como primario, secundario, independiente o de tránsito. El software de sincronización especial se ejecuta en la instancia de NSX Manager principal y sincroniza todos los objetos universales con las instancias de NSX Manager secundarias.


VMware, Inc. 38


Es importante comprender qué sucede cuando se cambia el rol de NSX Manager.

Establecer como principal (Set as primary)

Esta operación establece el rol de una instancia de NSX Manager como principal e inicia el software de sincronización. Se produce un error en esta operación si NSX Manager ya es una instancia principal o una secundaria.

Establecer como independiente (desde secundaria) (Set as standalone [from secondary])

Esta operación establece el rol de NSX Manager en modo de tránsito o independiente. Es posible que se produzca un error en esta operación si NSX Manager ya tiene el rol independiente.

Establecer como independiente (desde principal) (Set as standalone [from primary])

Esta operación restablece la instancia de NSX Manager principal al modo de tránsito o independiente, detiene el software de sincronización y cancela el registro de todas las instancias de NSX Manager secundarias. Es posible que se produzca un error en esta operación si NSX Manager ya es una instancia independiente o si no es posible comunicarse con las instancias de NSX Manager secundarias.

Desconectar de principal (Disconnect from primary)

Cuando se ejecuta esta operación en una instancia de NSX Manager secundaria, esta instancia se desconecta de forma unilateral de la instancia de NSX Manager principal. Se debe utilizar esta operación si la instancia de NSX Manager principal tuvo un error irrecuperable y si se desea registrar la instancia de NSX Manager secundaria en una nueva instancia principal. Si vuelve a aparecer la instancia NSX Manager principal original, su base de datos sigue mostrando la instancia de NSX Manager secundaria como registrada. Para solucionar este problema, incluya la opción forzar (force) cuando desconecte o cancele el registro de la instancia secundaria de la instancia principal original. La opción forzar (force) quita la instancia de NSX Manager secundaria de la base de datos de la instancia de NSX Manager principal original.

Escenarios de recuperación ante desastres con cross-vCenter NSXLa empresa ACME Enterprise posee dos sitios de centros de datos privados en Estados Unidos, uno situado en Palo Alto y otro en Austin. Durante un proceso de mantenimiento programado o un fallo imprevisto en el sitio de Palo Alto, la empresa recupera todas las aplicaciones del sitio de Austin.

Actualmente, ACME Enterprise consigue llevar a cabo esta recuperación ante desastres siguiendo el método tradicional, que consiste en realizar las siguientes tareas manualmente:

n Reasignación de la dirección IP

n Sincronización de las directivas de seguridad


VMware, Inc. 39

n Actualización de otros servicios que utilizan direcciones IP, como el DNS y las directivas de seguridad, entre otros

Este enfoque tradicional con respecto a la recuperación ante desastres conlleva utilizar un tiempo adicional significativo para poder completar la recuperación total en el sitio de Austin. Con el objetivo de lograr una recuperación ante desastres rápida y un periodo de inactividad mínimo, ACME Enterprise decide implementar NSX Data Center 6.4.5 o una versión posterior en un entorno cross-vCenter tal y como se muestra en el siguiente diagrama de topología lógica.


VMware, Inc. 40

Figura 4-3. Topología de Cross-vCenter NSX para varios en modo activo-pasivo y salida local deshabilitada

ESG(activas)

Clúster de controladores universales

Sitio 1(principal) Enrutador

físico

Sitio 2(secundario)

Enrutador lógico distribuido universal (Universal Distributed Logical Router, UDLR)

Firewall

EmparejamientoBGPEmparejamiento

BGP


BGP

vCenterServer 1

NSXManager 1(principal)

WAN

DLR ESG(pasivas)

Clúster de controladores universales


BGP


BGP

vCenterServer 2

NSXManager 2

(secundario)

Conmutador lógico universal de tránsito

Almacenamiento local Almacenamiento local

Almacenamiento compartido

VMware ESXi VMware ESXi

Host ESXi Host ESXi


Firewall distribuido universal (Universal Distributed Firewall, UDFW)

Clúster de admin.

Clúster de Edge

Clúster de proceso

VMware ESXiVMware ESXi

Host ESXi Host ESXi

Clúster de admin.

Clúster de Edge

Clúster de proceso

Firewall

Conmutador lógico universal 2

Conmutador lógico universal 1

Enrutadorfísico


VMware, Inc. 41

En esta topología, el sitio 1 en Palo Alto es el centro de datos (protegido) principal, y el sitio 2 en Austin es el centro de datos (de recuperación) secundario. Cada sitio tiene un único vCenter Server, que se empareja con su propio NSX Manager. A la instancia de NSX Manager del sitio 1 (Palo Alto), se le asigna al función de NSX Manager principal, mientras que a la instancia de NSX Manager del sitio 2 (Austin) se le asigna la función de NSX Manager secundario.

ACME Enterprise implementa Cross-vCenter NSX en ambos sitios en modo activo-pasivo. El 100 % de las aplicaciones (cargas de trabajo) se ejecutan en el sitio 1 de Palo Alto, mientras que el 0 % de ellas se ejecuta en el sitio 2 de Austin. Esto quiere decir que el sitio 2 está en modo pasivo o de espera de forma predeterminada.

Los dos sitios tienen sus propios clústeres de proceso, Edge y de administración, así como ESG locales. Como la salida local está deshabilitada en el UDLR, solo se implementa una única máquina virtual de control del UDLR en el sitio principal. La máquina virtual de control del UDLR se conecta al conmutador lógico de tránsito universal.

El administrador de NSX crea objetos universales que se extienden a dos dominios de vCenter del sitio 1 y el sitio 2. Las redes lógicas universales utilizan redes universales y objetos de seguridad, como conmutadores lógicos universales (Universal Logical Switches, ULS), enrutadores lógicos distribuidos (Universal Distributed Logical Routers, UDLR) y firewall distribuido universal (Universal Distributed Firewall, UDFW).

El administrador realiza las siguientes tareas de configuración en el sitio 1:

n Crea una zona de transporte universal a partir de la instancia de NSX Manager principal.

n Implementa un clúster de controladores universal con tres nodos de controladores.

n Agrega los clústeres de proceso, Edge y administración a la zona de transporte universal desde la instancia de NSX Manager principal.

n Deshabilita la salida local, habilita el protocolo de enrutamiento ECMP, así como el reinicio correcto en la máquina virtual de control del UDLR (máquinas virtuales del dispositivo de Edge).

n Configura el enrutamiento dinámico mediante BGP entre las puertas de enlace de servicios Edge (Edge Services Gateways, ESG) y las máquinas virtuales de control del UDLR.

n Deshabilita el protocolo de enrutamiento ECMP y habilita el reinicio correcto en las dos ESG.

n Deshabilita el firewall en las dos ESG porque el protocolo de enrutamiento ECMP está habilitado en las máquinas virtuales de control del UDLR y, de esta forma, se asegura de que se permita todo el tráfico.

El siguiente diagrama muestra un ejemplo de configuración de las interfaces de enlace ascendente y vínculo inferior en las ESG y los UDLR del sitio 1.


VMware, Inc. 42

Figura 4-4. Sitio 1: ejemplo de configuración de interfaz

ESG(activas)

Sitio 1

172.16.2.1/24

172.16.1.1/24

172.16.1.2/24

192.168.1.1/24 192.168.1.2/24

192.168.1.3/24

172.16.1.3/24

Enrutador lógico distribuido universal (UDLR)

Routerfísico

Conmutador lógico universal de tránsito

El administrador realiza las siguientes tareas de configuración en el sitio 2:

n Agrega los clústeres de proceso, Edge y administración a la zona de transporte universal desde la instancia de NSX Manager secundaria.

n Establece interfaces de vínculo inferior similares en las ESG tal y como se configuraron en las ESG del sitio 1.

n Establece una configuración de BGP similar en las ESG tal y como se configuraron en las ESG del sitio 1.

n Desactiva las ESG del sitio secundario cuando el sitio 1 está activo.


VMware, Inc. 43

A continuación, vamos a repasar los pasos que el administrador de NSX puede realizar para lograr una recuperación ante desastres en los siguientes escenarios:

n Escenario 1: fallo programado de toda la instalación en el sitio 1

n Escenario 2: fallo imprevisto de toda la instalación en el sitio 1

n Escenario 3: conmutación por recuperación total en el sitio 1

Escenario 1: fallo programado de todo el sitioEn este escenario, el administrador de NSX realiza el mantenimiento programado de la infraestructura de red del sitio 1. Durante la ventana de mantenimiento programada, el administrador apaga el sitio 1 y lleva a cabo una conmutación por error fluida al sitio 2 secundario.

El administrador de NSX quiere cumplir los siguientes objetivos principales:

n Realizar una conmutación por error en todo el sitio 2 con un periodo de inactividad mínimo.

n Conservar las direcciones IP de las aplicaciones del sitio 1 tras la conmutación por error en el sitio 2.

n Recuperar automáticamente toda la configuración de la interfaz de Edge y del protocolo BGP en el sitio 2.

Nota n El administrador puede realizar las tareas de conmutación por error manualmente mediante vSphere

Web Client o bien al ejecutar las REST API de NSX. Asimismo, el administrador puede automatizar algunas tareas de conmutación por error mediante la ejecución de un archivo de script que contenga las API que se deben usar durante la conmutación por error. En este escenario, se explican los pasos para la conmutación por error manual con vSphere Web Client. Sin embargo, si algún paso requiere utilizar la CLI o las REST API de NSX, le facilitamos las instrucciones correspondientes.

n En este escenario, el flujo de trabajo de la recuperación ante desastres es específico de la topología explicada anteriormente, que cuenta con una instancia de NSX Manager principal y una única instancia de NSX Manager secundaria. Este escenario no prevé la utilización de un flujo de trabajo con varias instancias de NSX Manager secundarias.

Importante Si la conmutación por error en el sitio 2 secundario está en proceso o se ha completado parcialmente, evite activar NSX Manager en el sitio 1 para llevar a cabo una conmutación por recuperación en el sitio 1 principal. Primero, asegúrese de que el proceso de conmutación por error se haya completado mediante el procedimiento para este escenario. Restablezca o conmute por recuperación todas las cargas de trabajo en el sitio 1 principal original únicamente después de concluir correctamente la conmutación por error en el sitio 2 secundario. Para obtener instrucciones detalladas sobre el proceso de conmutación por recuperación, consulte Escenario 3: conmutación por recuperación completa del sitio principal.

Requisitos previos

n En los sitios 1 y 2, está instalado NSX Data Center 6.4.5 o versiones posteriores.


VMware, Inc. 44

n vCenter Server está instalado en los sitios 1 y 2 en el Modo vinculado mejorado (Enhanced Linked Mode).

n En los sitios 1 y 2, se cumplen las siguientes condiciones:

n No hay configuradas directivas de seguridad específicas de aplicaciones en un firewall que no sea de NSX, en caso de que se utilice alguno.

n No hay configuradas reglas de firewall específicas de aplicaciones en un firewall que no sea de NSX, en caso de que se utilice alguno.

n El firewall está deshabilitado en las dos ESG porque el protocolo de enrutamiento ECMP está habilitado en los UDLR y, de esta forma, se asegura de que se permita todo el tráfico.

n En el sitio 2, se cumplen las siguientes condiciones antes de que se produzca la conmutación por error:

n En las ESG, hay interfaces de vínculo inferior similares configuradas manualmente de la misma forma que en el sitio 1.

n En las ESG, la configuración del BGP se establece manualmente de la misma forma que en el sitio 1.

n Las ESG están desconectadas cuando el sitio 1 principal está activo o en funcionamiento.

Procedimiento

1 Apague el sitio 1 en la fecha programada.

a Desconecte la instancia de NSX Manager principal, así como los tres nodos de controladores asociados a la instancia de NSX Manager principal.

b En la página Instalación y actualización (Installation and Upgrade), desplácese a Gestión (Management) > Instancias de NSX Manager (NSX Managers).

n Si actualiza la página Instancias de NSX Manager (NSX Managers) en la sesión actual del navegador, la función de la instancia de NSX Manager principal cambia a Desconocido (Unknown).

n Si cierra la sesión de vSphere Web Client y vuelve a iniciarla o abre una sesión del navegador de vSphere Web Client nueva, la instancia de NSX Manager principal ya no aparecerá en la página Instancias de NSX Managers (NSX Managers).


VMware, Inc. 45

c Acceda a Redes y seguridad (Networking & Security) > Panel de control (Dashboard) > Descripción general (Overview).

n Si actualiza la página Panel de control (Dashboard) en la sesión del navegador actual, se mostrará el siguiente mensaje de error: No se pudo establecer conexión con NSX Manager. Póngase en contacto con el administrador (Could not establish

communication with NSX Manager. Please contact administrator).. Este error indica que la instancia de NSX Manager principal ya no es accesible.

n Si cierra la sesión de vSphere Web Client y vuelve a iniciarla o abre una sesión del navegador de vSphere Web Client nueva, la instalación de NSX Manager principal ya no estará disponible en el menú desplegable NSX Manager.

d Desplácese a Redes y seguridad (Networking & Security) > Instalación y actualización (Installation and Upgrade) > Administración (Management) > Nodos de NSX Controller (NSX Controller Nodes). Seleccione la instancia de NSX Manager secundaria y asegúrese de que el estado de los tres nodos de controladores sea Desconectado (Disconnected).

e Desconecte todas las instancias de NSX Edge y la máquina virtual de control del enrutador lógico distribuido universal (Universal Distributed Logical Router, UDLR).

2 La instancia de NSX Manager secundaria debe pasar a tener una función principal.

a En la página Instalación y actualización (Installation and Upgrade), desplácese a Gestión (Management) > Instancias de NSX Manager (NSX Managers).

b Seleccione la instancia de NSX Manager secundaria.

c Haga clic en Acciones (Actions) > Desconectar de la instancia de NSX Manager principal (Disconnect from Primary NSX Manager). Cuando se le solicite continuar con la operación de desconexión, haga clic en Sí (Yes).

La instancia de NSX Manager secundaria se desconecta de la instancia de NSX Manager principal y pasa a tener la función Tránsito (Transit).

d Haga clic en Acciones (Actions) > Asignar función principal (Assign Primary Role).

La instancia de NSX Manager secundaria del sitio 2 pasa a tener una función principal.

Precaución Como la salida local está deshabilitada en el UDLR, las máquinas virtuales de control del UDLR (máquinas virtuales del dispositivo de Edge) se implementan solo en el sitio principal original (sitio 1). Antes de que se produzcan fallos en el sitio 1, las máquinas virtuales de control del UDLR no están disponibles en el sitio secundario (sitio 2), que ahora pasa a ser principal. Por lo tanto, vuelva a implementar las máquinas virtuales de control del UDLR en el sitio principal promocionado (sitio 2) antes de volver a implementar el clúster de NSX Controller.

Si los nodos del controlador se implementan antes que las máquinas virtuales de control del UDLR, aparecerán las tablas de reenvío del UDLR. En consecuencia, se produce un periodo de inactividad inmediatamente después de que se implemente el primer nodo del controlador en el sitio 2. Esta situación podría provocar interrupciones en la comunicación. Para evitar este problema, implemente la máquina virtual de control del UDLR antes que los nodos de NSX Controller.


VMware, Inc. 46

3 Encienda todas las instancias de NSX Edge que estén apagadas e implemente las máquinas virtuales de control del UDLR (máquinas virtuales del dispositivo de Edge) en el sitio 2 secundario (que pasa a ser principal).

Para obtener instrucciones sobre cómo implementar la máquina virtual de control del UDLR, consulte la NSXGuía de instalación de Cross-vCenter.

Mientras implementa la máquina virtual de control del UDLR, configure los siguientes ajustes de los recursos:

n Seleccione el centro de datos como sitio 2.

n Seleccione el grupo de clústeres y recursos.

n Seleccione el almacén de datos.

Nota Después de implementar la máquina virtual de control del UDLR, se recuperarán automáticamente los ajustes de configuración que se indican a continuación en el sitio 2:

n Configuración de enrutamiento del protocolo BGP

n Configuración de la contraseña del protocolo BGP

n Ajustes de la interfaz interna y del enlace ascendente

4 Implemente los tres nodos de clúster de NSX Controller en el sitio 2 (que pasa a ser principal).

Para obtener instrucciones detalladas sobre cómo implementar instancias de NSX Controller, consulte la NSXGuía de instalación de Cross-vCenter.

5 Actualice el estado del clúster de NSX Controller.

a En la página Instalación y actualización (Installation and Upgrade), haga clic en Instancias de NSX Manager (NSX Managers).

b Seleccione la instancia de NSX Manager que pasa a ser principal.

c Haga clic en Acciones (Actions) > Actualizar estado del controlador (Update Controller State).

6 Fuerce el servicio de sincronización del enrutamiento en cada clúster del sitio 2.

a En la página Instalación y actualización (Installation and Upgrade), haga clic en Preparación del host (Host Preparation).


c Seleccione un clúster a la vez y haga clic en Acciones (Actions) > Forzar servicios de sincronización (Force Sync Services).

d Seleccione Enrutamiento (Routing) y haga clic en Aceptar (OK).

7 Migre las máquinas virtuales de carga de trabajo del sitio 1 al sitio 2.

Nota Dado que las máquinas virtuales de carga de trabajo seguirán manteniéndose en el sitio 1, deberá migrar manualmente estas máquinas al sitio 2.


VMware, Inc. 47

De esta forma concluye la recuperación manual de los componentes de NSX y la conmutación por error del sitio principal (sitio 1) al sitio secundario (sitio 2).

Pasos siguientes

Compruebe que la conmutación por error al sitio 2 ha finalizado por completo. Para ello, siga estos pasos en el sitio 2 (que pasa a ser el sitio principal):

1 Compruebe que NSX Manager tenga la función principal.

2 Compruebe que la máquina virtual de control (máquina virtual del dispositivo de Edge) esté implementada en el UDLR.

3 Compruebe que el estado de todos los nodos del clúster del controlador sea Conectado (Connected).

4 Compruebe que el estado de preparación del host sea Verde (Green).

5 Inicie sesión en la consola de la CLI de cada máquina virtual de control del UDLR (máquina virtual del dispositivo de Edge) y realice estos pasos:

a Compruebe que todos los vecinos BGP estén establecidos y activados. Para ello, ejecute el comando show ip bgp neighbors .

b Compruebe que todos los vecinos BGP conozcan las rutas de BGP mediante el comando show ip route bgp.

Después de completar la conmutación por error al sitio 2, todas las cargas de trabajo se ejecutarán en el sitio secundario (que pasa a ser principal) y el tráfico se enrutará a través del UDLR y las instancias de NSX Edge del sitio 2.

Una vez que se realice el mantenimiento programado, el administrador activa NSX Manager y los nodos del clúster del controlador en el sitio 1 principal y restablece todas las cargas de trabajo en el sitio 1 principal original. Para obtener instrucciones sobre cómo realizar una conmutación por recuperación manual al sitio principal, consulte Escenario 3: conmutación por recuperación completa del sitio principal.

Escenario 2: fallo imprevisto de todo el sitioEn este escenario, el sitio 1 principal de Palo Alto se ve afectado por un desastre natural y se desactiva por completo. El administrador de NSX realiza una conmutación por error manual al sitio 2 secundario de Austin.

Como el sitio principal se desactivó debido a circunstancias imprevistas, el administrador no puede preparar la conmutación por error antes de que se produzca el fallo real.


n Realizar una conmutación por error en todo el sitio 2 con un periodo de inactividad mínimo.

n Conservar las direcciones IP de las aplicaciones del sitio 1 tras la conmutación por error en el sitio 2.


VMware, Inc. 48


Nota n El administrador puede realizar las tareas de conmutación por error manualmente mediante vSphere

Web Client o bien al ejecutar las REST API de NSX. Asimismo, el administrador puede automatizar algunas tareas de conmutación por error mediante la ejecución de un archivo de script que contenga las API que se deben usar durante la conmutación por error. En este escenario, se explican los pasos para la conmutación por error manual con vSphere Web Client. Sin embargo, si algún paso requiere utilizar la CLI o las REST API de NSX, le facilitamos las instrucciones correspondientes.


Importante Si el sitio 1 principal se enciende mientras la conmutación por error se está llevando a cabo en el sitio 2 secundario, primero debe asegurarse de que el proceso de conmutación por error se completa siguiendo el procedimiento para este escenario. Restablezca o conmute por recuperación todas las cargas de trabajo en el sitio 1 principal original únicamente después de concluir correctamente la conmutación por error en el sitio 2 secundario. Para obtener instrucciones detalladas sobre el proceso de conmutación por recuperación, consulte Escenario 3: conmutación por recuperación completa del sitio principal.

Requisitos previos







n En el sitio 2, se cumplen las siguientes condiciones antes de que se produzca la conmutación por error:

n En las ESG, hay interfaces de vínculo inferior similares configuradas manualmente de la misma forma que en el sitio 1.

n En las ESG, la configuración del BGP se establece manualmente de la misma forma que en el sitio 1.


VMware, Inc. 49

n Las ESG están desconectadas cuando el sitio 1 principal está activo o en funcionamiento.

Procedimiento

1 Compruebe que la instancia de NSX Manager principal del sitio 1 está desactivada.


n Si actualiza la página Instancias de NSX Manager (NSX Managers) en la sesión actual del navegador, la función de la instancia de NSX Manager principal cambia a Desconocido (Unknown).

n Si cierra la sesión de vSphere Web Client y vuelve a iniciarla o abre una sesión del navegador de vSphere Web Client nueva, la instancia de NSX Manager principal ya no aparecerá en la página Instancias de NSX Managers (NSX Managers).

b Acceda a Redes y seguridad (Networking & Security) > Panel de control (Dashboard) > Descripción general (Overview).

n Si actualiza la página Panel de control (Dashboard) en la sesión del navegador actual, se mostrará el siguiente mensaje de error: No se pudo establecer conexión con NSX Manager. Póngase en contacto con el administrador (Could not establish

communication with NSX Manager. Please contact administrator).. Este error indica que la instancia de NSX Manager principal ya no es accesible.

n Si cierra la sesión de vSphere Web Client y vuelve a iniciarla o abre una sesión del navegador de vSphere Web Client nueva, la instalación de NSX Manager principal ya no estará disponible en el menú desplegable NSX Manager.

2 La instancia de NSX Manager secundaria debe pasar a tener una función principal.


b Seleccione la instancia de NSX Manager secundaria.


VMware, Inc. 50

c Haga clic en Acciones (Actions) > Desconectar de la instancia de NSX Manager principal (Disconnect from Primary NSX Manager). Cuando se le solicite continuar con la operación de desconexión, haga clic en Sí (Yes).

La instancia de NSX Manager secundaria se desconecta de la instancia de NSX Manager principal y pasa a tener la función Tránsito (Transit).

d Haga clic en Acciones (Actions) > Asignar función principal (Assign Primary Role).

La instancia de NSX Manager secundaria del sitio 2 pasa a tener una función principal.

Precaución Como la salida local está deshabilitada en el UDLR, las máquinas virtuales de control del UDLR (máquinas virtuales del dispositivo de Edge) se implementan solo en el sitio principal original (sitio 1). Antes de que se produzcan fallos en el sitio 1, las máquinas virtuales de control del UDLR no están disponibles en el sitio secundario (sitio 2), que ahora pasa a ser principal. Por lo tanto, vuelva a implementar las máquinas virtuales de control del UDLR en el sitio principal promocionado (sitio 2) antes de volver a implementar el clúster de NSX Controller.

Si los nodos del controlador se implementan antes que las máquinas virtuales de control del UDLR, aparecerán las tablas de reenvío del UDLR. En consecuencia, se produce un periodo de inactividad inmediatamente después de que se implemente el primer nodo del controlador en el sitio 2. Esta situación podría provocar interrupciones en la comunicación. Para evitar este problema, implemente la máquina virtual de control del UDLR antes que los nodos de NSX Controller.

3 Encienda todas las instancias de NSX Edge que estén apagadas e implemente las máquinas virtuales de control del UDLR (máquinas virtuales del dispositivo de Edge) en el sitio 2 secundario (que pasa a ser principal).

Para obtener instrucciones sobre cómo implementar la máquina virtual de control del UDLR, consulte la NSXGuía de instalación de Cross-vCenter.

Mientras implementa la máquina virtual de control del UDLR, configure los siguientes ajustes de los recursos:

n Seleccione el centro de datos como sitio 2.

n Seleccione el grupo de clústeres y recursos.

n Seleccione el almacén de datos.

Nota Después de implementar la máquina virtual de control del UDLR, se recuperarán automáticamente los ajustes de configuración que se indican a continuación en el sitio 2:

n Configuración de enrutamiento del protocolo BGP

n Configuración de la contraseña del protocolo BGP

n Ajustes de la interfaz interna y del enlace ascendente

4 Implemente los tres nodos de clúster de NSX Controller en el sitio 2 (que pasa a ser principal).

Para obtener instrucciones detalladas sobre cómo implementar instancias de NSX Controller, consulte la NSXGuía de instalación de Cross-vCenter.


VMware, Inc. 51

5 Actualice el estado del clúster de NSX Controller.




6 Fuerce el servicio de sincronización del enrutamiento en cada clúster del sitio 2.

a En la página Instalación y actualización (Installation and Upgrade), haga clic en Preparación del host (Host Preparation).


c Seleccione un clúster a la vez y haga clic en Acciones (Actions) > Forzar servicios de sincronización (Force Sync Services).

d Seleccione Enrutamiento (Routing) y haga clic en Aceptar (OK).



De esta forma concluye la recuperación manual de los componentes de NSX y la conmutación por error del sitio principal (sitio 1) al sitio secundario (sitio 2).

Pasos siguientes

Compruebe que la conmutación por error al sitio 2 ha finalizado por completo. Para ello, siga estos pasos en el sitio 2 (que pasa a ser el sitio principal):




4 Compruebe que el estado de preparación del host sea Verde (Green).





VMware, Inc. 52

Después de completar la conmutación por error al sitio 2, todas las cargas de trabajo se ejecutarán en el sitio secundario (que pasa a ser principal) y el tráfico se enrutará a través del UDLR y las instancias de NSX Edge del sitio 2.

Escenario 3: conmutación por recuperación completa del sitio principalEn este escenario, el sitio 1 principal se desactiva por un mantenimiento programado, o bien por un fallo de alimentación imprevisto. Todas las cargas de trabajo se ejecutan en el sitio 2 secundario (que pasa a ser el sitio principal) y el tráfico se enruta a través del UDLR y las instancias de NSX Edge del sitio 2. Ahora, el sitio 1 principal original vuelve a estar activo y el administrador de NSX quiere recuperar componentes de NSX y restaurar todas las cargas de trabajo en el sitio 1 principal original.


n Conseguir una conmutación por recuperación completa de todas las cargas de trabajo del sitio 2 al sitio 1 principal original con el menor periodo de inactividad.

n Conservar las direcciones de IP de aplicaciones después de la conmutación por recuperación al sitio 1.


Nota n El administrador puede realizar las tareas de conmutación por recuperación manualmente mediante

vSphere Web Client, o bien al ejecutar las REST API de NSX. Asimismo, el administrador puede automatizar algunas tareas de conmutación por recuperación mediante la ejecución de un archivo de script que contenga las API que se deben usar durante la conmutación por recuperación. En este escenario, se explican los pasos para la conmutación por recuperación manual con vSphere Web Client. Sin embargo, si algún paso requiere utilizar la CLI o las REST API de NSX, le facilitamos las instrucciones correspondientes.


Requisitos previos






VMware, Inc. 53



n En el sitio 2 (que pasa a ser principal), los componentes lógicos universales no sufren modificaciones antes de iniciar el proceso de conmutación por recuperación.

Procedimiento

1 Cuando el sitio 1 principal vuelva a estar activo, asegúrese de que la instancia de NSX Manager y los nodos del clúster del controlador estén activados y en ejecución.

a Acceda a Redes y seguridad (Networking & Security) > Panel de control (Dashboard) > Descripción general (Overview).

b En el menú desplegable, seleccione la instancia de NSX Manager principal.

c En el panel Descripción general del sistema (System Overview), compruebe el estado de la instancia de NSX Manager y de los nodos del clúster del controlador.

Si aparece un punto verde opaco junto a NSX Manager y a los nodos del controlador significa que ambos componentes de NSX están activados y en ejecución.

2 Antes de iniciar el proceso de conmutación por recuperación, realice las siguientes comprobaciones:

a En la página Instalación y actualización (Installation and Upgrade), desplácese hasta Administración (Management) > Instancias de NSX Manager (NSX Managers). Compruebe que las instancias de NSX Manager de los dos sitios tengan una función principal.

b En la página Nodos de NSX Controller (NSX Controller Nodes), asegúrese de que haya nodos de clúster de controladores universal (Universal Controller Cluster, UCC) en los dos sitios.

3 Apague los tres nodos de UCC asociados al sitio 2 (que pasó a ser principal).

4 En la página Nodos de NSX Controller (NSX Controller Nodes), elimine los tres nodos de UCC asociados al sitio 2 (que pasó a ser principal).

Sugerencia Puede usar las REST API de NSX para eliminar un nodo del controlador a la vez mediante la ejecución de la siguiente llamada de API: https://NSX_Manager_IP/api/2.0/vdn/controller/{controllerID}. No obstante, fuerce la eliminación del último nodo del controlador mediante la ejecución de la siguiente llamada de API: https://NSX_Manager_IP/api/2.0/vdn/controller/{controllerID}?forceRemoval=true.

5 Asegúrese de que los componentes universales del sitio 2 (que pasó a ser principal) no se modifiquen antes de continuar con el siguiente paso.


VMware, Inc. 54

6 Elimine la función principal de la instancia de NSX Manager en el sitio 2 (que pasó a ser principal).


b Seleccione la instancia de NSX Manager en el sitio 2 y haga clic en Acciones (Actions) > Eliminar función principal (Remove Primary Role).

Aparecerá un mensaje para garantizar que los controladores propiedad de la instancia de NSX Manager del sitio 2 se eliminen antes de quitar la función principal.

c Haga clic en Sí (Yes).

La instancia NSX Manager del sitio 2 pasa a tener la función Tránsito (Transit).

7 En la instancia principal de NSX Manager del sitio 1, elimine la instancia de NSX Manager asociada.

a En la página Instancias de NSX Manager (NSX Managers), seleccione la instancia de NSX Manager asociada al sitio 1.

b Haga clic en Acciones (Actions) > Eliminar NSX Manager secundario (Remove Secondary Manager).

c Seleccione la casilla de verificación Realizar operación aunque NSX Manager sea inaccesible (Perform operation even if NSX Manager is inaccessible).

d Haga clic en Eliminar (Remove).

8 Registre la instancia de NSX Manager en el sitio 2, que está en tránsito, como la secundaria de la instancia principal de NSX Manager en el sitio 1.

Precaución Como la salida local está deshabilitada en la máquina virtual de control del UDLR (máquina virtual del dispositivo de Edge), la máquina virtual de control se elimina automáticamente. Por lo tanto, antes de registrar la instancia de NSX Manager en el sitio 2 (actualmente con la función Tránsito [Transit]) con una función secundaria, asegúrese de que se eliminen los nodos del clúster del controlador del sitio 2. Si no se eliminan, el tráfico de red puede sufrir interrupciones.


b Seleccione la instancia de NSX Manager asociada al sitio 1.

c Haga clic en Acciones (Actions) > Agregar instancia de NSX Manager secundaria (Add Secondary Manager).

d Seleccione la instancia de NSX Manager asociada al sitio 2.

e Introduzca el nombre de usuario y la contraseña de la instancia de NSX Manager en el sitio 2 y acepte el certificado de seguridad.

f Haga clic en Agregar (Add).


VMware, Inc. 55

Después de completar todos estos pasos secundarios, compruebe que obtiene los siguientes resultados:

n La instancia de NSX Manager del sitio 1 tiene una función principal, mientras que la instancia de NSX Manager del sitio 2 tiene una función secundaria.

n En la instancia de NSX Manager del sitio 2, hay tres nodos del controlador sombra con estado Desconectado (Disconnected). Aparece el siguiente mensaje: Se pueden leer o actualizar las propiedades del clúster del controlador solo en la instancia de NSX

Manager principal o independiente (Can read or update controller cluster

properties only on Primary or Standalone Manager).

Este mensaje significa que la instancia de NSX Manager secundaria del sitio 2 no puede establecer la conectividad con los nodos del clúster de controlador universal de la instancia principal de NSX Manager del sitio 1. Sin embargo, transcurridos unos segundos, la conexión se vuelve a restablecer y el estado cambia a Conectado (Connected).

9 Encienda la máquina virtual de control (máquina virtual del dispositivo de Edge) en el UDLR y las instancias de NSX Edge en el sitio 1.

a Desplácese hasta Redes (Networking) > Máquinas virtuales (VMs) > Máquinas virtuales (Virtual Machines).

b Haga clic con el botón secundario en el nombre de la máquina virtual (identificador de la máquina virtual) y haga clic en Encender (Power on).

c Repita el paso b) para las máquinas virtuales de Edge que quiera encender.

d Espere a que la máquina virtual de control del UDLR y las máquinas virtuales de Edge estén activadas y en ejecución antes de continuar con el siguiente paso.

10 Asegúrese de que la máquina virtual de control del UDLR (máquina virtual del dispositivo de Edge) asociada a la instancia secundaria de NSX Manager del sitio 2 se eliminen automáticamente.

a Desplácese hasta Redes y seguridad (Networking & Security) > NSX Edge.

b Seleccione la instancia secundaria de NSX Manager y, a continuación, haga clic en un UDLR.

c En la página Estado (Status), compruebe que no haya ninguna máquina virtual del dispositivo Edge implementada en el UDLR.

11 Actualice el estado de la instancia de NSX Controller en el sitio 1 principal para que los servicios del controlador se sincronicen con el sitio 2 secundario.


b Seleccione la instancia principal de NSX Manager del sitio 1.



VMware, Inc. 56



De esta forma concluye la conmutación por recuperación manual de todos los componentes y todas las cargas de trabajo de NSX del sitio secundario (sitio 2) al sitio principal (sitio 1).

Pasos siguientes

Compruebe que la conmutación por recuperación al sitio 1 principal ha finalizado por completo. Para ello, siga estos pasos en el sitio 1:




4 Realice una comprobación de estado de comunicación en cada clúster del host que esté preparado para NSX.

a Acceda a Instalación y actualización (Installation and Upgrade) > Preparación del host (Host Preparation).

b Seleccione la instancia de NSX Manager del sitio 1.

c Seleccione un clúster a la vez y compruebe que el estado del canal de comunicación del clúster sea ACTIVO (UP).

d Para cada host del clúster, compruebe que el estado del canal de comunicación del host sea ACTIVO (UP).

e Compruebe que el estado de preparación del host sea Verde (Green).




Después de completar la conmutación por recuperación al sitio 1, todas las cargas de trabajo se ejecutarán en el sitio 1 principal y el tráfico se enrutará a través del UDLR y las instancias de NSX Edge del sitio 1.


VMware, Inc. 57

Zonas de transporte 5Una zona de transporte controla con qué hosts puede comunicarse un conmutador lógico. Puede expandirse a uno o más clústeres vSphere. Las zonas de transporte establecen qué clústeres y, por lo tanto, qué máquinas virtuales pueden participar en la utilización de una red en particular. En un entorno de Cross-vCenter NSX, se puede crear una zona de transporte universal, que incluya clústeres de cualquier instancia de vCenter del entorno. Se puede crear una sola zona de transporte universal.

Un entorno de NSX Data Center for vSphere puede contener una o más zonas de transporte según los requisitos del usuario. Un clúster de hosts puede corresponder a varias zonas de transporte. Un conmutador lógico puede corresponder a una sola zona de transporte.

NSX Data Center for vSphere no permite conectar máquinas virtuales que se encuentran en diferentes zonas de transporte. La expansión de un conmutador lógico se limita a una zona de transporte, de modo que las máquinas virtuales de diferentes zonas de transporte no pueden estar en la misma red de Capa 2. Los enrutadores lógicos distribuidos no pueden conectarse a conmutadores lógicos que están en diferentes zonas de transporte. Después de desconectar el primer conmutador lógico, la selección de otros conmutadores lógicos se limita a los de la misma zona de transporte.

Las siguientes directrices ayudan a diseñar las zonas de transporte:

n Si un clúster requiere conectividad de Capa 3, debe estar en una zona de transporte que también incluya un clúster Edge, es decir, un clúster con dispositivos Edge de Capa 3 (enrutadores lógicos distribuidos y puertas de enlace de servicios Edge).

n Supongamos que hay dos clústeres: uno para servicios web y otro para servicios de aplicaciones. Para que haya conectividad VXLAN entre las máquinas virtuales de estos dos clústeres, ambos deben estar incluidos en la zona de transporte.

n Tenga en cuenta que todos los conmutadores lógicos incluidos en la zona de transporte estarán disponibles y serán visibles para todas las máquinas virtuales de los clústeres incluidos en la zona de transporte. Si un clúster incluye entornos protegidos, quizás no sea conveniente que este clúster esté disponible para las máquinas virtuales de otros clústeres. En cambio, puede colocar el clúster protegido en una zona de transporte más aislada.

n La expansión del conmutador distribuido de vSphere (VDS o DVS) debe coincidir con la de la zona de transporte. Al crear zonas de transporte en configuraciones de VDS de varios clústeres, asegúrese de que todos los clústeres del VDS seleccionado estén incluidos en la zona de transporte. Así se garantiza que el DLR esté disponible en todos los clústeres donde hay dvPortgroups de VDS disponibles.

VMware, Inc. 58

El siguiente diagrama muestra una zona de transporte que está correctamente alineada con el límite de VDS.

[ Clúster: Comp A ]

VTEP:192.168.250.51

esxcomp-01a

VTEP:192.168.250.52

esxcomp-02a

VTEP:192.168.250.53

esxcomp-01b

VTEP:192.168.250.54

esxcomp-02b

VTEP:192.168150.52

esx-01a

VTEP:192.168.150.51

esx-02a

5001

5002

5003

[ DVS: Compute_DVS ]

[ Clúster: Comp B ]

[ Zona de transporte: zona de transporte global ]

[ Clúster: Mgmt/Edge ]

[ DVS: Mgmt_Edge_DVS ]

web1 app1 web2 LB

db1

Si no cumple con esta práctica recomendada, tenga en cuenta que si un VDS se expande en más de un clúster de hosts y la zona de transporte incluye solo uno (o un subconjunto) de estos clústeres, cualquier conmutador lógico de esa zona de transporte podrá acceder a las máquinas virtuales de todos los clústeres abarcados por el VDS. En otras palabras, la zona de transporte no podrá limitar la expansión del conmutador lógico a un subconjunto de clústeres. Si posteriormente conecta este conmutador lógico a un DLR, debe asegurarse de que las instancias del enrutador se creen únicamente en el clúster incluido en la zona de transporte, a fin de evitar problemas en la Capa 3.

Por ejemplo, cuando una zona de transporte no está alineada con el límite del VDS, el alcance de los conmutadores lógicos (5001, 5002 y 5003) y las instancias del DLR a las que están conectados quedan desasociados; esto provoca que las máquinas virtuales del clúster Comp A no puedan acceder a las interfaces lógicas (LIF) del DLR.


VMware, Inc. 59

¡Falta DLR!

¡Falta DLR!

[ Clúster: Comp A ]

[TZ/DVS no alineado]

VTEP:192.168.250.51

esxcomp-01a

VTEP:192.168.250.52

esxcomp-02a

VTEP:192.168.250.53

esxcomp-01b

VTEP:192.168.250.54

esxcomp-02b

VTEP:192.168150.52

esx-01a

VTEP:192.168.150.51

esx-02a

5001

5002

5003

[ DVS: Compute_DVS ]

[ Clúster: Comp B ]

[ Zona de transporte: zona de transporte global ]

[ Clúster: Mgmt/Edge ]

[ DVS: Mgmt_Edge_DVS ]

web1 app1 web2 LB

db1


n Comprender los modos de replicación

n Agregar una zona de transporte

n Editar una zona de transporte

n Expandir una zona de transporte

n Contraer una zona de transporte

n Modo Operación con controlador desconectado (Controller Disconnected Operation, CDO)

Comprender los modos de replicaciónCuando cree una zona de transporte o un conmutador lógico, debe seleccionar un modo de replicación. Comprender los diferentes modos puede ayudarle a decidir cuál es el más apropiado para su entorno.

Cada host ESXi preparado para NSX se configura con un endpoint de túnel VXLAN (VTEP). Cada endpoint de túnel VXLAN tiene una dirección IP. Estas direcciones IP pueden estar en la misma subred o en subredes diferentes.

Cuando dos máquinas virtuales en hosts ESXi diferentes se comunican directamente, el tráfico de encapsulación unidifusión se intercambia entre las dos direcciones IP de VTEP sin necesidad de que se produzcan inundaciones. Sin embargo, como con cualquier red de capa 2, a veces el tráfico desde una máquina virtual se debe inundar o se envía a otras máquinas virtuales que pertenecen al mismo


VMware, Inc. 60

conmutador lógico. La difusión de capa 2, la unidifusión desconocida y el tráfico multidifusión se conocen como tráfico BUM. El tráfico BUM desde una máquina virtual en un host determinado se debe replicar a otros hosts que tengan las máquinas virtuales conectadas al mismo conmutador lógico. NSX Data Center for vSphere admite tres modos de replicación diferentes:

n Modo de replicación unidifusión

n Modo de replicación multidifusión

n Modo de replicación híbrido

Resumen de los modos de replicaciónTabla 5-1. Resumen de los modos de replicación

Modo de replicación

Método de replicación BUM a VTEP en la misma subred

Método de replicación BUM a VTEP en una subred diferente Requisitos de red física

Unidifusión (Unicast) Unidifusión (Unicast) Unidifusión (Unicast) n Enrutamiento entre subredes VTEP

Multidifusión (Multicast) Multidifusión de Capa 2 Multidifusión de Capa 3 n Enrutamiento entre subredes VTEP

n Multidifusión de Capa 2, IGMP

n Multidifusión de Capa 3, PIM

n Asignación de grupos de multidifusión a conmutadores lógicos

Híbrido Multidifusión de Capa 2 Unidifusión (Unicast) n Enrutamiento entre subredes VTEP

n Multidifusión de Capa 2, IGMP

Modo de replicación unidifusiónEl modo de replicación unidifusión no requiere que la red física admita la multidifusión de capa 2 o capa 3 para gestionar el tráfico BUM en un conmutador lógico. El uso del modo unidifusión independiza completamente las redes lógicas de la red física. El modo de unidifusión replica todo el tráfico BUM de forma local en el host de origen y envía el tráfico BUM en un paquete unidifusión a los hosts remotos. En el modo de unidifusión, puede tener todos los VTEP en una subred o en varias.

Escenario de una subred: si todas las interfaces VTEP pertenecen a una subred única, la VTEP de origen envía el tráfico BUM a todos los VTEP remotos. Esto se conoce como replicación de cabecera. La replicación de cabecera puede resultar en una sobrecarga de host no deseada y en un mayor uso de ancho de banda. El impacto depende de la cantidad de tráfico BUM y el número de hosts y VTEP en la subred.


VMware, Inc. 61

Escenario de varias subredes: si las interfaces VTEP del host se agrupan en varias subredes IP, el host de origen gestiona el tráfico BUM en dos partes. El VTEP de origen reenvía el tráfico BUM a cada VTEP de la misma subred (la misma que el escenario de una subred). Para los VTEP en subredes remotas, el VTEP de origen reenvía el tráfico BUM a un host de cada subred VTEP remota y configura que cada bit de replicación marque este paquete para la replicación local. Cuando un host de la subred remota recibe este paquete y encuentra el bit de replicación configurado, envía el paquete al resto de VTEP de esta subred donde existe el conmutador lógico.

Por lo tanto, el modo de replicación unidifusión se amplía correctamente en las arquitecturas de red con varias subredes de IP de VTEP, ya que la carga se distribuye en varios hosts.

Modo de replicación multidifusiónEl modo de replicación multidifusión requiere que tanto la multidifusión de capa 3 como la de capa 2 estén habilitadas en la infraestructura física. Para configurar el modo de multidifusión, el administrador de red asocia cada conmutador lógico a un grupo de multidifusión de IP. Para los hosts ESXi que alojan máquinas virtuales en un conmutador lógico específico, los VTEP asociados se unen al grupo de multidifusión usando IGMP. Los enrutadores realizan un seguimiento de las uniones de IGMP y crean un árbol de distribución de multidifusión entre ellos usando un protocolo de enrutamiento de multidifusión.

Cuando los hosts replican el tráfico BUM a los VTEP en la misma subred de IP, usan una multidifusión de capa 2. Cuando los hosts replican el tráfico BUM a los VTEP en diferentes subredes de IP, usan una multidifusión de capa 3. En ambos casos, la infraestructura física gestiona la replicación del tráfico BUM a los VTEP remotos.

Aunque la multidifusión de IP es una tecnología conocida, la implementación de multidifusión de IP en el centro de datos se suele considerar un obstáculo por diferentes motivos administrativos, operativos o técnicos. El administrador de red debe tener cuidado con la multidifusión máxima admitida que aparece en la infraestructura física para habilitar la asignación uno a uno entre el conmutador lógico y el grupo de multidifusión. Uno de los beneficios de la virtualización es que permite ampliar la infraestructura virtual sin exponer estados adicionales a la infraestructura física. La asignación de conmutadores lógicos a grupos de multidifusión "físicos" rompe este modelo.

Nota En el modo de replicación multidifusión, el clúster de NSX Controller no se usa para la conmutación lógica.

Modo de replicación híbridoEl modo híbrido es un híbrido entre los modos de replicación multidifusión y unidifusión. En el modo de replicación híbrido, el host de VTEP usa la multidifusión de Capa 2 para distribuir el tráfico BUM a los VTEP al mismo nivel en la misma subred. Cuando los VTEP de host replican el tráfico BUM a VTEP en diferentes subredes, reenvían el tráfico como paquetes de unidifusión a un host por subred de VTEP. Este host de destino usa la multidifusión de Capa 2 para enviar paquetes a otros VTEP en su subred.


VMware, Inc. 62

La multidifusión de Capa 2 es más común en las redes de cliente que la multidifusión de Capa 3, ya que suele ser más fácil de implementar. La replicación a diferentes VTEP en la misma subred se realiza en la red física. La replicación híbrida puede suponer un descanso importante para el host de origen del tráfico BUM si existen varios VTEP al mismo nivel en la misma subred. Gracias a la replicación híbrida, puede realizar una escalabilidad vertical de un entorno denso con poca segmentación o sin ella.

Agregar una zona de transporteUna zona de transporte controla con qué hosts puede comunicarse un conmutador lógico y puede abarcar uno o más clústeres de vSphere. Las zonas de transporte establecen qué clústeres y, por lo tanto, qué máquinas virtuales pueden participar en la utilización de una red en particular. Las zonas de transporte universales pueden expandir un clúster de vSphere en un entorno de Cross-vCenter NSX.

Puede tener una sola zona de transporte universal en un entorno de Cross-vCenter NSX.

Requisitos previos

Determine la instancia de NSX Manager adecuada en la cual desea realizar los cambios.

n En un entorno de vCenter NSX independiente o individual, hay una sola instancia de NSX Manager. Por lo tanto, no hace falta seleccionarla.

n Los objetos universales deben administrarse desde la instancia NSX Manager principal.

n Los objetos locales a una instancia de NSX Manager deben administrarse desde esa instancia de NSX Manager.

n En un entorno de Cross-vCenter NSX donde no se habilitó Modo vinculado mejorado (Enhanced Linked Mode), es necesario realizar los cambios en la configuración desde el elemento vCenter vinculado a la instancia de NSX Manager que se desea modificar.

n En un entorno de Cross-vCenter NSX con el Modo vinculado mejorado (Enhanced Linked Mode), es posible realizar cambios en la configuración de cualquier instancia de NSX Manager desde cualquier vCenter vinculado. Seleccione la instancia de NSX Manager apropiada desde el menú desplegable NSX Manager.

Procedimiento

1 Desplácese hasta la configuración de red lógica.

u En NSX 6.4.1 y versiones posteriores, desplácese a Redes y seguridad (Networking & Security) > Instalación y actualización (Installation and Upgrade) > Configuración de red lógica (Logical Network Settings).

u En NSX 6.4.0, desplácese hasta Redes y seguridad (Networking & Security) > Instalación y actualización (Installation and Upgrade) > Preparación de red lógica (Logical Network Preparation).

2 Haga clic en Zonas de transporte (Transport Zones) y luego en Agregar (Add).


VMware, Inc. 63

3 (opcional) Si desea configurar esta zona de transporte como una zona de transporte universal, realice la siguiente selección.

n En NSX 6.4.1 y versiones posteriores, haga clic en el botón Sincronización universal (Universal Synchronization) para activar la opción.

n En NSX 6.4.0, seleccione Marcar este objeto para la sincronización universal (Mark this option for Universal Synchronization).

4 Seleccione el modo de replicación:

n Multidifusión (Multicast): para el plano de control se utilizan las direcciones IP de multidifusión de la red física. Este modo se recomienda únicamente para actualizar a partir de implementaciones de VXLAN anteriores. Se requiere PIM/IGMP en la red física.

n Unidifusión (Unicast): un NSX Controller gestiona el plano de control. El tráfico de unidifusión utiliza la replicación de cabecera optimizada. No se requieren direcciones IP de multidifusión ni ninguna configuración de red especial.

n Híbrido (Hybrid): descarga la replicación de tráfico local en la red física (multidifusión de Capa 2). Para esto se requiere la intromisión de IGMP en el conmutador del primer salto y el acceso a un solicitante de IGMP en cada subred de VTEP, pero no se requiere tecnología PIM. El conmutador del primer salto administra la replicación de tráfico de la subred.

Importante Si crea una zona de transporte universal y selecciona el modo de replicación híbrido, debe asegurarse de que la dirección de multidifusión utilizada no tenga conflictos con ninguna otra dirección de multidifusión asignada a otra instancia de NSX Manager del entorno.

5 Seleccione los clústeres que desea agregar a la zona de transporte.

Transport-Zone es una zona de transporte local a la instancia de NSX Manager donde se creó.

Universal-Transport-Zone es una zona de transporte universal que está disponible en todas las instancias de NSX Manager en un entorno de Cross-vCenter NSX.

Pasos siguientes

Si agregó una zona de transporte, puede agregar conmutadores lógicos.

Si agregó una zona de transporte universal, puede agregar conmutadores lógicos universales.

Si agregó una zona de transporte universal, puede seleccionar las instancias de NSX Manager secundarias y agregar sus clústeres a la zona de transporte universal.

Editar una zona de transportePuede editar el nombre, la descripción y el modo de replicación de una zona de transporte.


VMware, Inc. 64

Procedimiento

u Para editar una zona de transporte, complete los siguientes pasos.

Versión de NSX Procedimiento

NSX 6.4.1 y posteriores a Acceda a Redes y seguridad (Networking & Security) > Instalación y actualización (Installation and Upgrade) > Configuración de la red lógica (Logical Network Settings) > Zonas de transporte (Transport Zones).

b Seleccione la zona de transporte y haga clic en Editar (Edit).

c Edite el nombre, la descripción o el modo de replicación de la zona de transporte.

Nota Si cambia el modo de replicación de la zona de transporte, seleccione Migrar los conmutadores lógicos existentes al nuevo modo de plano de control (Migrate existing Logical Switches to the new control plane mode), a fin de cambiar este modo para los conmutadores lógicos existentes que están vinculados a esa zona de transporte. Si no activa esta casilla, el nuevo modo de replicación figurará solo en los conmutadores lógicos que se vincularon a esta zona de transporte después de la edición.

d Haga clic en Guardar (SAVE).

NSX 6.4.0 a Acceda a Redes y seguridad (Networking & Security) > Instalación y actualización (Installation and Upgrade) > Preparación de la red lógica (Logical Network Preparation) > Zonas de transporte (Transport Zones).

b Seleccione la zona de transporte y haga clic en Acciones (Actions) > Todas las acciones del complemento de la interfaz de usuario de NSX (All NSX User Interface Plugin Actions) > Editar configuración (Edit Settings).

c Edite el nombre, la descripción o el modo de replicación de la zona de transporte.

Nota Si cambia el modo de replicación de la zona de transporte, seleccione Migrar los conmutadores lógicos existentes al nuevo modo de plano de control (Migrate existing Logical Switches to the new control plane mode), a fin de cambiar este modo para los conmutadores lógicos existentes que están vinculados a esa zona de transporte. Si no activa esta casilla, el nuevo modo de replicación figurará solo en los conmutadores lógicos que se vincularon a esta zona de transporte después de la edición.

d Haga clic en Aceptar (OK).

Expandir una zona de transporteEs posible agregar clústeres a una zona de transporte. Todas las zonas de transporte existentes estarán disponibles en los clústeres agregados recientemente.

Requisitos previos

Los clústeres que agrega a una zona de transporte tienen la infraestructura de red instalada y están configurados para VXLAN. Consulte la Guía de instalación de NSX.


VMware, Inc. 65

Procedimiento

1 Acceda a la zona de transporte.

u En NSX 6.4.1 y versiones posteriores, acceda a Redes y seguridad (Networking & Security) > Instalación y actualización (Installation and Upgrade) > Configuración de la red lógica (Logical Network Settings) > Zona de transporte (Transport Zones).

u En NSX 6.4.0, acceda a Redes y seguridad (Networking & Security) > Instalación y actualización (Installation and Upgrade) > Preparación de la red lógica (Logical Network Preparation) > Zonas de transporte (Transport Zones).

2 Haga clic en la zona de transporte que desee expandir.

3 Haga clic en Conectar clústeres (Connect Clusters) ( o ).

4 Seleccione los clústeres que desea agregar a la zona de transporte y haga clic en Aceptar (OK) o Guardar (Save).

Contraer una zona de transporteEs posible quitar clústeres de una zona de transporte. El tamaño de las zonas de transporte existentes se reduce para alojar el ámbito contraído.

Procedimiento

1 Acceda a la zona de transporte.

u En NSX 6.4.1 y versiones posteriores, acceda a Redes y seguridad (Networking & Security) > Instalación y actualización (Installation and Upgrade) > Configuración de la red lógica (Logical Network Settings) > Zona de transporte (Transport Zones).

u En NSX 6.4.0, acceda a Redes y seguridad (Networking & Security) > Instalación y actualización (Installation and Upgrade) > Preparación de la red lógica (Logical Network Preparation) > Zonas de transporte (Transport Zones).

2 Haga clic en la zona de transporte que desee contraer.

3 Haga clic en Desconectar clústeres (Disconnect Clusters) ( o ).

4 Seleccione los clústeres que desea quitar.

5 Haga clic en Aceptar (OK) o Guardar (Save).

Modo Operación con controlador desconectado (Controller Disconnected Operation, CDO)

La función del modo CDO (funcionamiento con el controlador desconectado) ahora se extiende a varios sitios y está disponible en NSX Manager.

Para obtener más información, consulte Modo desconectado del controlador para varios sitios.


VMware, Inc. 66

Conmutadores lógicos 6Una implementación de nube o un centro de datos virtual tiene una variedad de aplicaciones en varias empresas. Estas aplicaciones y empresas requieren estar aisladas entre sí por motivos de seguridad y de aislamiento de errores, y para evitar problemas de superposición de direccionamiento IP. El conmutador lógico de NSX crea segmentos o dominios de transmisión lógicos a los que se pueden cablear de forma lógica una aplicación o una máquina virtual de empresa. Esto permite flexibilidad y velocidad de implementación, al mismo tiempo que brinda todas las características de los dominios de difusión de una red física (VLAN) sin los problemas físicos de árbol de expansión o dispersión en la Capa 2.

Se distribuye un conmutador lógico y puede abarcar clústeres informáticos arbitrariamente grandes. Esto permite la movilidad de máquinas virtuales (vMotion) dentro del centro de datos sin las limitaciones del límite (VLAN) de la Capa 2 física. La infraestructura física no necesita lidiar con los límites de la tabla de MAC/FIB dado que el conmutador lógico contiene el dominio de transmisión en software.

Un conmutador lógico se asigna a una VXLAN única, que encapsula el tráfico de la máquina virtual y lo lleva por la red IP física.

VMware, Inc. 67

vSphere Distributed Switch

Conmutador lógico 1

NSXManager

Clústerdel controlador

Conmutador lógico 2

NSX Controller es el punto de control central de todos los conmutadores lógicos dentro de una red y mantiene la información de todas las máquinas virtuales, los hosts, los conmutadores lógicos y las VXLAN. La controladora admite dos modos nuevos de plano de control del conmutador lógico, Unidifusión (Unicast) e Híbrido (Hybrid). Estos modos independizan NSX de la red física. Las VXLAN ya no requieren que la red física admita la multidifusión para controlar el tráfico de difusión, unidifusión desconocida y multidifusión (BUM) dentro de un conmutador lógico. El modo de unidifusión replica todo el tráfico BUM localmente en el host y no requiere la configuración de la red física. En el modo híbrido, parte de la replicación del tráfico BUM se descarga en el conmutador físico del primer salto para lograr un mejor rendimiento. Este modo requiere la activación de la intromisión IGMP en el primer conmutador físico de saltos. Las máquinas virtuales dentro de un conmutador lógico pueden utilizar y enviar cualquier tipo de tráfico, incluidos el IPv6 y de multidifusión.

Es posible ampliar un conmutador lógico a un dispositivo físico agregando un puente de Capa 2. Consulte Capítulo 8 Puentes L2.

Debe tener los permisos de rol de Súperadministrador (Super Administrator) o Administrador empresarial (Enterprise Administrator) para administrar conmutadores lógicos.


n Agregar un conmutador lógico


VMware, Inc. 68

n Conectar máquinas virtuales a un conmutador lógico

n Probar la conectividad del conmutador lógico

n Evitar la suplantación en un conmutador lógico

n Editar un conmutador lógico

n Escenario del conmutador lógico

Agregar un conmutador lógico

Requisitos previos

n Tener permisos de rol de superadministrador o administrador Enterprise para configurar y administrar conmutadores locales.

n El puerto UDP de VXLAN debe estar abierto en las reglas de firewall (si corresponde). El puerto UDP de VXLAN puede configurarse mediante la API.

n La MTU de la infraestructura física debe tener al menos 50 bytes más que la MTU de la vNIC de la máquina virtual.

n La dirección IP administrada debe estar establecida para cada instancia de vCenter Server en la configuración de tiempo de ejecución de vCenter Server. Consulte Administración de vCenter Server y de host.

n DHCP debe estar disponible en las VLAN de transporte de VXLAN si se utiliza DHCP para la asignación de direcciones IP para VMKNics.

n El tipo de conmutador virtual distribuido (proveedor, etc.) y la versión que se utilizan deben ser coherentes en una zona de transporte determinada. Los tipos no coherentes pueden generar un comportamiento indefinido en el conmutador lógico.

n Se debe configurar una directiva de formación de equipos de LACP adecuada y se deben conectar NIC físicas a los puertos. Para obtener más información sobre los modos de formación de equipos, consulte la documentación de VMware vSphere.

n La distribución de hash 5-tuple debe estar habilitada para el protocolo Protocolo de control de adición de enlaces (Link Aggregation Control Protocol, LACP).

n Compruebe que en cada host en el que desea utilizar LACP exista un canal de puerto LACP separado en el conmutador virtual distribuido.

n En el modo de multidifusión, el enrutamiento de multidifusión debe estar habilitado si el tráfico de VXLAN pasa por enrutadores. El usuario debe disponer de un rango de direcciones de multidifusión proporcionado por el administrador de red.

n El puerto 1234 (el puerto de escucha predeterminado del controlador) debe estar abierto en el firewall para que el host ESXi se comunique con los controladores.


VMware, Inc. 69

n (Recomendado) Para los modos de multidifusión e híbrido, debe estar habilitada la intromisión de IGMP en los conmutadores de Capa 2 a los que se conectan hosts participantes en VXLAN. Si la intromisión de IGMP está habilitada para la Capa 2, el solicitante de IGMP debe estar habilitado en el enrutador o el conmutador de Capa 3 con conectividad a redes compatibles con multidifusión.

Agregar un conmutador lógicoLos conmutadores lógicos NSX reproducen la funcionalidad de conmutación (unidifusión, multidifusión y difusión) en un entorno virtual completamente desacoplado del hardware subyacente. Los conmutadores lógicos son similares a las VLAN en cuanto a que proporcionan conexiones de red a las que se pueden conectar máquinas virtuales. Los conmutadores lógicos son locales a una implementación de vCenter NSX individual. En una implementación de Cross-vCenter NSX, puede crear conmutadores lógicos universales, que pueden abarcar todas las instancias de vCenter. El tipo de zona de transporte determina si el conmutador nuevo es un conmutador lógico o un conmutador lógico universal.

Cuando cree un conmutador lógico, además de seleccionar una zona de transporte y un modo de réplica, configure dos opciones: detección de IP y detección de MAC.

La detección de IP minimiza la saturación de tráfico ARP dentro de segmentos individuales de la VXLAN; en otras palabras, entre máquinas virtuales conectadas al mismo conmutador lógico. La detección de direcciones IP está habilitada de manera predeterminada.

Nota No puede deshabilitar la detección de IP cuando cree un conmutador lógico universal. Puede deshabilitar la detección de IP a través de la API después de crear el conmutador lógico universal. Esta opción se administra de forma independiente en cada NSX Manager. Consulte la Guía de NSX API.

La detección de MAC crea una tabla de emparejamiento de VLAN/MAC en cada vNIC. Esta tabla se almacena como parte de los datos de dvfilter. Durante la ejecución de vMotion, dvfilter guarda y restaura la tabla en la nueva ubicación. A continuación, el conmutador emite RARP para todas las entradas de VLAN/MAC de la tabla. Es posible que quiera habilitar la detección de MAC si usa NIC virtuales que formen el enlace troncal de las VLAN.

Requisitos previos

Tabla 6-1. Requisitos para crear un conmutador lógico o un conmutador lógico universal

Conmutador lógico (Logical Switch) Conmutador lógico universal

n Los conmutadores distribuidos de vSphere deben estar configurados.

n NSX Manager debe estar instalado.

n Los controladeras deben estar implementados.

n Los clústeres de host deben estar preparados para NSX.

n VXLAN debe estar configurada.

n Debe haber un grupo de identificadores de segmentos configurado.

n Debe haber una zona de transporte configurada.

n Los conmutadores distribuidos de vSphere deben estar configurados.

n NSX Manager debe estar instalado.

n Los controladeras deben estar implementados.

n Los clústeres de host deben estar preparados para NSX.

n VXLAN debe estar configurada.

n Se debe asignar un NSX Manager principal.

n Se debe configurar un grupo de identificadores de segmentos universales.

n Se debe crear una zona de transporte universal.


VMware, Inc. 70







Procedimiento

1 Acceda a Inicio (Home) > Redes y seguridad (Networking & Security) > Conmutadores lógicos (Logical Switches).

2 Seleccione la instancia de NSX Manager en la que desea crear un conmutador lógico. Para crear un conmutador lógico universal, debe seleccionar el NSX Manager principal.

3 Haga clic en Agregar (Add) o en el icono Nuevo conmutador lógico (New Logical Switch) ( ).

4 Escriba un nombre y una descripción opcional para el conmutador lógico.

5 Seleccione la zona de transporte en la que desea crear el conmutador lógico. Si selecciona una zona de transporte universal, se crea un conmutador lógico universal.

De forma predeterminada, el conmutador lógico hereda el modo de replicación del plano de control de la zona de transporte. Puede cambiarlo a uno de los otros modos disponibles. Los modos disponibles son unidifusión, híbrido y multidifusión.

Si crea un conmutador lógico universal y selecciona el modo de replicación híbrido, debe asegurarse de que la dirección de multidifusión utilizada no tenga conflictos con otras direcciones de multidifusión asignadas a cualquier instancia de NSX Manager en el entorno Cross-vCenter NSX.

6 (Opcional) Habilite la detección de direcciones IP para activar la supresión de ARP.

7 (Opcional) Habilite la detección de MAC.

Ejemplo: Conmutador lógico y conmutador lógico universalApp es un conmutador lógico conectado a una zona de transporte. Solo está disponible en la instancia de NSX Manager en la que se creó.

Universal-App es un conmutador lógico universal conectado a una zona de transporte universal. Está disponible en cualquiera de las instancias de NSX Manager del entorno de Cross-vCenter NSX.


VMware, Inc. 71

El conmutador lógico y el conmutador lógico universal tienen identificadores de segmentos de distintos grupos de identificadores de segmentos.

Pasos siguientes

Agregue máquinas virtuales a un conmutador lógico o un conmutador lógico universal.

Cree un enrutador lógico y asócielo a sus conmutadores lógicos para habilitar la conectividad entre las máquinas virtuales que están conectadas a diferentes conmutadores lógicos.

Cree un enrutador lógico universal y asócielo a conmutadores lógicos universales para habilitar la conectividad entre las máquinas virtuales que están conectadas a diferentes conmutadores lógicos universales.

Conectar un conmutador lógico a NSX EdgeSi se conecta un conmutador lógico a una puerta de enlace de servicio de NSX Edge o a un enrutador lógico de NSX Edge se proporciona enrutamiento de tráfico de Este a Oeste (entre los conmutadores lógicos) o de Norte a Sur hacia el mundo exterior o para proporcionar servicios avanzados.

Procedimiento

Procedimiento

1 En Conmutadores lógicos (Logical Switches), seleccione el conmutador lógico al que desea conectar una instancia de NSX Edge.

2 Haga clic en Acciones (Actions) > Conectar Edge (Connect Edge).

3 Seleccione la instancia de NSX Edge a la que desea conectar el conmutador lógico.

4 Seleccione la interfaz que desea conectar al conmutador lógico.

Generalmente, las redes lógicas se conectan a interfaces internas.

5 Especifique los detalles de la interfaz de NSX Edge.

a Introduzca un nombre para la interfaz de NSX Edge.

b Para indicar si esta interfaz es interna o externa (vínculo superior), haga clic en Interno (Internal) o Vínculo superior (Uplink).

c Seleccione el estado de conectividad de la interfaz.


VMware, Inc. 72

d En Configurar subredes (Configure Subnets), haga clic en Agregar (Add) para agregar una subred a la interfaz.

Una interfaz puede tener varias subredes no superpuestas. Introduzca una dirección IP principal y una lista de varias direcciones IP secundarias separada por comas. NSX Edge considera la dirección IP principal como la dirección de origen para el tráfico que se genera de forma local. Debe agregar una dirección IP con una interfaz antes de utilizarla en cualquier configuración de características.

Si la instancia de NSX Edge a la que va a conectar el conmutador lógico tiene seleccionada la opción Configuración de HA manual (Manual HA Configuration), especifique dos direcciones IP de administración en formato CIDR.

e Introduzca la longitud del prefijo de la subred o la máscara de subred para la interfaz.

f Si está utilizando NSX 6.4.4 o una versión posterior, haga clic en la pestaña Avanzado (Advanced) y continúe con el resto de los pasos de este procedimiento. Si está utilizando NSX 6.4.3 o una versión anterior, vaya directamente al paso siguiente.

g Cambie la opción de MTU predeterminada si es necesario.

h En Opciones (Options), especifique las siguientes opciones.

Opción Descripción

ARP de proxy (Proxy ARP) Se admite la superposición de reenvíos de red entre diferentes interfaces.

Enviar redirección de ICMP (Send ICMP Redirect)

Se transmite la información de enrutamiento a los hosts.

Invertir filtro de ruta de acceso (Reverse Path Filter)

Se comprueba la posibilidad de alcance de la dirección de origen en los paquetes que se reenvían. En el modo habilitado, el paquete debe recibirse en la interfaz que el enrutador puede utilizar para reenviar el paquete de retorno. En el modo flexible, la dirección de origen debe aparecer en la tabla de enrutamiento.

6 Introduzca los parámetros de contención.

Configure parámetros de contención si desea volver a utilizar las direcciones IP y MAC en diferentes entornos contenidos. Por ejemplo, en una Cloud Management Platform (CMP), la contención permite ejecutar varias instancias de nube simultáneas con las mismas direcciones IP y MAC aisladas o “contenidas”.

7 Haga clic en Agregar (Add) o Finalizar (Finish).

Implementar servicios en un conmutador lógicoPuede implementar servicios externos en un conmutador lógico.

Requisitos previos

Debe haber uno o más dispositivos virtuales de terceros instalados en la infraestructura.


VMware, Inc. 73

Procedimiento

1 En Conmutadores lógicos (Logical Switches), seleccione el conmutador lógico en el que desea implementar servicios.

2 Haga clic en el icono Agregar perfil de servicios (Add Service Profile) ( ).

3 Seleccione el servicio y el perfil de servicios que desea aplicar.

4 Haga clic en Aceptar (OK).

Conectar máquinas virtuales a un conmutador lógicoPuede conectar máquinas virtuales a un conmutador lógico o a un conmutador lógico universal.

Procedimiento

1 En Conmutadores lógicos (Logical Switches), seleccione el conmutador lógico al que desee agregar máquinas virtuales.

2 Haga clic en el icono Agregar máquina virtual (Add Virtual Machine) ( o ).

3 Seleccione una o varias máquinas virtuales que desea agregar al conmutador lógico.

4 Seleccione una vNIC para cada máquina virtual que conectó al conmutador lógico.

5 Revise las máquinas virtuales y las VNIC que seleccionó y, a continuación, haga clic en Finalizar (Finish).

Probar la conectividad del conmutador lógicoUna prueba de ping verifica si dos hosts de una red de transporte por VXLAN se pueden alcanzar mutuamente.

1 En Conmutadores lógicos (Logical Switches) haga doble clic en el conmutador lógico cuya conectividad desee probar.

2 Haga clic en la pestaña Supervisar (Monitor).

3 Haga clic en la pestaña Hacer ping (Ping) o en la pestaña Ping de hosts (Hosts-Ping).

4 Seleccione la máquina host de origen.

5 Seleccione el tamaño del paquete de prueba.

n Estándar de VXLAN (VXLAN Standard): el tamaño estándar es de 1.550 bytes. Este tamaño de paquete coincide con la MTU de la infraestructura física sin fragmentación. Este tamaño de paquete permite que NSX verifique la conectividad y que compruebe que la infraestructura esté preparada para recibir el tráfico de VXLAN.

n Mínimo (Minimum): este tamaño de paquete admite la fragmentación. Por lo tanto, con el tamaño de paquete minimizado, puede comprobar la conectividad de NSX, pero no puede verificar si la infraestructura está lista para un tamaño de trama más grande.


VMware, Inc. 74

6 Seleccione la máquina host de destino.

7 Haga clic en Iniciar prueba (Start Test).

Se mostrarán los resultados de la prueba de ping de host a host.

Evitar la suplantación en un conmutador lógicoTras la sincronización con vCenter Server, NSX Manager recopila las direcciones IP de todas las máquinas virtuales invitadas de vCenter desde la instancia de VMware Tools en cada máquina virtual, o bien desde la detección de direcciones IP si está habilitada. NSX no confía en todas las direcciones IP aprovisionadas por VMware Tools o la detección de direcciones IP. Si hay una máquina virtual comprometida, la dirección IP puede suplantarse y las transmisiones maliciosas pueden omitir las directivas de firewall.

SpoofGuard permite autorizar las direcciones IP informadas por VMware Tools o por la detección de direcciones IP, y alterarlas si fuera necesario para evitar la suplantación. SpoofGuard confía de forma intrínseca en las direcciones MAC de las máquinas virtuales recopiladas a partir de archivos VMX y vSphere SDK. Dado que opera de forma separada de las reglas de firewall, SpoofGuard se puede utilizar para bloquear el tráfico identificado como suplantado.

Para obtener más información, consulte Capítulo 14 Utilizar SpoofGuard.

Editar un conmutador lógicoEs posible editar el nombre, la descripción y el modo del plano de control de un conmutador lógico.

Procedimiento

1 En Conmutadores lógicos (Logical Switches), seleccione el conmutador lógico que desea editar.

2 Haga clic en el icono Editar (Edit).

3 Realice los cambios deseados.

4 Haga clic en Guardar (Save) o Aceptar (OK).

Escenario del conmutador lógicoEste escenario presenta un caso donde la empresa ACME Enterprise tiene varios hosts ESXi en dos clústeres de un centro de datos, ACME_Datacenter. Los departamentos de Ingeniería (en el grupo de puertos PG-Engineering) y de Finanzas (en el grupo de puertos PG-Finance) se encuentran en el Cluster1. El departamento de Marketing (grupo de puertos PG-Marketing) se encuentra en el Cluster2. Ambos clústeres se administran desde una única instancia de vCenter Server.


VMware, Inc. 75

Figura 6-1. La red de ACME Enterprise antes de implementar conmutadores lógicos

PG de ingeniería

vDS1

Clúster 1

Ingeniería: VLAN10:10.10.1.0/24Finanzas: VLAN 20:10.20.1.0/24Marketing: VLAN 30:10.30.1.0/24

PG de finanzas

Conmutadorfísico

PG de marketing

vDS2

Clúster 2

Conmutadorfísico

ACME se está quedando sin espacio de proceso en el Cluster1, mientras que el Cluster2 no se está utilizando lo suficiente. El supervisor de red de ACME le pide a John Admin (el administrador de virtualización de ACME) que encuentre una forma de extender el departamento de Ingeniería al Cluster2 de modo que las máquinas virtuales de Ingeniería de ambos clústeres puedan comunicarse entre ellas. De este modo, ACME podría utilizar la capacidad de proceso de ambos clústeres al ampliar su Capa 2.

Si John Admin siguiera un enfoque tradicional, debería conectar las VLAN por separado de un modo especial para que los dos clústeres pertenezcan al mismo dominio de Capa 2. ACME debería comprar un nuevo dispositivo físico para separar el tráfico, lo cual ocasionaría problemas como desbordes de las VLAN, bucles de red y sobrecarga de administración.

Pero John Admin recuerda haber visto una demostración de red lógica en VMworld y decide evaluar NSX. Llega a la conclusión de que conectar un conmutador lógico en dvSwitch1 y en dvSwitch2 le permitirá ampliar la Capa 2 de ACME. Dado que John puede aprovechar NSX Controller, no será necesario que toque la infraestructura física de ACME, ya que NSX trabaja arriba de las redes IP existentes.


VMware, Inc. 76

Figura 6-2. ACME Enterprise implementa un conmutador lógico

PG de ingeniería

PG de ingeniería

vDS1

Clúster 1

El conmutador lógico abarca varias VLAN/subredes

Ingeniería: VXLAN5000:10.10.1.0/24Finanzas: VLAN 20:10.20.1.0/24Marketing: VLAN 30:10.30.1.0/24

PG de finanzas

Conmutadorfísico

PG de marketing

vDS2

Clúster 2

Conmutadorfísico

Una vez que John Admin cree un conmutador lógico en los dos clústeres, podrá mover máquinas virtuales vMotion de un clúster a otro manteniéndolas vinculadas al mismo conmutador lógico.


VMware, Inc. 77

Figura 6-3. vMotion en una red lógica

PG de ingeniería

PG de ingeniería

vDS1

rango de vMotion rango de vMotion

Ingeniería: VXLAN5000:10.10.1.0/24Finanzas: VLAN 20:10.20.1.0/24Marketing: VLAN 30:10.30.1.0/24

PG de finanzas

Conmutadorfísico

PG de marketing

vDS2

Conmutadorfísico

Repasemos los pasos que siguió John Admin para crear una red lógica en ACME Enterprise.

John Admin asigna el grupo de identificadores de segmentos a NSX ManagerJohn Admin debe especificar el grupo de identificadores de segmentos que recibió para aislar el tráfico de red de la empresa ABC.

Requisitos previos

1 John Admin verifica que dvSwitch1 y dvSwitch2 sean instancias de vSphere Distributed Switch.

2 John Admin establece la dirección IP administrada de vCenter Server.

a Seleccione Administración (Administration) > Configuración de vCenter Server (vCenter Server Settings) > Configuración del tiempo de ejecución (Runtime Settings).

b En IP administrada de vCenter Server (vCenter Server Managed IP), escriba 10.115.198.165.

c Haga clic en Aceptar (OK).

3 John Admin instala los componentes de virtualización de red en Cluster1 y Cluster2. Consulte Guía de instalación de NSX.


VMware, Inc. 78

4 John Admin obtiene un grupo de identificadores de segmentos (5000 a 5250) del administrador de NSX Manager de ACME. Dado que está aprovechando NSX Controller, no requiere multidifusión en su red física.

5 John Admin crea un grupo de direcciones IP para poder asignar una dirección IP estática a los VTEP de la VXLAN desde el grupo de direcciones IP. Consulte Agregar un grupo de direcciones IP.

Procedimiento

1 En vSphere Web Client, haga clic en Redes y seguridad (Networking & Security) > Instalación y actualización (Installation and Upgrade).

2 Haga clic en la pestaña Preparación de red lógica (Logical Network Preparation) y, a continuación, en Identificador de segmento (Segment ID).

3 Haga clic en Editar (Edit).

4 En Grupo de identificadores de segmento (Segment ID pool), escriba 5000 - 5250.

5 No seleccione Habilitar direccionamiento de multidifusión (Enable multicast addressing).


John Admin configura los parámetros de transporte de la VXLANJohn Admin configura la VXLAN en el Clúster 1 (Cluster 1) y el Clúster 2 (Cluster 2), donde asigna cada clúster a una instancia de vSphere Distributed Switch. Cuando asigna un clúster a un conmutador, cada host de ese clúster se habilita para los conmutadores lógicos.

Procedimiento

1 Haga clic en la pestaña Preparación de host (Host Preparation).

2 En el Cluster1, seleccione Configurar (Configure) en la columna VXLAN.

3 En el cuadro de diálogo Configurar redes VXLAN (Configuring VXLAN networking), seleccione dvSwitch1 como vSphere Distributed Switch del clúster.

4 Escriba 10 para que dvSwitch1 utilice como VLAN de transporte de ACME.

5 En Especificar atributos de transporte (Specify Transport Attributes), deje 1600 como Unidades de transmisión máximas (Maximum Transmission Units) (MTU) para dvSwitch1.

MTU es la cantidad máxima de datos que se pueden transmitir en un paquete antes de que se divida en paquetes más pequeños. John Admin sabe que las tramas de tráfico del conmutador lógico de la VXLAN son ligeramente más grandes debido a la encapsulación, por lo que las MTU de cada conmutador deben establecerse en 1550 o más.

6 En Direccionamiento IP de VMKNic (VMKNic IP Addressing), seleccione Utilizar grupo de direcciones IP (Use IP Pool) y seleccione un grupo de direcciones IP.


VMware, Inc. 79

7 En Directiva de formación de equipos de VMKNic (VMKNic Teaming Policy), seleccione Conmutación por error (Failover).

John Admin desea sostener la calidad de servicio en su red manteniendo el rendimiento de los conmutadores lógicos igual en condiciones normales y con errores. Por lo tanto, elige Conmutación por error (Failover) como directiva de formación de equipos.

8 Haga clic en Agregar (Add).

9 Repita los pasos 4 a 8 para configurar la VXLAN en Cluster2.

Después de que John Admin asigna Clúster 1 y Clúster 2 al conmutador adecuado, los hosts de esos clústeres están preparados para los conmutadores lógicos:

1 Se agregan una vmknic y un módulo de kernel de VXLAN a cada host en el Clúster 1 (Cluster 1) y el Clúster 2 (Cluster 2).

2 Se crea un dvPortGroup especial en la instancia de vSwitch asociada con el conmutador lógico y se conecta la VMKNic a él.

John Admin agrega una zona de transporteLa red física que respalda una red lógica se denomina transport zone. Una zona de transporte es el diámetro informático que abarca una red virtualizada.

Procedimiento

1 Haga clic en Preparación de red lógica (Logical Network Preparation) y, a continuación, haga clic en Zonas de transporte (Transport Zones).

2 Haga clic en el icono Nueva zona de transporte (New Transport Zone).

3 En Nombre (Name), escriba ACME Zone.

4 En Descripción (Description), escriba Zone containing ACME's clusters.

5 Seleccione Clúster 1 (Cluster 1) y Clúster 2 (Cluster 2) para agregar a la zona de transporte.

6 En Modo de plano de control (Control Plane Mode), seleccione Unidifusión (Unicast).


John Admin crea un conmutador lógicoUna vez que John Admin haya configurado los parámetros de transporte de la VXLAN, estará listo para crear un conmutador lógico.

Procedimiento

1 Haga clic en Conmutadores lógicos (Logical Switches) y, a continuación, haga clic en el icono Nueva red lógica (New Logical Network).

2 En Nombre (Name), escriba ACME logical network.


VMware, Inc. 80

3 En Descripción (Description), escriba Logical Network for extending ACME Engineering network to Cluster2.

4 En Zona de transporte (Transport Zone), seleccione Zona ACME (ACME Zone).


NSX crea un conmutador lógico que proporciona conectividad L2 entre dvSwitch1 y dvSwitch2.

Pasos siguientes

John Admin ahora puede conectar las máquinas virtuales de producción de ACME al conmutador lógico y el conmutador lógico a un enrutador lógico o una puerta de enlace de servicios de NSX Edge.


VMware, Inc. 81

Configurar una puerta de enlace de hardware 7La configuración de una puerta de enlace de hardware asigna redes físicas a redes virtuales. Asignar esta configuración permite a NSX aprovechar la base de datos de vSwitch abierto (OVSDB).

La base de datos de OVSDB contiene información sobre el hardware físico y la red virtual. El hardware del proveedor aloja al servidor de la base de datos.

Los conmutadores de la puerta de enlace de hardware en las redes lógicas de NSX terminan en túneles VXLAN. En la red virtual, los conmutadores de la puerta de enlace de hardware se conocen como VTEP de hardware. Para obtener más información sobre VTEP, consulte la Guía de instalación NSX y la Guía de diseño de virtualización de redes de NSX.

Una topología mínima con una puerta de enlace de hardware incluye los siguientes componentes:

n Servidor físico

n Conmutador de la puerta de enlace de hardware (puerto de Capa 2)

n Red IP

n Un mínimo de cuatro hipervisores, que incluyen dos clústeres de replicación con máquinas virtuales

n Clúster del controlador con tres nodos como mínimo

La topología de ejemplo con una puerta de enlace de hardware muestra los dos hipervisores HV1 y HV2. La máquina virtual VM1 está en el hipervisor HV1. El VTEP1 está en el HV1, el VTEP2 está en el HV2 y el VTEP3 está en la puerta de enlace de hardware. La puerta de enlace de hardware está ubicada en una subred 211 diferente, comparada con los dos hipervisores que están ubicados en la misma subred 221.

VMware, Inc. 82

VM 1

Servidor VLAN

VLAN 160

Ethernet18

HV1VTEP1

VTEP2

VTEP3

10.114.221.196HV2

WebService LSVNI 5000

10.114.221.199

NSX Controllers10.114.221.132-134

Puerta de enlace de hardware10.114.211.204

La configuración subyacente de la puerta de enlace de hardware puede contar con cualquiera de los siguientes componentes:

n Conmutador único

n Varios conmutador físicos en bus con distintas direcciones IP

n Controlador del conmutador de hardware con varios conmutadores

NSX Controller se comunica con la puerta de enlace de hardware utilizando su dirección IP en el puerto 6640. Esta conexión se utiliza para enviar y recibir transacciones de OVSDB desde las puertas de enlace de hardware.


n Escenario: configuración de ejemplo de puerta de enlace de hardware

Escenario: configuración de ejemplo de puerta de enlace de hardwareEste escenario describe las tareas utilizadas para configurar un conmutador de puerta de enlace de hardware con una implementación de NSX. La secuencia de tareas muestra cómo conectar la máquina virtual VM1 al servidor físico y cómo conectar el conmutador lógico de WebService al servidor VLAN 160 utilizando la puerta de enlace de hardware.

La topología de ejemplo muestra que la máquina virtual VM1 y el servidor VLAN están configurados con una dirección IP en la subred 10. La máquina virtual VM1 está conectada al conmutador lógico de WebService. El servidor VLAN está conectado a VLAN 160 en el servidor físico.


VMware, Inc. 83

VM

10.0.0.1/8 10.0.0.2/8

Servidor VLAN

VLAN 160Conmutador lógico de servicio web

VM 1

Importante En un entorno cross-vCenter NSX, se admite la configuración del conmutador de puerta de enlace de hardware del NSX Manager principal y secundario, y en varios clústeres de replicación. Sin embargo, solo las puertas de enlace de hardware de un NSX Manager principal pueden usar el clúster de replicación predeterminado. En un NSX Manager secundario, se deben crear los nuevos clústeres de replicación para las puertas de enlace de hardware. Los conmutadores de puerta de enlace de hardware deben estar vinculados a conmutadores lógicos que no sean universales.

Requisitos previos

n Lea la documentación del proveedor para comprobar si cumple los requisitos de la red física.

n Compruebe que cumple los requisitos de hardware y del sistema de NSX para la configuración de la puerta de enlace de hardware. Consulte Capítulo 1 Requisitos del sistema de NSX Data Center for vSphere.

n Compruebe que el conmutador lógico se configuró correctamente. Consulte la Guía de instalación de NSX.

n Compruebe que las asignaciones de parámetros de transporte en VXLAN son precisas. Consulte la Guía de instalación de NSX.

n Recupere el certificado del proveedor de la puerta de enlace de hardware.

n Compruebe que el valor del puerto de VXLAN es 4789. Consulte Cambiar el puerto VXLAN.

Procedimiento

1 Configurar el clúster de replicación

Un clúster de replicación está compuesto por hipervisores responsables de reenviar el tráfico enviado desde la puerta de enlace de hardware. El tráfico puede ser de tres tipos: difusión, desconocido-unidifusión o multidifusión.

2 Conectar la puerta de enlace de hardware a las instancias de NSX Controller

Es necesario configurar la tabla de administración de OVSDB en el conmutador físico para conectar la puerta de enlace de hardware a NSX Controller.

3 Agregar certificado de puerta de enlace de hardware

Para que la configuración funcione se debe agregar el certificado de puerta de enlace de hardware al dispositivo.


VMware, Inc. 84

4 Enlazar el conmutador lógico al conmutador físico

El conmutador lógico de WebService conectado a la máquina virtual VM1 debe estar comunicado con la puerta de enlace de hardware de la misma subred.

Configurar el clúster de replicaciónUn clúster de replicación está compuesto por hipervisores responsables de reenviar el tráfico enviado desde la puerta de enlace de hardware. El tráfico puede ser de tres tipos: difusión, desconocido-unidifusión o multidifusión.

Nota Los hipervisores, incluidos los nodos de replicación y los conmutadores de la puerta de enlace de hardware, no pueden estar en la misma subred IP. Esta restricción se debe a la limitación del conjunto de chips utilizado en la mayoría de las puertas de enlace de hardware. La mayoría de las puertas de enlace de hardware, si no todas, utilizan el conjunto de chips Broadcom Trident II, que tiene la limitación de que requiere una red subyacente de capa 3 entre la puerta de enlace de hardware y los hipervisores.

En un entorno Cross-vCenter NSX, se admiten las configuraciones del conmutador de puerta de enlace de hardware de la instancia de NSX Manager principal y secundaria, y en varios clústeres de replicación. Sin embargo, solo las puertas de enlace de hardware de una instancia de NSX Manager principal pueden usar el clúster de replicación predeterminado. En una instancia de NSX Manager secundaria, se deben crear clústeres de replicación para las puertas de enlace de hardware.

Importante Mediante la interfaz de usuario de NSX, puede consultar y administrar un único clúster de replicación predeterminado, pero no varios clústeres de replicación. Se pueden utilizar varios clústeres de replicación a través de la API. Consulte Cómo trabajar con un clúster específico de replicación de puerta de enlace de hardware en la Guía de NSX API.

Requisitos previos

Compruebe que cuenta con hipervisores disponibles para que actúen como nodos de replicación.

Procedimiento

1 Inicie sesión en vSphere Web Client.

2 Seleccione Redes y seguridad > Definiciones de servicio (Networking & Security > Service Definitions).

3 Haga clic en la pestaña Dispositivos de hardware (Hardware Devices).

4 Haga clic en Editar (Edit) en la sección Clúster de replicación (Replication Cluster) para seleccionar los hipervisores que actúen como nodos de replicación en dicho clúster.


VMware, Inc. 85

5 Seleccione los hipervisores y haga clic en la flecha azul.

Los hipervisores que haya seleccionado se mueven a la columna de objetos seleccionados.


Los nodos de replicación se agregan al clúster de replicación. Debe existir al menos un host en el clúster de replicación.

Conectar la puerta de enlace de hardware a las instancias de NSX ControllerEs necesario configurar la tabla de administración de OVSDB en el conmutador físico para conectar la puerta de enlace de hardware a NSX Controller.

El controlador escucha de forma pasiva el intento de conexión del conmutador físico. Por lo tanto, la puerta de enlace de hardware debe usar la tabla de administración de OVSDB para iniciar la conexión.

Requisitos previos

Antes de configurar ninguna instancia de puerta de enlace de hardware se deben implementar los controladores. Si no se implementan los controladores en primer lugar, se mostrará el mensaje "Error al realizar la operación en el controlador" (Failed to do the Operation on the Controller).

Procedimiento

1 Utilice los comandos que se apliquen en su entorno para conectar la puerta de enlace de hardware a la instancia de NSX Controller.

Ejemplos de comandos para conectar la puerta de enlace de hardware y NSX Controller.

prmh-nsx-tor-7050sx-3#enable

prmh-nsx-tor-7050sx-3#configure terminal

prmh-nsx-tor-7050sx-3(config)#cvx


VMware, Inc. 86

prmh-nsx-tor-7050sx-3(config-cvx)#service hsc

prmh-nsx-tor-7050sx-3(config-cvx-hsc)#manager 172.16.2.95 6640

prmh-nsx-tor-7050sx-3(config-cvx-hsc)#no shutdown

prmh-nsx-tor-7050sx-3(config-cvx-hsc)#end

2 Configure la tabla de administración de OVSDB en la puerta de enlace de hardware.

3 Configure el valor del número de puerto de OVSDB como 6640.

4 (opcional) Compruebe que la puerta de enlace de hardware está conectada a NSX Controller a través del canal de OVSDB.

n Compruebe que el estado de la conexión es ACTIVO (UP).

n Haga ping en la máquina virtual VM1 y en VLAN 160 para comprobar que la conexión se estableció correctamente.

5 (opcional) Compruebe que la puerta de enlace de hardware está conectada a NSX Controller.

a Inicie sesión en vSphere Web Client.

b Seleccione Redes y seguridad > Instalación y actualización > Administración > Nodos de NSX Controller (Networking & Security > Installation and Upgrade > Management > NSX Controller nodes).

Agregar certificado de puerta de enlace de hardwarePara que la configuración funcione se debe agregar el certificado de puerta de enlace de hardware al dispositivo.

Requisitos previos

Compruebe que el certificado de la puerta de enlace de hardware de su entorno está disponible.

Procedimiento


2 Seleccione Redes y seguridad > Definiciones de servicio (Networking & Security > Service Definitions).

3 Haga clic en la pestaña Dispositivos de hardware (Hardware Devices).


VMware, Inc. 87

4 Haga clic en el icono Agregar (Add) ( ) para establecer los detalles del perfil de la puerta de enlace de hardware.


Nombre y descripción Especifique un nombre de puerta de enlace de hardware.

Puede agregar detalles del perfil en la sección de descripción.

Certificado (Certificate) Pegue el certificado que extrajo del entorno.

Habilite BFD El protocolo de detección de envío bidireccional (BFD) (Bidirectional Forwarding Detection) está activado de forma predeterminada.

Este protocolo se utiliza para sincronizar la información de la configuración de la puerta de enlace de hardware.


Se crea un perfil que representa la puerta de enlace de hardware.

6 Actualice la pantalla para comprobar que la puerta de enlace está disponible y se está ejecutando.

La conectividad debe estar ACTIVA (UP).


VMware, Inc. 88

7 (opcional) Haga clic en el perfil de la puerta de enlace de hardware y, a continuación, haga clic con el botón derecho para seleccionar Ver el estado del túnel BFD (View the BFD Tunnel Status) en el menú desplegable.

El cuadro de diálogo muestra el diagnóstico detallado del estado del túnel para solucionar problemas.

Enlazar el conmutador lógico al conmutador físicoEl conmutador lógico de WebService conectado a la máquina virtual VM1 debe estar comunicado con la puerta de enlace de hardware de la misma subred.

Nota Si enlaza varios conmutadores lógicos a puertos de hardware, debe realizar los siguientes pasos en cada conmutador lógico.

Requisitos previos

n Compruebe que el conmutador lógico de WebService está disponible. Consulte Agregar un conmutador lógico.

n Compruebe que hay un conmutador físico disponible.

Procedimiento


2 Seleccione Redes y seguridad > Conmutadores lógicos (Networking & Security > Logical Switches).

3 Localice el conmutador lógico de WebService y haga clic con el botón derecho para seleccionar Administrar enlaces de Hardware (Manage Harware Bindings) en el menú desplegable.

4 Seleccione el perfil de la puerta de enlace de hardware.

5 Haga clic en Agregar (Add) ( ) y en el menú desplegable seleccione el conmutador físico.

Por ejemplo, AristaGW.


VMware, Inc. 89

6 Haga clic en Seleccionar (Select) para elegir un puerto físico en la lista Objetos disponibles (Available Objects).

Por ejemplo, Ethernet 18.


8 Especifique el nombre de la VLAN.

Por ejemplo, 160.


El enlace se completó.

NSX Controller sincroniza la información de la configuración lógica y física con la puerta de enlace de hardware.


VMware, Inc. 90

Puentes L2 8Puede crear un puente L2 entre un conmutador lógico y una VLAN, que le permite migrar las cargas de trabajo virtuales a dispositivos físicos sin tener impacto en las direcciones IP.

El puente de Capa 2 permite la conectividad entre la red física y la virtual al habilitar máquinas virtuales (VM) que se conectarán a un servidor físico o una red. Los usos típicos pueden ser:

n Migración física a virtual o virtual a virtual. El puente de Capa 2 permite mantener la conectividad entre las cargas de trabajo dentro y fuera de NSX, sin necesidad de volver a asignar direcciones IP.

n Inserción en NSX de un dispositivo que no se puede virtualizar y que requiere conectividad de Capa 2 con sus clientes. Esto coincide en algunos servidores de bases de datos físicas.

n Inserción de servicios (Service Insertion). Los puentes de Capa 2 permiten integrar de formar transparente en NSX cualquier dispositivo físico como un enrutador, un equilibrador de carga o un firewall

Una red lógica puede aprovechar una puerta de enlace L3 física y acceder a las redes físicas y los recursos de seguridad existentes por medio de la conexión mediante un puente del dominio de transmisión del conmutador lógico y el dominio de transmisión de la VLAN. El puente L2 se ejecuta en el host que tiene la máquina virtual de control de NSX. Una instancia de puente L2 se asigna a una sola VLAN, pero puede haber varias instancias de puente. El grupo de puertos VLAN y el conmutador lógico VXLAN que está conectado mediante puente deben estar en el mismo vSphere Distributed Switch (VDS) y ambos deben compartir los mismos NIC físicos.

Los grupos de redes VXLAN (VNI) y puertos respaldados por VLAN deben estar en el mismo conmutador virtual distribuido (VDS).

VMware, Inc. 91

V

Bastidor de cálculo

Carga de trabajofísica

Puerta de enlacefísica

Máquina virtualde enrutador lógico

de NSX Edge

Tenga en cuenta que no debe utilizar un puente L2 para conectar un conmutador lógico a otro conmutador lógico, una red VLAN a otra red VLAN o interconectar centros de datos. Además, no puede utilizar un enrutador lógico universal para configurar la conexión con puentes y no puede agregar un puente a un conmutador lógico universal.


n Agregar puente de Capa 2

n Agregar un puente de Capa 2 a un entorno con enrutamiento lógico

n Mejorar el rendimiento de los puentes

Agregar puente de Capa 2Puede agregar un puente desde un conmutador lógico a un grupo de puertos virtuales distribuidos.


VMware, Inc. 92

Requisitos previos

Un conmutador lógico configurado y un grupo de puertos virtuales distribuidos respaldados por VLAN.

El conmutador lógico y el grupo de puertos virtuales distribuidos respaldados por VLAN que se conectarán mediante puente deben estar en el mismo conmutador virtual distribuido (VDS).

En su entorno se debe implementar una máquina virtual de control de DLR en un hipervisor que tenga creada una instancia del VDS con el conmutador lógico y el grupo de puertos virtuales distribuidos respaldados por VLAN.

No puede utilizar un enrutador lógico distribuido universal para configurar el puente, ni tampoco puede agregar un puente a un conmutador lógico universal.

Precaución El tráfico conectado en puente entra en un host ESXi y sale de él a través del puerto de vínculo superior del conmutador dvSwitch que utilice para el tráfico VXLAN. No se utiliza la directiva de conmutación por error ni de formación de equipos de VDS para el tráfico conectado en puente.

Procedimiento


2 Haga clic en Redes y seguridad (Networking & Security) > NSX Edge.

3 Haga doble clic en un enrutador lógico distribuido.

4 Haga clic en Administrar (Manage) > Puenteo (Bridging).


6 Introduzca un nombre para la conexión mediante puente.

Precaución El nombre de puente no debe superar los 40 caracteres. Se produce un error en la configuración del puente cuando el nombre supera los 40 caracteres.

7 Seleccione el conmutador lógico para el que desea crear un puente.

8 Seleccione el grupo de puertos virtuales distribuidos con el que desea conectar mediante puente el conmutador lógico.

9 Haga clic en Publicar (Publish) para aplicar los cambios.

Agregar un puente de Capa 2 a un entorno con enrutamiento lógicoPuede conectar un conmutador lógico determinado y una única VLAN con una instancia de puente activo. Aunque un enrutador lógico puede tener varias instancias de puentes, no se pueden conectar las mismas VXLAN y VLAN a más de una instancia de puente.


VMware, Inc. 93

Puede utilizar un conmutador lógico para participar en el enrutamiento lógico distribuido y el puente de Capa 2. Por lo tanto, el flujo de tráfico del conmutador lógico conectado en puente no tiene porque atravesar la máquina virtual Edge centralizada. El flujo de tráfico del conmutador lógico conectado en puente puede dirigirse a la VLAN física a través de la instancia de puente de Capa 2. La instancia de puente se habilita en el host ESXi en la que se ejecuta la máquina virtual de control de DLR.

Para obtener más información sobre puentes de Capa 2 en NSX, consulte la sección "Integración de los puentes de Capa 2 y el enrutamiento distribuido de NSX" de la NSX Guía sobre diseño de virtualización de redes en https://communities.vmware.com/docs/DOC-27683.

Sugerencia Puede crear varios conjuntos de instancias de puente de Capa 2 y asociarlos a diferentes DLR. Si lo hace, puede distribuir la carga del puente a distintos hosts ESXi.

Requisitos previos

n Se debe implementar un enrutador lógico distribuido de NSX en el entorno.

n No se puede utilizar un enrutador lógico universal para configurar el puente, ni tampoco agregar un puente a un conmutador lógico universal.

Procedimiento



3 Haga doble clic en el enrutador lógico distribuido que quiera utilizar para realizar el puente.

Nota La instancia de puente debe crearse en la misma instancia de enrutamiento a la que está conectada la VXLAN. Una instancia de puente puede tener una VXLAN y una VLAN, pero estas redes no se pueden superponer. No se puede conectar la misma VXLAN y VLAN a más de una instancia de puente.

4 Haga clic en Administrar (Manage) > Puenteo (Bridging).


6 Introduzca un nombre para la conexión mediante puente.

Precaución El nombre de puente no debe superar los 40 caracteres. Se produce un error en la configuración del puente cuando el nombre supera los 40 caracteres.

7 Seleccione el conmutador lógico para el que desea crear un puente.

8 Seleccione el grupo de puertos virtuales distribuidos con el que desea conectar mediante puente el conmutador lógico.

9 Haga clic en Publicar (Publish) para que se apliquen los cambios a la configuración del puente.

El conmutador lógico que se utiliza para el puente aparecerá con la opción Enrutamiento habilitado (Routing Enabled) especificada. Para obtener más información, consulte Agregar un conmutador lógico y Conectar máquinas virtuales a un conmutador lógico.


VMware, Inc. 94


Mejorar el rendimiento de los puentesPuede mejorar el rendimiento de los puentes con el ajuste de escala en lado de recepción. A partir de NSX 6.4.2, también puede usar el ajuste de escala en lado de recepción del software (Software Receive Side Scaling) para mejorar el rendimiento de los puentes.

Con la tecnología del ajuste de escala en lado de recepción (RSS), puede distribuir el tráfico entrante en diferentes colas de descriptores de recepción. Si asigna cada cola a un núcleo de CPU diferente, se puede equilibrar la carga del tráfico entrante para mejorar el rendimiento.

Sin embargo, RSS no funciona correctamente con el tráfico desconocido de unidifusión y de multidifusión. Estos paquetes acaban en la cola predeterminada procesados por un único núcleo de CPU, situación que provoca un bajo rendimiento. La mayoría de los paquetes que recibe el host ESXi y que establecen puentes VLAN-VXLAN pertenecen a esta categoría, por lo que el rendimiento de los puentes es bajo.

Algunos proveedores físicos de NIC admiten una función denominada ajuste de escala en lado de recepción de cola predeterminada (Default Queue Receive Side Scaling, DRSS). Con DRSS, puede configurar varias colas de hardware para que realicen una copia de seguridad de la cola RX predeterminada y distribuir así el flujo VLAN-VXLAN en varios núcleos de CPU.

Para las NIC físicas que no admitan DRSS (por ejemplo, ixgbe o ixgben), puede usar el ajuste de escala en lado de recepción del software (Software Receive Side Scaling) para mejorar el rendimiento de red de los puentes.

SoftRSS descarga el control de los flujos individuales en uno de los varios mundos de kernel, por lo que el subproceso que extrae paquetes de la NIC puede procesar más paquetes. De forma similar a RSS, la mejora del rendimiento de red cuando se utiliza SoftRSS tiene una correlación directa con el uso de la CPU.

Para obtener más información, consulte Habilitar el ajuste de escala en lado de recepción del software (Software Receive Side Scaling).

Habilitar el ajuste de escala en lado de recepción del software (Software Receive Side Scaling)Puede mejorar el rendimiento de los puentes VLAN-VXLAN utilizando el ajuste de escala en lado de recepción del software (Software Receive Side Scaling).

Requisitos previos

n Verifique que tenga NSX 6.4.2 o una versión posterior instalada.

n Determine qué hosts deben tener SoftRSS habilitado.

n Habilite SoftRSS en los hosts ESXi en los que se encuentre el puente activo o en suspensión (donde están alojadas las máquinas virtuales de control DLR). Si las máquinas virtuales de control se migraron con vMotion, habilite SoftRSS en todos los hosts del clúster.


VMware, Inc. 95

n Si el ajuste de escala en lado de recepción de cola predeterminada (Default Queue Receive Side Scaling, DRSS) se admite en la NIC física del host, habilítelo y no habilite SoftRSS. Utilice esxcli system module parameters list -m [nic_module] para comprobar si se admite DRSS.

Procedimiento

1 Habilite SoftRSS en un host.

El valor recomendado para número de mundos (number of worlds) para un vínculo superior de 10 GB es 4.

Puede aumentar el número de palabras hasta un máximo de 16. Es posible que quiera aumentar el número si el vínculo superior puede admitir una velocidad superior (usando la adición de vínculos) o si descubre una distribución desigual de flujos de mundos según el patrón de tráfico.

net-dvs -s com.vmware.net.vdr.softrss=[number of worlds] -p hostPropList [dvs name]

2 (opcional) Si desea deshabilitar SoftRSS, use este comando.

net-dvs -u com.vmware.net.vdr.softrss -p hostPropList [dvs name]


VMware, Inc. 96

Enrutamiento 9Es posible especificar el enrutamiento estático y dinámico de cada instancia de NSX Edge.

El enrutamiento dinámico proporciona la información de reenvío necesaria entre los dominios de difusión de Capa 2, por lo cual permite reducir los dominios de difusión de Capa 2, además de mejorar la escala y la eficiencia de la red. NSX extiende su inteligencia al lugar donde residen las cargas de trabajo para realizar el enrutamiento de Este a Oeste. De este modo, hay más comunicación directa entre las máquinas virtuales sin el tiempo o el costo adicionales que requiere extender saltos. Al mismo tiempo, NSX proporciona conectividad de Norte a Sur, por lo cual permite que las empresas accedan a las redes públicas.


n Agregar un enrutador lógico (distribuido)

n Agregar una puerta de enlace de servicios Edge

n Especificar una configuración global

n Configuración de NSX Edge

n Agregar una ruta estática

n Configurar OSPF en un enrutador lógico (distribuido)

n Configurar el protocolo OSPF en una puerta de enlace de servicios Edge

n Configurar BGP

n Configurar la redistribución de rutas

n Ver el identificador de configuración local de NSX Manager

n Configurar el identificador de configuración regional en un enrutador (distribuido) lógico universal

n Configurar el identificador de configuración regional en un host o un clúster

n Topología, limitaciones y soporte del enrutamiento de multidifusión

Agregar un enrutador lógico (distribuido)Los módulos de kernel del enrutador lógico del host realizan el enrutamiento entre la redes VXLAN y entre las redes virtual y física. Dispositivo NSX Edge ofrece enrutamiento dinámico si es necesario. Los enrutadores lógicos pueden crearse en NSX Manager principales y secundarios en un entorno de Cross-vCenter NSX, pero los enrutadores lógicos universales solo pueden crearse en la instancia principal de NSX Manager.

VMware, Inc. 97

Al implementar un nuevo enrutador lógico, considere lo siguiente:

n NSX Data Center for vSphere 6.2 y versiones posteriores permiten conectar interfaces lógicas (LIF) enrutadas mediante enrutadores lógicos a una VXLAN conectada en puente a una VLAN.

n Las interfaces del enrutador lógico y las interfaces puente no pueden conectarse a un dvPortgroup si el identificador de la VLAN está establecido en 0.

n Una instancia de enrutador lógico determinada no puede conectarse a los conmutadores lógicos que existen en zonas de transporte diferentes. El objetivo de esto es garantizar que todas las instancias de conmutadores lógicos y enrutadores lógicos estén alineadas.

n No se puede conectar un enrutador lógico a grupos de puertos respaldados por VLAN si ese enrutador lógico se conecta a conmutadores lógicos que abarcan más de un vSphere Distributed Switch (VDS). Esto garantiza la correcta alineación entre instancias del enrutador lógico con dvPortgroups de conmutadores lógicos en los hosts.

n No deben crearse interfaces de enrutadores lógicos en dos grupos de puertos distribuidos (dvPortgroups) diferentes con el mismo identificador de VLAN si las dos redes están en el mismo conmutador distribuido de vSphere.

n No deben crearse interfaces de enrutadores lógicos en dos dvPortgroups diferentes con el mismo identificador de VLAN si las dos redes están en conmutadores distribuidos de vSphere diferentes, pero los dos conmutadores distribuidos de vSphere comparten los mismos hosts. En otras palabras, pueden crearse interfaces de enrutadores lógicos en dos redes diferentes con el mismo identificador de VLAN si los dos dvPortgroups están en dos conmutadores distribuidos de vSphere diferentes, siempre que los conmutadores distribuidos de vSphere no compartan un host.

n Si se configura VXLAN, las interfaces del enrutador lógico se deben conectar a grupos de puertos distribuidos en el vSphere Distributed Switch donde VXLAN esté configurado. No conecte interfaces de enrutadores lógicos a grupos de puertos en otros vSphere Distributed Switches.

En la siguiente lista se describen las características admitidas por tipo de interfaz (interna y de vínculo superior) en el enrutador lógico:

n Se admiten protocolos de enrutamiento dinámico (BGP y OSPF) solo en las interfaces de vínculo superior.

n Las reglas de firewall son aplicables solo en las interfaces de enlace ascendente, y están limitadas al tráfico de control y de administración destinado al dispositivo Edge virtual.

n Para obtener más información sobre la interfaz de administración DLR, consulte el artículo de la base de conocimiento http://kb.vmware.com/kb/2122060 con la guía de interfaz de administración de máquinas virtuales de control DLR para NSX.

Importante Si habilita la alta disponibilidad en NSX Edge en un entorno de Cross-vCenter NSX, los dispositivos Dispositivo NSX Edge activos y en espera deben residir en el mismo vCenter Server. Si migra uno de los dispositivos de un par NSX Edge HA a un sistema vCenter Server diferente, los dos dispositivos de HA dejarán de funcionar como un par HA y es posible que se interrumpa el tráfico.

Atención vSphere Fault Tolerance no funciona con la máquina virtual de control del enrutador lógico.


VMware, Inc. 98

https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2122060

Requisitos previos

n Debe tener asignada la función de administrador de Enterprise o administrador de NSX.

n Se debe crear un grupo de identificadores de segmentos local aunque no esté previsto crear conmutadores lógicos.

n Asegúrese de que el clúster de controladores esté en funcionamiento y disponible antes de crear o modificar la configuración del enrutador lógico. Los enrutadores lógicos no pueden distribuir información de enrutamiento a hosts sin la ayuda de los controladores NSX Controller. Los enrutadores lógicos dependen de los controladores NSX Controller para funcionar, mientras que las puertas de enlace de servicios Edge (Edge Services Gateways, ESG) no.

n Si se desea conectar un enrutador lógico a los dvPortgroups de VLAN, asegúrese de que todos los hosts del hipervisor con un dispositivo de enrutador lógico instalado puedan comunicarse entre sí en el puerto UDP 6999. Es necesaria la comunicación en este puerto para que funcione el proxy ARP basado en VLAN del enrutador lógico.

n Determine dónde implementar el dispositivo de enrutador lógico.

n El host de destino debe formar parte de la misma zona de transporte que los conmutadores lógico conectados a las interfaces del nuevo enrutador lógico.

n Evite colocarlo en el mismo host que uno o varios de sus ESG ascendentes si utiliza ESG en una configuración ECMP. Puede utilizar reglas de antiafinidad de DRS para aplicar esta práctica, lo que reducirá el impacto de los errores del host en el reenvío de enrutadores lógicos. Estas instrucciones no se aplican si tiene un ESG ascendente individual o en modo de alta disponibilidad. Para obtener más información, consulte Guía de diseño de virtualización de red de NSX en https://communities.vmware.com/docs/DOC-27683.

n Compruebe que el clúster del host en el que instala el dispositivo del enrutador lógico está preparado para NSX Data Center for vSphere. Consulte cómo preparar el clúster del host para NSX en Guía de instalación de NSX.

n Determine la instancia de NSX Manager adecuada en la cual desea realizar los cambios.






VMware, Inc. 99



n Determine qué tipo de enrutador lógico desea agregar:

n Para conectar un conmutador lógico, agregue un enrutador lógico.

n Para conectar un conmutador lógico universal, agregue un enrutador lógico universal.

n Si va a agregar un enrutador lógico universal, determine si necesita habilitar la salida local. La salida local permite enviar rutas a hosts de manera selectiva. Quizás sea conveniente utilizar esta opción si la implementación de NSX se expande a varios sitios. Consulte Topologías de Cross-vCenter NSX para obtener más información. No puede habilitar la salida local después de crear el enrutador lógico universal.

Procedimiento

1 En vSphere Web Client, acceda a Inicio (Home) > Redes y seguridad (Networking & Security) > NSX Edge.

2 Seleccione la instancia de NSX Manager apropiada en la que desea realizar cambios. Si va a crear un enrutador lógico universal, debe seleccionar la instancia principal de NSX Manager.

3 Haga clic en Agregar (Add) y, a continuación, seleccione el tipo de enrutador lógico que desea agregar:

n Seleccione Enrutador lógico (distribuido) (Logical [Distributed] Router) para agregar un enrutador lógico a la instancia de NSX Manager seleccionada.

n Seleccione Enrutador lógico universal (distribuido) (Universal Logical [Distributed] Router) para agregar un enrutador lógico que pueda ampliar el entorno de Cross-vCenter NSX. Esta opción está disponible solo si tiene una instancia de NSX Manager principal asignada y si realiza cambios desde el NSX Manager principal. Si seleccionó Enrutador lógico universal (distribuido) (Universal Logical [Distributed] Router), puede habilitar de forma opcional la salida local.

4 Introduzca el nombre, la descripción y otros detalles del enrutador lógico.


Nombre (Name) Introduzca un nombre para el enrutador lógico con el que quiera que aparezca en el inventario de vCenter.

Asegúrese de que este nombre sea único en todos los enrutadores lógicos de un solo arrendatario.

Nombre del host (Host Name) Opcional. Introduzca un nombre de host que desee que aparezca para el enrutador lógico en la CLI.

Si no introduce un nombre de host, la interfaz de línea de comandos muestra el identificador de Edge que se crea automáticamente.

Descripción Opcional. Escriba una descripción del enrutador lógico.


VMware, Inc. 100


Implementar un dispositivo Edge (Deploy Edge Appliance)

De forma predeterminada, esta opción está seleccionada. Se requiere un dispositivo Edge (también denominado dispositivo virtual de enrutador lógico) para el enrutamiento dinámico y para el firewall del dispositivo de enrutador lógico, que se aplica a los ping del enrutador, al acceso de SSH y al tráfico de enrutamiento dinámico.

Si solo necesita rutas estáticas y no desea implementar un dispositivo de Edge, desmarque esta opción. No puede agregar un dispositivo Edge al enrutador lógico una vez que este enrutador está creado.

Alta disponibilidad (High Availability) Opcional. De forma predeterminada, HA está deshabilitado. Seleccione esta opción para habilitar y configurar HA en el enrutador lógico.

Si piensa realizar un enrutamiento dinámico, HA es obligatorio.

Registro de HA (HA Logging) Opcional. De forma predeterminada, Registro de HA (HA logging) está deshabilitado.

Cuando el registro está habilitado, el nivel de registro predeterminado está configurado como info. Puede cambiarlo si es necesario.

5 Especifique las opciones de CLI y otras opciones del enrutador lógico.


Nombre de usuario (User Name) Introduzca un nombre de usuario que desee usar para iniciar sesión en la CLI del Edge.

Contraseña (Password) Introduzca una contraseña que tenga, al menos, 12 caracteres y que cumpla las siguientes reglas:

n No debe superar los 255 caracteres

n Al menos una letra mayúscula y una letra minúscula

n Al menos un número

n Al menos un carácter especial

n No debe incluir el nombre de usuario como subcadena

n Un carácter no debe repetirse 3 o más veces

Confirmar contraseña Vuelva a introducir la contraseña para confirmarla.

Acceso SSH (SSH access) Opcional. De forma predeterminada, el acceso SSH está deshabilitado. Si no habilita SSH, puede abrir la consola del dispositivo virtual para seguir accediendo al enrutador lógico.

Habilitar SSH provoca que el proceso SSH se ejecute en el enrutador. Deberá ajustar la configuración del firewall del enrutador lógico manualmente para permitir el acceso de SSH a la dirección del protocolo del enrutador lógico. La dirección del protocolo se establece cuando se configura el enrutamiento dinámico en el enrutador lógico.

Modo FIPS (FIPS mode) Opcional. De forma predeterminada, el modo FIPS está deshabilitado.

Al habilitar el modo FIPS, cualquier comunicación segura desde o hacia NSX Edge utiliza algoritmos o protocolos criptográficos permitidos por FIPS.

Registro del nivel de control de Edge (Edge control level logging)

Opcional. De forma predeterminada, el nivel de registro es info.


VMware, Inc. 101

6 Configure la implementación de Dispositivo NSX Edge.

u Si no seleccionó Implementar un dispositivo Edge (Deploy Edge Appliance), no puede agregar ningún dispositivo. Haga clic en Siguiente (Next) para continuar con la configuración.

u Si seleccionó Implementar dispositivo Edge (Deploy Edge Appliance), introduzca la configuración del dispositivo virtual del enrutador lógico.

Por ejemplo:

Opción Valor

Grupo de recursos y clústeres Administración y Edge

Almacén de datos ds-1

Host esxmgt-01a.corp.local

Reserva de recursos Sistema gestionado Para obtener más información sobre la reserva de recursos, consulte "Administrar reservas de recursos de dispositivos NSX Edge" en la Guía de administración de NSX.

7 Configure la conexión de la interfaz de HA y, de forma opcional, una dirección IP.

Si seleccionó Implementar dispositivo Edge (Deploy Edge Appliance), debe conectar la interfaz de HA a un grupo de puertos distribuidos o a un conmutador lógico. Si está utilizando esta interfaz solo como una interfaz de HA, utilice un conmutador lógico. Se asigna una subred /30 desde el rango local del vínculo 169.254.0.0/16 y se utiliza para proporcionar una dirección IP para cada uno de los dos dispositivos NSX Edge.

De manera opcional, si desea utilizar esta interfaz para conectarse a NSX Edge, puede especificar una dirección IP extra y el prefijo de la interfaz de HA.

Nota Antes de NSX Data Center for vSphere 6.2, la interfaz de HA se denominaba interfaz de administración. No es posible establecer una conexión SSH a la interfaz de HA desde ningún lugar que no se encuentre en la misma subred IP que la interfaz de HA. No se pueden configurar rutas estáticas que apunten hacia afuera de la interfaz de HA, lo que significa que RPF descartará el tráfico entrante. Sin embargo, en teoría, se puede deshabilitar RPF, pero hacerlo es contraproducente para la alta disponibilidad. Para el acceso SSH, también puede utilizar la dirección de protocolo del enrutador lógico, que se establece posteriormente cuando se configura el enrutamiento dinámico.

En NSX Data Center for vSphere 6.2 y versiones posteriores, la interfaz de HA de un enrutador lógico se excluye automáticamente de la redistribución de rutas.


VMware, Inc. 102

Por ejemplo, la siguiente tabla muestra una configuración de interfaz de HA de ejemplo, donde la interfaz de HA está conectada a un grupo dvPortgroup de administración.


Conectada a Mgmt_VDS-Mgmt

Dirección IP (IP Address) 192.168.110.60*

Longitud de prefijo de subred (Subnet Prefix Length)

24


VMware, Inc. 103

8 Configure las interfaces de NSX Edge.

a Especifique el nombre, el tipo y otra información básica de las interfaces.


Nombre (Name) Introduzca un nombre para la interfaz.

Tipo (Type) Seleccione Interno (Internal) o Vínculo superior (Uplink).

Las interfaces internas están diseñadas para conexiones a conmutadores que permiten la comunicación de máquina virtual a máquina virtual (también denominada de este a oeste). Las interfaces internas se crean como pseudo vNIC en el dispositivo virtual del enrutador lógico. Las interfaces de vínculo superior se utilizan para la comunicación de norte a sur y se crean como vNIC en el dispositivo virtual del enrutador lógico.

Una interfaz de vínculo superior del enrutador lógico podría conectarse a una puerta de enlace de servicios Edge o a una máquina virtual del enrutador de terceros. Se debe tener al menos una interfaz de vínculo superior para que el enrutamiento dinámico funcione.

Conectada a Seleccione el grupo de puertos virtual distribuido o el conmutador lógico al que desea conectar esta interfaz.

b Configure las subredes de la interfaz.


Dirección IP principal (Primary IP Address)

En los enrutadores lógicos, solo se admiten las direcciones IPv4.

La configuración de la interfaz especificada en este punto se puede modificar más adelante. Es posible agregar, eliminar y modificar interfaces después de implementar un enrutador lógico.


Introduzca la máscara de subred de la interfaz.

c (opcional) Edite el valor de MTU predeterminado, si es necesario. El valor predeterminado es

1500.

La siguiente tabla muestra dos interfaces internas (aplicación y web) y una interfaz de vínculo superior (a ESG).

Tabla 9-1. Ejemplo: Interfaces de NSX Edge

Nombre (Name) Dirección IP

Longitud de prefijo de subred (Subnet Prefix Length) Conectada a

aplicación 172.16.20.1* 24 aplicación

web 172.16.10.1* 24 web

hacia ESG 192.168.10.2* 29 tránsito


VMware, Inc. 104

9 Configure las opciones de la puerta de enlace predeterminada.

Por ejemplo:

Opción Valor

vNIC Enlace ascendente

IP de puerta de enlace (Gateway IP) 192.168.10.1

MTU 1.500

10 Asegúrese de que todas las máquinas virtuales conectadas a los conmutadores lógicos tengan sus puertas de enlace predeterminadas establecidas adecuadamente en las direcciones IP de la interfaz del enrutador lógico.

En el siguiente ejemplo de topología, la puerta de enlace predeterminada de la máquina virtual de la aplicación es 172.16.20.1. La puerta de enlace predeterminada de la máquina virtual web es 172.16.10.1. Compruebe que las máquinas virtuales puedan hacer ping en sus puertas de enlace predeterminadas y entre sí.

172.16.20.10 172.16.10.10

172.16.20.1 172.16.10.1

Enrutador lógico

Conmutadorlógico

de aplicaciones

Conmutadorlógicoweb

Máquina virtualde aplicaciones

Máquina virtualweb

Conéctese a NSX Manager con SSH o la consola, y ejecute los siguientes comandos:

n Vea un listado con toda la información de la instancia del enrutador lógico.

nsxmgr-l-01a> show logical-router list all

Edge-id Vdr Name Vdr id #Lifs

edge-1 default+edge-1 0x00001388 3


VMware, Inc. 105

n Vea un listado de los hosts que recibieron información de enrutamiento para el enrutador lógico del clúster de controladores.

nsxmgr-l-01a> show logical-router list dlr edge-1 host

ID HostName

host-25 192.168.210.52

host-26 192.168.210.53

host-24 192.168.110.53

En el resultado se incluyen todos los hosts de todos los clústeres de hosts configurados como miembros de la zona de transporte a la que pertenece el conmutador lógico que está conectado al enrutador lógico especificado (en este ejemplo, edge-1).

n Vea un listado con la información de la tabla de enrutamiento que se comunica a los hosts mediante el enrutador lógico. Las entradas de la tabla de enrutamiento deben ser coherentes en todos los hosts.

nsx-mgr-l-01a> show logical-router host host-25 dlr edge-1 route

VDR default+edge-1 Route Table

Legend: [U: Up], [G: Gateway], [C: Connected], [I: Interface]

Legend: [H: Host], [F: Soft Flush] [!: Reject] [E: ECMP]

Destination GenMask Gateway Flags Ref Origin UpTime Interface

----------- ------- ------- ----- --- ------ ------ ---------

0.0.0.0 0.0.0.0 192.168.10.1 UG 1 AUTO 4101 138800000002

172.16.10.0 255.255.255.0 0.0.0.0 UCI 1 MANUAL 10195 13880000000b

172.16.20.0 255.255.255.0 0.0.0.0 UCI 1 MANUAL 10196 13880000000a

192.168.10.0 255.255.255.248 0.0.0.0 UCI 1 MANUAL 10196 138800000002

192.168.100.0 255.255.255.0 192.168.10.1 UG 1 AUTO 3802 138800000002

n Vea un listado con información adicional sobre el enrutador desde el punto de vista de uno de los hosts. Este resultado es útil para saber qué controlador se está comunicando con el host.

nsx-mgr-l-01a> show logical-router host host-25 dlr edge-1 verbose

VDR Instance Information :

---------------------------

Vdr Name: default+edge-1

Vdr Id: 0x00001388

Number of Lifs: 3

Number of Routes: 5

State: Enabled

Controller IP: 192.168.110.203

Control Plane IP: 192.168.210.52

Control Plane Active: Yes

Num unique nexthops: 1

Generation Number: 0

Edge Active: No


VMware, Inc. 106

Compruebe el campo Dirección IP de controlador (Controller IP) en el resultado del comando show logical-router host host-25 dlr edge-1 verbose.

Acceda a un controlador mediante SSH y ejecute los siguientes comandos para mostrar la información de estado adquirida de las tablas de VNI, VTEP, MAC y ARP del controlador.

n 192.168.110.202 # show control-cluster logical-switches vni 5000

VNI Controller BUM-Replication ARP-Proxy Connections

5000 192.168.110.201 Enabled Enabled 0

La salida para VNI 5000 muestra cero conexiones y el controlador 192.168.110.201 como propietaria de VNI 5000. Inicie sesión en ese controlador para recopilar más información de VNI 5000.

192.168.110.201 # show control-cluster logical-switches vni 5000


5000 192.168.110.201 Enabled Enabled 3

El resultado en 192.168.110.201 muestra tres conexiones. Compruebe las VNI adicionales.



5001 192.168.110.201 Enabled Enabled 3



5002 192.168.110.201 Enabled Enabled 3

Debido a que 192.168.110.201 es propietaria de las tres conexiones de VNI, se espera ver cero conexiones en el otro controlador 192.168.110.203.



5000 192.168.110.201 Enabled Enabled 0

n Antes de comprobar las tablas de MAC y ARP, haga ping de una máquina virtual a la otra.

Desde la máquina virtual de la aplicación a la máquina virtual web:

vmware@app-vm$ ping 172.16.10.10

PING 172.16.10.10 (172.16.10.10) 56(84) bytes of data.

64 bytes from 172.16.10.10: icmp_req=1 ttl=64 time=2.605 ms




VMware, Inc. 107

Revise las tablas de MAC.

192.168.110.201 # show control-cluster logical-switches mac-table 5000

VNI MAC VTEP-IP Connection-ID

5000 00:50:56:a6:23:ae 192.168.250.52 7

192.168.110.201 # show control-cluster logical-switches mac-table 5001

VNI MAC VTEP-IP Connection-ID

5001 00:50:56:a6:8d:72 192.168.250.51 23

Revise las tablas de ARP.

192.168.110.201 # show control-cluster logical-switches arp-table 5000

VNI IP MAC Connection-ID

5000 172.16.20.10 00:50:56:a6:23:ae 7

192.168.110.201 # show control-cluster logical-switches arp-table 5001

VNI IP MAC Connection-ID

5001 172.16.10.10 00:50:56:a6:8d:72 23

Revise la información del enrutador lógico. Cada instancia del enrutador lógico se procesa en uno de los nodos del controlador.

El subcomando instance del comando show control-cluster logical-routers muestra un listado de los enrutadores lógicos que están conectados a este controlador.

El subcomando interface-summary muestra un listado de las LIF que el controlador adquirió de NSX Manager. Esta información se envía a los hosts que están en los clústeres de hosts administrados en la zona de transporte.

El subcomando routes muestra la tabla de enrutamiento que se envía a este controlador mediante el dispositivo virtual del enrutador lógico (también se conoce como máquina virtual de control). A diferencia de los hosts ESXi, esta tabla de enrutamiento no incluye subredes conectadas directamente, ya que la configuración de LIF proporciona esta información. La información de ruta de los hosts ESXi incluye subredes conectadas directamente porque, en ese caso, se trata de una tabla de reenvío utilizada por la ruta de datos del host ESXi.

n Vea un listado con todos los enrutadores lógicos conectados a este controlador.

controller # show control-cluster logical-routers instance all

LR-Id LR-Name Universal Service-Controller Egress-Locale

0x1388 default+edge-1 false 192.168.110.201 local

Anote el identificador de LR y utilícelo en el siguiente comando.

n controller # show control-cluster logical-routers interface-summary 0x1388

Interface Type Id IP[]

13880000000b vxlan 0x1389 172.16.10.1/24

13880000000a vxlan 0x1388 172.16.20.1/24

138800000002 vxlan 0x138a 192.168.10.2/29


VMware, Inc. 108

n controller # show control-cluster logical-routers routes 0x1388

Destination Next-Hop[] Preference Locale-Id Source

192.168.100.0/24 192.168.10.1 110 00000000-0000-0000-0000-000000000000 CONTROL_VM

0.0.0.0/0 192.168.10.1 0 00000000-0000-0000-0000-000000000000 CONTROL_VM

[root@comp02a:~] esxcfg-route -l

VMkernel Routes:

Network Netmask Gateway Interface

10.20.20.0 255.255.255.0 Local Subnet vmk1

192.168.210.0 255.255.255.0 Local Subnet vmk0

default 0.0.0.0 192.168.210.1 vmk0

n Muestre las conexiones del controlador a la VNI específica.

192.168.110.203 # show control-cluster logical-switches connection-table 5000

Host-IP Port ID

192.168.110.53 26167 4

192.168.210.52 27645 5

192.168.210.53 40895 6

192.168.110.202 # show control-cluster logical-switches connection-table 5001

Host-IP Port ID

192.168.110.53 26167 4

192.168.210.52 27645 5

192.168.210.53 40895 6

Estas direcciones IP de hosts son interfaces vmk0, no VTEP. Las conexiones entre hosts y controladores ESXi se crean en la red de administración. Aquí los números de puerto son puertos TCP efímeros que asigna la pila de direcciones IP del host ESXi cuando el host establece una conexión con el controlador.

n En el host, puede ver la conexión de red del controlador vinculado al número de puerto.

[[email protected]:~] #esxcli network ip connection list | grep 26167

tcp 0 0 192.168.110.53:26167 192.168.110.101:1234 ESTABLISHED

96416 newreno netcpa-worker

n Muestre las VNI activas en el host. Observe que el resultado es diferente entre los hosts. No todas las VNI están activas en todos los hosts. Una VNI está activa en un host si ese host posee una máquina virtual conectada al conmutador lógico.

[[email protected]:~] # esxcli network vswitch dvs vmware vxlan network list --vds-name

Compute_VDS

VXLAN ID Multicast IP Control Plane Controller Connection

Port Count MAC Entry Count ARP Entry Count VTEP Count

-------- ------------------------- ----------------------------------- ---------------------

---------- --------------- --------------- ----------


VMware, Inc. 109

5000 N/A (headend replication) Enabled (multicast proxy,ARP proxy) 192.168.110.203

(up) 1 0 0 0

5001 N/A (headend replication) Enabled (multicast proxy,ARP proxy) 192.168.110.202

(up) 1 0 0 0

Nota Para habilitar el espacio de nombres vxlan en vSphere 6,0 y versiones posteriores, ejecute el comando /etc/init.d/hostd restart.

En el caso de conmutadores lógicos en modo híbrido o de unidifusión, el comando esxcli network vswitch dvs vmware vxlan network list --vds-name <vds-name> contiene el siguiente resultado:

n El plano de control está habilitado.

n El proxy de multidifusión y el proxy ARP aparecen en el listado. El proxy AARP aparece en el listado aunque se haya deshabilitado la detección de direcciones IP.

n Una dirección IP de controlador válida aparece en el listado y la conexión está activa.

n Si un enrutador lógico está conectado al host ESXi, el recuento de puertos es al menos 1, incluso si no hay máquinas virtuales en el host conectado al conmutador lógico. Este puerto es vdrPort, que es un puerto dvPort especial conectado al módulo del kernel del enrutador lógico en el host ESXi.

n En primer lugar, haga ping de una máquina virtual a otra en una subred diferente y, a continuación, muestre la tabla de MAC. Tenga en cuenta que la MAC interna es la entrada de la máquina virtual, mientras que la MAC externa y la dirección IP externa se refieren a la VTEP.

~ # esxcli network vswitch dvs vmware vxlan network mac list --vds-name=Compute_VDS --vxlan-

id=5000

Inner MAC Outer MAC Outer IP Flags

----------------- ----------------- -------------- --------

00:50:56:a6:23:ae 00:50:56:6a:65:c2 192.168.250.52 00000111

~ # esxcli network vswitch dvs vmware vxlan network mac list --vds-name=Compute_VDS --vxlan-

id=5001

Inner MAC Outer MAC Outer IP Flags

----------------- ----------------- -------------- --------

02:50:56:56:44:52 00:50:56:6a:65:c2 192.168.250.52 00000101

00:50:56:f0:d7:e4 00:50:56:6a:65:c2 192.168.250.52 00000111

Pasos siguientes

Cuando instale un Dispositivo NSX Edge, NSX habilita el encendido o apagado automático de la máquina virtual en el host si vSphere HA está deshabilitado en el clúster. Si posteriormente las máquinas virtuales del dispositivo se migran a otros hosts en el clúster, es posible que los hosts nuevos no tengan habilitada la opción de encendido/apagado automático de la máquina virtual. Por este motivo, cuando


VMware, Inc. 110

instale dispositivos NSX Edge en clústeres que tienen vSphere HA deshabilitado, debe comprobar todos los hosts del clúster para asegurarse de que la opción de encendido o apagado automático de las máquinas virtuales esté habilitada. Consulte la sección sobre cómo editar la configuración de encendido y apagado de la máquina Virtual en Administrar máquinas virtuales de vSphere.

Después de implementar el enrutador lógico, haga doble clic en el identificador del enrutador lógico para configurar opciones adicionales, como interfaces, enrutamiento, firewall, puentes y relé DHCP.

Agregar una puerta de enlace de servicios EdgePuede instalar varios dispositivos virtuales de puertas de enlace de servicios NSX Edge en un centro de datos. Cada Dispositivo NSX Edge puede tener un total de diez interfaces de red de internas y de vínculo superior. Las interfaces internas se conectan a grupos de puertos protegidos y actúan como puerta de enlace para todas las máquinas virtuales protegidas del grupo de puertos. La subred asignada a la interfaz interna puede ser una dirección IP enrutada públicamente o un espacio de direcciones privado (RFC 1918) con uso de NAT. Las reglas de firewall y otros servicios NSX Edge se aplican sobre el tráfico entre interfaces.

Las interfaces de vínculo superior de una ESG se conectan a grupos de puertos de vínculo superior que tienen acceso a una red compartida de la empresa o a un servicio que ofrece redes de capa de acceso.

En la siguiente lista se describen las características admitidas por tipo de interfaz (interna y de vínculo superior) en la ESG:

n DHCP: no se admite en interfaces de vínculo superior. Consulte la nota después de esta lista.

n Reenviador de DNS: no se admite en interfaces de vínculo superior.

n HA: no se admite en interfaces de vínculo superior, requiere al menos una interfaz interna.

n VPN SSL: la dirección IP del agente de escucha debe pertenecer a una interfaz de vínculo superior.

n VPN IPsec: la dirección IP del sitio local debe pertenecer a una interfaz de vínculo superior.

n VPN de capa 2: solo las redes internas pueden ampliarse.

Nota Por diseño, el servicio DHCP se admite en las interfaces internas de NSX Edge. Sin embargo, en algunas situaciones, puede optar por configurar DHCP en una interfaz de vínculo superior de Edge y no configurar ninguna interfaz interna. En esta situación, Edge puede escuchar las solicitudes de los clientes DHCP en la interfaz de vínculo superior y asignarles direcciones IP de forma dinámica. Más adelante, si configura una interfaz interna en la misma instancia de Edge, el servicio DHCP deja de funcionar debido a que Edge empieza a escuchar las solicitudes de los clientes DHCP en la interfaz interna.

La siguiente cifra muestra una topología como ejemplo. La interfaz de vínculo superior de la puerta de enlace de servicios Edge está conectada a la infraestructura física mediante vSphere Distributed Switch. La interfaz interna de la puerta de enlace de servicios Edge está conectada a un enrutador lógico a través de un conmutador de tránsito lógico.


VMware, Inc. 111

Arquitecturafísica

172.16.20.10 172.16.10.10

172.16.20.1Tipo de vínculo: interno


Enrutadorlógico

Conmutadorlógico

de aplicaciones



Máquina virtualweb

192.168.10.2Tipo de vínculo: vínculo superiorDirección del protocolo:192.168.10.3

Conmutadorlógico

de tránsito


192.168.100.3Tipo de vínculo: vínculo superior 192.168.100.1

vSphereDistributed

Switch

Puerta de enlace de

servicios Edge

Puede configurar varias direcciones IP externas para equilibrar la carga, para la VPN de sitio a sitio y los servicios NAT.

Importante Si habilita la alta disponibilidad en NSX Edge en un entorno de Cross-vCenter NSX, los dispositivos Dispositivo NSX Edge activos y en espera deben residir en el mismo vCenter Server. Si migra uno de los dispositivos de un par NSX Edge HA a un sistema vCenter Server diferente, los dos dispositivos de HA dejarán de funcionar como un par HA y es posible que se interrumpa el tráfico.

Requisitos previos

n Debe tener asignada la función de administrador de Enterprise o administrador de NSX.


VMware, Inc. 112

n Compruebe que el grupo de recursos tenga capacidad suficiente para implementar el dispositivo virtual de la puerta de enlace de servicios Edge (edge services gateway, ESG) . Consulte Capítulo 1 Requisitos del sistema de NSX Data Center for vSphere para conocer los recursos necesarios según el tamaño del dispositivo.

n Verifique que los clústeres de host en los que se instalará Dispositivo NSX Edge están preparados para NSX. Consulte cómo preparar el clúster del host para NSX en Guía de instalación de NSX.

n Determine si desea habilitar DRS. Si desea crear una puerta de enlace de servicios de Edge con HA y DRS está habilitado, se crean las reglas de antiafinidad de DRS para evitar que los dispositivos se implementen en el mismo host. Si DRS no está habilitado en el momento en el que se crean los dispositivos, las reglas no se crean y es posible que los dispositivos se implementen en el mismo host o se muevan hasta él.

Procedimiento

1 Inicie sesión en vSphere Web Client, acceda a Inicio (Home) > Redes y seguridad (Networking & Security) > NSX Edge.

2 Haga clic en Agregar (Add) y, a continuación, haga clic en Puerta de enlace de servicios Edge (Edge Services Gateway).

3 Introduzca el nombre, la descripción y otros detalles de la ESG.


Nombre (Name) Introduzca un nombre para la ESG con el que quiera que aparezca en el inventario de vCenter.

Asegúrese de que este nombre sea único en todas las ESG de un solo arrendatario.

Nombre del host (Host Name) Opcional. Introduzca un nombre de host que desea mostrar para esta ESG en la CLI.

Si no introduce un nombre de host, la interfaz de línea de comandos muestra el identificador de Edge que se crea automáticamente.

Descripción Opcional. Escriba una descripción de la ESG.

Implementar NSX Edge (Deploy NSX Edge)

Opcional. Seleccione esta opción para crear una máquina virtual de Dispositivo NSX Edge.

Si no selecciona esta opción, la ESG no funcionará hasta que se implemente una máquina virtual.

Alta disponibilidad (High Availability) Opcional. Seleccione esta opción para habilitar y configurar la alta disponibilidad en la ESG.


VMware, Inc. 113

4 Especifique la configuración de CLI y otras opciones de la ESG.


Nombre de usuario (User Name) Introduzca un nombre de usuario que desee usar para iniciar sesión en la CLI del Edge.

Contraseña (Password) Introduzca una contraseña que tenga, al menos, 12 caracteres y que cumpla las siguientes reglas:

n No debe superar los 255 caracteres

n Al menos una letra mayúscula y una letra minúscula

n Al menos un número

n Al menos un carácter especial

n No debe incluir el nombre de usuario como subcadena

n Un carácter no debe repetirse 3 o más veces

Confirmar contraseña Vuelva a introducir la contraseña para confirmarla.

Acceso SSH (SSH access) Opcional. Habilite el acceso SSH al Edge. De forma predeterminada, el acceso SSH está deshabilitado.

Normalmente, se recomienda emplear el acceso a SSH para solucionar problemas.

Modo FIPS (FIPS mode) Opcional. De forma predeterminada, el modo FIPS está deshabilitado.

Al habilitar el modo FIPS, cualquier comunicación segura desde o hacia NSX Edge utiliza algoritmos o protocolos criptográficos permitidos por FIPS.

Generación automática de reglas (Auto rule generation)

Opcional. De forma predeterminada, esta opción está habilitada. Esta opción permite la creación automática de reglas de firewall, NAT y la configuración del enrutamiento, que controla el tráfico para ciertos servicios de NSX Edge, como el equilibrio de carga y la VPN.

Si deshabilita la generación automática de reglas, debe agregar manualmente estas reglas y configuraciones. La generación automática de reglas no crea reglas para tráfico de canal de datos.

Registro del nivel de control de Edge (Edge control level logging)

Opcional. De forma predeterminada, el nivel de registro es info.


VMware, Inc. 114

5 Configure la implementación de Dispositivo NSX Edge.

a Seleccione el tamaño del dispositivo de acuerdo a su entorno.

Tamaño del dispositivo (Appliance Size) Descripción

Compacto Solo es apropiado para entornos de validación técnica o de laboratorio.

Grande Proporciona más CPU, memoria y espacio en disco que la opción Compacto (Compact), y admite una mayor cantidad de componentes de usuarios VPN SSL-Plus simultáneos.

Tamaño cuádruple Es el idóneo si necesita un rendimiento elevado y una velocidad de conexión elevada.

Extra grande Ideal para entornos que tienen un equilibrador de carga con millones de sesiones simultáneas.

Consulte Capítulo 1 Requisitos del sistema de NSX Data Center for vSphere para conocer los recursos necesarios según el tamaño del dispositivo.

b Agregue Dispositivo NSX Edge y especifique los detalles del recurso para la implementación de la máquina virtual.

Por ejemplo:

Opción Valor

Grupo de recursos y clústeres Administración y Edge

Almacén de datos ds-1

Host esxmgt-01a.corp.local

Reserva de recursos Sistema gestionado Para obtener más información sobre la reserva de recursos, consulte "Administrar reservas de recursos de dispositivos NSX Edge" en la Guía de administración de NSX.

Si habilitó HA, puede agregar dos dispositivos. Si agrega un solo dispositivo, NSX Edge replica su configuración para el dispositivo en espera. Para que HA funcione correctamente, debe implementar los dos dispositivos en un almacén de datos compartido.


VMware, Inc. 115

6 Configure las interfaces de la ESG.

a Especifique el nombre, el tipo y otra información básica de las interfaces.


Nombre (Name) Introduzca un nombre para la interfaz.

Tipo (Type) Seleccione Interno (Internal) o Vínculo superior (Uplink). Para que funcione la alta disponibilidad, un dispositivo Edge debe tener, al menos, una interfaz interna.

Conectada a Seleccione el grupo de puertos o el conmutador lógico al que desea conectar esta interfaz.

b Configure las subredes de la interfaz.


Dirección IP principal (Primary IP Address)

En una ESG, se admiten las direcciones IPv4 e IPv6. Una interfaz puede tener varias subredes superpuestas, varias direcciones IP secundarias y una dirección IP principal.

Si introduce más de una dirección IP para la interfaz, puede seleccionar la dirección IP principal.

Solo se permite una dirección IP principal por interfaz y Edge usa la dirección IP principal como la dirección de origen para el tráfico generado de forma local, por ejemplo, syslog remotos y pings iniciados por los operadores.

Direcciones IP secundarias (Secondary IP Addresses)

Introduzca la dirección IP secundaria. Use una lista separada por comas para introducir direcciones IP.


Introduzca la máscara de subred de la interfaz.

c Especifique las siguientes opciones para la interfaz.


Direcciones MAC (MAC Addresses) Opcional. Puede introducir una dirección MAC para cada interfaz.

Si cambia la dirección MAC más tarde mediante una llamada de API, tendrá que volver a implementar el dispositivo Edge.

MTU El valor predeterminado es 1500. Si es necesario, puede modificar el valor predeterminado.

ARP de proxy (Proxy ARP) Seleccione esta opción si desea que la ESG responda a las solicitudes de ARP dirigidas a otras máquinas virtuales.

Esta opción es útil, por ejemplo, cuando tiene la misma subred en ambos lados de una conexión WAN.


Seleccione esta opción si desea que la ESG transmita información de enrutamiento a los hosts.


De forma predeterminada, esta opción está habilitada. Cuando lo está, verifica la posibilidad de alcance de la dirección de origen en los paquetes que se reenvían.

En el modo habilitado, el paquete debe recibirse en la interfaz que el enrutador puede utilizar para reenviar el paquete de retorno.


VMware, Inc. 116


En el modo flexible, la dirección de origen debe aparecer en la tabla de enrutamiento.

Parámetros de contención Configure parámetros de contención si desea volver a utilizar las direcciones IP y MAC en diferentes entornos contenidos.

Por ejemplo, en una Cloud Management Platform (CMP), la contención permite ejecutar varias instancias de nube simultáneas con las mismas direcciones IP y MAC aisladas o “contenidas”.

La siguiente tabla muestra un ejemplo de dos interfaces de NSX Edge. La interfaz de vínculo superior conecta la ESG al exterior a través de un grupo de puertos de vínculo superior en vSphere Distributed Switch. La interfaz interna conecta la ESG a un conmutador de tránsito lógico al que también está conectado un enrutador lógico distribuido.

Tabla 9-2. Ejemplo: Interfaces de NSX Edge

N.º de vNIC Nombre (Name) Dirección IP

Longitud de prefijo de subred (Subnet Prefix Length) Conectada a

0 Enlace ascendente 192.168.100.30 24 Mgmt_VDS-HQ_Uplink

1 Interno 192.168.10.1* 29 conmutador de tránsito

Importante NSX 6.4.4 y versiones anteriores admiten una única interfaz de vínculo superior de la ESG. A partir de NSX 6.4.5, se admite la multidifusión en un máximo de dos interfaces de vínculo superior de la ESG. Para implementar varios vCenter, si utiliza NSX Edge 6.4.4 o versiones anteriores, puede habilitar la multidifusión solo en una interfaz de vínculo superior. Si desea habilitar la multidifusión en dos interfaces de vínculo superior, debe actualizar Edge a la versión 6.4.5 u otra posterior.

7 Configure las opciones de la puerta de enlace predeterminada.

Por ejemplo:

Opción Valor

vNIC Enlace ascendente

IP de puerta de enlace (Gateway IP) 192.168.100.2

MTU 1.500

Nota Puede editar el valor de MTU, pero este no puede ser mayor que el valor de MTU configurado en la interfaz.

8 Configure la directiva de firewall predeterminada.

Precaución Si no configura la directiva de firewall, se establece la directiva predeterminada para denegar todo el tráfico. Sin embargo, el firewall está habilitado de forma predeterminada en la ESG durante la implementación.


VMware, Inc. 117

9 Configure el registro de ESG y los parámetros de HA.

a Habilite o deshabilite el registro en Dispositivo NSX Edge.

De forma predeterminada, los registros están habilitados en todos los dispositivos NSX Edge nuevos. El nivel de registro predeterminado es Info. Si los registros se almacenan de forma local en la ESG, es posible que el proceso de registro genere demasiados registros y afecte al rendimiento de NSX Edge. Por este motivo, le recomendamos que configure los servidores syslog remotos y reenvíe los registros a un recopilador centralizado para que se analicen y se supervisen.

b Si habilitó la alta disponibilidad, complete los siguientes parámetros de HA.


vNIC Seleccione la interfaz interna en la que desee configurar parámetros de HA. De forma predeterminada, HA selecciona automáticamente una interfaz interna y asigna automáticamente direcciones IP de vínculos locales.

Si selecciona el valor CUALQUIERA (ANY) para la interfaz, pero no hay interfaces internas configuradas, la interfaz de usuario mostrará un error. Se crean dos dispositivos Edge, pero como no hay ninguna interfaz interna configurada, el NSX Edge nuevo permanece en espera y se deshabilita HA. Una vez que se configura una interfaz interna, HA se vuelve a habilitar en el dispositivo NSX Edge.

Declarar tiempo de inactividad (Declare dead time)

Escriba el período en segundos dentro del cual, si el dispositivo de copia de seguridad no recibe una señal de latido del dispositivo principal, este se considera inactivo y el dispositivo de copia de seguridad lo reemplaza.

El intervalo predeterminado es 15 segundos.

IP de administración (Management IPs)

Opcional: puede introducir dos direcciones IP de administración en formato CIDR para anular las direcciones IP de vínculo locales asignadas a las máquinas virtuales con HA.

Asegúrese de que las direcciones IP de administración no se superpongan con las direcciones IP utilizadas para ninguna otra interfaz, y que no interfieran con el enrutamiento de tráfico. No utilice una dirección IP que exista en otro lugar de la red, aunque esa red no esté conectada directamente al dispositivo.

Las direcciones IP de administración deben estar en la misma Capa 2/subred y deben poder comunicarse entre sí.

10 Revise toda la configuración de la ESG antes de implementar el dispositivo.

Después de implementar ESG, vaya a la vista Hosts y clústeres (Hosts and Clusters) y abra la consola del dispositivo virtual NSX Edge. Desde la consola, compruebe que pueda hacer ping en las interfaces conectadas.

Pasos siguientes

Cuando instale un Dispositivo NSX Edge, NSX habilita el encendido o apagado automático de la máquina virtual en el host si vSphere HA está deshabilitado en el clúster. Si posteriormente las máquinas virtuales del dispositivo se migran a otros hosts en el clúster, es posible que los hosts nuevos no tengan habilitada la opción de encendido/apagado automático de la máquina virtual. Por este motivo, cuando


VMware, Inc. 118

instale dispositivos NSX Edge en clústeres que tienen vSphere HA deshabilitado, debe comprobar todos los hosts del clúster para asegurarse de que la opción de encendido o apagado automático de las máquinas virtuales esté habilitada. Consulte la sección sobre cómo editar la configuración de encendido y apagado de la máquina Virtual en Administrar máquinas virtuales de vSphere.

Ahora puede configurar el enrutamiento para permitir la conectividad de los dispositivos externos a las máquinas virtuales.

Especificar una configuración globalPuede configurar la puerta de enlace predeterminada para rutas estáticas y especificar los detalles de enrutamiento dinámico para un enrutador lógico distribuido o una puerta de enlace de servicios Edge.

Para poder configurar el enrutamiento, primero debe tener una instancia de NSX Edge que esté funcionando. Para obtener información sobre cómo configurar NSX Edge, consulte Configuración de NSX Edge.

Procedimiento



3 Haga doble clic en un dispositivo NSX Edge.

4 Haga clic en Enrutamiento (Routing) y, a continuación, en Configuración global (Global Configuration).

5 Para habilitar el enrutamiento ECPM (múltiples rutas de igual coste), junto a ECMP, haga clic en Iniciar (Start).

ECMP es una estrategia de enrutamiento que permite el reenvío de paquetes al próximo salto en un solo destino a través de varias de las mejores rutas. Estas mejores rutas pueden agregarse como rutas estáticas o como resultado de cálculos de métricas mediante protocolos de enrutamiento dinámico como OSPF o BGP. Para agregar múltiples rutas en rutas estáticas, se pueden proporcionar varios próximos saltos separados por comas en el cuadro de diálogo Rutas estáticas (Static Routes). Para obtener más información, consulte Agregar una ruta estática.

La puerta de enlace de servicios Edge utiliza una implementación en pila de redes Linux, un algoritmo round robin con un componente de aleatoriedad. Una vez seleccionado un próximo salto para un par de direcciones IP de origen y destino en particular, la ruta almacena en la memoria caché el próximo salto seleccionado. Todos los paquetes de ese flujo pasan al próximo salto seleccionado. El tiempo de espera de la memoria caché de la ruta IPv4 predeterminado es 300 segundos (cg_tiempo de espera). Si para este plazo hay una entrada inactiva, se la podrá quitar de la memoria caché de la ruta. La eliminación efectiva ocurre cuando se activa el temporizador de la colección de elementos no utilizados (cg_intervalo = 60 segundos).

El enrutador lógico distribuido utiliza un algoritmo XOR para determinar el próximo salto a partir de una lista de posibles próximos saltos de ECMP. Este algoritmo utiliza la dirección IP de origen y destino del paquete saliente como fuentes de entropía.


VMware, Inc. 119

Los servicios con estado, como el equilibrio de carga, VPN, NAT y el firewall de ESG, no funcionan con ECMP. Sin embargo, a partir de la versión 6.1.3 de NSX, ECMP y el firewall distribuido se pueden usar juntos.

6 (Solo para UDLR): Para cambiar el Identificador de configuración regional (Locale ID) en un enrutador lógico distribuido universal, junto a Configuración de enrutamiento (Routing Configuration), haga clic en Editar (Edit). Introduzca un identificador de configuración regional y haga clic en Guardar (Save) o Aceptar (OK).

De forma predeterminada, el identificador de configuración regional se configura con el UUID de NSX Manager. Sin embargo, puede anular el identificador de configuración regional si habilita la salida local en el momento de crear el enrutador lógico distribuido universal. El identificador de configuración regional se utiliza para configurar selectivamente rutas de un entorno Cross-vCenter NSX o un entorno de varios sitios. Consulte Topologías de Cross-vCenter NSX para obtener más información.

El identificador de configuración regional debe estar en formato UUID. Por ejemplo, XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX, donde cada X se reemplaza por un dígito de base 16 (0-F).

7 Para especificar la puerta de enlace predeterminada, haga clic en Editar (Edit) junto a Puerta de enlace predeterminada (Default Gateway).

a Seleccione una interfaz desde la cual pueda alcanzarse el próximo salto hacia la red de destino.

b Escriba la dirección IP de la puerta de enlace.

c (opcional) Especifique el identificador de configuración regional. El identificador de configuración regional está disponible solo en los enrutadores lógicos universales.

d (opcional) Edite la MTU.

e Si se le pregunta, escriba un valor para Distancia administrativa (Admin Distance).

Seleccione un valor entre 1 y 255. La distancia administrativa se utiliza para seleccionar qué ruta debe utilizarse cuando existen varias rutas para una red determinada. Cuanto menor es esta distancia, mayor es la preferencia para la ruta.

Tabla 9-3. Distancias administrativas predeterminadas

Origen de la ruta Distancia administrativa predeterminada

Conectado 0

Estático 1

BGP externo 20

OSPF dentro del área 30

OSPF entre áreas 110

BGP interno 200

f (opcional) Escriba una descripción para la puerta de enlace predeterminada.

g Haga clic en Guardar (Save).


VMware, Inc. 120

8 Para configurar el enrutamiento dinámico, haga clic en Editar (Edit) junto a Configuración de enrutamiento dinámico (Dynamic Routing Configuration).

a Identificador del enrutador (Router ID) muestra la dirección IP del primer vínculo superior de la instancia de NSX Edge que empuja las rutas hacia el kernel para el enrutamiento dinámico.

b No habilite aquí ningún protocolo.

c Seleccione Habilitar registro (Enable Logging) para guardar la información de registro y seleccione el nivel de registro.

Nota Si tiene una IPsec VPN configurada en el entorno, no debe utilizar el enrutamiento dinámico.

9 Haga clic en Publicar cambios (Publish Changes).

Pasos siguientes

Para eliminar la configuración de enrutamiento, haga clic en Restablecer (Reset). De este modo, se eliminan todas las configuraciones de enrutamiento (predeterminado, estático, OSPF y BGP, así como la redistribución de rutas).

Configuración de NSX EdgeUna vez que la instancia de NSX Edge esté instalada y funcione bien (es decir, se agregaron uno o más dispositivos e interfaces, y se configuró la puerta de enlace predeterminada, la directiva de firewall y la alta disponibilidad), se pueden empezar a utilizar los servicios NSX Edge.

Trabajar con certificadosNSX Edge admite certificados autofirmados, certificados firmados por una entidad de certificación (CA) y certificados generados y firmados por una CA.

Configurar un certificado firmado por una entidad de certificaciónPuede generar una solicitud de firma del certificado (CSR) y que una entidad de certificación la firme. Si se genera una CSR en el nivel global, la solicitud estará disponible para todas las instancias de NSX Edge en el inventario.

Procedimiento

1 Realice una de las siguientes acciones:

n Generar una solicitud de firma del certificado global para NSX Manager.

1 Inicie sesión en el dispositivo virtual de NSX Manager.

2 Haga clic en Administrar la configuración del dispositivo (Manage Appliance Settings) y, a continuación, haga clic en Certificados SSL (SSL Certificates).

3 Haga clic en Generar CSR (Generate CSR).


VMware, Inc. 121

n Generar una solicitud de firma del certificado para NSX Edge.


2 Acceda a Redes y seguridad (Networking & Security) > NSX Edge.


4 Haga clic en Administrar (Manage) > Configuración (Settings) > Certificados (Certificates).

5 Haga clic en Acciones CSR (CSR Actions) o Acciones (Actions), y, a continuación, en Generar CSR (Generate CSR).

2 Especifique la unidad organizativa y escriba el nombre.

3 Escriba la localidad, la calle, el estado y el país de la organización.

4 Seleccione el algoritmo de encriptación para la comunicación entre hosts.

Atención SSL VPN-Plus solo admite certificados RSA.

5 Si es necesario, edite el tamaño de clave predeterminado.

6 Escriba una descripción para el certificado.


Se genera la CSR, que se muestra en la lista de certificados.

8 Disponga que una entidad de certificación en línea firme esta CSR.


n Importe un certificado en el nivel global del dispositivo virtual NSX Manager.

1 Haga clic en Administrar la configuración del dispositivo (Manage Appliance Settings) y, a continuación, haga clic en Certificados SSL (SSL Certificates).

2 Haga clic en Importar (Import).

3 En el cuadro de diálogo Importar un certificado SSL (Import SSL Certificate), haga clic en Elegir archivo (Choose File) y busque el archivo del certificado firmado.


n Importe el certificado para NSX Edge.

1 Copie el contenido del certificado firmado que recibió de la autoridad de certificación.

2 En vSphere Web Client, haga doble clic en NSX Edge.

3 Haga clic en Acciones CSR (CSR Actions) o Acciones (Actions) y, a continuación, en Importar certificado (Import Certificate).

4 En el cuadro de diálogo Importar certificado (Import Certificate), pegue el contenido del certificado firmado.



VMware, Inc. 122

El certificado firmado por la entidad de certificación se mostrará en la lista de certificados.

Agregar un certificado de CAAl agregar un certificado de CA, puede convertirse en una CA interna de la empresa. De esa manera, tendrá la autoridad para firmar sus propios certificados.

Procedimiento




4 Acceda a Administrar (Manage) > Configuración (Settings) > Certificados (Certificates).

5 Haga clic en Agregar (Add) y, a continuación, haga clic en Certificado de CA (CA Certificate).

6 Copie y pegue el contenido del certificado en el cuadro de texto Contenido del certificado (Certificate contents).

7 Escriba una descripción para el certificado de CA.

8 Haga clic en Agregar (Add) o Aceptar (OK).

Ahora puede firmar sus propios certificados.

Agregar un certificado de servidorPara agregar un certificado de servidor, pegue el contenido del archivo del certificado PEM y de clave privada del servidor.

Procedimiento





5 Haga clic en Agregar (Add) y, a continuación, en Certificado (Certificate).

6 En el cuadro de texto Contenidos de certificado (Certificates Contents), pegue el contenido del archivo del certificado PEM.

El texto debería incluir "-----BEGIN xxx-----" y "-----END xxx-----". Por ejemplo:

-----BEGIN CERTIFICATE-----

Server cert

-----END CERTIFICATE-----


VMware, Inc. 123

7 En el cuadro de texto Clave privada (Private Key), pegue el contenido de clave privada del servidor.

A continuación, se muestra un ejemplo del contenido de clave privada:

-----BEGIN RSA PRIVATE KEY-----

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

-----END RSA PRIVATE KEY-----

8 Introduzca la contraseña del archivo de clave privada. Vuelva a escribirla para confirmarla.

9 (opcional) Escriba una descripción para el certificado de servidor.


Agregar un certificado en cadenaPara agregar un certificado de servidor que está encadenado a los certificados de CA raíz e intermedio, necesita un certificado de servidor (archivo PEM), una clave privada para el servidor, así como un certificado raíz y un certificado intermedio.

Procedimiento





5 Haga clic en Agregar (Add) y, a continuación, en Certificado (Certificate).

6 En el cuadro de texto Contenidos de certificado (Certificates Contents), pegue el contenido del archivo cert.pem del servidor y agregue el contenido de los certificados intermedios y el certificado raíz.

En la cadena de certificados, el orden de los certificados debe ser el siguiente:

n Certificado de servidor

n Cualquier número de certificados de CA intermedios

n Certificado de CA raíz

Cada certificado debe incluir las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----, como se muestra en el siguiente ejemplo:


Server cert



Intermediate cert


VMware, Inc. 124



Root cert


7 En el cuadro de texto Clave privada (Private Key), pegue el contenido de clave privada del servidor.





8 Introduzca la contraseña de la clave privada del servidor. Vuelva a escribirla para confirmarla.

9 (opcional) Escriba una descripción para el certificado en cadena.


Después de agregar el certificado, el certificado de servidor encadenado a sus certificados intermedios aparecen en la información del certificado.

Para ver la información de los certificados:

n En NSX 6.4.4 y versiones posteriores, en la tabla Certificados (Certificates), haga clic en el texto de la columna Emitido a (Issued To). La información sobre el certificado aparece en una ventana emergente.

n En NSX 6.4.3 y versiones anteriores, seleccione un certificado de la cuadrícula. El panel Detalles del certificado (Certificate Details) bajo la cuadrícula muestra la información del certificado.

Configurar un certificado autofirmadoEs posible crear, instalar y administrar certificados de servidor autofirmados.

Requisitos previos

Debe contar con una CA que pueda firmar la solicitud de firma del certificado (CSR, Certificate Signing Request).

Procedimiento





5 Genere una solicitud de firma del certificado (CSR) para NSX Edge. Para obtener información detallada, consulte del paso 1 al 7 en Configurar un certificado firmado por una entidad de certificación.

6 Asegúrese de que la CSR que generó está seleccionada.


VMware, Inc. 125

7 Haga clic en Acciones CSR (CSR Actions) o Acciones (Actions) y, a continuación, en Autofirmar certificado (Self Sign Certificate).

8 Escriba el número de días durante el que quiere que este certificado autofirmado sea válido.


Utilizar certificados clienteDespués de generar un certificado cliente, puede distribuirlo a sus usuarios remotos, quienes pueden instalarlo en su explorador web.

La principal ventaja de implementar certificados de cliente es que el equilibrador de carga de NSX Edge puede solicitar al cliente su certificado de cliente y validarlo antes de reenviar sus solicitudes web a los servidores back-end. Si un certificado de cliente se revoca porque se ha perdido o bien porque el cliente ya no trabaja en la empresa, NSX Edge validará el certificado de cliente que no pertenezca a la lista de revocación de certificación.

Los certificados de cliente de NSX Edge se configuran en el perfil de aplicación.

Para obtener más información sobre la generación de certificados de cliente, consulte Escenario: Autenticación SSL de cliente y servidor.

Agregar una lista de revocación de certificadosUna lista de revocación de certificados (CRL) es una lista de suscriptores junto con su estado que proporciona y firma Microsoft.

La lista contiene los siguientes elementos:

n Los certificados revocados y los motivos de la revocación.

n Las fechas en que se emitieron los certificados.

n Las entidades que emitieron los certificados.

n La fecha propuesta para la próxima versión.

Cuando un usuario potencial intenta acceder a un servidor, el servidor permite o deniega el acceso según la entrada en la lista CRL para ese usuario en particular.

Procedimiento





5 Haga clic en Agregar (Add) y, a continuación, haga clic en CRL.

6 En el cuadro de texto Contenido del certificado (Certificate Contents), pegue la lista.

7 (opcional) Escriba una descripción.


VMware, Inc. 126


Modo FIPSAl habilitar el modo FIPS, toda comunicación segura que salga de NSX Edge o llegue a él utilizará algoritmos o protocolos criptográficos permitidos por los estándares Federal Information Processing Standards (FIPS) de los Estados Unidos. El modo FIPS activa los conjuntos de claves de cifrado que cumplen con FIPS.

Si configura componentes que no sean compatibles con FIPS en una instancia de Edge que tenga habilitado el modo FIPS o si habilita el modo FIPS en una instancia de Edge que tenga cifrados o un mecanismo de autenticación que no sea compatible con FIPS, NSX Manager no podrá realizar la operación y generará un mensaje de error válido.

Diferencia de funcionalidad entre el modo FIPS y no FIPS

Componente Funcionalidad Modo FIPS Modo no FIPS

SSL VPN Autenticación RADIUS No disponible Disponible

SSL VPN Autenticación RSA No disponible Disponible

Protocolo TLS TLSv1.0 No disponible Disponible

Enrutamiento OSPF, BGP - Autenticación MD5 de contraseñas

No disponible Disponible

IPsec VPN Autenticación PSK No disponible Disponible

IPsec VPN Grupos DH2 y DH5 No disponible Disponible

IPsec VPN Grupos DH14, DH15 y DH16 Disponible Disponible

IPsec VPN Algoritmo AES-GCM No disponible Disponible

Cambiar el modo FIPS en NSX EdgeHabilitar el modo FIPS activa los conjuntos de claves de cifrado que cumplen con FIPS. Por tanto, cualquier comunicación segura con NSX Edge (entrante o saliente ) utiliza algoritmos o protocolos criptográficos permitidos por FIPS.

Precaución Cambiar el modo FIPS reinicia el dispositivo NSX Edge, lo que causa la interrupción temporal del tráfico. Esto se aplica independientemente de si se habilita o no la alta disponibilidad.

En función de sus requisitos, puede habilitar FIPS en algunos de sus dispositivos NSX Edge o en todos ellos. Los dispositivos NSX Edge con FIPS habilitado pueden comunicarse con los dispositivos NSX Edge que no tienen FIPS habilitado.

Si se implementa un enrutador lógico (distribuido) sin un dispositivo NSX Edge, no se podrá modificar el modo FIPS. El enrutador lógico obtiene automáticamente el mismo modo FIPS que el clúster de NSX Controller. Si el clúster de NSX Controller utiliza NSX 6.3.0 o una versión posterior, estará habilitado el modo FIPS.


VMware, Inc. 127

Para cambiar el modo FIPS en un enrutador lógico (distribuido) universal en un entorno Cross-vCenter NSX con varios dispositivos NSX Edge implementados en las instancias principal y secundaria de NSX Manager, deberá cambiar el modo FIPS en todos los dispositivos NSX Edge asociados al enrutador lógico (distribuido) universal en el NSX Manager principal..

Si cambia el modo FIPS en un dispositivo NSX Edge con la alta disponibilidad habilitada, se habilitará FIPS en ambos dispositivos y los dispositivos se reiniciarán uno después del otro.

Si desea cambiar el modo FIPS por un Edge independiente, use los comandos fips enable o fips disable. Para obtener más información, consulte la Referencia de la interfaz de línea de comandos de NSX.

Requisitos previos

n Verifique que todas las soluciones de los partners tengan un certificado para el modo FIPS. Consulte la Guía de compatibilidad de VMware en http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security.

n Si actualizó desde una versión anterior de NSX, no habilite el modo FIPS hasta que se complete la actualización a NSX 6.3.0. Consulte más información sobre el modo FIPS y la actualización de NSX en la Guía de actualización de NSX.

n Verifique que NSX Manager tenga NSX 6.3.0 o una versión posterior.

n Verifique que el clúster de NSX Controller tenga NSX 6.3.0 o una versión posterior.

n Verifique que todos los clústeres de host que ejecuten cargas de trabajo de NSX estén preparados con NSX 6.3.0 o una versión posterior.

n Compruebe que todos los dispositivos NSX Edge en los que desea habilitar FIPS tengan la versión 6.3.0 o una versión posterior.

n Verifique que la infraestructura de mensajes tenga el estado VERDE. Use el método de API GET /api/2.0/nwfabric/status?resource={resourceId}, en el que resourceId es el identificador de objetos administrados de vCenter de un host o un clúster. Busque el valor de status correspondiente al featureId de com.vmware.vshield.vsm.messagingInfra en el cuerpo de la respuesta:

<nwFabricFeatureStatus>

<featureId>com.vmware.vshield.vsm.messagingInfra</featureId>

<updateAvailable>false</updateAvailable>

<status>GREEN</status>

<installed>true</installed>

<enabled>true</enabled>

<allowConfiguration>false</allowConfiguration>

</nwFabricFeatureStatus>

Procedimiento




VMware, Inc. 128



3 Seleccione el enrutador o edge requerido, haga clic en Acciones ( ) (Actions) y seleccione Cambiar el modo FIPS (Change FIPS mode).

Se mostrará el cuadro de diálogo Cambiar modo FIPS (Change FIPS mode).

4 Seleccione o desmarque la casilla de verificación Habilitar FIPS (Enable FIPS). Haga clic en Aceptar (OK).

NSX Edge se reinicia y el modo FIPS se habilita.

Pasos siguientes

De forma opcional, Cambiar la configuración de TLS y el modo FIPS en NSX Manager.

Administración de dispositivos NSX EdgePuede agregar, editar o eliminar dispositivos NSX Edge. Una instancia de NSX Edge permanece sin conexión hasta que al menos un dispositivo se haya agregado a ella.

Agregar un dispositivo EdgeEs necesario agregar al menos un dispositivo a NSX Edge para poder implementarlo.

Procedimiento




4 Acceda a un Dispositivo NSX Edge.

Versión Procedimiento

NSX 6.4.4 y posteriores a Administrar (Manage) > Configuración (Settings) > Configuración del dispositivo (Appliance Settings).

b Acceda a la sección Máquinas virtuales del dispositivo Edge (Edge Appliance VMs).

NSX 6.4.3 y anteriores a Haga clic en Administrar (Manage) > Configuración (Settings) > Configuración (Configuration).

b Acceda al panel Dispositivos NSX Edge (NSX Edge Appliances).


VMware, Inc. 129

5 Haga clic en Agregar máquina virtual de dispositivo Edge (Add Edge Appliance VM) o en el icono

Agregar (Add) ( ).

6 Seleccione el clúster o el grupo de recursos y el almacén de datos para el dispositivo.

7 (opcional) Seleccione el host al que desea agregar el dispositivo.

8 (opcional) Seleccione la carpeta de vCenter en la cual planea agregar el dispositivo.


n En NSX 6.4.4 o versiones posteriores, la información sobre el dispositivo NSX Edge aparece en vista de tarjeta en la sección Máquinas virtuales del dispositivo Edge (Edge Appliance VMs). Una tarjeta muestra la configuración de una máquina virtual del dispositivo Edge.

n En NSX 6.4.3 o versiones anteriores, la información sobre el dispositivo NSX Edge aparece en cuadrículas en el panel Dispositivos NSX Edge (NSX Edge Appliances).

Editar un dispositivo EdgeEs posible editar un dispositivo NSX Edge.

Procedimiento










5 Edite la configuración de Dispositivo NSX Edge.


NSX 6.4.4 y posteriores a En la sección Máquinas virtuales del dispositivo Edge (Edge Appliance VMs), diríjase a la máquina virtual del dispositivo Edge que quiera editar.

b Haga clic en el y, a continuación, en Editar (Edit).

c Realice los cambios necesarios y haga clic en Guardar (Save).

NSX 6.4.3 y anteriores a Seleccione el dispositivo que desea editar y haga clic en el icono Editar (Edit)

( ).

b Realice los cambios necesarios y haga clic en Aceptar (OK).


VMware, Inc. 130

Eliminar un dispositivo EdgeEs posible eliminar un dispositivo de NSX Edge.

Procedimiento










5 Elimine un dispositivo NSX Edge.

u En NSX 6.4.4 y versiones posteriores, acceda a Dispositivo NSX Edge, haga clic en y, a continuación, en Eliminar (Delete).

u En NSX 6.4.3 y versiones anteriores, seleccione un Dispositivo NSX Edge de la cuadrícula y, a

continuación, haga clic en el icono Eliminar (Delete) ( ).

Administrar reservas de recursos de dispositivos NSX EdgeNSX Data Center for vSphere utiliza la asignación de recursos de vSphere para reservar recursos para los dispositivos NSX Edge. La reserva de recursos de memoria y CPU para NSX Edge garantiza que el dispositivo disponga de suficientes recursos para funcionar correctamente.

Existen tres métodos de reserva de recursos: Administrado por el sistema (System Managed), Personalizado (Custom) y Sin reserva (No Reservation).

Importante Si está utilizando NSX 6.4.3 o una versión anterior, y selecciona Personalizado (Custom) o Sin reserva (No Reservation) para un dispositivo de NSX Edge, no podrá volver al Administradas por el sistema (System Managed).

Reserva de recursos administrados por el sistemaSi selecciona Administrado por el sistema (System Managed), el sistema reservará recursos de memoria y CPU para el nuevo dispositivo NSX Edge. Los recursos reservados son iguales a los requisitos del sistema para el tamaño del dispositivo, modificados por los porcentajes especificados mediante la API de configuración de ajuste.


VMware, Inc. 131

Al instalar, actualizar o volver a implementar una instancia de NSX Edge, se implementarán los dispositivos de NSX Edge asociados. Si un dispositivo tiene la reserva de recursos Administrado por el sistema (System Managed), la reserva se aplicará al grupo de recursos después de que se encienda el dispositivo. Si no hay recursos suficientes, se producirá un error en la reserva y se generará un evento del sistema, pero la implementación del dispositivo se realizará correctamente. La reserva se intentará la próxima vez que se implemente el dispositivo (durante la actualización o la reimplementación).

Con las reservas de recursos del tipo Administrado por el sistema (System Managed), si cambia el tamaño del dispositivo, el sistema actualizará la reserva de recursos para que coincidan con los requisitos del sistema del nuevo tamaño de dispositivo.

Reserva de recursos personalizadosSi selecciona Personalizado (Custom), deberá determinar las reservas de recursos para el dispositivo NSX Edge.

Al instalar, actualizar o volver a implementar una instancia de NSX Edge, se implementarán los dispositivos de NSX Edge asociados. Si un dispositivo tiene la reserva de recursos Personalizado (Custom), la reserva se aplicará al grupo de recursos antes de que se encienda el dispositivo. Si no hay recursos suficientes, el dispositivo no se encenderá y se producirá un error en su implementación.

Puede aplicar reservas de tipo Personalizado (Custom) a un dispositivo de NSX Edge existente. Si el grupo de recursos no tiene suficientes recursos, se produce un error al cambiar la configuración.

Si se establece el valor Personalizado (Custom) para las reservas de recursos, el sistema no administrará las reservas de recursos para el dispositivo. Si cambia el tamaño del dispositivo, los requisitos del sistema del dispositivo cambiarán, pero el sistema no actualizará la reserva de recursos. Debe cambiar la reserva de recursos para que refleje los requisitos del sistema del nuevo tamaño del dispositivo.

Sin reserva de recursosSi selecciona Sin reserva (No reservation), no se reservará ningún recurso para el dispositivo NSX Edge. Puede implementar dispositivos de NSX Edge en hosts que no tengan recursos suficientes, pero si hay una contención de recursos, es posible que los dispositivos no funcionen correctamente.

Administrar reservas de recursos de dispositivos de NSX EdgeLa reserva de recursos se establece durante la creación de un dispositivo de NSX Edge. También puede actualizar la reserva de un dispositivo de NSX Edge existente. Puede usar vSphere Web Client o la API para realizar estas tareas. Consulte la Guía de NSX API para obtener más información sobre el uso de la API.


VMware, Inc. 132

Funcionamiento vSphere Web Client API

Crear una nueva instancia de NSX Edge Vaya a Redes y seguridad (Networking & Security) > NSX Edge y haga clic en Agregar (Add). El asistente le indicará los pasos que debe seguir para crear una instancia de NSX Edge. Puede agregar un dispositivo de NSX Edge en el paso Configurar implementación (Configure Deployment). Seleccione el método de reserva en el menú desplegable Reserva de recursos (Resource Reservation).

Use POST /api/4.0/edges

Actualizar una instancia de NSX Edge existente

Acceda a Redes y seguridad (Networking & Security) > NSX Edge > Instancia de NSX Edge (NSX Edge Instance) > Administrar (Manage) > Configuración (Settings) y edite la máquina virtual del dispositivo para seleccionar un valor diferente para Reserva de recursos (Resource Reservation).

Use PUT /api/4.0/edges/{edgeId}/appliances

Utilice los parámetros cpuReservation > reservation y memoryReservation > reservation para configurar la reserva de recursos del dispositivo de NSX Edge usando la API.

Método de reserva de recursos Valores de los parámetros de reserva

Administrado por el sistema (System Managed) No especifique valores para cpuReservation > reservation y memoryReservation > reservation.

Personalizado (Custom) Especifique los valores que desee en cpuReservation > reservation y memoryReservation > reservation.

Sin reserva (No Reservation) Configure cpuReservation > reservation y memoryReservation > reservation con el valor 0.

Los requisitos del sistema para los dispositivos NSX Edge dependen del tamaño del dispositivo: compacto, grande, cuádruple o extragrande. Estos valores se utilizan para la reserva de recursos del tipo Administrado por el sistema (System Managed) predeterminado.

Tamaño del dispositivo (Appliance Size) Reserva de CPU Reserva de memoria

Compacto 1000 MHz 512 MB

Grande 2000 MHz 1 GB

Tamaño cuádruple 4000 MHz 2 GB

Extra grande 6000 MHz 8 GB


VMware, Inc. 133

Modificar la reserva de recursos administrados por el sistema mediante la configuración de ajusteCuando haya falta de recursos, puede deshabilitar temporalmente las reservas de recursos del tipo Administrado por el sistema (System Managed) o disminuir el valor predeterminado. Puede cambiar el porcentaje de reserva configurando los valores de los parámetros edgeVCpuReservationPercentage y edgeMemoryReservationPercentage en la API de configuración de ajuste, PUT /api/4.0/edgePublish/tuningConfiguration. El valor predeterminado para ambos parámetros es 100. Este cambio afecta a las nuevas implementaciones de dispositivos NSX Edge, pero no a los dispositivos existentes. Los porcentajes modifican la CPU y la memoria predeterminadas reservadas para el tamaño de dispositivo NSX Edge relevante. Para deshabilitar la reserva de recursos, establezca los valores en 0. Consulte la Guía de NSX API para obtener más detalles.

Cambiar el método de reserva de recursos de Personalizado (Custom) o Sin reserva (No Reservation) a Administrado por el sistema (System Managed)Si está utilizando NSX 6.4.3 o una versión anterior, y selecciona Personalizado (Custom) o Sin reserva (No Reservation) para un dispositivo de NSX Edge, no podrá volver al tipo de reserva Administrado por el sistema (System Managed).

A partir de NSX 6.4.4, es posible utilizar la API para volver a las reservas del tipo Administrado por el sistema (System Managed) usando POST /api/4.0/edges/{edgeId}/appliances?action=applySystemResourceReservation. Consulte la Guía de NSX API para obtener más detalles.

A partir de NSX 6.4.6, puede usar vSphere Web Client para editar la máquina virtual del dispositivo de NSX Edge y cambiar de nuevo al tipo de reserva Administrado por el sistema (System Managed).

Trabajar con interfacesUna puerta de enlace de servicios NSX Edge puede tener hasta diez interfaces internas, de vínculo superior o troncales. Un enrutador NSX Edge puede tener ocho interfaces de vínculo superior y hasta mil interfaces internas.

Una instancia de NSX Edge debe tener al menos una interfaz interna para que se la pueda implementar.

Configurar una interfazGeneralmente, las interfaces internas se utilizan para el tráfico de este a oeste y las interfaces de vínculo superior para el tráfico de norte a sur.

Una puerta de enlace de servicio NSX Edge (ESG) puede tener hasta diez interfaces internas, de vínculo superior o troncales. NSX Manager es el responsable de aplicar estos límites. Cuando se conecta un enrutador lógico (DLR) a una puerta de enlace de servicios Edge (ESG), la interfaz en el enrutador es una interfaz de vínculo superior, mientras que la interfaz en la puerta de enlace es una interfaz interna. Las interfaces troncales de NSX se utilizan para las redes internas, no para las redes externas. Una interfaz troncal permite enlazar troncalmente varias redes internas (VLAN o VXLAN).


VMware, Inc. 134

Una implementación de NSX Data Center puede contener hasta 1.000 instancias de enrutadores lógicos distribuidos (DLR) en un solo host ESXi. En un solo enrutador lógico, es posible configurar hasta ocho interfaces de vínculo superior y hasta 991 interfaces internas. NSX Manager es el responsable de aplicar estos límites. Para obtener más información sobre la ampliación de interfaces en una implementación de NSX Data Center, consulte Guía de diseño de virtualización de red de NSX en https://communities.vmware.com/docs/DOC-27683.

Nota Las direcciones de multidifusión IPv6 no se admiten en las interfaces de ESG de NSX de NSX Data Center for vSphere 6.2.x, 6.3.x y 6.4.x.

Procedimiento




4 Acceda a la configuración de la interfaz de NSX Edge haciendo clic en Administrar (Manage) > Configuración (Settings) > Interfaces (Interfaces).

5 Seleccione una interfaz y haga clic en el icono Editar (Edit) ( o ).

6 En el cuadro de diálogo Editar interfaz de Edge (Edit Edge Interface), escriba un nombre para la interfaz.

7 Para indicar si esta interfaz es interna o externa (vínculo superior), haga clic en Interno (Internal) o Vínculo superior (Uplink).

Seleccione Troncal (Trunk) al crear una interfaz subordinada. Para obtener más información, consulte Agregar una subinterfaz.

8 Seleccione el grupo de puertos o el conmutador lógico al que desea conectar esta interfaz.

a Junto al cuadro de texto Conectado a (Connected To), haga clic en o Cambiar (Change).

b Según el grupo de puertos que desee conectar a la interfaz, haga clic en la pestaña Conmutador lógico (Logical Switch), Grupo de puertos estándar (Standard Port Group) o Grupo de puertos virtuales distribuidos (Virtual Distributed Port Group).

c Seleccione el grupo de puertos o el conmutador lógico apropiado y haga clic en Aceptar (OK).

9 Seleccione el estado de conectividad de la interfaz.

10 En Configurar subredes (Configure Subnets), haga clic en Agregar (Add) para agregar una subred a la interfaz.


11 Introduzca la longitud del prefijo de la subred o la máscara de subred para la interfaz.


VMware, Inc. 135



12 Si está utilizando NSX 6.4.4 o una versión posterior, haga clic en la pestaña Avanzado (Advanced) y continúe con el resto de pasos de este procedimiento. Si está utilizando NSX 6.4.3 o una versión anterior, vaya al paso siguiente.

13 Cambie la opción de MTU predeterminada si es necesario.

14 En Opciones (Options), especifique las siguientes opciones.


ARP de proxy (Proxy ARP) Se admite la superposición de reenvíos de red entre diferentes interfaces.


Se transmite la información de enrutamiento a los hosts.


Se comprueba la posibilidad de alcance de la dirección de origen en los paquetes que se reenvían. En el modo habilitado, el paquete debe recibirse en la interfaz que el enrutador puede utilizar para reenviar el paquete de retorno. En el modo flexible, la dirección de origen debe aparecer en la tabla de enrutamiento.

15 Introduzca los parámetros de contención.

Configure parámetros de contención si desea volver a utilizar las direcciones IP y MAC en diferentes entornos contenidos. Por ejemplo, en una Cloud Management Platform (CMP), la contención permite ejecutar varias instancias de nube simultáneas con las mismas direcciones IP y MAC aisladas o “contenidas”.


Eliminar una interfazEs posible eliminar una interfaz de NSX Edge.

Procedimiento





5 Seleccione la interfaz que desea eliminar.

6 Haga clic en el icono Eliminar (Delete) ( o ).

Habilitar una interfazUna interfaz de NSX Edge debe estar habilitada o debe estar conectada para poder aislar las máquinas virtuales dentro de esa interfaz (grupo de puertos o conmutador lógico).

Procedimiento



VMware, Inc. 136




5 Seleccione una interfaz para conectarse.

6 Haga clic en el icono Conectar (Connect) ( o ).

Deshabilitar una interfazPuede deshabilitar o desconectar una interfaz de un NSX Edge.

Procedimiento





5 Seleccione una interfaz para deshabilitarla o desconectarla.

6 Haga clic en el icono Desconectar (Disconnect) ( o ).

Cambiar la directiva de catalogación de tráficoEs posible cambiar la directiva de catalogación de tráfico de vSphere Distributed Switch para una interfaz de NSX Edge.

Nota A partir de NSX Data Center 6.4.4, la terminología referente a algunas funciones de la interfaz de usuario cambió. En la siguiente tabla aparece la lista de términos modificados.

Tabla 9-4. Términos modificados

NSX 6.4.3 o versiones anteriores NSX 6.4.4 o versiones posteriores

Directiva de catalogación de tráfico Calidad de servicio

En la directiva de catalogación Política de catalogación de entrada

Fuera de la directiva de catalogación Directiva de catalogación de salida

Procedimiento





VMware, Inc. 137


5 Seleccione la interfaz en la que desee configurar la calidad de servicio.


n En NSX 6.4.4 y versiones posteriores, haga clic en Configurar calidad de servicio (Configure QoS).

n En NSX 6.4.3 y versiones anteriores, haga clic en Acciones (Actions) > Configurar la directiva de catalogación de tráfico (Configure Traffic Shaping Policy).

7 Realice los cambios adecuados.

Para obtener más información sobre las opciones de catalogación de tráfico, consulte Directiva de catalogación de tráfico.


Agregar una subinterfazPuede agregar una subinterfaz en una vNIC troncal y utilizarla en varios servicios de NSX Edge.

Subinterfaz1

Subinterfaz2

Edge

Subinterfaz3

vNic 0 vNic 10

Las interfaces troncales pueden ser de los siguientes tipos:

n El tronco de VLAN es estándar y funciona con cualquier versión de ESXi. Este tipo de interfaz se utiliza para introducir tráfico de VLAN etiquetado en Edge.

n El tronco de VXLAN funciona con NSX versión 6.1 y posteriores. Este tipo de interfaz se utiliza para introducir tráfico de VXLAN en Edge.

Los siguientes servicios de Edge pueden usar una subinterfaz:

n DHCP

n Enrutamiento (BGP y OSPF)

n Equilibrador de carga


VMware, Inc. 138

https://docs.vmware.com/es/VMware-vSphere/6.7/com.vmware.vsphere.networking.doc/GUID-D3A091C0-0D0D-480D-ACE3-62524E2E0D0A.html

https://docs.vmware.com/es/VMware-vSphere/6.7/com.vmware.vsphere.networking.doc/GUID-D3A091C0-0D0D-480D-ACE3-62524E2E0D0A.html

n IPSec VPN: Puede configurar la VPN IPSec solo como una interfaz de vínculo superior. Utilice subinterfaces si desea que el tráfico privado pase por el túnel IPSec. Si una directiva IPSec está configurada para el tráfico privado, la subinterfaz actúa como una puerta de enlace para la subred local privada.

n VPN de Capa 2

n NAT

. No puede utilizarse una subinterfaz para HA o el firewall lógico. Sin embargo, puede utilizar la dirección IP de la subinterfaz en una regla de firewall de Edge.

Procedimiento





5 Seleccione una interfaz y haga clic en el icono Editar (Edit) ( o ).

6 En el cuadro de diálogo Editar interfaz de Edge (Edit Edge Interface), escriba un nombre para la interfaz.

7 En Tipo (Type), seleccione Tronco (Trunk).

8 Seleccione el grupo de puertos estándar o el grupo de puertos distribuidos al que debe conectarse esta interfaz.

a Junto al cuadro de texto Conectado a (Connected To), haga clic en o Cambiar (Change).

b Según el grupo de puertos que desee conectar a la interfaz, haga clic en las pestañas Grupo de puertos estándar (Standard Port Group) o Grupo de puertos distribuidos (Distributed Port Group).

c Seleccione un grupo de puertos apropiado y haga clic en Aceptar (OK).

9 Seleccione el estado de conectividad de la interfaz.

10 En Subinterfaces (Sub Interfaces), haga clic en el Agregar (Add).

11 Asegúrese de que la subinterfaz está habilitada y escriba un nombre para esta.

12 En Identificador de túnel (Tunnel ID), escriba un número entre 1 y 4.094.

El identificador de túnel se utiliza para conectar la redes que se van a ampliar. Este valor debe ser el mismo en los sitios cliente y del servidor.


VMware, Inc. 139

13 En Tipo de respaldo (Backing Type), seleccione una de las siguientes opciones para indicar el respaldo de red para la subinterfaz.


VLAN Escriba el identificador de VLAN de la LAN virtual que debe utilizar la subinterfaz. Los identificadores de VLAN pueden ser un número de 0 a 4.094.

Red Seleccione el conmutador lógico o el grupo de puertos distribuido. NSX Manager extrae el identificador de VLAN y lo utiliza para configurar el troncal.

Ninguna Utilice esta opción para crear una subinterfaz sin especificar un identificador de red o de VLAN. Esta subinterfaz es interna a una instancia de NSX Edge y se utiliza para enrutar paquetes entre una red ampliada y una red sin ampliar (sin etiquetar).

14 En Configurar subredes (Configure Subnets), haga clic en Agregar (Add) para agregar subredes a la

subinterfaz.

15 Introduzca la dirección IP.


16 Introduzca la longitud del prefijo de la subred.

17 Si es necesario, edite el valor predeterminado de MTU para la subinterfaz.

La MTU predeterminada de una subinterfaz es 1.500. La MTU de la subinterfaz debe ser menor o igual que la MTU más baja de todas las interfaces troncales para NSX Edge.

18 Seleccione Enviar redireccionamiento (Send Redirect) para transmitir la información de enrutamiento a los hosts.

19 Habilite o deshabilite la opción Invertir filtro de ruta de acceso (Reverse Path Filter).

Esta opción comprueba la posibilidad de alcance de la dirección de origen en los paquetes que se reenvían. En el modo habilitado, el paquete debe recibirse en la interfaz que el enrutador puede utilizar para reenviar el paquete de retorno. En el modo flexible, la dirección de origen debe aparecer en la tabla de enrutamiento.

20 Para volver a la configuración de la interfaz troncal, haga clic en Aceptar (OK).

21 Si está utilizando NSX Data Center 6.4.4 o una versión posterior, haga clic en la pestaña Avanzado (Advanced) para continuar con el resto de los pasos de este procedimiento.

22 Introduzca la dirección MAC de la interfaz si es necesario. Si HA está habilitado para la ESG, introduzca dos direcciones MAC.

Si no es necesario, las direcciones MAC se generan automáticamente.


VMware, Inc. 140

23 Si es necesario, edite la MTU predeterminada de la interfaz troncal.

La MTU predeterminada de una interfaz troncal es 1.600, mientras que la MTU predeterminada de una subinterfaz es 1.500. La MTU de la interfaz troncal debe ser igual o superior que la MTU de la subinterfaz.


Ahora puede usar la subinterfaz para los servicios Edge.

Pasos siguientes

Configure el tronco de VLAN si la subinterfaz agregada a una vNic de tronco está respaldada por un grupo de puertos estándar. Consulte Configurar el tronco de VLAN .

Configurar el tronco de VLANCuando se agregan subinterfaces en la vNic troncal de una instancia de Edge que está conectada a un portgroup distribuido, se admiten los enlaces troncales VLAN y VXLAN. Cuando se agregan subinterfaces en la vNic troncal de una instancia de Edge que está conectada a un portgroup estándar, solo se admiten los enlaces troncales VLAN.

Requisitos previos

Compruebe que está disponible una subinterfaz con una vNic de tronco respaldada por un grupo de puertos estándar. Consulte Agregar una subinterfaz.

Procedimiento

1 Inicie sesión en vCenter Web Client.

2 Haga clic en Redes (Networking).

3 Seleccione el grupo de puertos estándar y haga clic en Editar configuración (Edit Settings).

4 Haga clic en la pestaña VLAN.

5 En Tipo de VLAN (VLAN Type), seleccione Enlace troncal de VLAN (VLAN Trunking) y escriba los identificadores de VLAN que se enlazarán troncalmente.


Cambiar configuración de reglas automáticasCuando se habilita la generación automática de reglas, NSX Edge agrega reglas de firewall, NAT y enrutamiento para permitir el flujo de tráfico de control en estos servicios. Si no se habilita la generación automática de reglas, es necesario agregar manualmente la configuración de firewall, NAT y enrutamiento para permitir el tráfico en los canales de control de los servicios de NSX Edge como equilibrio de carga, VPN, etc.

Procedimiento




VMware, Inc. 141

3 Seleccione una instancia de NSX Edge.

4 Haga clic en Acciones (Actions) > Cambiar configuración de reglas automáticas (Change Auto Rule Configuration).

5 Realice los cambios necesarios y haga clic en Aceptar (OK).

Cambiar credenciales de CLIPuede editar las credenciales que se utilizan para iniciar sesión en la interfaz de línea de comandos (CLI) de NSX Edge.

Procedimiento




4 Haga clic en Acciones (Actions) > Cambiar credenciales de CLI (Change CLI Credentials).

5 Introduzca y confirme la nueva contraseña y haga clic en Aceptar (OK).

Acerca de High AvailabilityHigh Availability (HA) asegura que los servicios proporcionados por los dispositivos NSX Edge están disponibles aunque un error de hardware o software haga que un dispositivo no esté disponible. HA de NSX Edge minimiza el tiempo de inactividad de la conmutación por error en lugar de enviar un tiempo de inactividad cero, puesto que la conmutación por error entre dispositivos puede necesitar que se reinicien algunos servicios.

Por ejemplo, NSX Edge HA sincroniza el seguimiento de la conexión del firewall con estado o la información con estado proporcionada por el equilibrador de carga. El tiempo necesario para introducir la copia de seguridad de todos los servicios no es nulo. Los ejemplos de impactos al reiniciar servicios conocidos incluyen un tiempo de inactividad que no es cero con un enrutamiento dinámico cuando una instancia de NSX Edge funciona como enrutador.

En algunas ocasiones, los dos dispositivos de HA de NSX Edge no pueden comunicarse y deciden activarse de forma unilateral. Este comportamiento debe mantener la disponibilidad de los servicios de NSX Edge activos si NSX Edge en espera no está disponible. Si aún existe el otro dispositivo cuando la comunicación se vuelve a establecer, los dos dispositivos de HA de NSX Edge vuelven a negociar el estado activo y en espera. Si esta negociación no finaliza y ambos dispositivos declaran que están activos cuando se vuelve a establecer la conectividad, se produce un comportamiento inesperado. Esta condición, conocida como cerebro dividido, se produce debido a las siguientes condiciones del entorno:

n Problemas de la conectividad de la red física, que incluye una partición de red.

n CPU o contención de los recursos de memoria en NSX Edge.

n Problemas transitorios de almacenamiento que pueden hacer que al menos una máquina virtual de HA de NSX Edge no esté disponible.


VMware, Inc. 142

Por ejemplo, se produce una mejora en la estabilidad y el rendimiento de HA de NSX Edge cuando las máquinas virtuales salen del almacenamiento sobreaprovisionado. Concretamente, mientras se realizan copias de seguridad nocturnas, grandes puntas en la latencia del almacenamiento pueden suponer un impacto en la estabilidad de HA de NSX Edge.

n Congestión en el adaptador de red física o virtual relacionada con el intercambio de paquetes.

Además de los problemas de entorno, una situación de cerebro dividido se produce cuando el motor de la configuración de HA pasa a un mal estado o cuando se produce un error en el demonio de HA.

High Availability con estadoEl dispositivo NSX Edge principal está en estado activo, mientras que el secundario está en estado en espera. NSX Manager replica la configuración del dispositivo principal para el dispositivo en espera; de manera alternativa, se pueden agregar manualmente dos dispositivos. Cree los dispositivos principal y secundarios en almacenes de datos y grupos de recursos diferentes. Si se crean los dispositivos principal y secundarios en el mismo almacén de datos, dicho almacén debe compartirse entre todos los hosts del clúster para que el par de dispositivos de HA se implemente en hosts ESXi diferentes. Si el almacén de datos es un almacenamiento local, las dos máquinas virtuales se implementan en el mismo host.

Todos los servicios de NSX Edge se ejecutan en el dispositivo activo. El dispositivo principal mantiene un latido con el dispositivo en espera y envía actualizaciones de servicio a través de una interfaz interna.

Si no se recibe un latido del dispositivo principal en el período especificado (el valor predeterminado es 15 segundos), se declara inactivo al dispositivo principal. El dispositivo en espera cambia al estado activo, pasa a controlar la configuración de la interfaz del dispositivo principal e inicia los servicios NSX Edge que se estaban ejecutando en el dispositivo principal. Cuando se realiza la transición, aparece un evento de sistema en la pestaña Eventos del sistema (System Events) de Configuración e informes (Settings & Reports). Los servicios de equilibrador de carga y VPN deben restablecer la conexión TCP con NSX Edge, por lo que el servicio se interrumpe durante un breve período Las conexiones del conmutador lógico y las sesiones del firewall se sincronizan entre los dispositivos principales y en espera. No obstante, el servicio se interrumpe durante la transición en la cual el dispositivo en espera se activa y toma el control.

Si se produce un error en el dispositivo NSX Edge y se informa de un estado incorrecto, HA realiza una sincronización forzada del dispositivo con errores para reactivarlo. Una vez reactivado, el dispositivo asume la configuración del dispositivo ahora activo y permanece en estado de espera. Si el dispositivo NSX Edge está inactivo, debe eliminarlo y agregar uno nuevo.

NSX Edge garantiza que las dos máquinas virtuales NSX Edge HA no estén en el mismo host ESXi incluso después de utilizar DRS y vMotion (a menos que las migre manualmente con vMotion al mismo host). En vCenter, se implementan dos máquinas virtuales en el mismo grupo de recursos y almacén de datos que el dispositivo configurado. Se asignan direcciones IP de enlace local a las máquinas virtuales de HA en el dispositivo HA de NSX Edge para que puedan comunicarse. Puede especificar direcciones IP de administración para anular los vínculos locales.

Si se configuran servidores syslog, los registros del dispositivo activo se envían a dichos servidores.


VMware, Inc. 143

High Availability en un entorno Cross-vCenter NSXSi habilita la alta disponibilidad en NSX Edge en un entorno de Cross-vCenter NSX, los dispositivos Dispositivo NSX Edge activos y en espera deben residir en el mismo vCenter Server. Si migra uno de los dispositivos de un par NSX Edge HA a un sistema vCenter Server diferente, los dos dispositivos de HA dejarán de funcionar como un par HA y es posible que se interrumpa el tráfico.

vSphere High AvailabilityNSX Edge HA es compatible con vSphere HA. Si el host en el que se está ejecutando la instancia de NSX Edge pierde la actividad, el dispositivo NSX Edge se reinicia en el host en espera para garantizar que el par de NSX Edge HA siga estando disponible para controlar otra conmutación por error.

Si no se habilita vSphere HA, el par de NSX Edge HA en modo activo o en espera sobrevivirá una sola conmutación por error. Sin embargo, si se produce otra conmutación por error antes de la restauración del segundo par HA, puede ponerse en riesgo la disponibilidad de NSX Edge.

Para obtener más información sobre vSphere HA, consulte Disponibilidad de vSphere.

Cambiar la configuración de alta disponibilidadEs posible cambiar la configuración de HA que se especificó durante la instalación de NSX Edge.

Nota En NSX 6.2.3 y versiones posteriores, se producirá un error al habilitar la alta disponibilidad (HA) en una instancia de Edge cuando no se puedan reservar recursos suficientes para la máquina virtual secundaria del dispositivo Edge. La configuración se restaurará a la última configuración conocida y efectiva.

Procedimiento





VMware, Inc. 144

4 Acceda a las opciones de configuración de HA de Edge.


NSX 6.4.4 y posteriores a Haga clic en Administrar (Manage) > Configuración (Settings) > Alta disponibilidad (High Availability).

b Realice estos pasos.

n Para editar las opciones de configuración de HA, haga clic en Editar (Edit) que aparece junto a Configuración de alta disponibilidad (High Availability Configuration).

n Para editar la configuración de la interfaz HA de administración (Management HA) para un dispositivo DLR, haga clic en Editar (Edit) junto a la interfaz Administración/HA (Management/HA).


b Realice estos pasos:

n Para editar las opciones de configuración de HA, acceda al panel Configuración de HA (HA Configuration) y haga clic en Cambiar (Change).

n Para editar la configuración de la interfaz HA de administración (Management HA) para un dispositivo DLR, acceda al panel Configuración de la interfaz de HA (HA Interface Configuration) y haga clic en Cambiar (Change).

5 Cambie las opciones de configuración de HA. Consulte las siguientes tablas para obtener una

descripción de todas las opciones de configuración de HA.

Tabla 9-5. Opciones comunes de configuración de HA


Declarar tiempo de inactividad (Declare dead time) Escriba el período en segundos dentro del cual, si el dispositivo de copia de seguridad no recibe una señal de latido del dispositivo principal, este se considera inactivo y el dispositivo de copia de seguridad lo reemplaza. El intervalo predeterminado es 15 segundos.

Registro (Logging) Habilite o deshabilite el registro en el dispositivo.

Nivel de registro (Log Level) Seleccione el nivel de información de registro que quiere recopilar sobre el dispositivo.


VMware, Inc. 145

Tabla 9-6. Opciones de configuración de HA para el dispositivo de puerta de enlace de servicios NSX Edge


vNIC Seleccione la interfaz interna en la que desee configurar parámetros de HA.

Si selecciona el valor CUALQUIERA (ANY) para la interfaz, pero no hay interfaces internas configuradas, la interfaz de usuario mostrará un error. Se crean dos dispositivos Edge, pero como no hay ninguna interfaz interna configurada, el NSX Edge nuevo permanece en espera y se deshabilita HA. Una vez que se configura una interfaz interna, HA se vuelve a habilitar en el dispositivo NSX Edge.

IP de administración (Management IPs) Opcional: puede introducir dos direcciones IP de administración en formato CIDR para anular las direcciones IP de vínculo locales asignadas a las máquinas virtuales con HA. Asegúrese de que las direcciones IP de administración no se superpongan con las direcciones IP utilizadas para ninguna otra interfaz, y que no interfieran con el enrutamiento de tráfico. No utilice una dirección IP que exista en otro lugar de la red, aunque esa red no esté conectada directamente al dispositivo.

Tabla 9-7. Opciones de configuración de HA para el dispositivo DLR


Conectado a Conecte la interfaz de HA a un grupo de puertos distribuido o a un conmutador lógico. Si está utilizando esta interfaz solo como una interfaz de HA, utilice un conmutador lógico. Se asigna una subred /30 a partir del rango 169.254.0.0/16 local del vínculo y se utiliza para proporcionar una dirección IP para cada uno de los dos dispositivos NSX Edge.

Dirección IP (IP Address) (disponible en NSX Data Center for vSphere 6.4.3 o versiones anteriores)

Opcional: para usar la interfaz de HA para conectarse a NSX Edge, puede especificar una dirección IP adicional y el prefijo de la interfaz de HA.

Nota Si configuró la VPN de Capa 2 en el dispositivo Edge antes de habilitar HA, debe tener, al menos, dos interfaces internas configuradas. Si existe una sola interfaz configurada en esta instancia de Edge que ya utiliza VPN de Capa 2, la alta disponibilidad queda deshabilitada en el dispositivo Edge.


Forzar sincronización de NSX Edge con NSX ManagerEs posible enviar una solicitud de sincronización de NSX Manager a NSX Edge.


VMware, Inc. 146

Ejecute la sincronización forzada cuando desee sincronizar la configuración de Edge como aparece en NSX Manager con todos los componentes.

Nota En NSX Data Center 6.2 y versiones posteriores, forzar la sincronización evita la pérdida de datos del tráfico de enrutamiento de este a oeste. Sin embargo, el enrutamiento de norte a sur y las rutas puente se podrían interrumpir.

En NSX 6.4.3 o versiones anteriores, NSX Manager realiza las siguientes acciones durante la operación de sincronización forzada:

n Elimina la configuración de los dispositivos Edge. Empieza por el índice 0 y continúa con el índice 1.

n Reinicia los dispositivos Edge. Los índices 0 y 1 se reinician a la vez. Esta acción genera un periodo de inactividad elevado.

n Publica o aplica la última configuración en los dispositivos Edge.

n Cierra la conexión con el host.

n Si la instancia de NSX Manager es principal o independiente y Edge es un enrutador lógico distribuido, se sincroniza el clúster del controlador.

n Envía un mensaje a todos los hosts correspondientes para sincronizar la instancia del enrutador distribuido.

Desde la versión 6.4.4 de NSX, NSX Manager realiza las acciones siguientes durante la operación de sincronización forzada:

n Si el estado de los dispositivos Edge es malo, NSX Manager elimina la configuración de Edge, reinicia los dispositivos Edge en mal estado y publica la última configuración en los dispositivos Edge.

n Si el estado de los dispositivos Edge no es malo, NSX Manager no reinicia los dispositivos Edge y publica directamente la última configuración en los dispositivos Edge. Al eliminar el reinicio innecesario de los dispositivos Edge, se reduce el periodo de inactividad.

n Cierra la conexión con el host.

n Si la instancia de NSX Manager es principal o independiente y Edge es un enrutador lógico distribuido, se sincroniza el clúster del controlador.

n Envía un mensaje a todos los hosts correspondientes para sincronizar la instancia del enrutador distribuido.

Importante En un entorno Cross-vCenter NSX, primero debe ejecutar la sincronización forzada en una instancia de NSX Edge en el NSX Manager principal. Cuando finalice, fuerce la sincronización de la instancia de NSX Edge en las instancias secundarias de NSX Manager.

Procedimiento




VMware, Inc. 147


4 Haga clic en Acciones [Acciones] ( ) y seleccione Forzar sincronización (Force Sync).

Configure los servidores de Syslog para NSX EdgePuede configurar uno o dos servidores Syslog remotos. Los eventos y registros de NSX Edge relacionados con eventos de firewall que circulan desde dispositivos NSX Edge son enviados a los servidores Syslog.

Procedimiento




4 Establezca las opciones de configuración del servidor syslog.


NSX 6.4.4 y posteriores a Haga clic en Administrar (Manage) > Configuración (Settings) > Configuración del dispositivo (Appliance Settings).

b Junto a Configuración (Configuration), haga clic en el icono y, a continuación, haga clic en Cambiar configuración de syslog (Change Syslog Configuration).


b En el panel Detalles (Details), situado junto a Servidores Syslog (Syslog servers), haga clic en Cambiar (Change).

5 Escriba una dirección IP para ambos servidores syslog remotos.

6 Seleccione una opción de protocolo y haga clic en Aceptar (OK).

Comprobar el estado de los servicios NSX EdgePuede comprobar el estado de todos los servicios en NSX Edge desde una única ubicación y actualizar la ventana para comprobar el estado en cualquier momento.

Procedimiento





VMware, Inc. 148

4 Acceda para ver los estados de todos los servicios Edge.


NSX 6.4.4 y posteriores Haga clic en Administrar (Manage) > Configuración (Settings) > Servicios (Services).


b Consulte el panel Servicios (Services) para conocer el estado de todos los servicios Edge.

Volver a implementar NSX EdgeSi los servicios NSX Edge no funcionan según lo esperado tras una sincronización forzada, se puede volver a implementar la instancia de NSX Edge.

Nota Volver a implementar es una acción disruptiva. En primer lugar, aplique una sincronización forzada y compruebe si se soluciona el problema. Le recomendamos que descargue el paquete de soporte técnico de Edge y solucione el problema. Si el problema persiste, vuelva a implementar el producto.

Al volver a implementar una instancia de NSX Edge ocurren las siguientes acciones:

n Los dispositivos Edge se eliminan e implementan de cero con la configuración más reciente aplicada.

n Los enrutadores lógicos se eliminan del controlador y, a continuación, se vuelven a crear con la configuración más reciente aplicada.

n Las instancias del enrutador lógico distribuido de los hosts se eliminan y, a continuación, se vuelven a crear con la configuración más reciente aplicada.

Las adyacencias OSPF se retiran durante este proceso si el reinicio estable no está habilitado.

Importante En un entorno de cross-vCenter NSX, es necesario que la instancia de NSX Edge se vuelva a implementar en primer lugar en la instancia principal de NSX Manager y, una vez hecho, se vuelva a implementar la instancia de NSX Edge en las instancias secundarias de NSX Manager. Se requiere volver a implementar tanto la instancia principal como las instancias secundarias de NSX Manager.

Requisitos previos

n Compruebe que los hosts tengan suficientes recursos para implementar más dispositivos de la puerta de enlace de servicios NSX Edge durante la operación para volver a realizar la implementación. Consulte Capítulo 1 Requisitos del sistema de NSX Data Center for vSphere si desea obtener información sobre los recursos necesarios para el tamaño de cada instancia de NSX Edge.

n Para una instancia individual de NSX Edge hay dos dispositivos NSX Edge del tamaño apropiado y encendidos (poweredOn) durante la reimplementación.


VMware, Inc. 149

n Para una instancia de NSX Edge con alta disponibilidad, se implementan ambos dispositivos de sustitución antes de reemplazar los antiguos dispositivos. Esto significa que hay cuatro dispositivos NSX Edge del tamaño adecuado y encendidos (poweredOn) durante la actualización de un NSX Edge determinado. Después de volver a implementar NSX Edge, cualquiera de los dispositivos HA puede activarse.

n Compruebe que los clústeres de host enumerados en la ubicación configurada y la ubicación en vivo para los dispositivos NSX Edge que vuelve a implementar estén preparados para NSX y que el estado de su infraestructura de mensajería esté de color VERDE.

Compruebe que los clústeres de host que aparecen en la ubicación configurada y la ubicación en vivo para todos los dispositivos NSX Edge estén preparados para NSX y que el estado de su infraestructura de mensajería sea de color VERDE. Si el estado aparece en verde, los hosts usan la infraestructura de mensajería para comunicarse con NSX Manager en lugar de VIX.

Si la ubicación configurada no está disponible, por ejemplo, debido a que se quitó el clúster al crearse el dispositivo NSX Edge, compruebe solo la ubicación en vivo.

n Busque el ID de la ubicación configurada original (configuredResourcePool > id) y la ubicación en vivo actual (resourcePoolId) con la solicitud de la API GET https://NSX-Manager-IP-Address/api/4.0/edges/{edgeId}/appliances.

n Busque el estado de preparación del host y el estado de la infraestructura de mensajería para los clústeres con la solicitud de la API GET https://NSX-Manager-IP-Address/api/2.0/nwfabric/status?resource={resourceId}, donde resourceId es el ID de la ubicación configurada y en vivo de los dispositivos de NSX Edge que se detectaron anteriormente.

• Busque el estado correspondiente al featureId de com.vmware.vshield.vsm.nwfabric.hostPrep en el cuerpo de la respuesta. El estado debe ser de color VERDE.


<featureId>com.vmware.vshield.vsm.nwfabric.hostPrep</featureId>

<featureVersion>6.3.1.5124716</featureVersion>

<updateAvailable>false</updateAvailable>






• Busque el estado correspondiente al featureId de com.vmware.vshield.vsm.messagingInfra en el cuerpo de la respuesta. El estado debe ser de color VERDE.


<featureId>com.vmware.vshield.vsm.messagingInfra</featureId>

<updateAvailable>false</updateAvailable



VMware, Inc. 150





Si los hosts no están preparados para NSX, haga lo siguiente:

n Vaya a Instalación y actualización (Installation and Upgrade) > Preparación del Host (Host Preparation) y prepare los hosts de NSX.

n Verifique que la infraestructura de mensajes sea VERDE.

n Vuelva a implementar las instancias de NSX Edge en el host.

Procedimiento




4 Haga clic en Acciones (Actions) > Volver a implementar (Redeploy).

Le recomendamos que descargue el paquete de soporte técnico de Edge y solucione el problema. Si el problema persiste, vuelva a implementar Edge.

La máquina virtual de NSX Edge se reemplaza con una nueva máquina virtual y se restauran todos los servicios. Si la nueva implementación no funciona, apague la máquina virtual de NSX Edge e intente volver a implementar NSX Edge nuevamente.

Nota Es posible que la acción de volver a implementar no funcione en los siguientes casos.

n El grupo de recursos en el que se instaló NSX Edge ya no se encuentra en el inventario de vCenter o cambió su identificador de objetos administrados (MOID).

n El almacén de datos donde se instaló NSX Edge está dañado o desmontado, o no es posible acceder a él.

n Los grupos dvportGroup a los que se conectaron las interfaces de NSX Edge ya no se encuentran en el inventario de vCenter o cambió su identificador MOID (identificador en vCenter Server).

Si ocurre alguno de los casos anteriores, debe actualizar el identificador MOID del grupo de recursos, del almacén de datos o de dvportGroups mediante una llamada API de REST. Consulte Guía de NSX API.

Si el modo FIPS está habilitado en NSX Edge y algo no sale bien, NSX Manager no permitirá volver a implementar la instancia de NSX Edge. Debe resolver los problemas de infraestructura por errores de comunicación en lugar de volver a implementar la instancia de Edge.

Descargar registros de soporte técnico para NSX EdgePuede descargar los registros de soporte técnico para cada instancia de NSX Edge. Si está habilitado el modo de alta disponibilidad para la instancia de NSX Edge, se descargan los registros de soporte de ambas máquinas virtuales de NSX Edge. También puede recopilar los datos del paquete de soporte


VMware, Inc. 151

técnico de NSX Edge mediante la herramienta de recopilación de paquetes de soporte técnico. Para obtener más información, consulte la Guía de administración de NSX.

Procedimiento




4 Haga clic en Acciones (Actions) > Descargar registros de soporte técnico (Download Tech Support Logs).

5 Una vez generados los registros de soporte técnico, haga clic en Descargar (Download).

Agregar una ruta estáticaEs posible agregar una ruta estática para un host o una subred de destino.

Procedimiento



3 Haga doble clic en una instancia de NSX Edge.

4 Haga clic en Administrar (Manage) > Enrutamietno (Routing) > Rutas estáticas (Static Routes).


6 Escriba el nombre de Red (Network) en notación CIDR.

7 Especifique la dirección IP para Próximo salto (Next Hop).

El enrutador debe poder llegar de forma directa al salto siguiente. Si se habilita el protocolo de enrutamiento ECMP, puede especificar varios saltos siguientes como una lista de direcciones IP separada por comas.

n En NSX 6.4.4 o versiones anteriores, el salto siguiente es obligatorio. Sin embargo, desde la versión 6.4.5 de NSX, el salto siguiente es opcional para la ESG. Puede especificar el salto siguiente, o bien la interfaz. Si opta por el salto siguiente, la interfaz no se podrá seleccionar y viceversa.

n En el caso del DLR y el UDLR, el salto siguiente es obligatorio.

8 Seleccione la opción de Interfaz (Interface) en la que desea agregar una ruta estática.

9 En la MTU, edite el valor de transmisión máxima de los paquetes de datos si fuera necesario.

El valor de MTU no puede superar el valor de MTU configurado en la interfaz de NSX Edge.


VMware, Inc. 152

10 Si se le pregunta, escriba un valor para Distancia administrativa (Admin Distance).

Seleccione un valor entre 1 y 255. La distancia administrativa se utiliza para seleccionar qué ruta debe utilizarse cuando existen varias rutas para una red determinada. Cuanto menor es esta distancia, mayor es la preferencia para la ruta.

Tabla 9-8. Distancias administrativas predeterminadas

Origen de la ruta Distancia administrativa predeterminada

Conectado 0

Estático 1

BGP externo 20

OSPF dentro del área 30

OSPF entre áreas 110

BGP interno 200

Una distancia administrativa de 255 hace que la ruta estática se excluya de la tabla de enrutamiento (RIB) y del plano de datos, por lo que no se utiliza esta ruta.

11 (opcional) Especifique el valor de Identificador de configuración regional (Locale ID).

De forma predeterminada, las rutas tienen el mismo identificador de configuración regional que NSX Manager. El identificador de configuración regional que especifique en esta opción asocia la ruta con ese identificador. Estas rutas se envian únicamente a los hosts que tengan el mismo identificador de configuración regional. Consulte Topologías de Cross-vCenter NSX para obtener más información.

12 (opcional) Escriba una Descripción (Description) para la ruta estática.


Configurar OSPF en un enrutador lógico (distribuido)La configuración de OSPF en un enrutador lógico permite la conectividad de la máquina virtual en todos los enrutadores lógicos, los cuales, a su vez, se conectan con las puertas de enlace de servicios Edge (ESG).

Las directivas de enrutamiento de OSPF ofrecen un proceso dinámico de equilibrio de carga de tráfico entre rutas de igual costo.

Una red OSPF se divide en áreas de enrutamiento para optimizar el flujo de tráfico y limitar el tamaño de las tablas de enrutamiento. Un área es una recopilación lógica de redes OSPF, enrutadores y vínculos que tienen la misma identificación de área.

Las áreas se distinguen por un identificador de área.

Requisitos previos

Debe configurarse un identificador de enrutador, como se muestra en OSPF configurado en el enrutador lógico (distribuido).


VMware, Inc. 153

Cuando habilita un identificador de enrutador, el cuadro de texto se rellena de forma predeterminada con la interfaz de enlace ascendente del enrutador lógico.

Procedimiento



3 Haga doble clic en un enrutador lógico.

4 Haga clic en Administrar (Manage) > Enrutamiento (Routing) > OSPF.

5 Habilite OSPF.

a Junto a Configuración de OSPF (OSPF Configuration), haga clic en Editar (Edit) y, a continuación, en Habilitar OSPF (Enable OSPF).

b En Dirección de reenvío (Forwarding Address), escriba una dirección IP que utilizará el módulo de rutas de datos del enrutador en los hosts para reenviar paquetes de rutas de datos.

c En Dirección de protocolo (Protocol Address), escriba una dirección IP única dentro de la misma subred de Dirección de reenvío (Forwarding Address). El protocolo utiliza la dirección de protocolo para formar adyacencias con los elementos del mismo nivel.

d (opcional) Habilite Reinicio correcto (Graceful Restart) para detener la interrupción del reenvío de paquetes durante el reinicio de los servicios de OSPF.

6 Configure las áreas de OSPF.

a (opcional) Elimine el área Not-So-Stubby (NSSA) 51 que viene configurada de forma predeterminada.

b En Definiciones de área (Area Definitions), haga clic en Agregar (Add).

c Escriba un identificador de área. NSX Edge admite un identificador de área en forma de número decimal. Los valores válidos van del 0 al 4294967295.

d En Tipo (Type), seleccione Normal o NSSA.

Las NSSA impiden el desborde con anuncios sobre el estado del vínculo (LSA) AS externos. Las NSSA dependen del enrutamiento predeterminado en destinos externos. Por lo tanto, deben ubicarse en el extremo de un dominio de enrutamiento de OSPF. Las NSSA pueden importar rutas externas en el dominio de enrutamiento de OSPF, por lo que ofrecen un servicio de tránsito para los dominios pequeños de enrutamiento que no forman parte del dominio de enrutamiento de OSPF.


VMware, Inc. 154

7 (opcional) Seleccione un tipo de autenticación en Autenticación (Authentication). OSPF realiza la autenticación en el nivel del área.

Todos los enrutadores dentro del área deben tener la misma autenticación y la correspondiente contraseña configurada. Para que funcione la autenticación de MD5, tanto los enrutadores de recepción como de transmisión deben tener la misma clave MD5.

a Ninguna (None): no se requiere autenticación, que es el valor predeterminado.

b Contraseña (Password): en este método de autenticación, se incluye una contraseña en el paquete transmitido.

c MD5: este método de autenticación utiliza un cifrado MD5 (síntesis del mensaje de tipo 5). En el paquete transmitido se incluye una suma de comprobación de MD5.

d Para la autenticación de tipo Contraseña (Password) o MD5, escriba la contraseña o la clave de MD5.

Importante n Si NSX Edge está configurado para HA con el reinicio correcto de OSPF habilitado y MD5 se

usa para la autenticación, OSPF no se reinicia correctamente. Las adyacencias solo aparecen después de que caduque el período de gracia en los nodos de aplicaciones auxiliares de OSPF.

n No puede configurar la autenticación MD5 si está habilitado el modo FIPS.

n NSX Data Center for vSphere siempre utiliza un valor 1 de ID de clave. Los dispositivos que no administre NSX Data Center for vSphere y que estén al mismo nivel que la puerta de enlace de servicios Edge o el enrutador lógico distribuido se deben configurar para que usen el valor 1 de la ID clave cuando se use la autenticación MD5. De lo contrario, no se puede establecer una sesión OSPF.

8 Asigne interfaces a las áreas.

a En Asignación de interfaces a área (Area to Interface Mapping), haga clic en Agregar (Add) para asignar la interfaz que corresponde al área de OSPF.

b Seleccione la interfaz que desea asignar y el área de OSPF a la cual será asignada.

9 (opcional) Edite la configuración predeterminada de OSPF.

En la mayoría de los casos, se recomienda conservar la configuración predeterminada de OSPF. Si finalmente cambia la configuración, asegúrese de que los elementos del mismo nivel de OSPF utilicen la misma configuración.

a Intervalo de saludo (Hello Interval) muestra el intervalo predeterminado entre los paquetes de saludo que se envían en la interfaz.

b Intervalo inactivo (Dead Interval) muestra el intervalo predeterminado durante el cual debe recibirse al menos un paquete de saludo de un vecino antes de que el enrutador declare a ese vecino como inactivo.


VMware, Inc. 155

c Prioridad (Priority) muestra la prioridad predeterminada de la interfaz. La interfaz con la prioridad más alta es el enrutador designado.

d La opción Costo (Cost) de una interfaz muestra la sobrecarga predeterminada necesaria para enviar paquetes a través de esa interfaz. El costo de una interfaz es inversamente proporcional a su ancho de banda. A mayor ancho de banda, menor costo.


Ejemplo: OSPF configurado en el enrutador lógico (distribuido)Un escenario simple de NSX que utiliza OSPF es aquel en el que un enrutador lógico (DLR) y una puerta de enlace de servicios Edge (ESG) son vecinos de OSPF, como se muestra aquí.


VMware, Inc. 156

Figura 9-1. Topología de NSX Data Center for vSphere

172.16.20.10 172.16.10.10



Enrutadorlógico

Conmutadorlógico

de aplicaciones



Máquina virtualweb


Conmutadorlógico

de tránsito


Puerta de enlace de

servicios Edge

En la página Configuración global (Global Configuration), los ajustes están configurados como se indica a continuación:

n IP de puerta de enlace (Gateway IP): 192.168.10.1. La puerta de enlace predeterminada del enrutador lógico es la dirección IP de la interfaz interna de la ESG (192.168.10.1).

n Identificador del enrutador (Router ID): 192.168.10.2. El identificador del enrutador es la interfaz de enlace ascendente del enrutador lógico. En otras palabras, se trata de la dirección IP que apunta a la ESG.


VMware, Inc. 157

En la página Configuración de OSPF (OSPF Configuration), los ajustes están configurados como se indica a continuación:

n Dirección de reenvío (Forwarding Address): 192.168.10.2

n Dirección del protocolo (Protocol Address): 192.168.10.3. La dirección del protocolo puede ser cualquier dirección IP situada en la misma subred y que no se utilice en ninguna otra parte. En este caso, está configurada la dirección 192.168.10.3.

n Definición de área (Area definition):

n Identificador de área (Area ID): 0

n Tipo (Type): Normal

n Autenticación (Authentication): Ninguna (None)

La interfaz de enlace ascendente (es decir, la interfaz que apunta a la ESG) se asigna al área como se indica a continuación:

n Interfaz (Interface): Hacia ESG (To-ESG)


n Intervalo de inicio (segundos) (Hello Interval [seconds]): 10

n Intervalo inactivo (segundos) (Dead Interval [seconds]): 40

n Prioridad (Priority): 128

n Costo (Cost): 1

Pasos siguientes

Asegúrese de que la redistribución de rutas y la configuración de firewall permitan anunciar las rutas correctas.

En este ejemplo, en OSPF se anuncian las rutas conectadas del enrutador lógico (172.16.10.0/24 y 172.16.20.0/24). Para comprobar las rutas redistribuidas, haga clic en la opción Redistribución de rutas (Route Redistribution) del panel de navegación situado a la izquierda y compruebe los siguientes ajustes:

n Estado de redistribución de la ruta (Route Redistribution Status) indica que OSPF está habilitado.

n Tabla de redistribución de la ruta (Route Redistribution Table) incluye la siguiente información:

n Aprendizaje (Learner): OSPF

n Desde (From): Conectado (Connected)

n Prefijo (Prefix): Ninguno (Any)

n Acción (Action): Permitir (Permit)


VMware, Inc. 158

Si habilitó SSH al crear el enrutador lógico, también debe configurar un filtro de firewall que habilite SSH en la dirección del protocolo del enrutador lógico. Por ejemplo, puede crear una regla de filtro de firewall con los siguientes ajustes:

n Nombre (Name): SSH

n Tipo (Type): Usuario (Usuario)

n Origen (Source): Ninguna (Any)

n Destino (Destination): Dirección de protocolo con valor (Protocol address with value): 192.168.10.3

n Servicio (Service): SSH

Configurar el protocolo OSPF en una puerta de enlace de servicios EdgeLa configuración de un protocolo OSPF en una puerta de enlace de servicios Edge (ESG) permite que ESG conozca y anuncie rutas. La aplicación más común de OSPF en una ESG se realiza en el vínculo entre la ESG y un enrutador lógico (distribuido). Esta acción permite que la ESG conozca las interfaces lógicas (LIFS) que están conectadas al enrutador lógico. Este objetivo puede cumplirse con OSPF, IS-IS, BGP o enrutamiento estático.

Las directivas de enrutamiento de OSPF ofrecen un proceso dinámico de equilibrio de carga de tráfico entre rutas de igual costo.

Una red OSPF se divide en áreas de enrutamiento para optimizar el flujo de tráfico y limitar el tamaño de las tablas de enrutamiento. Un área es una recopilación lógica de redes OSPF, enrutadores y vínculos que tienen la misma identificación de área.

Las áreas se distinguen por un identificador de área.

Requisitos previos

Debe configurarse un identificador de enrutador, como se muestra en OSPF configurado en la puerta de enlace de servicios Edge.

Cuando se habilita un identificador de enrutador, el cuadro de texto se rellena de forma predeterminada con la dirección IP de la interfaz de enlace ascendente de la ESG.

Procedimiento



3 Haga doble clic en una ESG.

4 Haga clic en Administrar (Manage) > Enrutamiento (Routing) > OSPF.


VMware, Inc. 159

5 Habilite OSPF.

a Junto a Configuración de OSPF (OSPF Configuration), haga clic en Editar (Edit) y, a continuación, en Habilitar OSPF (Enable OSPF).

b (opcional) Haga clic en Habilitar reinicio correcto (Enable Graceful Restart) para detener la interrupción del reenvío de paquetes durante el reinicio de los servicios de OSPF.

c (opcional) Haga clic en Habilitar origen predeterminado (Enable Default Originate) para permitir que la ESG se anuncie como puerta de enlace predeterminada ante los elementos del mismo nivel.

6 Configure las áreas de OSPF.

a (opcional) Elimine el área Not-So-Stubby (NSSA) 51 que viene configurada de forma predeterminada.

b En Definiciones de área (Area Definitions), haga clic en Agregar (Add).

c Introduzca un identificador de área. NSX Edge admite un identificador de área en forma de número decimal. Los valores válidos van del 0 al 4294967295.

d En Tipo (Type), seleccione Normal o NSSA.

Las NSSA impiden el desborde con anuncios sobre el estado del vínculo (LSA) AS externos. Las NSSA dependen del enrutamiento predeterminado en destinos externos. Por lo tanto, deben ubicarse en el extremo de un dominio de enrutamiento de OSPF. Las NSSA pueden importar rutas externas en el dominio de enrutamiento de OSPF, por lo que ofrecen un servicio de tránsito para los dominios pequeños de enrutamiento que no forman parte del dominio de enrutamiento de OSPF.

7 (opcional) Si selecciona el tipo de área NSSA, se mostrará el campo Función de traductor de NSSA (NSSA Translator Role). Seleccione la casilla Siempre (Always) para traducir LSA de tipo 7 a LSA de tipo 5. La NSSA traduce todas las LSA de tipo 7 a LSA de tipo 5.

8 (opcional) Seleccione un tipo de autenticación en Autenticación (Authentication). OSPF realiza la autenticación en el nivel del área.

Todos los enrutadores dentro del área deben tener la misma autenticación y la correspondiente contraseña configurada. Para que funcione la autenticación de MD5, tanto los enrutadores de recepción como de transmisión deben tener la misma clave MD5.

a Ninguna (None): no se requiere autenticación, que es el valor predeterminado.

b Contraseña (Password): en este método de autenticación, se incluye una contraseña en el paquete transmitido.


VMware, Inc. 160

c MD5: este método de autenticación utiliza un cifrado MD5 (síntesis del mensaje de tipo 5). En el paquete transmitido se incluye una suma de comprobación de MD5.

d Para la autenticación de tipo Contraseña (Password) o MD5, escriba la contraseña o la clave de MD5.

Importante n Si NSX Edge está configurado para HA con el reinicio correcto de OSPF habilitado y MD5 se usa

para la autenticación, OSPF no se reinicia correctamente. Las adyacencias solo aparecen después de que caduque el período de gracia en los nodos de aplicaciones auxiliares de OSPF.

n No puede configurar la autenticación MD5 si está habilitado el modo FIPS.

n NSX Data Center for vSphere siempre utiliza un valor 1 de ID de clave. Los dispositivos que no administre NSX Data Center for vSphere y que estén al mismo nivel que la puerta de enlace de servicios Edge o el enrutador lógico distribuido se deben configurar para que usen el valor 1 de la ID clave cuando se use la autenticación MD5. De lo contrario, no se puede establecer una sesión OSPF.

9 Asigne interfaces a las áreas.

a En Asignación de interfaces a área (Area to Interface Mapping), haga clic en Agregar (Add) para asignar la interfaz que corresponde al área de OSPF.

b Seleccione la interfaz que desea asignar y el área de OSPF a la cual será asignada.

10 (opcional) Edite la configuración predeterminada de OSPF.

En la mayoría de los casos, es preferible conservar los ajustes predeterminados de OSPF. Si finalmente cambia la configuración, asegúrese de que los elementos del mismo nivel de OSPF utilicen la misma configuración.

a Intervalo de saludo (Hello Interval) muestra el intervalo predeterminado entre los paquetes de saludo que se envían en la interfaz.

b Intervalo inactivo (Dead Interval) muestra el intervalo predeterminado durante el cual debe recibirse al menos un paquete de saludo de un vecino antes de que el enrutador declare a ese vecino como inactivo.

c Prioridad (Priority) muestra la prioridad predeterminada de la interfaz. La interfaz con la prioridad más alta es el enrutador designado.

d La opción Costo (Cost) de una interfaz muestra la sobrecarga predeterminada necesaria para enviar paquetes a través de esa interfaz. El costo de una interfaz es inversamente proporcional a su ancho de banda. A mayor ancho de banda, menor costo.


12 Asegúrese de que la redistribución de rutas y la configuración de firewall permitan anunciar las rutas correctas.


VMware, Inc. 161

Ejemplo: OSPF configurado en la puerta de enlace de servicios EdgeUn escenario simple de NSX que utiliza OSPF es aquel en el que un enrutador lógico y una puerta de enlace de servicios Edge son vecinos de OSPF, como se muestra aquí.

La ESG se puede conectar al exterior a través de un puente, un enrutador físico o un grupo de puertos de vínculo superior en una instancia de vSphere Distributed Switch tal y como se muestra en la siguiente figura.

Figura 9-2. Topología de NSX Data Center for vSphere

Arquitecturafísica

172.16.20.10 172.16.10.10



Enrutadorlógico

Conmutadorlógico

de aplicaciones



Máquina virtualweb


Conmutadorlógico

de tránsito



vSphereDistributed

Switch

Puerta de enlace de

servicios Edge


VMware, Inc. 162

En la página Configuración global (Global Configuration), los ajustes están configurados como se indica a continuación:

n vNIC: Enlace ascendente (Uplink)

n IP de puerta de enlace (Gateway IP): 192.168.100.1. La puerta de enlace predeterminada de la ESG es la interfaz de enlace ascendente de la ESG con el elemento externo del mismo nivel.

n Identificador del enrutador (Router ID): 192.168.100.3. El identificador de enrutador es la interfaz de enlace ascendente de la ESG. Esto quiere decir que se trata de la dirección IP que apunta al elemento externo del mismo nivel.

En la página Configuración de OSPF (OSPF Configuration), los ajustes están configurados como se indica a continuación:

n Definición de área (Area definition):


n Tipo (Type): Normal

n Autenticación (Authentication): Ninguna (None)

La interfaz interna (es decir, la interfaz que apunta al enrutador lógico) se asigna al área como se indica a continuación:

n vNIC: Interna (Internal)


n Intervalo de inicio (segundos) (Hello Interval [seconds]): 10

n Intervalo inactivo (segundos) (Dead Interval [seconds]): 40

n Prioridad (Priority): 128

n Costo (Cost): 1

Los enrutadores conectados se redistribuyen en OSPF de modo que el vecino de OSPF (el enrutador lógico) pueda conocer la red de vínculo superior de la ESG. Para comprobar las rutas redistribuidas, haga clic en la opción Redistribución de rutas (Route Redistribution) del panel de navegación situado a la izquierda y compruebe los siguientes ajustes:

n Estado de redistribución de la ruta (Route Redistribution Status) indica que OSPF está habilitado.

n Tabla de redistribución de la ruta (Route Redistribution Table) incluye la siguiente información:

n Aprendizaje (Learner): OSPF

n Desde (From): Conectado (Connected)

n Prefijo (Prefix): Ninguno (Any)


VMware, Inc. 163

n Acción (Action): Permitir (Permit)

Nota OSPF también puede configurarse entre la ESG y su enrutador externo del mismo nivel, aunque es más frecuente que el vínculo utilice BGP para anunciar rutas.

Asegúrese de que la ESG conozca las rutas externas de OSPF a partir del enrutador lógico.

Para comprobar la conectividad, asegúrese de que haya un dispositivo externo en la arquitectura física que pueda hacer ping en las máquinas virtuales.

Por ejemplo:

PS C:\Users\Administrator> ping 172.16.10.10

Pinging 172.16.10.10 with 32 bytes of data:

Reply from 172.16.10.10: bytes=32 time=5ms TTL=61


Ping statistics for 172.16.10.10:

Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 1ms, Maximum = 5ms, Average = 3ms

PS C:\Users\Administrator> ping 172.16.20.10

Pinging 172.16.20.10 with 32 bytes of data:



Ping statistics for 172.16.20.10:

Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 1ms, Maximum = 2ms, Average = 1ms


VMware, Inc. 164

Configurar BGPEl protocolo de puerta de enlace de borde (BGP) toma decisiones de enrutamiento centrales. Contiene una tabla de prefijos o redes IP, con la que se designa la posibilidad de alcance de la red entre varios sistemas autónomos.

Antes de intercambiar cualquier tipo de información de enrutamiento, se establece una conexión subyacente entre dos oradores BGP. Los oradores BGP envían mensajes de mantenimiento de conexión para mantener activa esta relación. Después de que se establece la conexión, los oradores BGP intercambian rutas y sincronizan sus tablas.

Procedimiento




4 Haga clic en Administrar (Manage) > Enrutamiento (Routing) > BGP.

5 Junto a Configuración de BGP (BGP Configuration), haga clic en Editar (Edit) y, a continuación, en Habilitar BGP (Enable BGP).

6 (opcional) Haga clic en Habilitar reinicio correcto (Enable Graceful Restart) para detener la interrupción del reenvío de paquetes durante el reinicio de los servicios de BGP.

7 (opcional) Haga clic en Habilitar origen predeterminado (Enable Default Originate) para permitir que la ESG se anuncie como puerta de enlace predeterminada ante los elementos del mismo nivel.

8 En Sistema autónomo local (Local AS), introduzca el identificador del enrutador. Las rutas se anuncian cuando el BGP se empareja con enrutadores del mismo nivel en otros sistemas autónomos (Autonomous Systems, AS). La ruta de los sistemas autónomos que atraviesa una ruta se utiliza como métrica para seleccionar la mejor ruta de acceso a un destino.

9 En Vecinos (Neighbors), haga clic en Agregar (Add).

10 Indique la información básica del vecino BGP.

a Especifique la dirección IP para el vecino.

Al configurar el emparejamiento BGP entre una puerta de enlace de servicios de Edge (Edge Services Gateway, ESG) y un enrutador lógico, utilice la dirección IP del protocolo del enrutador lógico como la dirección del vecino BGP de la ESG.

b (Solo en un enrutador lógico) Especifique la dirección de reenvío.

La dirección de reenvío es la dirección IP que se asignó a la interfaz de un enrutador lógico distribuido orientada a su vecino BGP (su interfaz de vínculo superior).


VMware, Inc. 165

c (Solo en un enrutador lógico) Especifique la dirección de protocolo.

La dirección de protocolo es la dirección IP que el enrutador lógico utiliza para establecer una relación con un vecino BGP. Puede ser cualquier dirección IP de la misma subred que la dirección de reenvío, pero esta dirección IP no se debe utilizar en ningún otro lugar. Al configurar el emparejamiento BGP entre una ESG y un enrutador lógico, utilice la dirección IP del protocolo del enrutador lógico como la dirección IP del vecino BGP de la ESG.

d Especifique los sistemas autónomos (AS) remotos.

e Deshabilite el AS privado remoto. Este está habilitado de forma predeterminada.

f Edite el peso predeterminado de la conexión del vecino si fuera necesario. El peso predeterminado es 60.

g La opción Temporizador de desconexión (Hold Down Timer) muestra un valor predeterminado de 180 segundos, que es tres veces el valor del temporizador de mantenimiento de conexión. Edite el valor si fuera necesario.

Cuando se alcanza el emparejamiento BGP entre dos vecinos, NSX Edge inicia un temporizador de desconexión. Cada vez que se recibe un mensaje de mantenimiento de conexión del vecino, se restablece el temporizador de desconexión a 0. Si NSX Edge no recibe tres mensajes de mantenimiento de conexión consecutivos de forma que el temporizador de desconexión alcance los 180 segundos, NSX Edge considerará que el vecino está inactivo y eliminará las rutas de este.

Nota El valor de tiempo de vida (TTL) predeterminado de los paquetes BGP que se envían a los vecinos eBGP es 64. Este valor no se puede configurar.

h La opción Temporizador de mantenimiento de conexión (Keep Alive Timer) muestra la frecuencia predeterminada de 60 segundos con la que el vecino BGP envía mensajes de mantenimiento de conexión a sus pares. Edite el valor si fuera necesario.

i Si se requiere autenticación, introduzca la contraseña de autenticación. Se comprobará cada segmento enviado a través de la conexión entre los vecinos. Se debe configurar la autenticación basada en MD5 con la misma contraseña en los dos vecinos BGP; de lo contrario, no se podrá establecer la conexión entre los vecinos.

No puede introducir una contraseña si está habilitado el modo FIPS.

11 Especifique los filtros BGP.

a Haga clic en Agregar (Add).

Precaución Se aplicará una regla "bloquear todo" al final de los filtros.

b Seleccione la orientación para indicar si se debe filtrar el tráfico hacia o desde el vecino.

c Seleccione la acción para indicar si se debe permitir o denegar el tráfico.

d Introduzca en formato CIDR la red que se debe filtrar hacia o desde el vecino.

e Introduzca los prefijos IP que se deben filtrar y haga clic en Aceptar (OK).


VMware, Inc. 166


Ejemplo: Configuración de BGP entre una ESG y un enrutador (distribuido) lógico

Tipo de vínculo: vínculo superior192.168.10.2 (dirección de reenvío)

Conmutador lógico de tránsito

Tipo de vínculo: interno192.168.10.1

ESG

DLR

AS 64511

AS 64512

192.168.10.3(dirección de protocolo)

En esta topología, la puerta de enlace ESG se encuentra en el sistema autónomo AS 64511. El enrutador lógico (DLR) se encuentra en el sistema autónomo AS 64512.

La dirección de reenvío del enrutador lógico es 192.168.10.2. Esta dirección se configura en la interfaz de enlace ascendente del enrutador lógico. La dirección del protocolo del enrutador lógico es 192.168.10.3. La ESG utiliza esta dirección para establecer una relación entre el BGP del mismo nivel y el enrutador lógico.

En la página Configuración de BGP (BGP Configuration) del enrutador lógico, los ajustes están configurados como se indica a continuación:

n Sistema autónomo local (Local AS): 64512

n Ajustes del Vecino (Neighbor):

n Dirección de reenvío (Forwarding Address): 192.168.10.2

n Dirección del protocolo (Protocol Address): 192.168.10.3

n Dirección IP (IP Address): 192.168.10.1


VMware, Inc. 167

n Sistema autónomo remoto (Remote AS): 64511

En la página Configuración de BGP (BGP Configuration) de la ESG, los ajustes están configurados como se indica a continuación:

n Sistema autónomo local (Local AS): 64511

n Ajustes del Vecino (Neighbor):

n Dirección IP (IP Address): 192.168.10.3. Esta dirección IP es la dirección del protocolo del enrutador lógico.

n Sistema autónomo remoto (Remote AS): 64512

En el enrutador lógico, ejecute el comando show ip bgp neighbors y asegúrese de que el estado de BGP esté Establecido (Established).

En la ESG, ejecute el comando show ip bgp neighbors y asegúrese de que el estado de BGP esté definido en Establecido (Established).


VMware, Inc. 168

Configurar la redistribución de rutasDe forma predeterminada, los enrutadores comparten rutas con otros enrutadores que ejecutan el mismo protocolo. En un entorno de varios protocolos, debe configurar la redistribución de rutas para compartir rutas entre protocolos.

Para excluir una interfaz de la redistribución de rutas, agregue un criterio de rechazo para su red. Desde la versión de 6.2 NSX, la interfaz de HA (administración) de un enrutador (distribuido) lógico se excluye automáticamente de la redistribución de rutas.

Procedimiento




4 Haga clic en Administrar (Manage) > Enrutamiento (Routing) > Redistribución de rutas (Route Redistribution.

5 Junto a Estado de redistribución de la ruta (Route Redistribution Status), haga clic en Editar (Edit).

6 Seleccione los protocolos para los que desea habilitar la redistribución de rutas y haga clic en Aceptar (OK).


VMware, Inc. 169

7 Agregue un prefijo IP.

Las entradas en el listado de prefijos IP se procesan secuencialmente.

a En Prefijos de IP (Prefixes IP), haga clic en Agregar (Add).

b Escriba un nombre y la dirección IP de la red.

El prefijo IP introducido tiene una coincidencia exacta, salvo que incluya los modificadores menor o igual que (LE) o mayor o igual que (GE).

c LE y GE juntos especifican un rango de longitudes de prefijo con el que debe coincidir la regla. Puede agregar el modificador GE del prefijo IP como la longitud mínima del prefijo con la que debe coincidir la regla, y el modificador LE del prefijo IP como la longitud máxima del prefijo con la que debe coincidir la regla.

Puede utilizar estas dos opciones de forma individual o en conjunto. Los valores de LE y GE no pueden ser cero ni un número superior a 32. El valor de GE no puede ser mayor que el valor de LE. Por ejemplo:

n Si introduce un prefijo como 10.0.0.0/16 y LE = 28, la regla de redistribución coincidirá con todos los prefijos desde 10.0.0.0/16 hasta 10.0.0.0/28. Eso significa que la regla coincidirá con todas las longitudes de prefijos desde 16 hasta 28. Coincide con el prefijo 10.0.2.0/24.

n Si introduce un prefijo como 10.0.0.0/16 y GE = 24, la regla de redistribución coincidirá con todos los prefijos desde 10.0.0.0/24 hasta 10.0.0.0/32. Coincide con el prefijo 10.0.0.16/28.

n Si introduce un GE = 24 y LE = 28, la regla de redistribución coincidirá con todos los prefijos desde 10.0.0.0/24 hasta 10.0.0.0/28. Coincide con el prefijo 10.0.0.32/27.

d Haga clic en Agregar (Add) o Aceptar (OK).

8 Especifique los criterios de redistribución del prefijo IP.

a En Tabla de redistribución de la ruta (Route Redistribution Table), haga clic en Agregar (Add).

b En Prefijo del nombre (Prefix Name), seleccione el prefijo IP que agregó anteriormente.

c En Protocolo de aprendizaje (Learner Protocol), seleccione el protocolo que debe aprender rutas de otros protocolos.

d En Permitir aprendizaje de (Allow Learning from), seleccione los protocolos de los que se deben aprender rutas.

e En Acción (Action), seleccione Permitir (Permit) para que se redistribuya la subred exacta, o seleccione Denegar (Deny).

f Haga clic en Agregar (Add) o Aceptar (OK).



VMware, Inc. 170

Ver el identificador de configuración local de NSX ManagerCada NSX Manager tiene un identificador de configuración regional. De forma predeterminada, está configurado en el UUID de NSX Manager. Esta configuración puede anularse en el nivel del enrutador lógico universal, del clúster o del host.

Procedimiento

1 Desplácese hasta la página Información sobre (About NSX) o Inicio de NSX (NSX Home).

n En NSX 6.4.6 y versiones posteriores, haga clic en Redes y seguridad (Networking & Security) > Información sobre NSX (About NSX).

n En NSX 6.4.5 y versiones anteriores, haga clic en Redes y seguridad (Networking & Security) > Inicio de NSX (NSX Home) > Resumen (Summary).

2 En el menú desplegable NSX Manager, seleccione la dirección IP de NSX Manager. Como podrá comprobar, el campo Identificador de configuración regional (Locale ID) o Identificador (ID) muestran el UUID de la instancia de NSX Manager.

Configurar el identificador de configuración regional en un enrutador (distribuido) lógico universalSi el egreso local está habilitado cuando se crea un enrutador lógico universal, las rutas se envían a hosts solo cuando el identificador de configuración regional del host coincide con el identificador de configuración regional asociado con la ruta. Puede cambiar el identificador de configuración regional de un enrutador. El identificador actualizado se asocia a todas las rutas estáticas y dinámicas de este enrutador. Las rutas se envían a los hosts y los clústeres que tengan los mismos identificadores de configuración regional.

Consulte Topologías de Cross-vCenter NSX para obtener información sobre configuraciones de enrutamiento para entornos de Cross-vCenter NSX.

Requisitos previos

El enrutador lógico universal (distribuido) debe haberse creado con el egreso local habilitado.

Procedimiento



3 Haga doble clic en un enrutador lógico universal (distribuido).

4 Haga clic en Administrar (Manage) > Enrutamiento (Routing) > Configuración global (Global Configuration).

5 Junto a Configuración del enrutamiento (Routing Configuration), haga clic en Editar (Edit).


VMware, Inc. 171

6 Introduzca un identificador de configuración regional nuevo.

Importante El identificador de configuración regional debe estar en formato UUID. Por ejemplo, XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX, donde cada X se reemplaza por un dígito de base 16 (0-F).

Configurar el identificador de configuración regional en un host o un clústerSi el egreso local está habilitado cuando se crea un enrutador lógico universal, las rutas se envían a hosts solo cuando el identificador de configuración regional del host coincide con el identificador de configuración regional asociado con la ruta. Para enviar rutas de manera selectiva a los hosts, configure el identificador de configuración regional en un clúster de hosts o en un host.

Requisitos previos

El enrutador lógico universal (distribuido) que se encarga de la tarea de enrutamiento para los hosts o los clústeres debe haberse creado con el egreso local habilitado.

Procedimiento

1 Desplácese a Redes y seguridad (Networking & Security) > Instalación y actualización (Installation and Upgrade) > Preparación del host (Host Preparation).

2 Seleccione la instancia de NSX Manager que administra los hosts o los clústeres que debe configurar.


VMware, Inc. 172

3 Complete los siguientes pasos para cambiar el identificador de configuración regional.


NSX 6.4.1 y posteriores a Haga clic en un clúster del panel izquierdo. En el panel derecho, los hosts del clúster seleccionado aparecen en la tabla Hosts.

b Para cambiar el identificador de configuración regional de un clúster, haga clic en Acciones (Actions) > Cambiar identificador de configuración regional (Change Locale ID).

c Para cambiar el identificador de configuración regional de un host, haga clic en

el menú de tres puntos ( ) junto al host y haga clic en Cambiar identificador de configuración regional (Change Locale ID).

d Escriba un nuevo identificador de configuración regional y haga clic en Guardar (Save).

Nota El identificador de configuración regional debe estar en formato UUID. Por ejemplo, XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX, donde cada X se reemplaza por un dígito de base 16 (0-F).

NSX 6.4.0 a Seleccione el host o el clúster que desea modificar y, si es necesario, expanda los clústeres para que aparezcan los hosts.

b Haga clic en Acciones (Actions) > Cambiar identificador de configuración regional (Change Locale ID).

c Escriba un nuevo identificador de configuración regional y haga clic en Aceptar (OK).

Nota El identificador de configuración regional debe estar en formato UUID. Por ejemplo, XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX, donde cada X se reemplaza por un dígito de base 16 (0-F).

El clúster de la controladora universal enviará a los hosts solo las rutas que coincidan con este nuevo identificador de configuración regional.

Pasos siguientes

Configure una ruta estática con un identificador de configuración regional especificado.

Topología, limitaciones y soporte del enrutamiento de multidifusiónNSX Data Center 6.4.2 y versiones posteriores admiten el enrutamiento de multidifusión.

NSX utiliza dos protocolos de enrutamiento de multidifusión: el protocolo de administración de grupos de Internet (Internet Group Management Protocol, IGMPv2) y la multidifusión independiente de protocolo (Protocol Independent Multicast, PIM). Se admite PIM Sparse Mode (PIM-SM). Se utiliza PIM en las ESG, pero no en el DLR.

n Se admite el enrutamiento de multidifusión entre la ESG y el DLR.

n Los hosts receptores notifican su membresía de grupo a un enrutador de multidifusión local, que les permite unirse a grupos de multidifusión y abandonarlos.


VMware, Inc. 173

n Protocol-Independent Multicast (PIM) se utiliza para las señales de enrutador a enrutador. Mantiene el modo de servicio multidifusión de IP de la membresía iniciada por el receptor.

Después de que se habilite por primera vez un protocolo de enrutamiento (o se deshabilite y se vuelva a habilitar), el tráfico no se reenvía hasta que el protocolo converge, y se conocen y se instalan las rutas correspondientes. En una red de multidifusión, se requiere que los protocolos de enrutamiento de unidifusión y multidifusión converjan para reenviar el tráfico. PIM Sparse Mode también requiere que se conozca el RP de un grupo de multidifusión antes de que se procese el tráfico de datos o de control para el grupo de multidifusión. Cuando el mecanismo de arranque PIM se usa para distribuir la información del RP, solo se conocen los RP del candidato después de recibir un mensaje de arranque desde un vecino de PIM. Estos mensajes tienen una periodicidad predeterminada RFC de 60 segundos. Si se configura un RP estático, la información del RP está disponible inmediatamente y se evita el retraso asociado al mecanismo de arranque.

Soporte técnico y limitaciones:

n Se admite IPv4.

n Se admite IGMPv2.

n Se admite PIM Sparse Mode.

n Se puede enviar la información del punto de Rendezvous mediante mensajes de arranque o configurados estáticamente.

n El rango de multidifusión de replicación no se debe superponer al rango de multidifusión de la zona de transporte.

n Una puerta de enlace de servicios Edge (ESG) no puede ser un enrutador candidato de arranque.

n Una ESG no puede ser el RP.

n Durante la migración con vMotion de máquinas virtuales que son receptoras de multidifusión , se perderá el tráfico de multidifusión durante 1 o 2 segundos.

Topologías:

n En un entorno de Cross-vCenter, no se admite la conexión de dos puertas de enlace de servicios Edge con multidifusión al mismo TLS universal.

n Un único nivel de puerta de enlace de servicios Edge.

n Un único enrutador lógico distribuido, es decir, un único vínculo inferior en la ESG.

n En NSX 6.4.5 o versiones posteriores, se admite la multidifusión en un máximo de dos interfaces de vínculo superior y una interfaz de vínculo inferior por cada ESG. Sin embargo, si utiliza NSX Edge 6.4.4 o una versión anterior, la multidifusión solo se admite en una única interfaz de vínculo superior y en una única interfaz de vínculo inferior por cada ESG.

n En un DLR, se admite la multidifusión en una única interfaz de enlace ascendente y en varias interfaces internas.

n Puede utilizar la alta disponibilidad en modo activo-en espera mediante la habilitación de ESG HA. No se admite la alta disponibilidad en modo activo-activo con ECMP.


VMware, Inc. 174

n El tiempo de conmutación por error de la alta disponibilidad es de 30 segundos.

n Espera pasiva, sin sincronización de mroutes ni mFIB.

n No se admite el puente de Capa 2 en un conmutador lógico con un enrutamiento de multidifusión.

n No se admiten las puertas de enlace VTEP de hardware (puertas de enlace ToR) en un conmutador lógico con un enrutamiento de multidifusión.

Configurar la multidifusión de un enrutador lógico (distribuido)El enrutamiento de multidifusión de IP permite que un host (origen) envíe una única copia de los datos a una sola dirección de multidifusión. Los datos se distribuyen a un grupo de receptores mediante un formulario especial de dirección IP denominado dirección IP de grupo de multidifusión. En un entorno de multidifusión, cualquier host, independientemente de si forma parte de algún grupo, puede realizar envíos a un grupo. Sin embargo, solo los miembros de un grupo pueden recibir paquetes enviados a dicho grupo.


Para obtener más información sobre la compatibilidad de la multidifusión en NSX, consulte Topología, limitaciones y soporte del enrutamiento de multidifusión.

Atención Durante la migración con vMotion de máquinas virtuales que son receptoras de multidifusión , se perderá el tráfico de multidifusión durante 1 o 2 segundos.

Requisitos previos

Las zonas de transporte deben tener un rango de direcciones de multidifusión configurado. Consulte Asignar un grupo de identificadores de segmento y un rango de direcciones de multidifusión en la Guía de instalación de NSX.

La configuración IGMP tiene que ser la misma en la puerta de enlace de servicios Edge y en el enrutador lógico (distribuido).

Habilite la intromisión IGMP en los conmutadores de capa 2 a los que los hosts que participan en VXLAN están conectados. Si la intromisión de IGMP está habilitada para la Capa 2, el solicitante de IGMP debe estar habilitado en el enrutador o el conmutador de Capa 3 con conectividad a redes compatibles con multidifusión. Consulte Agregar un conmutador lógico.

Procedimiento

1 En vSphere Web Client, acceda a Redes y seguridad (Networking & Security) > NSX Edge.

2 Haga doble clic en un enrutador lógico (distribuido).

3 Haga clic en Administrar (Manage) > Enrutamiento (Routing) > Multidifusión (Multicast).


VMware, Inc. 175

4 Habilite la multidifusión.


Desde NSX 6.4.2 hasta la versión 6.4.4

En Configuración (Configuration), haga clic en el interruptor para habilitar la multidifusión.

NSX 6.4.5 y posteriores a Junto a Configuración (Configuration), haga clic en Editar (Edit).b En Estado (Status), haga clic en el interruptor para habilitar la multidifusión.

5 Introduzca el rango de multidifusión de replicación.



En Rango de multidifusión de replicación (Replication Multicast Range), introduzca un rango de direcciones de grupos de multidifusión en formato CIDR.

NSX 6.4.5 y posteriores a Junto a Configuración (Configuration), haga clic en Editar (Edit).b En Rango de multidifusión de replicación (Replication Multicast Range),

introduzca un rango de direcciones de grupos de multidifusión en formato CIDR.

El rango de multidifusión de replicación es un rango de direcciones de grupos de multidifusión (IP de destino externa VXLAN) que se usa para replicar las direcciones de grupos de multidifusión tenant o de carga de trabajo (IP de destino interna VXLAN). Las direcciones IP del rango de multidifusión de replicación no se deben superponer al rango de direcciones de multidifusión, que se configura en Redes y seguridad (Networking & Security) > Instalación y actualización (Installation and Upgrade) > Configuración de red lógica (Logical Network Settings). Para obtener más información, consulte la sección Asignar un grupo de identificadores de segmento y un rango de direcciones de multidifusión de la Guía de instalación de NSX.

6 Configure los parámetros de IGMP. En primer lugar, un host de multidifusión usa los mensajes de IGMP para indicar su interés en unirse a un grupo de multidifusión y para comenzar a recibir el tráfico del grupo. Los parámetros IGMP configurados en DLR deben coincidir con los configurados en ESG y tienen que estar configurados de forma global para ESG y DLR.

Parámetro de IGMP Descripción

Consulta Opcional. Configura la frecuencia a la que el enrutador designado envía mensajes de consulta al host de IGMP. El valor predeterminado es de 30 segundos. El valor máximo es 3,744 segundos.

Tiempo máximo de respuesta a las consultas (segundos) Opcional. Establece la cantidad máxima de tiempo que puede pasar entre el momento en el que el enrutador que consulta envía un mensaje de consulta al host y el momento en el que recibe una respuesta desde un host. El valor predeterminado es de 10 segundos. El valor máximo es 25 segundos.

Último intervalo de consulta de miembros (segundos) Opcional. Configura el intervalo al que el enrutador envía mensajes de consulta IGMP específicas del grupo. El valor predeterminado es 1 segundo. El valor máximo es 25 segundos.

Variable de potencia Opcional. El valor predeterminado es 2. El valor máximo es 255.


VMware, Inc. 176

7 En Interfaces habilitadas (Enabled Interfaces), haga clic en Configurar interfaces (Configure Interfaces) y habilite la multidifusión en las interfaces de enlace ascendente e interna.

Nota n La multidifusión debe estar habilitada en todos los DLR que deban recibir paquetes de

multidifusión IPv4.

n En un DLR, se admite la multidifusión en una única interfaz de enlace ascendente y en varias interfaces internas.


Para comprobar las configuraciones del enrutamiento de multidifusión en DLR y un host determinado, ejecute el comando de CLI: show logical-router host <host ID> dlr <DLR instance> mrouting-domain

En los resultados del ejemplo que aparece a continuación, el host es host-19 y la instancia DLR es edge-1:

cli>show logical-router host host-19 dlr edge-1 mrouting-domain

VDR Mcast Routing Domain configurations:

Vdr Name: edge-1

Vdr ID: 0x00002328

Multicast Routing Doman: Enabled

Replication Mcst Grp Start IP: 237.0.0.0

Replciation Mcast Grp Mask: 255.255.255.0

Control VNI: 9008

Uplink VNI: 9007

IGMP Query Interval: 30 sec

IGMP Query Response Interval: 10 sec

IGMP Robustness Variable: 2

Group membership Interval: 70 se

Configurar el protocolo de multidifusión en una puerta de enlace de servicios EdgeCon la multidifusión, un origen puede enviar una única copia de los datos solo a una dirección de multidifusión, que se distribuye a continuación a un grupo o receptores.


Atención Durante la migración con vMotion de máquinas virtuales que son receptoras de multidifusión , se perderá el tráfico de multidifusión durante 1 o 2 segundos.

Para obtener más información sobre la compatibilidad de la multidifusión en NSX, consulte Topología, limitaciones y soporte del enrutamiento de multidifusión.


VMware, Inc. 177

Procedimiento



3 Haga clic en Administrar (Manage) > Enrutamiento (Routing) > Multidifusión (Multicast).

4 Habilite la multidifusión.



En Configuración (Configuration), haga clic en el interruptor para habilitar la multidifusión.

NSX 6.4.5 y posteriores a Junto a Configuración (Configuration), haga clic en Editar (Edit).b En Estado (Status), haga clic en el interruptor para habilitar la multidifusión.

5 Configure los parámetros de IGMP. En primer lugar, un host de multidifusión usa los mensajes de

IGMP para indicar su interés en unirse a un grupo de multidifusión y para comenzar a recibir el tráfico del grupo. Los parámetros IGMP configurados en DLR deben coincidir con los configurados en ESG y tienen que estar configurados de forma global para ESG y DLR.

Parámetro de IGMP Descripción

Consulta Opcional. Configura la frecuencia a la que el enrutador designado envía mensajes de consulta al host de IGMP. El valor predeterminado es de 30 segundos. El valor máximo es 3,744 segundos.

Tiempo máximo de respuesta a las consultas (segundos) Opcional. Establece la cantidad máxima de tiempo que puede pasar entre el momento en el que el enrutador que consulta envía un mensaje de consulta al host y el momento en el que recibe una respuesta desde un host. El valor predeterminado es de 10 segundos. El valor máximo es 25 segundos.

Último intervalo de consulta de miembros (segundos) Opcional. Configura el intervalo al que el enrutador envía mensajes de consulta IGMP específicas del grupo. El valor predeterminado es 1 segundo. El valor máximo es 25 segundos.

Variable de potencia Opcional. El valor predeterminado es 2. El valor máximo es 255.

6 (opcional) En Parámetros PIM Sparse Mode (PIM Sparse Mode), PIM-SM, introduzca la Dirección estática de punto de Rendezvous (Static Rendezvous Point Address). El punto de Rendezvous (RP) es el enrutador en un dominio de red multidifusión que actúa como la raíz del árbol compartido de multidifusión. Los paquetes del origen ascendente y los mensajes de unión de los enrutadores descendentes se encuentran en este enrutador central. El RP se puede configurar de forma estática y dinámica usando un enrutador de arranque (BR). Si se configura un RP estático, este se aplica a todos los grupos de multidifusión.

Una ESG no puede ser el punto de Rendezvous ni el enrutador candidato de arranque. La configuración de PIM-SM se lleva a cabo a nivel de configuración global PIM por Edge.


VMware, Inc. 178

7 En Interfaces habilitadas de PIM (PIM Enabled Interfaces), habilite PIM en una interfaz. Para ello, haga clic en Configurar interfaces (Configure Interfaces).

El protocolo PIM debe estar habilitado tanto en las interfaces de enlace ascendente como en una única interfaz interna de una ESG.

Nota En NSX 6.4.5 o versiones posteriores, se admite PIM en dos interfaces de enlace ascendente de la instancia de Edge. Sin embargo, si utiliza NSX Edge 6.4.4 o versiones anteriores, PIM solo se admite en una única interfaz de enlace ascendente de la instancia de Edge.


Topología de multidifusiónLa siguiente imagen muestra un ejemplo de una topología con multidifusión.

La interfaz de vínculo superior de la puerta de enlace de servicios Edge está conectada a la infraestructura física mediante vSphere Distributed Switch. La interfaz interna de la puerta de enlace de servicios Edge está conectada a un enrutador lógico a través de un conmutador de tránsito lógico. La puerta de enlace predeterminada del enrutador lógico es la dirección IP de la interfaz interna de la ESG (192.168.10.1). El identificador del enrutador es la interfaz de vínculo superior del enrutador lógico: es decir, la dirección IP que apunta a la ESG (192.168.10.2). En esta topología, el tráfico de multidifusión se replica correctamente en las subredes, entre los emisores y los receptores dentro o fuera del dominio de NSX.


VMware, Inc. 179

172.16.20.10 172.16.10.10



Enrutadorlógico

Conmutadorlógico

de aplicaciones



Máquina virtualweb


Conmutadorlógico

de tránsito

Host de origen

o de destino de multidifusión


Puerta de enlace de

servicios Edge


ConmutadordistribuidovSphere

Arquitecturafísica


VMware, Inc. 180

Firewall lógico 10El firewall lógico proporciona mecanismos de seguridad para los centros de datos virtuales dinámicos y consta de dos componentes para abordar diferentes casos de uso de implementación. Distributed Firewall se centra en los controles de acceso de Este a Oeste. Edge Firewall sse centra en la aplicación del tráfico de Norte a Sur en el perímetro del centro de datos o de la empresa. Juntos, estos componentes abordan las necesidades de firewall de extremo a extremo de los centros de datos virtuales. Puede optar por implementar cualquiera de estas tecnologías de forma independiente o implementar ambas.


n Distributed Firewall

n Firewall de Edge

n Trabajar con secciones de reglas de firewall

n Trabajar con reglas de firewall

n Registros de firewall

Distributed FirewallUn firewall distribuido (Distributed Firewall, DFW) se ejecuta como un paquete VIB en el kernel de todos los clústeres del host ESXi que estén preparados para NSX. La preparación del host activa automáticamente el DFW en los clústeres del host ESXi.

Las principales limitaciones de la arquitectura de seguridad tradicional centrada en el perímetro afectan tanto a la estrategia de seguridad como a la escalabilidad de las aplicaciones de los centros de datos modernos. Por ejemplo, el flujo del tráfico en un bucle invertido a través de firewalls físicos en el perímetro de la red crea una latencia adicional para determinadas aplicaciones.

El DFW complementa y mejora su seguridad física, ya que elimina bucles invertidos innecesarios de los firewalls físicos y reduce la cantidad de tráfico de la red. El tráfico rechazado se bloquea antes de que salga del host ESXi. No es necesario que el tráfico atraviese la red, sino solo que el firewall físico lo detenga en el perímetro. El tráfico que se dirige a otra máquina virtual del mismo host o de otro host no tiene que atravesar la red hasta llegar al firewall físico y volver posteriormente a la máquina virtual de destino. El tráfico se inspecciona en el ESXi y se envía a la máquina virtual de destino.

VMware, Inc. 181

VM VMVM VM

Seguridad sin el DFW de NSX

Firewall físico

Firewall físico

Seguridad con el DFW de NSX

El DFW de NSX es un firewall con estado, lo que significa que supervisa el estado de las conexiones activas y utiliza esta información para determinar qué paquetes de red pueden pasar a través del firewall. El DFW se implementa en el hipervisor y se aplica a las máquinas virtuales por vNIC. Por lo tanto, las reglas de firewall se aplican a la vNIC de cada máquina virtual. La inspección de tráfico se produce en la vNIC de una máquina virtual justo en el momento en el tráfico está a punto de abandonar la máquina virtual y entrar en el conmutador virtual (salida). La inspección también se produce en la vNIC justo cuando el tráfico sale del conmutador y antes de que entre en la máquina virtual (entrada).

El dispositivo virtual de NSX Manager, las máquinas virtuales de NSX Controller y las puertas de enlace de servicio de NSX Edge se excluyen automáticamente del DFW. Si una máquina virtual no requiere el servicio DFW, puede agregarla manualmente a la lista de exclusión.

Como el DFW se distribuye en el kernel de cada host ESXi, la capacidad del firewall se escala horizontalmente cuando agrega hosts a los clústeres. Al agregar más hosts, se incrementa la capacidad del DFW A medida que se amplía la infraestructura y compra más servidores para administrar la cifra cada vez mayr de máquinas virtuales, aumenta la capacidad del DFW.

Reglas de las directivas del DFWLas reglas de las directivas del DFW se crean con vSphere Web Client y las reglas se almacenan en la base de datos de NSX Manager. Gracias al DFW, puede crear reglas de Ethernet (reglas de Capa 2) y reglas generales (reglas que se aplican desde la Capa 3 a la Capa 7). Las reglas se publican desde NSX Manager hasta el clúster de ESXi y, a continuación, desde el host ESXi hasta la máquina virtual. Todos los hosts ESXi del mismo clúster tienen las mismas reglas de las directivas del DFW.

Una instancia de DFW en un host ESXi contiene las dos tablas siguientes:

n Tabla de reglas para almacenar las reglas de las directivas de seguridad

n Tabla de seguimiento de la conexión para almacenar en la memoria caché las entradas de flujo de las reglas con una acción "permitir" (allow)


VMware, Inc. 182

Las reglas del DFW se ejecutan en orden descendente. El tráfico que debe atravesar un firewall se compara primero con una lista de reglas de firewall. Cada paquete se compara con la regla principal de la tabla antes de bajar a las reglas subsiguientes de esa tabla. Se aplica la primera regla de la tabla que coincide con los parámetros de tráfico. La última regla de la tabla es la regla del DFW predeterminada. La regla predeterminada se aplica a los paquetes que no coincidan con ninguna regla situada por encima de la regla predeterminada.

Cada máquina virtual tiene sus propias reglas de las directivas de firewall y su propio contexto. Durante la migración con vMotion, cuando las máquinas virtuales se trasladan de un host ESXi a otro, el contexto del DFW (tabla de reglas y de seguimiento de la conexión) se mueven junto con ellas. Además, todas las conexiones activas se mantienen inalteradas durante la migración con vMotion. Esto quiere decir que la directiva de seguridad del DFW es independiente de la ubicación de la máquina virtual.

Microsegmentación con el DFWLa microsegmentación mejora la seguridad de la red del centro de datos porque aísla cada grupo relacionado de máquinas virtuales en un segmento de la red lógica diferente. La microsegmentación permite que el administrador configure el tráfico que fluye desde un segmento lógico del centro de datos hasta otro (tráfico de este a oeste) para que atraviese el firewall. Al establecer que el tráfico de este a oeste atraviese el firewall, se limita la capacidad de los atacantes para moverse lateralmente en el centro de datos.

La microsegmentación se activa gracias al componente DFW de NSX. El DFW es eficaz porque la pología de red ya no supone una barrera para aplicar la seguridad. Puede controlar el acceso del tráfico al mismo nivel con un cualquier tipo de topología de red.

Para obtener un ejemplo detallado de caso de uso de microsegmentación, consulte la sección "Microsegmentation con el DFW de NS e implementación" de la NSX Guía sobre diseño de virtualización de redes en https://communities.vmware.com/docs/DOC-27683.

Reglas de las directivas del DFW basadas en la identidad del usuarioEl DFW también puede ayudar a crear reglas basadas en la identidad. Los administradores de seguridad pueden aplicar el control de acceso en función de la identidad del usuario y la membresía de grupo del usuario tal y como se define en Active Directory de la empresa. Por ejemplo, las reglas de DFW basadas en la identidad se pueden utilizar en los siguientes escenarios:

n Los usuarios quieren acceder a aplicaciones virtuales con un equipo portátil o un dispositivo móvil en el que se utiliza Active Directory para la autenticación del usuario.

n Los usuarios quieren acceder a aplicaciones virtuales con la infraestructura de escritorios virtuales en máquinas virtuales que utilizan el sistema operativo Microsoft Windows.

Para obtener más información sobre reglas del DFW basadas en usuarios de Active Directory, consulte Capítulo 12 Introducción al firewall de identidad.


VMware, Inc. 183


Firewall relacionado con el contextoEl firewall relacionado con el contexto mejora la visibilidad de las aplicaciones y ayuda a eliminar el problema de permeabilidad de las mismas. La visibilidad en la capa de aplicaciones sirve de ayuda para supervisar mejor la seguridad, la conformidad y los recursos de las cargas de trabajo.

Las reglas del firewall no pueden utilizar los ID de las aplicaciones. El firewall relacionado con el contexto identifica las aplicaciones y aplica una microsegmentación del tráfico este-oeste, independientemente del puerto que use la aplicación. Se pueden definir las reglas del firewall basado en aplicaciones o relacionado con el contexto al definir los objetos del servicio de Capa 7. Después de definir los objetos del servicio de Capa 7, puede definir reglas con protocolos y puertos específicos, así como su definición de aplicaciones. La definición de la regla puede estar basada en más de cinco tuplas. También puede usar el Administrador de reglas de aplicaciones (Application Rule Manager) para crear reglas del firewall relacionado con el contexto.

Se admite el firewall relacionado con el contexto a partir de NSX Data Center for vSphere 6.4.

Se deben actualizar todos los clústeres de host de una infraestructura existente administrados por NSX Data Center for vSphere a NSX Data Center for vSphere 6.4.0 o a una versión posterior.

Tipos de firewallEl firewall actúa basándose en una combinación de diferentes encabezados de paquetes de Capa 2, Capa 3, Capa 4 y Capa 7 que se agregan a los datos cuando pasan por cada capa del modelo TCP/IP.

Firewall distribuido+

Terceros

Distributed Firewall de NSX Modelo de OSI

Capa de aplicaciones

Capa de presentación

Capa de sesión

Capa de transporte

Capa de red

Capa de vínculo de datos

Capa física

Capa de transporte

Capa de Internet

Capa de acceso a la red

Capa de aplicaciones

Modelo de TCP/IP

Firewalldistribuido nativo

7

Capa 3/Capa 4

Capa 2

El firewall de Capa 3 o de Capa 4 solo actúa según el protocolo, el puerto y la IP de origen y de destino. También se realiza un seguimiento de la actividad de las conexiones de red. Este tipo de firewall se conoce como firewall con estado.

El firewall relacionado con el contexto o de Capa 7 puede hacer lo mismo que el firewall de Capa 3 y de Capa 4. Además, puede inspeccionar de forma inteligente el contenido de los paquetes. Por ejemplo, se puede escribir una regla del firewall de Capa 7 para rechazar todas las solicitudes de una dirección IP específica.

Definición de reglas y captura de paquetesPuede crear más de cinco reglas de tuplas para un firewall relacionado con el contexto. Puede seguir agregando tantas tuplas como necesite para crear la regla correcta. Los únicos atributos admitidos son protocolo y usuario, y puede tener un usuario o un protocolo por regla. Pueden estar en campos SRC/DEST estándar o se pueden agregar al final de los atributos adicionales.


VMware, Inc. 184

Hay siete tuplas en la siguiente regla:

Origen (Source)Destino (Destination) Servicio (Service)

Dirección (Direction) Acción Atributos

location-set-1 Iport-set-1 HTTPS ENTRADA Y SALIDA (INOUT)

Permitir (Allow) TLS-V10

Figura 10-1. Procesamiento de paquetes del firewall relacionado con el contexto

Daemondel ámbito

de usuario DPI

Índice 2 Entradade flujo

1

2

3

Flujo 1

Flujo 2

Flujo 3

Índice 1 ID deregla

1

2

3

Regla 1

Regla 2

Regla 3

Filtro DFW

Flujo noencontrado

Tabla de flujos actualizada

5 tuplas

Procesamiento y revalidación de reglas

Paquete

vSwitch

Cuando se configura un firewall relacionado con el contexto para la máquina virtual, los atributos de la inspección profunda de los paquetes (DPI) distribuida también deben coincidir con las cinco tuplas. Aquí se procesan las reglas y se vuelven a validar, y se busca la regla adecuada. Dependiendo de la acción, se crea o se descarta un flujo.

A continuación, se describe cómo se procesa una regla para un paquete entrante:

1 Al especificar un filtro de DFW, se buscan los paquetes en la tabla de flujos basados en cinco tuplas.

2 Si no se encuentran flujos ni estados, el flujo coincide con la tabla de reglas basadas en cinco tuplas y se crea una entrada en la tabla de flujos.

3 Si el flujo coincide con una regla con un objeto de servicio de Capa 7, el estado de la tabla de flujos se marca como "PPP en progreso" (DPI In Progress).

4 El tráfico se envía al motor PPP. El motor PPP determina el APP_ID.

5 Una vez que APP_ID se determinó, el motor PPP envía el atributo que se inserta en la tabla de contexto para este flujo. Se elimina la marca "PPP en progreso" (DPI In Progress) y el tráfico ya no se envía al motor PPP.

6 El flujo (ahora con APP_ID) se vuelve a evaluar con todas las reglas que coincidan con APP_ID, a partir de la regla original con la que coincidió basada en cinco tuplas, y garantiza que ninguna regla que coincida con la Capa 4 tenga preferencia. Se lleva a cabo la acción apropiada (permitir/rechazar) y la entrada de la tabla de flujos se actualiza según corresponda.


VMware, Inc. 185

Es posible que exista una regla para tener una regla de firewall relacionado con el contexto, como una regla de Capa 3 o de Capa 4, sin definir realmente el contexto. Si este es el caso, el paso de validación se podría realizar para aplicar el contexto, que podría tener más atributos.

Flujo de trabajo del firewall relacionado con el contexto

Plano de administración

Planode control (vsfwd)

Agente del ámbitodel usuarioEspacio

de usuario

Espacio de kernel

Módulo deruta de datos VSIP

GUID de ID de aplicacionesLa identificación de aplicación de Capa 7 identifica qué aplicación genera un paquete o un flujo específicos, independientemente del puerto que se está utilizando.

El cumplimiento en función de la identidad de la aplicación permite a los usuarios permitir o denegar que las aplicaciones se ejecuten en cualquier puerto, o bien forzar a las aplicaciones a ejecutarse en su puerto estándar. La inspección profunda de paquetes (PPP) permite comparar la carga útil de paquetes con patrones definidos, comúnmente conocidos como firmas. Los objetos de servicio de la Capa 7 se pueden utilizar para la aplicación de puertos independientes o para crear nuevos objetos de servicio que utilicen una combinación de identidad de aplicación, protocolo y puerto de Capa 7. Los objetos basados en servicio de Capa 7 se pueden utilizar en la tabla de reglas de firewall y Service Composer, y la información de identificación de la aplicación se captura en los registros de Distributed Firewall, Flow Monitoring y Application Rule Manager (ARM) al crear perfiles de una aplicación.

Tabla 10-1. GUID de ID de aplicaciones

GUID Descripción Tipo (Type)

360ANTIV 360 Safeguard es un programa desarrollado por Qihoo 360, una empresa de TI con sede en China.

Servicios web

ACTIVDIR Active Directory de Microsoft Redes


VMware, Inc. 186

Tabla 10-1. GUID de ID de aplicaciones (continuación)


AD_BKUP Servicio de copia de seguridad de Active Directory de Microsoft Redes

AD_NSP Proveedor de servicios de Active Directory de Microsoft Redes

AMQP El estándar AMQP (Advanced Message Queueing Protocol) es un protocolo de capa de aplicación que admite la comunicación a través de mensajes comerciales entre aplicaciones u organizaciones.

Redes

AVAST Tráfico generado al navegar por Avast.com, el sitio web oficial de Avast! Descargas de antivirus

Servicios Web

AVG Descarga de software de antivirus/seguridad AVG y sus actualizaciones.

Transferencia de archivos

AVIRA Descarga de software de antivirus/seguridad Avira y sus actualizaciones.


BLAST Un protocolo de acceso remoto que comprime, cifra y codifica experiencias de computación en un centro de datos y las transmite a través de cualquier red IP estándar para escritorios VMware Horizon.

Acceso remoto

BDEFNDER Descarga de software de antivirus/seguridad BitDefender y sus actualizaciones.


CA_CERT La entidad de certificación (CA) emite certificados digitales que certifican la propiedad de una clave pública para el cifrado de mensajes.

Redes

CIFS El sistema CIFS (Common Internet File System) se utiliza para proporcionar acceso compartido a directorios, archivos, impresoras, puertos serie y diversos tipos de comunicaciones entre los nodos de una red.


CLRCASE Una herramienta de software para el control de la revisión de código fuente y otros activos de desarrollo de software. Desarrollada por la división de Software racional de IBM. ClearCase es la base de control de revisiones de muchas empresas grandes y medianas, y permite gestionar proyectos con cientos o miles de desarrolladores.

Redes

CTRXCGP Protocolo de puerta de enlace común de Citrix. Acceso remoto

CTRXGOTO Alojamiento de Citrix GoToMeeting o sesiones similares basadas en la plataforma GoToMeeting. Incluye las funciones de administración de vídeo, voz y limitación de usuarios.

Colaboración

CTRXICA ICA (Independent Computing Architecture) es un protocolo registrado de un sistema de servidor de aplicaciones diseñado por Citrix Systems.

Acceso remoto

DCERPC DCE/RPC es el sistema de llamadas a procedimientos remotos desarrollado para entornos de computación distribuida (DCE).

Redes

DIAMETER Protocolo de autenticación, autorización y cuentas para redes informáticas.

Redes

DNS Consultar un servidor DNS a través de TCP o UDP Redes

EPIC EMR Epic es una aplicación de registros médicos electrónicos que ofrece información sobre la salud y el cuidado del paciente.

Servidor cliente


VMware, Inc. 187



ESET Descarga de software de antivirus/seguridad Eset y sus actualizaciones.


FPROT Descarga de software de antivirus/seguridad F-Prot y sus actualizaciones.


FTP El protocolo FTP (File Transfer Protocol) se utiliza para transferir archivos de un servidor de archivos a una máquina local.


GITHUB Git basado en web o repositorio de control de versión y el servicio de hospedaje en Internet.

Colaboración

HTTP El protocolo HTTP (HyperText Transfer Protocol) es el protocolo de transporte principal de Internet.

Servicios Web

HTTP2 Tráfico generado al navegar por sitios Web compatibles con el protocolo HTTP 2.0.

Servicios Web

IMAP El protocolo IMAP (Internet Message Access Protocol) es un protocolo estándar de Internet para acceder al correo electrónico en un servidor remoto.

Correo

KASPRSKY Descarga de software de antivirus/seguridad Kaspersky y sus actualizaciones.


KERBEROS Kerberos es un protocolo de autenticación de red diseñado para proporcionar una autenticación segura para las aplicaciones cliente/servidor usando criptografía de clave secreta.

Redes

LDAP El protocolo LDAP (Lightweight Directory Access Protocol) es un protocolo para leer y modificar los directorios a través de una red IP.

Base de datos

MAXDB Las consultas y las conexiones de SQL realizadas a un servidor SQL MaxDB.

Base de datos

MCAFEE Descarga de software de antivirus/seguridad McAfee y sus actualizaciones.


MSSQL Microsoft SQL Server es una base de datos relacional. Base de datos

NFS Permite que un usuario en un equipo cliente acceda a archivos a través de una red de forma similar a cómo accedería a un almacenamiento local.


NTBIOSNS Servicio de nombres de NetBIOS. Para poder iniciar las sesiones o distribuir datagramas, una aplicación debe registrar su nombre de NetBIOS mediante el servicio de nombres.

Redes

NTP El protocolo NTP (Network Time Protocol) se utiliza para sincronizar los relojes de los sistemas informáticos a través de la red.

Redes

OCSP Respondedor OCSP que verifica que la clave privada de un usuario no se comprometió ni revocó.

Redes

ORACLE El sistema de gestión de bases de datos objeto-relacional (ORDBMS) diseñada y comercializada por Oracle Corporation.

Base de datos

PANDA Descarga de software de antivirus/seguridad Panda y sus actualizaciones.



VMware, Inc. 188



PCOIP Un protocolo de acceso remoto que comprime, cifra y codifica experiencias de computación en un centro de datos y las transmite a través de cualquier red IP estándar.

Acceso remoto

POP2 El protocolo POP (Post Office Protocol) es un protocolo utilizado por los clientes de correo electrónico local para recuperar el correo electrónico de un servidor remoto.

Correo

POP3 Implementación de Microsoft del servicio de nombres de NetBIOS (NBNS), un servicio y servidor de nombres para equipos NetBIOS.

Correo

RADIUS Proporciona gestión centralizada de AAA (autenticación, autorización y contabilidad) para que los equipos se conecten y utilicen un servicio de red.

Redes

RDP El protocolo RDP (Remote Desktop Protocol) proporciona a los usuarios una interfaz gráfica a otro equipo.

Acceso remoto

RTCP El protocolo RTCP (Real-Time Transport Control Protocol) es un protocolo del mismo tipo que el protocolo RTP (Real-time Transport Protocol). RTCP proporciona información de control de fuera de banda para un flujo de RTP.

Transmisión multimedia

RTP El protocolo RTP (Real-Time Transport Protocol) se utiliza principalmente para ofrecer vídeo y audio en tiempo real.


RTSP El protocolo RTSP (Real Time Streaming Protocol) se utiliza para establecer y controlar sesiones de medio entre terminales.

Transmisión multimedia.

RTSPS Protocolo de control de red seguro diseñado para su uso en sistemas de comunicaciones y entretenimiento para controlar los servidores de transmisión multimedia. Se utiliza para establecer y controlar las sesiones de medios entre terminales.


SIP El protocolo SIP (Session Initiation Protocol) es un protocolo de control común para configurar y controlar llamadas de voz o vídeo.


SKIP El protocolo SKIP (Simple Key-Management for Internet Protocol) es similar a SSL, excepto que establece una clave a largo plazo una vez y no requiere ninguna comunicación previa para establecer o intercambiar las claves de una sesión a otra.

Redes

SMTP El protocolo SMTP (Simple Mail Transfer Protocol) es un estándar de Internet para la transmisión de correo electrónico a través de redes de protocolo de Internet (IP).

Correo

SNMP El protocolo SNMP (Simple Network Management Protocol) es un protocolo de Internet estándar para gestionar dispositivos en redes IP.

Supervisión de redes

SQLNET Software de redes que permite el acceso remoto a datos entre programas y la base de datos de Oracle, o entre varias bases de datos de Oracle.

Base de datos

SQLSERV Servicios de SQL Base de datos

SSH SSH (Secure Shell) es un protocolo de red que permite que se intercambien datos mediante un canal seguro entre dos dispositivos de la red.

Acceso remoto


VMware, Inc. 189



SSL SSL (Secure Sockets Layer) es un protocolo criptográfico que ofrece seguridad a través de Internet.

Servicios Web

SVN Administración de contenido en un servidor Subversion. Base de datos

SYMUPDAT Tráfico de Symantec LiveUpdate. Incluye definiciones de programas espía, reglas de firewall, archivos de firmas antivirus y actualizaciones de software.


SYSLOG Tráfico de Symantec LiveUpdate. Incluye definiciones de programas espía, reglas de firewall, archivos de firmas antivirus y actualizaciones de software.

Supervisión de redes

TELNET Protocolo de red utilizado en las redes de área local o de Internet para proporcionar una instalación de comunicaciones orientadas a texto interactivas o bidireccionales mediante una conexión a un terminal virtual.

Acceso remoto

TFTP El protocolo TFTP (Trivial File Transfer Protocol) se utiliza para enumerar, descargar y cargar archivos a un servidor TFTP como SolarWinds TFTP Server usando un cliente como WinAgents TFTP.


VNC Tráfico de computación virtual de red. Acceso remoto

WINS Implementación de Microsoft del servicio de nombres de NetBIOS (NBNS), un servicio y servidor de nombres para equipos NetBIOS.

Redes

Ejemplo: Crear una regla de firewall relacionado con el contextoPuede configurar una regla de firewall basado en aplicaciones o relacionado con el contexto mediante la especificación de objetos de servicio de Capa 7. Una regla de firewall relacionado con el contexto de Capa 7 puede inspeccionar de forma inteligente el contenido de los paquetes.

En este ejemplo, se explica el proceso para crear una regla de firewall de Capa 7 con el objeto de servicio APP_HTTP. Esta regla de firewall permite solicitudes HTTP procedentes de una máquina virtual a cualquier destino. Después de crear la regla de firewall, inicie algunas sesiones HTTP en la máquina virtual de origen encargada de enviar esta regla de firewall y active la supervisión de flujo en una vNIC concreta de la máquina virtual de origen. La regla de firewall detecta el contexto de una aplicación de HTTP y aplica la regla en la máquina virtual de origen.

Requisitos previos

Debe iniciar sesión en vSphere Web Client con una cuenta que tenga una de las siguientes funciones de NSX:

n Administrador de seguridad

n Administrador de NSX

n Ingeniero de seguridad

n Administrador empresarial

Nota Asegúrese de tener instalado NSX Data Center for vSphere 6.4 o alguna versión posterior.


VMware, Inc. 190

Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Seguridad (Security) > Firewall.

2 (opcional) Agregue una sección de reglas de firewall para agrupar reglas de firewall relacionado con el contexto.

3 Haga clic en Agregar regla (Add Rule).

4 Cree la regla de firewall relacionado con el contexto.

a Introduzca un nombre para identificar esta regla. Por ejemplo, L7_Rule_HTTP_Service.

b En la columna Origen (Source), haga clic en el icono Editar (Editar) ( ).

Se abrirá la página Especificar origen (Specify Source).

c En el menú desplegable Tipo de objeto (Object Type), seleccione Máquina virtual (Virtual Machine).

d En la lista Objetos disponibles (Available Objects), seleccione la máquina virtual. Traslade este objeto a la lista Objetos seleccionados (Selected Objects) y haga clic en Guardar (Save).

e En la columna Destino (Destination), no modifique el valor predeterminado Cualquiera (Any).

f En la columna Servicio (Service), haga clic en el icono Editar (Editar) ( ).

Se abrirá la página Especificar servicio (Specify Service).

g En el menú desplegable Tipo de objeto (Object Type), seleccione Servicios (Services).

h En la lista Objetos disponibles (Available Objects), seleccione el servicio App_HTTP. Traslade este servicio a la lista Objetos seleccionados (Selected Objects) y haga clic en Guardar (Save).

i Asegúrese de que la regla de firewall esté habilitada y la acción de la regla esté establecida en Permitir (Allow).

j Haga clic en Publicar (Publish) para que aparezca la configuración de la regla de firewall.

La figura siguiente muestra la regla de firewall creada.

Figura 10-2. Definición de una regla de firewall relacionado con el contexto

5 Inicie sesión en la consola de la máquina virtual de origen e inicie el comando wget de Linux para descargar los archivos de Internet mediante HTTP.


VMware, Inc. 191

6 En la vNIC de la máquina virtual de origen, active la supervisión de flujo directo para controlar los flujos de tráfico en la máquina virtual de origen.

a Desplácese hasta Herramientas (Tools) > Flow Monitoring (Supervisión de flujo).

b Seleccione una vNIC concreta en la máquina virtual de origen. Por ejemplo, seleccione l2vpn-client-vm-Network adapter 1.

c Haga clic en Iniciar (Start) para ver los datos de supervisión de flujo.

7 En la figura siguiente, los datos de supervisión de flujo muestran que la regla de firewall ha detectado el contexto de la aplicación (HTTP). Se aplica la regla 1005 en la máquina virtual de origen (10.161.117.238) y el tráfico fluye a las direcciones IP de destino 151.101.129.67 y 151.101.53.67.

Figura 10-3. Flujos de tráfico en una máquina virtual de origen

8 Vuelva a la página Firewall y cambie la acción de la regla a Bloquear (Block).

9 Acceda a la consola de la máquina virtual y vuelva a ejecutar el comando wget.

Tenga en cuenta que la máquina virtual de origen ahora bloqueará las solicitudes HTTP. Debería aparecer el siguiente mensaje de error en la consola de la máquina virtual:

HTTP request sent, awaiting response ... Read error (Connection reset by peer) in headers

Retrying.

La figura siguiente muestra un flujo en el que se ha detectado el contexto de la aplicación (HTTP) y se ha bloqueado en la vNIC de la máquina virtual de origen (10.161.117.238).


VMware, Inc. 192

Figura 10-4. Flujos de tráfico en una máquina virtual de origen

Pasos siguientes

Para conocer otros escenarios en los que puede usar reglas de firewall relacionado con el contexto, consulte Escenarios del firewall relacionado con el contexto.

Temporizadores de sesiónLos temporizadores de sesión se pueden configurar para las sesiones TCP, UDP e ICMP.

Los temporizadores de sesión definen el tiempo que se mantendrá una sesión en el firewall estando inactiva. Cuando se agota el tiempo de espera de sesión del protocolo, se cierra la sesión.

En el firewall, se pueden especificar varios tiempos de espera para sesiones TCP, UDP e ICMP con el objetivo de aplicarlos a un subconjunto de máquinas virtuales o vNIC definidas por el usuario. De forma predeterminada, las máquinas virtuales o las vNIC que no se incluyan en el temporizador definido por el usuario se incluirán en el temporizador de sesión global. Todos estos tiempos de espera son globales, lo que significa que se aplican a todas las sesiones de ese tipo en el host.

Los valores de sesión predeterminados se pueden modificar dependiendo de las necesidades de su red. Tenga en cuenta que establecer un valor muy bajo podría dar lugar a que se produzca frecuentemente el agotamiento de los tiempos de espera. Del mismo modo, establecer un valor muy alto podría demorar la detección de fallos.

Crear un temporizador de sesiónLos temporizadores de sesión definen el tiempo que se mantendrá una sesión en el firewall cuando esté inactiva.

En el firewall, puede definir tiempos de espera para sesiones TCP, UDP e ICMP para un conjunto de VM o vNIC definido por el usuario. El temporizador predeterminado es global, lo que significa que se aplica a todas las máquinas virtuales protegidas por el firewall.


VMware, Inc. 193

Procedimiento

1 Acceda a Configuración del tiempo de espera (Timeout Settings).

u En NSX 6.4.1 y versiones posteriores, acceda a Redes y seguridad (Networking & Security) > Seguridad (Security) > Configuración del firewall (Firewall Settings) > Configuración del tiempo de espera (Timeout Settings).

u En NSX 6.4.0, acceda a Redes y seguridad (Networking & Security) > Seguridad (Security) > Firewall > Configuración (Settings).

2 Si hay disponible más de una instancia de NSX Manager, seleccione una de la lista desplegable.

3 Haga clic en el icono Agregar (Add) ( ) .

4 Escriba un nombre (name) (obligatorio) y una descripción (description) (opcional) para el temporizador de sesión.

5 Seleccione el protocolo. Acepte los valores predeterminados o introduzca sus propios valores.

Variables TCP Descripción

Primer paquete (First Packet)

El valor de tiempo de espera para la conexión después de que se haya enviado el primer paquete. El valor predeterminado es de 120 segundos.

Cerrar (Closing) El valor de tiempo de espera para la conexión después de que se enviara el primer FIN. El valor predeterminado es de 120 segundos.

Abrir (Open) El valor de tiempo de espera para la conexión después de que se transfiriera un segundo paquete. El valor predeterminado es de 30 segundos.

Fin Wait El valor de tiempo de espera para la conexión después de que se intercambiaran ambas FIN y se haya cerrado la conexión. El valor predeterminado es de 45 segundos.

Establecida (Established)

El valor de tiempo de espera para la conexión una vez que esta se estableciera completamente.

Cerrado (Closed) El valor de tiempo de espera para la conexión después de que un endpoint envíe un RST. El valor predeterminado es de 20 segundos.

Variables UDP Descripción


El valor de tiempo de espera para la conexión después de que se envíe el primer paquete. Este será el tiempo de espera inicial para el nuevo flujo UDP. El valor predeterminado es de 60 segundos.

Individual (Single) El valor de tiempo de espera para la conexión si el host de origen envía más de un paquete y el host de destino no ha enviado uno de vuelta. El valor predeterminado es de 30 segundos.

Varias (Multiple) El valor de tiempo de espera para la conexión si ambos hosts han enviado paquetes. El valor predeterminado es de 60 segundos.

Variables ICMP Descripción


El valor de tiempo de espera para la conexión después de que se envíe el primer paquete. Este será el tiempo de espera inicial para el nuevo flujo ICMP. El valor predeterminado es de 20 segundos.

Respuesta de error (Error reply)

El valor de tiempo de espera para la conexión después de que se devuelva un error ICMP en respuesta a un paquete ICMP. El valor predeterminado es de 10 segundos.


VMware, Inc. 194

6 En NSX 6.1 y versiones posteriores, haga clic en Siguiente (Next).

7 Seleccione el tipo de objeto, vNIC o VM.

La lista Objetos disponibles (Available Objects) se rellena de forma automática.

8 Seleccione uno o varios objetos y haga clic en la flecha para moverlos a la columna Objetos seleccionados (Selected Objects).

9 Haga clic en Aceptar (OK) o Finalizar (Finish).

Se ha creado un temporizador para aplicar al conjunto de hosts definidos por el usuario.

Editar un temporizador de sesión

Configure los parámetros de tiempo de espera para los protocolos TCP, UDP e ICMP.

Después de que se cree un temporizador de sesión, se puede cambiar según sea necesario. También se puede editar el temporizador de sesión predeterminado.

Procedimiento

1 Acceda a Configuración del tiempo de espera (Timeout Settings).

u En NSX 6.4.1 y versiones posteriores, acceda a Redes y seguridad (Networking & Security) > Seguridad (Security) > Configuración del firewall (Firewall Settings) > Configuración del tiempo de espera (Timeout Settings).

u En NSX 6.4.0, acceda a Redes y seguridad (Networking & Security) > Seguridad (Security) > Firewall > Configuración (Settings).

2 Si hay disponible más de una instancia de NSX Manager, seleccione una de la lista desplegable.

3 Seleccione el temporizador que desee editar. Tenga en cuenta que también se pueden editar los valores predeterminados del temporizador. Haga clic en el icono del lápiz (pencil).

4 Escriba un nombre (name) (obligatorio) y una descripción (description) (opcional) para el temporizador de sesión.

5 Seleccione el protocolo. Edite cualquier valor predeterminado que quiera cambiar.



El valor de tiempo de espera para la conexión después de que se haya enviado el primer paquete. El valor predeterminado es de 120 segundos.

Cerrar (Closing) El valor de tiempo de espera para la conexión después de que se enviara el primer FIN. El valor predeterminado es de 120 segundos.

Abrir (Open) El valor de tiempo de espera para la conexión después de que se transfiriera un segundo paquete. El valor predeterminado es de 30 segundos.

Fin Wait El valor de tiempo de espera para la conexión después de que se intercambiaran ambas FIN y se haya cerrado la conexión. El valor predeterminado es de 45 segundos.

Establecida (Established)

El valor de tiempo de espera para la conexión una vez que esta se estableciera completamente.


VMware, Inc. 195


Cerrado (Closed) El valor de tiempo de espera para la conexión después de que un endpoint envíe un RST. El valor predeterminado es de 20 segundos.

Variables UDP Descripción


El valor de tiempo de espera para la conexión después de que se envíe el primer paquete. Este será el tiempo de espera inicial para el nuevo flujo UDP. El valor predeterminado es de 60 segundos.

Individual (Single) El valor de tiempo de espera para la conexión si el host de origen envía más de un paquete y el host de destino no ha enviado uno de vuelta. El valor predeterminado es de 30 segundos.

Varias (Multiple) El valor de tiempo de espera para la conexión si ambos hosts han enviado paquetes. El valor predeterminado es de 60 segundos.

Variables ICMP Descripción


El valor de tiempo de espera para la conexión después de que se envíe el primer paquete. Este será el tiempo de espera inicial para el nuevo flujo ICMP. El valor predeterminado es de 20 segundos.

Respuesta de error (Error reply)

El valor de tiempo de espera para la conexión después de que se devuelva un error ICMP en respuesta a un paquete ICMP. El valor predeterminado es de 10 segundos.

6 En NSX 6.1 y versiones posteriores, haga clic en Siguiente (Next).

7 Seleccione el tipo de objeto, vNIC o VM.

La lista Objetos disponibles (Available Objects) se rellena de forma automática.

8 Seleccione uno o varios objetos y haga clic en la flecha para moverlos a la columna Objetos seleccionados (Selected Objects).


Detección de IP para máquinas virtualesVMware Tools se ejecuta en una máquina virtual y proporciona varios servicios. Un servicio que es esencial para el Distributed Firewall es asociar una máquina virtual y sus vNIC con direcciones IP. Antes de NSX 6.2, si VMware Tools no estaba instalado en una máquina virtual, su dirección IP no se conocía. En NSX 6.2 y versiones posteriores, puede configurar clústeres para detectar las direcciones IP de máquina virtual con intromisión DHCP, intromisión ARP o ambas. Esto permite a NSX detectar la dirección IP si VMware Tools no está instalado en la máquina virtual. Si VMware Tools está instalado, puede trabajar junto con la intromisión DHCP y ARP.

VMware recomienda instalar VMware Tools en cada máquina virtual del entorno. Además de proporcionar vCenter con la dirección IP de las máquinas virtuales, brinda muchas otras funciones:

n permite copiar y pegar entre la máquina virtual y el host o el escritorio cliente

n sincroniza la hora con el sistema operativo del host

n permite apagar o reiniciar la máquina virtual desde vCenter

n recopila el uso de la memoria, el disco y la red de la máquina virtual y lo envía al host


VMware, Inc. 196

n determina la disponibilidad de la máquina virtual mediante el envío y la recopilación de latidos

Tenga en cuenta que tener dos VNIC para una máquina virtual en la misma red no es compatible y que puede producir resultados impredecibles sobre el tráfico que se bloquea o se permite.

En el caso de aquellas máquinas virtuales que no tienen VMware Tools instalado, NSX conocerá la dirección IP a través de la intromisión DHCP o ARP, si la intromisión DHCP o ARP está habilitada en el clúster de la máquina virtual.

Cambiar el tipo de detección de IPLa dirección IP de una máquina virtual se puede detectar con VMware Tools, que está instalad en la máquina virtual, o bien mediante la intromisión DHCP y ARP. Estos métodos de detección de IP pueden utilizarse juntos en la misma instalación de NSX.

Puede especificar los tipos de detección de IP a nivel global o de clúster del host. Normalmente, los usuarios con funciones de administrador de seguridad e ingeniero de seguridad prefieren especificar el tipo de detección de IP de forma global. Utilizan las direcciones IP detectadas de la máquina para configurar las directivas SpoofGuard y de firewall distribuido.

Los usuarios con una función de administrador empresarial suelen tener una visión mucho más amplia de toda la red virtual y probablemente prefieran controlar el tipo de detección de IP mediante la edición de los ajustes del clúster del host. Los ajustes de detección de IP del clúster del host anulan la configuración especificada a nivel global.

Procedimiento

1 Desplácese hasta la página Cambiar tipo de detección de IP (Change IP Detection Type).

Nivel de detección de IP Pasos

Detección global de IP (Global IP Detection)

a Desplácese hasta Redes y seguridad (Networking & Security) > Seguridad (Security) > SpoofGuard (SpoofGuard).

b Junto a Tipo de detección de IP (IP Detection Type), haga clic en el icono

.

Detección de IP en el clúster del host (Host Cluster IP Detection)

a Desplácese hasta Redes y seguridad (Networking & Security) > Instalación y actualización (Installation and Upgrade) > Preparación del host (Host Preparation).

b Haga clic en el clúster para el que quiera cambiar el tipo de detección de IP y, a continuación, seleccione Acciones (Actions) > Cambiar tipo de detección de IP (Change IP Detection Type).


VMware, Inc. 197

2 Seleccione los tipos de detección de IP deseados y haga clic en Guardar (Save) o Aceptar (OK).

Tipo de detección de IP Descripción (Description)

Intromisión de DHCP (DHCP Snooping)

NSX detecta las direcciones IP de las máquinas virtuales de la red. Para ello, lee las entradas de intromisión DHCP.

Intromisión de ARP (ARP Snooping) NSX detecta las direcciones IP de las máquinas virtuales mediante el mecanismo de intromisión ARP.

Recomendación: Configure SpoofGuard si utiliza la intromisión ARP para detectar direcciones IP. SpoofGuard le ayuda a defender la red de ataques que quieren dañar el ARP.

3 Si selecciona la intromisión ARP, introduzca el número máximo de direcciones IP de ARP que se

debe detectar por vNIC y máquina virtual. El valor predeterminado es 1.

La intromisión ARP puede detectar un máximo de 128 direcciones IP por vNIC y máquina virtual. El rango de valores válido es de 1 a 128. Por ejemplo, si especifica el valor 5, se detectarán como máximo las cinco primeras direcciones IP por vNIC y máquina virtual.

Pasos siguientes

n Si habilita la intromisión ARP, le recomendamos que configure SpoofGuard para defender su red de ataques que quieran dañar el ARP.

n Configure la regla de firewall predeterminada.

Excluir las máquinas virtuales de la protección de firewallPuede excluir un conjunto de máquinas virtuales de la protección de firewall distribuido.

Las máquinas virtuales de NSX Manager, NSX Controller y NSX Edge se excluyen automáticamente de la protección del firewall distribuido. Además, incluya las siguientes máquinas virtuales de servicio en la lista de exclusión para permitir que el tráfico circule libremente.

n vCenter Server. Puede moverse a un clúster protegido por firewall, pero ya debe existir en la lista de exclusión para evitar problemas de conectividad.

Nota Es importante agregar vCenter Server a la lista de exclusión antes de cambiar la regla predeterminada "any any" de permitir a bloquear. Si no se lleva a cabo esta acción, se bloqueará el acceso a vCenter Server tras crear una regla Denegar todo (o tras modificar la regla predeterminada para bloquear la acción). Si esto ocurre, use la API para cambiar la regla predeterminada, de forma que se admita en lugar de que se rechace. Por ejemplo, use GET /api/4.0/firewall/globalroot-0/config para recuperar la configuración actual y use PUT /api/4.0/firewall/globalroot-0/config para cambiar la configuración. Consulte cómo trabajar con la configuración del firewall distribuido en la Guía de Guía de NSX API para obtener más información.

n Máquinas virtuales del servicio de partners.

n Máquinas virtuales que requieren el modo promiscuo. Si estas máquinas virtuales están protegidas por firewall distribuido, su rendimiento puede verse gravemente afectado.


VMware, Inc. 198

n El servidor SQL Server que utiliza la instancia de vCenter basada en Windows.

n vCenter Web Server, si se lo va a ejecutar por separado.

Procedimiento

1 Acceda a la configuración de Lista de exclusión (Exclusion List).

u En NSX 6.4.1 y versiones posteriores, acceda a Redes y seguridad (Networking & Security) > Seguridad (Security) > Configuración del firewall (Firewall Settings) > Lista de exclusión (Exclusion List).

u En NSX 6.4.0, acceda a Redes y seguridad (Networking & Security) > Seguridad (Security) > Firewall > Lista de exclusión (Exclusion List).


3 Mueva las máquinas virtuales que desee excluir de Objetos seleccionados (Selected Objects).


Si una máquina virtual tiene varias NIC, todas ellas quedarán excluidas de la protección. Si agrega vNIC a una máquina virtual que ya está agregada a la lista de exclusión, el firewall se implementa automáticamente en las vNIC recientemente agregadas. Para excluir las nuevas vNIC de la protección de firewall, debe eliminar la máquina virtual de la lista de exclusión y, a continuación, volver a agregarla a la lista. Una alternativa es realizar un ciclo de energía (apagar y encender la máquina virtual), pero la primera opción es menos disruptiva.

Ver eventos de umbral de memoria y CPU del firewallCuando se prepara un clúster para la virtualización de red, el módulo Firewall se instala en todos los hosts de ese clúster. Este módulo asigna tres pilas: una pila de módulo para los parámetros del módulo; una pila de reglas para reglas, contenedores y filtros; y una pila de estado para los flujos de tráfico. La asignación del tamaño de pila está determinada por la memoria física disponible en el host. Según la cantidad de reglas, conjuntos de contenedores y conexiones, el tamaño de pila puede ir aumentando o reduciéndose. El módulo Firewall que se ejecuta en el hipervisor también utiliza las CPU del host para el procesamiento de paquetes.

Si se conoce cuál es la utilización de recursos del host en un momento dado, resulta más fácil organizar la utilización del servidor y los diseños de red.

El umbral predeterminado tanto de la CPU como de la memoria es 100. Puede modificar los valores del umbral predeterminado mediante llamadas de la API de REST. El módulo Firewall genera eventos del sistema cuando la utilización de la CPU y de la memoria supera los umbrales. Para obtener información sobre cómo configurar los valores del umbral predeterminado, consulte Trabajar con umbrales de memoria y CPU en la Guía de NSX API.

Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Sistema (System) > Eventos (Events).


VMware, Inc. 199

2 Asegúrese de estar en la pestaña Supervisar (Monitor).

3 Haga clic en la pestaña Eventos del sistema (System Events).

Uso del recurso Distributed FirewallLa memoria se utiliza en las estructuras de datos internos de un Distributed Firewall, y puede configurarse para la CPU, la RAM y las conexiones por segundo.

Cada host ESXi se configura con los siguientes parámetros umbrales para el uso de los recursos de DFW:

Uso de CPU, memoria de pila, memoria de proceso, conexiones por segundo (CPS) y conexiones máximas. Se activa una alarma si el umbral respectivo se supera 20 veces consecutivas en un período de 200 segundos. Se toma una muestra cada 10 segundos.

La memoria se utiliza en las estructuras de datos internos de un Distributed Firewall, que incluyen filtros, reglas, contenedores, estados de conexión, direcciones IP detectadas y flujos de descarte. Estos parámetros pueden manipularse con la siguiente llamada API: PUT /api/4.0/firewall/stats/thresholds. Consulte la Guía de NSX API para obtener más información.

Firewall de EdgeEl firewall de Edge supervisa el tráfico de norte a sur para proporcionar la funcionalidad de seguridad del perímetro, que incluye el firewall, la traducción de direcciones de red (Network Address Translation, NAT) y la funcionalidad SSL VPN e IPSec de sitio a sitio. Esta solución está disponible en el factor de forma de la máquina virtual y se puede implementar en modo de alta disponibilidad (High Availability).

La compatibilidad con el firewall es limitada en el enrutador lógico. Solo funcionan las reglas de las interfaces de administración o enlace ascendente, pero no las reglas de interfaces internas.

Nota NSX-V Edge es vulnerable ante ataques de inundación SYN en los que un atacante llena la tabla de seguimiento del estado de firewall con paquetes de inundación SYN. Este ataque de denegación de servicios o ataque distribuido de denegación de servicios (DOS/DDOS) crea una interrupción del servicio a los usuarios originales. Para defender Edge de los ataques de inundación SYN, es necesario implementar una lógica que detecte conexiones TCP falsas y las detenga sin consumir recursos del seguimiento del estado del firewall. Esta función está deshabilitada de forma predeterminada. Para habilitar esta función en un entorno de alto riesgo, configure el valor enableSynFloodProtection de REST API en true como parte de la configuración global del firewall.

Para obtener información detallada sobre el comportamiento cuando SynFloodProtection está habilitado en una instancia de NSX Edge, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/54527.

Trabajar con reglas de firewall de NSX EdgePuede desplazarse hasta una instancia de NSX Edge para ver las reglas de firewall que se le aplican.


VMware, Inc. 200

https://kb.vmware.com/s/article/54527

Las reglas de firewall aplicadas a un enrutador lógico solo protegen el tráfico del plano de control que circula hacia y desde la máquina virtual de control del enrutador lógico. Estas reglas no aplican ninguna protección en el plano de datos. Para proteger el tráfico del plano de datos, cree reglas de firewall lógico para ofrecer protección de este a oeste, o bien reglas de puerta de enlace de servicios NSX Edge para ofrecer protección de norte a sur.

Las reglas se muestran y se aplican en el siguiente orden:

1 Reglas de firewall distribuido predefinidas que se aplican a la instancia de Edge.

n Estas reglas se establecen en la interfaz de usuario del firewall (Redes y seguridad [Networking & Security] > Seguridad [Security] > Firewall [Firewall]).

n Estas reglas se muestran en modo Solo lectura (Read-only) en la interfaz de usuario del firewall de NSX Edge.

2 Reglas internas que permiten que el tráfico de control circule en los servicios Edge. Por ejemplo, las reglas internas incluyen las siguientes reglas autosociadas:

a Regla autoasociada de SSL VPN: la pestaña Firewall de Edge (Edge Firewall) muestra la regla autoasociada de sslvpn cuando los ajustes del servidor están configurados y el servicio SSL VPN está habilitado.

b Regla autoasociada de DNAT: la pestaña NAT de Edge (Edge NAT) muestra la regla autoasociada de DNAT como parte de la configuración predeterminada de SSL VPN.

3 Las reglas definidas por el usuario que se agregaron a la intergaz de usuario del firewall de NSX Edge.

4 Regla predeterminada.

Editar la regla de firewall de NSX Edge predeterminadaLa configuración de firewall predeterminada aplica al tráfico que no coincide con ninguna de las reglas de firewall definidas por el usuario. La directiva de Edge Firewall predeterminada bloquea todo el tráfico entrante. Puede cambiar la configuración de acciones y registro predeterminada.

Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Instancias de NSX Edge (NSX Edges).


3 Haga clic en Administrar (Manage) > Firewall (Firewall).


VMware, Inc. 201

4 Seleccione la Regla predeterminada (Default Rule), que es la última regla en la tabla de firewall.

Puede editar la acción y los comentarios de la regla, o bien habilitar o deshabilitar el registro de todas las sesiones que coincidan con la regla predeterminada. Si el registro se habilita, el rendimiento puede verse afectado.


6.4.6 y posteriores a Edite la acción de la regla, si fuera necesario.

b En la columna Registrar (Log), haga clic en el interruptor para habilitar o deshabilitar el registro.

c Haga clic en Comentarios de la regla (Rule Comments) ( ) para agregar o editar comentarios de la regla de firewall.

6.4.5 y versiones anteriores a Coloque el puntero sobre la celda Acción (Action) de la regla nueva y haga

clic en .

b Edite la acción de la regla, si fuera necesario.

c Haga clic en Registrar (Log) o No registrar (Do not log) según sea necesario.

d Agregue o edite los comentarios de la regla, si fuera necesario.


Agregar una regla de firewall de NSX EdgePuede agregar reglas de firewall de Edge definidas por el usuario en las puertas de enlace de servicios NSX Edge para aceptar, rechazar o denegar tipos específicos de tráfico. Sin embargo, no puede agregar reglas de firewall definidas por el usuario en un enrutador lógico distribuido.

La interfaz del firewall de Edge le permite agregar una regla de firewall de Edge a través de los métodos siguientes:

n Agregue una regla encima o debajo de una regla que ya aparezca en la tabla del firewall.

n Agregue una regla al copiar una regla existente.

n Agregue una regla al hacer clic en el icono Agregar (Add).

Recordatorio Si creó reglas de firewall distribuido y las aplicó a Edge, se mostrarán en modo Solo lectura (Read-only) dentro de la interfaz de usuario del firewall de Edge. No obstante, las reglas de firewall de Edge que cree a través de la interfaz de usuario del firewall de Edge no aparecerán en la interfaz del firewall que utilizara para crear las reglas de firewall distribuido (Redes y seguridad [Networking & Security] > Seguridad [Security] > Firewall [Firewall]).

Procedimiento





VMware, Inc. 202


5 Utilice cualquiera de los tres métodos siguientes para empezar a agregar una regla de firewall de Edge.

Método 1: Agregue una regla encima o debajo de una regla existente en la tabla de Firewall.

NSX establece el valor "cualquiera" (any) para las columnas Origen (Source), Destino (Destination) y Servicio (Service) de la regla que acaba de agregar. Si la regla generada por el sistema es la única regla que aparece en la tabla del firewall, la regla nueva se agregará encima de la regla predeterminada. La nueva regla está habilitada de forma predeterminada.

Versión de NSX Pasos

6.4.6 y posteriores a Seleccione una regla.

b Haga clic en y seleccione Agregar arriba (Add Above) o Agregar debajo (Add Below).

6.4.5 y versiones anteriores a Seleccione una regla.

b En la columna N.º (No.), haga clic en y seleccione Agregar arriba (Add Above) o Agregar debajo (Add Below).

Método 2: Agregue una regla al copiar una regla existente.

En NSX 6.4.5 y versiones anteriores, puede crear reglas al copiarlas de una en una. A partir de NSX 6.4.6, puede seleccionar varias reglas para copiarlas a la vez. Las reglas copiadas se habilitan de forma predeterminada y puede editar sus propiedades cuando sea necesario.

Nota Cuando copia y pega reglas "Internas" (Internal) generadas por el sistema y reglas "Predeterminadas" (Default), a las reglas nuevas que se crean se les asigna automáticamente el tipo de regla "Usuario" (User).


6.4.6 y posteriores a Seleccione la casilla de verificación situada junto a las reglas que quiera copiar.

b Haga clic en More (Más) > Copiar reglas seleccionadas (Copy Selected Rule[s]).

c Seleccione la regla en la que quiere que se peguen las reglas copiadas.

d Haga clic en y seleccione Pegar reglas arriba (Paste Rule[s] Above) o Pegar reglas debajo (Paste Rule[s] Below).

6.4.5 y versiones anteriores a Seleccione una regla.

b Haga clic en el icono Copiar (Copy) ( ) o , y seleccione Copiar (Copy).c Seleccione la regla en la que quiere que se pegue la regla copiada.

d En la columna N.º (No.), haga clic en y seleccione Pegar arriba (Paste Above) o Pegar debajo (Paste Below).

Método 3: Agregue una regla al hacer clic en el icono Agregar (Add) ( o ).


VMware, Inc. 203

Se agregará una fila a la tabla del firewall. NSX establece el valor "cualquiera" (any) para las columnas Origen (Source), Destino (Destination) y Servicio (Service) de la regla que acaba de agregar. Si la regla generada por el sistema es la única regla que aparece en la tabla del firewall, la regla nueva se agregará encima de la regla predeterminada. La nueva regla está habilitada de forma predeterminada.

6 (opcional) Indique un nombre de regla.

n En NSX 6.4.6 y versiones posteriores, coloque el puntero sobre la columna Nombre (Name) de la regla nueva e introduzca un nombre de regla.

n En NSX 6.4.5 y versiones anteriores, coloque el puntero sobre la columna Nombre (Name) de la

regla nueva y haga clic en . Introduzca un nombre de regla y haga clic en Aceptar (OK).

7 (opcional) Especifique el origen de la regla de firewall.

Puede agregar direcciones IP, objetos de vCenter y objetos de agrupación como origen. Si no agrega un origen, se establecerá la opción "cualquiera" (any). Puede agregar varias interfaces de NSX Edge y grupos de direcciones IP como origen de las reglas de firewall.


VMware, Inc. 204

También puede crear un conjunto de direcciones IP, o bien un grupo de seguridad. Una vez creada la opción que elija, se agregará automáticamente a la columna Origen (Source) de la regla.

a Seleccione uno o varios objetivos que quiera utilizar como orígenes de la regla de firewall.


6.4.6 y posteriores Siga estos pasos para seleccionar objetos:

1 Coloque el puntero sobre la columna Origen (Source) de la regla y haga

clic en .

2 En la pestaña Objetos (Objects), seleccione el tipo de objeto en el menú desplegable Tipo de objeto (Object Type).

3 Seleccione los objetos de la lista Objetos disponibles (Available Objects) y muévalos a la lista Objetos seleccionados (Selected Objects).

6.4.5 y versiones anteriores Siga estos pasos para seleccionar objetos:

1 Coloque el puntero sobre la columna Origen (Source) de la regla y haga

clic en .

2 Seleccione un tipo de objeto del menú desplegable Tipo de objeto (Object Type).


Por ejemplo, en las dos situaciones siguientes, puede utilizar el tipo de objeto "Grupo de vNIC" (vNIC Group) como origen:

Seleccionar todo el tráfico que genera la instancia de NSX Edge

En esta situación, seleccione Grupo de vNIC (vNIC Group) en el menú desplegable Tipo de objeto (Object Type) y, en la lista Objetos disponibles (Available Objects), seleccione vse.

Seleccionar todo el tráfico que se origina en cualquier interfaz interna o de enlace ascendente (externa) de la instancia de NSX Edge seleccionada

En esta situación, seleccione Grupo de vNIC (vNIC Group) en el menú desplegable Tipo de objeto (Object Type) y, en la lista Objetos disponibles (Available Objects), seleccione interno (internal) o externo (external).

La regla se actualiza automáticamente cuando se configuran interfaces adicionales en la instancia de Edge.

Recordatorio Las reglas de firewall definidas en las interfaces internas no funcionan en un enrutador lógico distribuido.

b Introduzca las direcciones IP que quiere utilizar como origen de la regla de firewall.

Puede introducir varias direcciones IP. Para ello, utilice una lista separada por comas o introduzca un rango de direcciones IP. Se admiten direcciones IPv4 e IPv6.


VMware, Inc. 205

n En NSX 6.4.6 y versiones posteriores, haga clic en . Haga clic en la pestaña Direcciones IP (IP Addresses) y, a continuación, en Agregar (Add) para introducir direcciones IP.

n En NSX 6.4.5 y versiones anteriores, haga clic en e introduzca las direcciones IP.

c (opcional) Establezca como negativos los orígenes indicados en la regla de firewall.

n Si activa la opción Origen negativo (Negate Source), la regla se aplicará al tráfico procedente de todos los orígenes, excepto los orígenes especificados en esta regla.

n Si desactiva Origen negativo (Negate Source) o selecciona esta opción, la regla se aplicará al tráfico procedente de los orígenes especificados en esta regla.

8 (opcional) Indique el destino de la regla de firewall.

Puede agregar direcciones IP, objetos de vCenter y objetos de agrupación como destino. Si no agrega un destino, se establecerá la opción "cualquiera" (any). Puede agregar varias interfaces de NSX Edge y grupos de direcciones IP como destino de las reglas de firewall.

El procedimiento para agregar objetos y direcciones IP al destino de la regla es el mismo que se ha explicado en los pasos secundarios para agregar el origen de la regla.

Sugerencia A partir de NSX 6.4.6, puede arrastrar objetos y direcciones Ip desde la columna Origen (Source) hasta la columna Destino (Destination) y viceversa. Además, puede arrastrar objetos y direcciones IP de una regla a otra.


VMware, Inc. 206

9 (opcional) Especifique el servicio que quiere utilizar en la regla de firewall.

a Agregue uno o varios servicios o grupos de servicios a la regla de firewall.

Puede agregar un servicio predefinido o un grupo de servicios a la regla, o bien crear un servicio o un grupo de servicios para usarlos en la regla. NSX Edge solo es compatible con los servicios definidos con protocolos de Capa 3.


6.4.6 y posteriores 1 Coloque el puntero sobre la columna Servicio (Service) de la regla nueva

y haga clic en .

2 En la pestaña Servicio/grupos de servicio (Service/Service Groups), seleccione un servicio o un grupo de servicios en el menú desplegable Tipo de objeto (Object Type).


6.4.5 y versiones anteriores 1 Coloque el puntero sobre la columna Servicio (Service) de la regla nueva

y haga clic en .

2 En el menú desplegable Tipo de objeto (Object Type), seleccione un servicio o un grupo de servicios.


Sugerencia En NSX 6.4.6 y versiones posteriores, puede arrastrar objetos de servicio y grupos de servicios de una regla definida por el usuario a otra.

b Agregue uno o varios servicios a la regla de firewall como una combinación de puerto y protocolo.

Restricción El protocolo de transmisión de control de flujo (Stream Control Transmission Protocol, SCTP) no es compatible con el firewall de Edge.


6.4.6 y posteriores 1 Coloque el puntero sobre la columna Servicio (Service) de la regla nueva

y haga clic en .

2 Haga clic en la pestaña Protocolo y puerto sin formato (Raw Port-Protocol) y, a continuación, en Agregar (Add).

3 Seleccione un protocolo.

4 En la columna Puerto de origen (Source Port), introduzca los números del puerto.

6.4.5 y versiones anteriores 1 Coloque el puntero sobre la columna Servicio (Service) de la regla nueva

y haga clic en .

2 Seleccione un protocolo.


VMware, Inc. 207


3 Expanda Opciones avanzadas (Advanced Options) e introduzca los números del puerto de origen.

10 Especifique la acción de la regla.

n En NSX 6.4.6 y versiones posteriores, seleccione una acción en el menú desplegable.

n En NSX 6.4.5 y versiones anteriores, coloque el puntero sobre la columna Acción (Action) de la

regla y haga clic en . Seleccione una opción y haga clic en Aceptar (OK).

La siguiente tabla describe las acciones de la regla.

Acción Descripción (Description)

Aceptar (Accept) o Permitir (Allow) Permite el tráfico que procede de los orígenes, los destinos y los servicios especificados o que se dirige a ellos. La acción que se establece de forma predeterminada es Aceptar (Accept).

Denegar (Deny) o Bloquear (Block) Bloquea el tráfico que procede de los orígenes, los destinos y los servicios especificados o que se dirige a ellos.

Rechazar (Reject) Envía un mensaje de rechazo para paquetes no aceptados.

n Se envían paquetes RST para conexiones TCP.

n Se envían mensajes ICMP con código prohibido de forma administrativa para conexiones UDP, ICMP y otras conexiones IP.

11 (opcional) Indique si se deben registrar las sesiones que coincidan con esta regla de firewall nueva.

De forma predeterminada, el registro está deshabilitado para la regla. Si el registro se habilita, el rendimiento puede verse afectado.

n En NSX 6.4.6 y versiones posteriores, haga clic en el interruptor de la columna Registrar (Log) para habilitar esta acción.


regla nueva y haga clic en . Seleccione Registrar (Log) o No registrar (Do not Log).

12 (opcional) Indique los ajustes avanzados de la regla de firewall.

n En NSX 6.4.6 y versiones posteriores, haga clic en Ajustes avanzados (Advanced Settings)

( ).


regla nueva y haga clic en . Expanda las opciones Avanzadas (Advanced).


VMware, Inc. 208

La siguiente tabla describe las opciones avanzadas.


Dirección Elija si la regla se debe aplicar al tráfico entrante, al saliente o a ambos. El valor predeterminado es "Entrante/saliente" (In/Out), lo que significa que la regla se aplica de forma simétrica tanto al origen como al destino.

VMware no recomienda especificar la dirección de las reglas de firewall, ya que la dirección "Entrante" (In) o "Saliente" (Out) puede provocar que las reglas sean asimétricas.

Por ejemplo, crea una regla de firewall para "permitir" tráfico del origen A al destino B y establece la opción "Saliente" (Out) para la dirección de la regla.

n Cuando A envía un paquete a B, se crea un estado en A basado en esta regla porque la dirección del tráfico está establecido en "Saliente" (Out) en A.

n Cuando B recibe el paquete, la dirección real del tráfico es "Entrante" (In). Como la dirección de la regla está configurada para aceptar solo "tráfico saliente", la regla no se aplica a este paquete en B.

En este ejemplo, se demuestra que establecer "Saliente" (Out) para la dirección de la regla provoca que la regla sea asimétrica.

Coincidencia con Utilice esta opción para especificar cuándo se debe aplicar la regla de firewall.

n Seleccione Original (Original) si quiere que la regla se aplique a la dirección IP y los servicios originales antes de que se traduzcan las direcciones de red.

n Seleccione Traducción (Translated) si quiere que la regla se aplique a la dirección IP y los servicios traducidos después de que se traduzcan las direcciones de red.

13 Haga clic en Publicar cambios (Publish Changes) para enviar la nueva regla a la instancia de NSX

Edge.

Ejemplo: Ejemplo de reglas de firewall

Figura 10-5. Regla de firewall para que el tráfico fluya de una interfaz de NSX Edge a un servidor HTTP

Figura 10-6. Regla de firewall para que el tráfico fluya de todas las interfaces internas (subredes en grupos de puertos conectados a interfaces internas) de una instancia de NSX Edge a un servidor HTTP


VMware, Inc. 209

Figura 10-7. Regla de firewall para permitir el tráfico de SSH hacia una máquina de una red interna

Pasos siguientes

Mientras utiliza reglas de firewall de Edge, puede realizar varias tareas adicionales en la tabla del firewall. Por ejemplo:

n Filtre la lista de reglas de la tabla. Para ello, oculte las reglas internas y predeterminadas generadas por el sistema, o bien las reglas de firewall distribuido predefinidas que se aplicaron a la instancia de Edge.

n Busque las reglas que coincidan con una cadena específica mediante el cuadro de texto Buscar (Search). Por ejemplo, si quiere buscar todas las reglas que contengan la cadena "133", introduzca 133 en el cuadro de texto Buscar (Search).

n Consulte las estadísticas de las reglas publicadas.

n En NSX 6.4.6 y versiones posteriores, haga clic en Estadísticas (Statistics) ( ).

n En NSX 6.4.5 y versiones anteriores, asegúrese de que la columna Estadísticas (Stats) aparezca en la tabla del firewall. Si no se muestra la columna Estadísticas (Stats), haga clic en

y seleccione la columna Estadísticas (Stats). Para consultar las estadísticas de la regla,

haga clic en .

n Cambie el orden de las reglas definidas por el usuario. Para ello, haga clic en Mover hacia arriba (Move Up) ( o ) o Mover hacia abajo (Move Down) ( o ). En NSX 6.4.6 y versiones posteriores, puede arrastrar reglas definidas por el usuario para cambiar su orden. Coloque el puntero sobre la regla definida por el usuario que quiera arrastrar. Aparecerá un icono para arrastrar

( ) a la izquierda de la regla. Haga clic en el icono y arrástrelo para mover la regla hasta una ubicación válida de la tabla del firewall.

Importante No puede cambiar el orden de las reglas internas generadas por el sistema ni de la regla predeterminada.

n Deshabilite una regla.

n En NSX 6.4.6 y versiones posteriores, haga clic en el interruptor situado a la izquierda del nombre de la regla.

n En NSX 6.4.5 y versiones anteriores, haga clic en en la columna N.º (No.).


VMware, Inc. 210

n Deshaga y rehaga los cambios hasta que se publique la regla. Esta función está disponible en NSX 6.4.6 y versiones posteriores. Después de que se publique la regla, se perderá el historial de cambios de la regla y no podrá deshacer ni rehacer los cambios.

Editar una regla de firewall de NSX EdgeSolo puede editar las reglas de firewall de Edge definidas por el usuario y puede realizar cambios limitados a la regla de firewall predeterminada generada por el sistema.

Procedimiento





5 Seleccione la regla que desea editar.

Nota No puede editar los siguientes tipos de reglas en la interfaz de usuario del firewall de NSX Edge:

n Reglas internas (por ejemplo, reglas asociadas automáticamente que permiten que el tráfico de control circule en los servicios Edge).

n Reglas de firewall distribuido predefinidas que se aplican a la instancia de Edge. Estas reglas de firewall se establecen en la interfaz de usuario del firewall (Redes y seguridad [Networking & Security] > Seguridad [Security] > Firewall ]Firewall]).

6 Realice los cambios necesarios y haga clic en Guardar (Save) o Aceptar (OK).


Cambiar el orden de una regla de firewall de NSX EdgeEs posible cambiar el orden de las reglas de firewall definidas por el usuario que se agregaron a la pestaña Firewall de Edge (Edge Firewall) con el fin de personalizar el flujo de tráfico a través de NSX Edge. Por ejemplo, si existe una regla para permitir el tráfico de equilibrador de carga, ahora puede agregar una regla para denegar el tráfico del equilibrador de carga (Load Balancer, LB) procedente de una grupo de direcciones IP determinado y colocar esta regla por encima de la regla que permite el tráfico del LB.

Procedimiento






VMware, Inc. 211

5 Seleccione la regla para la que quiera cambiar el orden.

Importante No puede cambiar el orden de las reglas internas generadas por el sistema ni de la regla predeterminada.

6 Haga clic en el icono Mover hacia arriba (Move Up) ( o ) o Mover hacia abajo (Move Down) ( o ).

Sugerencia En NSX 6.4.6 y versiones posteriores, puede arrastrar reglas definidas por el usuario para cambiar su orden. Coloque el puntero sobre la regla definida por el usuario que quiera arrastrar.

Aparecerá un icono para arrastrar ( ) a la izquierda de la regla. Haga clic en el icono y arrástrelo para mover la regla hasta una ubicación válida de la tabla del firewall.


Eliminar una regla de firewall de NSX EdgeSolo puede eliminar las reglas de firewall definidas por el usuario que se agreguen a la pestaña Firewall de NSX Edge (NSX Edge Firewall).

Procedimiento





5 Seleccione la regla definida por el usuario que desee eliminar.

Restricción No puede eliminar los siguientes tipos de reglas de firewall:

n Regla predeterminada

n Reglas internas generadas por el sistema (asociadas automáticamente)

n Reglas de firewall distribuido predefinidas que se aplican a la instancia de Edge mediante la interfaz de usuario del firewall (Redes y seguridad [Networking & Security] > Seguridad [Security] > Firewall [Firewall])



Marcar una regla de firewall de Edge como válidaUna regla de firewall de Edge deja de ser válida cuando se eliminan los objetos de agrupación, los servicios o los grupos de servicios que se utilizan en la regla. No se pueden publicar reglas de firewall que no sean válidas.


VMware, Inc. 212

Por ejemplo, crea una regla de firewall de Edge que utiliza un objeto Conjunto de direcciones IP (IP set) en la columna Destino (Destination) de la regla, tal y como se muestra en la imagen.

En el siguiente procedimiento, eliminará el objeto "FW-IPset" en la instancia de Edge y, a continuación, volverá a la tabla del firewall para comprobar que NSX Edge detecta la regla que no es válida. Marcará la regla como válida y volverá a publicarla.

Procedimiento

1 Fuerce la eliminación del objeto Conjunto de direcciones IP (IP set) de la instancia de Edge.


b Haga clic en Redes y seguridad (Networking & Security) > NSX Edge.

c Haga doble clic en la instancia de Edge y desplácese hasta Administrar (Manage) > Objetos de agrupación (Grouping Objects).

d Haga clic en la pestaña Conjuntos de direcciones IP (IP Sets) y seleccione el objeto FW-IPSet.

e Haga clic en el icono Eliminar (Delete) ( o ) y, a continuación, seleccione la casilla de verificación Continuar para forzar eliminación (Proceed to force delete).

2 Haga clic en la pestaña Firewall (Firewall) para volver a la tabla del firewall de Edge.

3 Compruebe que NSX muestra el siguiente mensaje de error sobre la tabla del firewall.

NSX Edge detecta que el destino de la regla de firewall que ocupa el puesto 4 no es válido y, por lo tanto, la regla se convierte en no válida. El objeto vacío de la columna Destino (Destination) de la regla se incluye dentro de un cuadro rojo, tal y como se muestra en la siguiente imagen.


VMware, Inc. 213

4 (Requerido) Elimine el objeto vacío.


6.4.6 y posteriores Coloque el puntero sobre el objeto vacío sys-gen-empty-ipset-edge-fw. Haga

clic en y seleccione Eliminar (Remove).

6.4.5 y versiones anteriores Coloque el puntero sobre el objeto vacío sys-gen-empty-ipset-edge-fw y haga

clic en .

5 (opcional) Edite el destino de la regla para que la configuración de la regla sea válida.


6.4.6 y posteriores a Coloque el puntero sobre la columna Destino (Destination) de la regla. Haga

clic en y seleccione Editar destino de la regla (Edit Rule Destination).b Agregue objetos o direcciones IP según sea necesario.

6.4.5 y versiones anteriores a Coloque el puntero sobre la columna Destino (Destination) de la regla y haga

clic en .

b Agregue objetos o direcciones IP según sea necesario.

6 (Solo para la versión 6.4.6 y posteriores) Haga clic en el vínculo Marcar la regla como válida (Mark the rule as valid) del mensaje de error

NSX Edge mostrará el siguiente mensaje de advertencia:

This action will mark rule as valid.

Please ensure that all elements in the rule are valid objects before performing this action.

Do you want to continue?

n Para confirmar que la regla se puede marcar como válida, haga clic en Sí (Yes). Se eliminará el mensaje de error.

n Para cerrar el mensaje de error, volver a la tabla del firewall, verificar y editar el destino de la regla, haga clic en No (No).

Nota En NSX 6.4.5 y versiones anteriores, el mensaje de error que aparece sobre la tabla del firewall no incluye el vínculo Marcar la regla como válida (Mark rule as valid). Una vez que elimine el objeto vacío y edite el destino de la regla, si lo estima oportuno, NSX Edge eliminará el mensaje de error cuando detecte que la configuración de la regla es válida.

7 Haga clic en Publicar cambios (Publish Changes) para aplicar la regla.

Objetos de EdgePuede crear objetos de agrupamiento a nivel de Edge para limitar el ámbito de los objetos a una instancia de Edge. Los objetos de agrupamiento de Edge son diferentes a los objetos de agrupamiento de red, que tienen un ámbito global y se pueden usar en diferentes instancias de Edge y otros objetos.


VMware, Inc. 214

Por ejemplo, si desea crear un conjunto de direcciones IP de una instancia específica de Edge y asegurarse de que este conjunto no se puedan reutilizar en otros contextos, puede crear un conjunto de direcciones IP de Edge.

En el ámbito de NSX Edge, puede crear y administrar los siguientes objetos de agrupamiento:

n Conjuntos de direcciones IP

n Servicios (Services)

n Grupos de servicio

Para crear objetos de Edge en vSphere Web Client, seleccione una instancia de Edge y acceda a Administrar (Manage) > Objetos de agrupamiento (Grouping Objects).

Para obtener más información sobre cómo trabajar con conjuntos de direcciones IP, servicios y grupos de servicios, consulte Capítulo 22 Objetos de seguridad y red.

Administrar reglas de NATNSX Edge proporciona el servicio de traducción de direcciones de red (NAT) para asignar una dirección pública a un equipo o grupo de equipos de una red privada. La tecnología NAT limita la cantidad de direcciones IP públicas que debe utilizar una organización o empresa por motivos de seguridad y economía. Debe configurar las reglas NAT en el dispositivo Edge para proporcionar acceso a los servicios que se ejecutan en máquinas virtuales dentro de la red privada de la empresa.

La configuración del servicio NAT está separado en reglas de NAT de origen (SNAT) y de NAT de destino (Destination NAT, DNAT).

Agregar una regla de SNAT

Puede crear una regla de NAT de origen (SNAT) para cambiar la dirección IP de origen; si es una dirección IP pública por una privada y viceversa.

Procedimiento



3 Haga clic en Administrar (Manage) > NAT.

4 Haga clic en Agregar (Add) y, a continuación, haga clic en Agregar regla SNAT (Add SNAT Rule).

5 Seleccione la interfaz en la cual desea agregar la regla.

6 Seleccione el protocolo requerido.

7 Escriba la dirección IP de origen original (pública) en uno de los siguientes formatos.

Formato Ejemplo

Dirección IP 192.0.2.0

Rango de direcciones IP 192.0.2.0-192.0.2.24


VMware, Inc. 215

Formato Ejemplo

Dirección IP/subred 192.0.2.0/24

any

8 Escriba el puerto o el rango de puertos de origen original.

Formato Ejemplo

Número de puerto 80

Rango de puertos 80-85

any

9 Introduzca la dirección IP de destino en uno de los siguientes formatos.

Formato Ejemplo


Rango de direcciones IP 192.0.2.0 -192.0.2.24

Dirección IP/subred 192.0.2.0 /24

any

10 Escriba el puerto o el rango de puertos de destino.

Formato Ejemplo



any

11 Escriba la dirección IP de origen traducida en uno de los siguientes formatos.

Formato Ejemplo


Rango de direcciones IP 192.0.2.0-192.0.2.24

Dirección IP/subred 192.0.2.0/24

any

12 Escriba el puerto o el rango de puertos traducidos.

Formato Ejemplo



any


VMware, Inc. 216

13 Habilite la regla.

14 (opcional) Habilite el registro para registrar la traducción de la dirección.

15 Haga clic en Agregar (Add) o Aceptar (OK) para agregar la regla SNAT.


Agregar una regla de DNAT

Puede crear una regla de NAT de destino (destination NAT, DNAT) para cambiar la dirección IP de destino de pública a privada o viceversa.

Procedimiento




4 Haga clic en Agregar (Add) y, a continuación, haga clic en Agregar regla DNAT (Add DNAT Rule).

5 Seleccione la interfaz en la cual desea aplicar la regla de DNAT.

6 Seleccione el protocolo requerido.

7 Introduzca la dirección IP de origen en uno de los siguientes formatos.

Formato Ejemplo




any

8 Escriba el puerto o el rango de puertos de origen.

Formato Ejemplo



any

9 Escriba la dirección IP original (pública) en uno de los siguientes formatos.

Formato Ejemplo




any


VMware, Inc. 217

10 Escriba el puerto o el rango de puertos originales.

Formato Ejemplo



any

11 Escriba la dirección IP traducida en uno de los siguientes formatos.

Formato Ejemplo




any

12 Escriba el puerto o el rango de puertos traducidos.

Formato Ejemplo



any

13 Habilite la regla.

14 (opcional) Habilite el registro para registrar la traducción de la dirección.

15 Haga clic en Agregar (Add) o Aceptar (OK) para agregar la regla DNAT.


Agregar una regla de NAT64

Las reglas NAT64 permiten que una instancia de NSX Edge realice traducciones de direcciones de red para que pueda haber tráfico desde las subredes IPv6 externas hasta las subredes IPv4 internas.

NAT64 únicamente admite las comunicaciones iniciadas por un nodo de solo IPv6 hacia un nodo de solo IPv4.

NAT64 es compatible con los siguientes protocolos de capa 4:

n TCP

n UDP

n ICMP

n Solo respuesta y solicitud eco de ICMP.

n Se admiten los errores de ICMPv4, pero no los de ICMPv6.


VMware, Inc. 218

Los demás paquetes de tipo de protocolo se descartan.

No se admiten la traducción de IPv4options, los encabezados de enrutamiento IPv6, los encabezados de extensión de salto a salto, los encabezados de opción de destino ni los encabezados de enrutamiento de origen. No se admite FTP. No se admiten los paquetes fragmentados.

No se admite la alta disponibilidad de NSX Edge con NAT64. Las sesiones de NAT64 no se sincronizan entre dispositivos activos y en espera, por lo que si se produce una conmutación por error, se interrumpirá la conectividad.

Si tienes configurados protocolos de enrutamiento dinámico, se redistribuirán prefijos de IPv4.

Los siguientes temporizadores se aplican al tráfico NAT64:

Tabla 10-3. Temporizadores NAT64

Protocolo (Protocol) Tiempo de espera

TCP TCP-SYNC entrante 6 segundos

TCP ESTABLECIDO 2 horas

Transferencia de TCP 4 minutos

UDP 5 minutos

ICMP 1 minuto

Requisitos previos

n Configurar una interfaz de vínculo superior de la puerta de enlace de servicios Edge con una dirección en la red IPv6.

n Configure una interfaz interna de la puerta de enlace de servicios Edge con una dirección en la red de IPv4.

n Asegúrese de que estas direcciones no están duplicadas en ningún otro lugar del entorno.

Procedimiento




4 En el menú desplegable Ver (View), seleccione NAT64.


VMware, Inc. 219

5 Haga clic en Agregar (Add) y escriba los parámetros NAT64.


Match IPv6 Destination Prefix Introduzca un prefijo de red IPv6 (dirección de red) o una dirección IPv6 específica en notación CIDR.

Como NAT64 proporciona conectividad desde las subredes IPv6 hasta las subredes IPv4, en la mayoría de casos, es recomendable introducir un prefijo de red IPv6 en lugar de una dirección IPv6 específica.

NAT64 utilizará el prefijo de red IPv6 que indique en este cuadro de texto para asignar las direcciones de destino IPv4 a las direcciones de destino IPv6. La longitud del prefijo debe ser una de las siguientes opciones: 32, 40, 48, 56, 64 o 96.

NAT64 agrega el equivalente hexadecimal de la dirección de destino IPv4 al prefijo de red IPv6. Consulte el ejemplo de regla NAT64 que aparece después de este procedimiento.

Nota Puede usar el prefijo conocido 64:ff9b::/96, definido en RFC 6052, o bien cualquier otro prefijo IPv6 que no se haya utilizado todavía en su entorno.

Translated IPv4 Source Prefix Opcional: Introduzca un prefijo de red IPv4 (dirección de red) o una dirección IPv4 específica en notación CIDR.

Asegúrese de que el prefijo de red IPv4 o la dirección IPv4 no se hayan utilizado en su entorno.

Como NAT64 proporciona conectividad desde las subredes IPv6 hasta las subredes IPv4, en la mayoría de casos, es recomendable introducir un prefijo de red IPv4 en lugar de una dirección IPv4 específica.

NAT64 utiliza una dirección IP del prefijo de red IPv4 para traducir la dirección de origen IPv6 a una dirección de origen IPv4. Consulte el ejemplo de regla NAT64 que aparece después de este procedimiento.

Nota n El espacio de direcciones IPv4 compartidas 100.64.0.0/10 está reservado a

NAT64. Puede usar este espacio de direcciones reservado.

n Si no rellena este cuadro de texto, la regla NAT64 utilizará automáticamente el espacio de direcciones reservado cuando publique la regla.

Descripción Descripción opcional de la regla.

Habilitado o estado Habilita la regla NAT64.

Habilitar registro o registrar Habilita el registro de la regla NAT64.

6 Haga clic en Agregar (Add) para guardar la regla.

7 Haga clic en Publicar (Publish) para aplicarla.

Ejemplo: Ejemplo de regla NAT64

Quiere que la instancia de NSX Edge habilite el tráfico desde el equipo Web 1 (2001::20/64), que se encuentra en una red IPv6 externa, hasta VM 1 (10.10.10.2/30), que se localiza en la subred IPv4 interna.


VMware, Inc. 220

VP

Web 1

VM 1 VM 2 VM 3 VM 4

NSX Edge

2001::20/64

Subred IPv6

(NAT64) IPv6 IPv4

DLRConmutador lógico 1

(subred IPv4)

10.10.10.2/30

Conmutador lógico 2 (subred IPv4)

Red externa

En este ejemplo, la regla NAT64 utiliza los siguientes valores:

n Coincidencia con prefijo de destino IPv6 (Match IPv6 Destination Prefix): 64:ff90::/64

n Prefijo de origen IPv4 traducido (Translated IPv4 Source Prefix): 30.30.30.0/24

En la siguiente captura de pantalla, se muestra la regla publicada. El ID de regla se genera automáticamente y puede ser diferente en su entorno.

Figura 10-8. Definición de la regla NAT64

La regla NAT64 extrae el equivalente hexadecimal de la dirección IPv4 de destino (10.10.10.2) y lo agrega al prefijo de red IPv6 (64:ff90::) para crear la dirección de destino IPv6: 64:ff90::a0a:a02.

La regla escoge cualquier dirección IP del prefijo de origen IPv4 traducido (Translated IPv4 Source Prefix): 30.30.30.0/24. Por ejemplo, la regla escoge 30.30.30.32. NAT64 utilizará esta dirección de origen IPv4 para traducir la dirección de destino 64:ff90::a0a:a02 a la dirección de destino IPv4 real (10.10.10.2).

Después de que se publique la regla, realice los pasos siguientes:

1 Inicie sesión en la línea de comandos del equipo Web 1 y ejecute un comando ping para la dirección de destino IPv6 64:ff90::a0a:a02. Se creará una sesión nat64.


VMware, Inc. 221

2 Inicie sesión en la CLI de NSX Edge. Para acceder a la sesión nat64, ejecute el comando show nat64 sessions.

Protocol IPv6-SA IPv6-DA SPort DPort IPv4_SA IPv4-DA

SPort DPort

TCP 2000::20 64:ff90::a0a:a02 2055 22 30.30.30.32 10.10.10.2

2055 22

Trabajar con secciones de reglas de firewallSe puede agregar una sección para separar las reglas de firewall. Por ejemplo, puede tener las reglas de los departamentos de ventas e ingeniería en secciones separadas.

Puede crear varias secciones de reglas de firewall para las reglas de Capa 2 y Capa 3. Como varios usuarios pueden iniciar sesión en el cliente web y pueden hacer cambios al mismo tiempo en las secciones y las reglas del firewall, los usuarios pueden bloquear las secciones en las que están trabajando para que nadie pueda modificar las reglas de la sección en la que están trabajando.

Los entornos de Cross-vCenter NSX pueden tener varias secciones de reglas universales. Varias secciones universales permiten que las reglas se organicen fácilmente por arrendatario y aplicación. Si las reglas se modifican o se editan dentro de una sección universal, solo se sincronizan con las instancias secundarias de NSX Manager las reglas de firewall distribuido universales de esa sección. Para poder agregar reglas universales, primero debe administrar las reglas universales en la instancia principal de NSX Manager y crear allí la sección universal. Las secciones universales siempre aparecen sobre las secciones locales en las instancias principales y secundarias de NSX Manager.

Las reglas que están fuera de las secciones universales permanecen en el nivel local de la instancia principal o secundaria de NSX Manager donde se agregaron.

Agregar una sección de reglas de firewallPuede agregar nuevas secciones en la tabla de firewall para organizar las reglas o crear una sección universal para utilizar en los entornos de Cross-vCenter NSX.

Requisitos previos







VMware, Inc. 222


Procedimiento


2 Si hay más de una instancia de NSX Manager disponible, seleccione una. Debe seleccionar la instancia de NSX Manager principal para agregar una sección universal.

3 Asegúrese de que está en la pestaña Configuración (Configuration) > General para agregar una sección de Capa 3, Capa 4 o Capa 7. Haga clic en la pestaña Ethernet para agregar una sección para reglas de Capa 2.

4 Haga clic en Agregar sección (Add Section) ( o ).

5 Introduzca un nombre para la sección. Los nombres de sección deben ser únicos dentro de NSX Manager.

6 (opcional) En un entorno cross-vCenter NSX, puede configurar la sección como una sección de reglas de firewall universal.

n En NSX 6.4.1 y versiones posteriores, haga clic en el botón Sincronización universal (Universal Synchronization).

n En NSX 6.4.0, seleccione Marcar esta sección para la sincronización universal (Mark this section for Universal Synchronization).

7 (opcional) Configure las propiedades de regla de firewall para la sección de firewall seleccionando las casillas de verificación apropiadas.

Propiedades de la sección de reglas de firewall Descripción

Habilitar la identidad del usuario en el origen (Enable User Identity at Source)

Al usar el firewall de identidad de RDSH, se debe marcar la casilla Habilitar la identidad del usuario en el origen (Enable User Identity at Source). Tenga en cuenta que esto deshabilita la opción de habilitar el firewall sin estado, ya que se realiza un seguimiento del estado de conexión TCP para identificar el contexto.

Habilitar TCP estricto (Enable TCP Strict) El TCP estricto determina si se descarta una conexión TCP establecida cuando el firewall no detecta el protocolo de enlace inicial de tres vías. Si se establece como true, la conexión se descarta.

Habilitar firewall sin estado (Enable Stateless Firewall) Habilite el firewall sin estado en la sección de firewall.

8 Haga clic en Aceptar (OK) y, a continuación, en Publicar cambios (Publish Changes).


VMware, Inc. 223

Pasos siguientes

Agregue reglas a la sección. Consulte Agregar una regla de firewall.

Combinar secciones de regla de firewallPuede combinar secciones y consolidar las reglas dentro de esas secciones. No puede combinar una sección con las secciones Service Composer o Predeterminada (Default). En un entorno de Cross-vCenter NSX, no puede combinar una sección con la sección universal.

Combinar y consolidar una configuración de firewall compleja puede ayudar con el mantenimiento y la legibilidad.

Procedimiento


2 Combine las secciones.

n En NSX 6.4.1 y versiones posteriores, en la sección de reglas de firewall que desee combinar,

haga clic en el menú ( ) y seleccione Combinar secciones (Merge Section).

n En NSX 6.4.0, en la sección de reglas de firewall que quiera combinar, haga clic en Combinar

sección (Merge section) ( ).

3 Seleccione si desea combinar esta sección con la sección anterior o la siguiente.

Se combinan las reglas de ambas secciones. La sección nueva mantiene el nombre de la sección con la que se combina la otra sección.


Eliminar una sección de reglas de firewallEs posible eliminar una sección de reglas de firewall. Se eliminan todas las reglas en esa sección.

No puede eliminar una sección y volver a agregarla en otro lugar de la tabla de firewall. Para hacerlo, debe eliminar la sección y publicar la configuración. A continuación, agregue la sección eliminada en la tabla de firewall y vuelva a publicar la configuración.

Procedimiento


2 Asegúrese de que está en la pestaña Configuration (Configuración) > General para eliminar una sección de reglas de Capa 3. Haga clic en la pestaña Ethernet para eliminar una sección de reglas de Capa 2.

3 Haga clic en el icono Eliminar sección (Delete section) ( ) de la sección que desea eliminar.

4 Haga clic en Aceptar (OK) y, a continuación, en Publicar cambios (Publish Changes).


VMware, Inc. 224

Se eliminan la sección y todas las reglas de esa sección.

Bloquear secciones de regla de firewallLas secciones de reglas de firewall se pueden bloquear mientras se realizan modificaciones para evitar que varios usuarios realicen cambios al mismo tiempo en las mismas secciones.

Las secciones de reglas de firewall se pueden bloquear para evitar que varios usuarios modifiquen la misma sección al mismo tiempo. El Administrador empresarial puede ver y anular todos los bloqueos.

Las funciones de usuario de administrador de seguridad, ingeniero de la seguridad y administrador empresarial pueden bloquear y desbloquear sus secciones. Las funciones de usuario de administrador empresarial pueden anular la capacidad para desbloquear una sección bloqueada por cualquier usuario con cualquier función. Los administradores empresariales también pueden desbloquear a otros administradores empresariales. Para obtener más información sobre las funciones de usuarios, consulte Administrar derechos de usuario.

En las secciones bloqueadas del firewall, otros usuarios no pueden:

n Combinarlas con otra sección.

n Agregar nuevas reglas.

n Eliminarlas.

n Arrastrar y soltar reglas en ellas.

Procedimiento


2 Haga clic en el icono de bloqueo, escriba los comentarios y el nombre en Bloquear sección (Lock Section), y haga clic en BLOQUEAR (LOCK).

La sección ya muestra un candado cerrado que indica que está bloqueada.

Desbloquear secciones de regla de firewallLas secciones de reglas de firewall se pueden bloquear mientras se realizan modificaciones para evitar que varios usuarios realicen cambios al mismo tiempo en las mismas secciones.

Las secciones de reglas de firewall se pueden bloquear para evitar que varios usuarios modifiquen la misma sección al mismo tiempo. El Administrador empresarial puede ver y anular todos los bloqueos.

Las funciones de usuario de administrador de seguridad, ingeniero de la seguridad y administrador empresarial pueden bloquear y desbloquear sus secciones. Las funciones de usuario de administrador empresarial pueden anular la capacidad para desbloquear una sección bloqueada por cualquier usuario con cualquier función. Los administradores empresariales también pueden desbloquear a otros administradores empresariales. Para obtener más información sobre las funciones de usuarios, consulte Administrar derechos de usuario.


VMware, Inc. 225

En las secciones bloqueadas del firewall, otros usuarios no pueden:

n Combinarlas con otra sección.

n Agregar nuevas reglas.

n Eliminarlas.

n Arrastrar y soltar reglas en ellas.

Procedimiento


2 Para desbloquear una sección, realice una de las siguientes acciones:

n Haga clic en el icono de bloqueo de la sección y, a continuación, haga clic en DESBLOQUEAR (UNLOCK). La sección ya muestra un icono de candado abierto que indica que está desbloqueada.

n El número de secciones bloqueadas aparece sobre la tabla de reglas de firewall. Para ver todas las secciones bloqueadas, haga clic en el número hipervinculado junto a Bloqueado (Locked). Para encontrar las secciones que bloqueó, filtre las reglas por su nombre. Seleccione la regla que desee desbloquear y haga clic en DESBLOQUEAR (UNLOCK).

Trabajar con reglas de firewallLas reglas de Distributed Firewall y las reglas de Edge Firewall pueden administrarse de forma centralizada o desde la pestaña Firewall. En un entorno de varias empresas, los proveedores pueden definir reglas para un flujo de tráfico de alto nivel en la interfaz de usuario del firewall centralizado.

Cada sesión de tráfico se compara con la regla principal de la tabla de firewall antes de bajar a las reglas subsiguientes de esa tabla. Se aplica la primera regla de la tabla que coincide con los parámetros de tráfico. Las reglas se muestran en el siguiente orden:

1 Las reglas que definen los usuarios en la interfaz de usuario del firewall tienen la prioridad más alta y se aplican en orden descendente (de arriba hacia abajo) según el nivel por NIC virtual.

2 Reglas autoasociadas (que permiten que el tráfico de control circule en los servicios Edge).

3 Reglas definidas por los usuarios en la interfaz de NSX Edge.

4 Reglas de Service Composer (una sección aparte para cada directiva). Estas reglas no se pueden editar en la tabla de firewall, pero es posible agregar reglas en la parte superior de una sección de reglas de firewall de una directiva de seguridad. Al hacer eso, es necesario volver a sincronizar las reglas en Service Composer. Para obtener más información, consulte Capítulo 18 Service Composer.

5 Reglas predeterminadas de Distributed Firewall

Tenga en cuenta que las reglas de firewall se aplican solamente en clústeres donde se habilitó el firewall. Para obtener información sobre cómo preparar clústeres, consulte Guía de instalación de NSX.


VMware, Inc. 226

Agregar una regla de firewallLas reglas de firewall se agregan en el ámbito de NSX Manager. Mediante el campo Se aplica a (Applied To), se puede delimitar el ámbito en el que se desea aplicar la regla. Es posible agregar varios objetos en los niveles de origen y destino para cada regla, lo que permite reducir la cantidad total de reglas de firewall que se deben agregar.

Procedimiento

1 Crear una regla de firewall

Las reglas de firewall se agregan en el ámbito de NSX Manager. Mediante el campo Se aplica a (Applied To), se puede delimitar el ámbito en el que se desea aplicar la regla. Es posible agregar varios objetos en los niveles de origen y destino para cada regla, lo que permite reducir la cantidad total de reglas de firewall que se deben agregar.

2 Agregar un origen o destino de las reglas de firewall

Puede usar las direcciones IP, los objetos vCenter y los objetos de grupos de NSX como orígenes. También puede definir y negar orígenes y destinos. Si no se definió ningún origen ni destino, estos se establecen como "cualquiera" (any).

3 Agregar un servicio de reglas de firewall

En las reglas de firewall, puede crear un nuevo grupo de servicios o usar un grupo de servicios predefinido.

4 Especificar un registro y una acción de regla de firewall

Las reglas de firewall se pueden establecer para permitir, bloquear o rechazar tráfico de un origen, un destino o un servicio especificados.

5 Definir el ámbito de firewall

Mediante el campo Se aplica a (Applied To), se puede delimitar el ámbito en el que se desea aplicar la regla.

6 Publicar una regla de firewall

Después de crear una nueva regla de firewall, tiene que publicarla para que se apliquen los cambios.

Crear una regla de firewallLas reglas de firewall se agregan en el ámbito de NSX Manager. Mediante el campo Se aplica a (Applied To), se puede delimitar el ámbito en el que se desea aplicar la regla. Es posible agregar varios objetos en los niveles de origen y destino para cada regla, lo que permite reducir la cantidad total de reglas de firewall que se deben agregar.

Requisitos previos

Si va a agregar una regla basada en un objeto de VMware vCenter, asegúrese de que VMware Tools esté instalado en las máquinas virtuales. Consulte Guía de instalación de NSX.


VMware, Inc. 227

Las máquinas virtuales que migran de la versión 6.1.5 a la versión 6.2.3 no ofrecen compatibilidad con ALG de TFTP. Para habilitar la compatibilidad con ALG de TFTP después de migrar, agregue y quite la máquina virtual de la lista de exclusión o reinicie la máquina virtual. Así, se creará un nuevo filtro para la versión 6.2.3 que habilita la compatibilidad con ALG de TFTP.

Nota Requisitos para las reglas de firewall basadas en la identidad:

n Se hayan registrado uno o varios dominios en NSX Manager. NSX Manager obtiene información del grupo y del usuario, así como de la relación existente entre estos elementos, desde cada dominio con el que está registrado. Consulte Registrar un dominio de Windows con NSX Manager.

n Se haya creado un grupo de seguridad basado en objetos de Active Directory que pueda utilizarse como origen o destino de la regla. Consulte Crear un grupo de seguridad.

n El servidor de Active Directory debe estar integrado con NSX Manager.

n Los hosts deben tener habilitado DFW y deben estar actualizados a NSX 6.4.0.

n Las máquinas de invitados deben ejecutar una versión actualizada de VMware Tools.

n La versión de SVM de GI debe ser 6.4 o una posterior.

n La regla debe crearse en una nueva sección de reglas de firewall.

n La regla debe tener seleccionada la opción Habilitar la identidad del usuario en el origen (Enable User Identity at Source).

n El campo Se aplica a (Applied to) no se admite para las reglas de acceso a escritorios remotos.

n IDFW de RDSH no admite ICMP.

Nota Requisitos de las reglas de firewall universales:

En un entorno de Cross-vCenter NSX, las reglas universales hacen referencia a las reglas de Distributed Firewall que se definieron en la instancia principal de NSX Manager en la sección de reglas universales. Estas reglas se replican a todas las instancias secundarias de NSX Manager en el entorno, lo que permite mantener una directiva de firewall coherente dentro de los límites de vCenter. La instancia principal de NSX Manager puede contener varias secciones universales para las reglas universales de Capa 2 y varias secciones universales para las reglas universales de Capa 3. Las secciones universales están encima de todas las secciones de Service Composer y locales. En las instancias secundarias de NSX Manager, las secciones universales y las reglas universales se pueden ver pero no editar. La ubicación de la sección universal con respecto a la sección local no afecta la prioridad de las reglas.

Las reglas de Edge Firewall no son compatibles con vMotion entre varias instancias de vCenter Server.


VMware, Inc. 228

Tabla 10-4. Objetos compatibles con las reglas de firewall universales

Origen y destino Se aplica a (Applied To) Servicio (Service)

n conjunto de direcciones MAC universales

n conjunto de direcciones IP universales

n grupo de seguridad universal, que puede contener una etiqueta de seguridad universal, un conjunto de direcciones IP o MAC, o un grupo de seguridad universal

n grupo de seguridad universal, que puede contener una etiqueta de seguridad universal, un conjunto de direcciones IP o MAC, o un grupo de seguridad universal

n conmutador lógico universal

n Distributed Firewall: las reglas se aplican a todos los clústeres en los que se instaló el Distributed Firewall

n servicios universales creados previamente y grupos de servicios

n servicios universales creados por el usuario y grupos de servicios

Tenga en cuenta que no se admiten otros objetos de vCenter para las reglas universales.

Compruebe que el estado de Distributed Firewall de NSX no esté en modo de compatibilidad con versiones anteriores. Para comprobar el estado actual, utilice la llamada API de REST GET https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state. Si el estado actual es el modo de compatibilidad con versiones anteriores, puede cambiar el estado al modo de reenvío mediante la llamada de REST API PUT https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state. No intente publicar una regla de Distributed Firewall cuando el Distributed Firewall esté en modo de compatibilidad con versiones anteriores.

Procedimiento


2 Para agregar una regla de Capa 3, Capa 4 o Capa 7, asegúrese de que está en la pestaña Configuración (Configuration) > General. Haga clic en la pestaña Ethernet para agregar una regla de Capa 2.

Si crea una regla de firewall universal, créela en una sección de reglas universales.

3 Coloque el puntero sobre la celda Nombre (Name) de la nueva regla y haga clic en .

4 Escriba el nombre de la nueva regla.

Agregar un origen o destino de las reglas de firewallPuede usar las direcciones IP, los objetos vCenter y los objetos de grupos de NSX como orígenes. También puede definir y negar orígenes y destinos. Si no se definió ningún origen ni destino, estos se establecen como "cualquiera" (any).

Los siguientes objetos de vCenter pueden especificarse como origen o destino de una regla de firewall:


VMware, Inc. 229

Tabla 10-5. Objetos admitidos para reglas de firewall

Origen o destino Se aplica a (Applied To)

n clúster

n centro de datos

n grupo de puertos distribuidos

n conjunto de direcciones IP

n grupo de puertos heredados

n conmutador lógico

n grupo de recursos

n grupo de seguridad

n vApp

n máquina virtual

n vNIC

n dirección IP (IPv4 o IPv6)

n todos los clústeres en los cuales se instaló el Distributed Firewall (en otras palabras, todos los clústeres que se prepararon para la virtualización de red)

n todas las puertas de enlace Edge instaladas en clústeres preparados

n clúster

n centro de datos

n grupo de puertos distribuidos

n Edge

n grupo de puertos heredados

n conmutador lógico

n grupo de seguridad

n máquina virtual

n vNIC

Procedimiento

1 (opcional) Seleccione los objetos que utilizará en la regla de firewall.

a Haga clic en Editar (Edit) en la columna de origen o de destino.

b Seleccione el tipo de objeto del menú desplegable Tipo de objeto (Object Type).

Puede crear un nuevo grupo de seguridad o IPSet. Una vez creado el nuevo objeto, se agrega a la columna de origen o de destino de forma predeterminada. Para obtener información sobre la creación de un grupo de seguridad o IPSet, consulte Capítulo 22 Objetos de seguridad y red.

c Seleccione uno o varios objetos y haga clic en la flecha para moverlos a la columna Objetos seleccionados (Selected Objects).

2 (opcional) Seleccione las direcciones IP que utilizará en la regla de firewall.


NSX 6.4.1 a Haga clic en Editar (Edit) en la columna de origen o de destino, seleccione Direcciones IP (IP addresses) y haga clic en Agregar (Add).

b Introduzca una dirección IP. Las direcciones IPv4 e IPv6 son válidas.

c Haga clic en Agregar (Add) si necesita introducir más direcciones IP.

NSX 6.4.0 a Haga clic en IP ( ) en la columna de origen.

b Seleccione IPv4 o IPv6.

c Escriba la dirección IP.

Puede introducir varias direcciones IP en una lista separada por comas. La lista puede contener hasta 255 caracteres.

3 (opcional) Niega los orígenes o los destinos definidos en esta regla.

Si se selecciona Negar origen (Negate Source), la regla se aplica al tráfico que viene desde todos los orígenes, excepto los orígenes definidos en esta regla.


VMware, Inc. 230

Si no se selecciona Negar origen (Negate Source), la regla se aplica al tráfico que viene desde los orígenes o los destinos definidos para esta regla.

Solo puede seleccionar Negar origen (Negate Source) si definió al menos un origen o destino.


NSX 6.4.1 a Haga clic en Editar (Edit) en la columna de origen.

b Configure Negar origen (Negate Source) como Activado (On).

NSX 6.4.0a Haga clic en Editar (Edit) ( ) en la columna de origen.

b Seleccione la casilla de verificación Negar origen (Negate source).

Agregar un servicio de reglas de firewallEn las reglas de firewall, puede crear un nuevo grupo de servicios o usar un grupo de servicios predefinido.

Procedimiento

1 Seleccione un servicio predefinido o un grupo de servicios para usarlo en la regla de firewall.


NSX 6.4.1 a Coloque el puntero sobre la celda Servicio (Service) de la nueva regla y haga

clic en .

b Seleccione el tipo de objeto del menú desplegable Tipo de objeto (Object Type). Puede crear un nuevo grupo de seguridad o IPSet. Una vez creado el nuevo objeto, se agrega a la columna de origen o de destino de forma predeterminada. Para obtener información sobre la creación de un grupo de seguridad o IPSet, consulte Capítulo 22 Objetos de seguridad y red.

c Seleccione uno o varios objetos y haga clic en la flecha para moverlos a la columna Objetos seleccionados (Selected Objects).


clic en .

b Seleccione uno o varios objetos y haga clic en .

Puede crear un servicio o un grupo de servicios nuevos. Una vez creado el nuevo objeto, se agrega a la columna Objetos seleccionados (Selected Objects) de forma predeterminada.



VMware, Inc. 231

2 Seleccione un puerto o protocolo para usarlo en la regla de firewall o defina uno nuevo.



clic en .

b Seleccione Protocolo del puerto sin procesar (Raw Port-Protocol) y haga clic en Agregar (Add).

c Seleccione el Protocolo (Protocol) de la lista y haga clic en Aceptar (OK).


clic en .

b Seleccione el protocolo de servicio.

Distributed Firewall admite ALG (Application Level Gateway) para los siguientes protocolos: TFTP, FTP, ORACLE TNS, MS-RPC y SUN-RPC.

Edge admite ALG para FTP, TFTP y SNMP_BASIC.

Nota: Las máquinas virtuales que migran de la versión 6.1.5 a la versión 6.2.3 no ofrecen compatibilidad con ALG de TFTP. Para habilitar la compatibilidad con ALG de TFTP después de migrar, agregue y quite la máquina virtual de la lista de exclusión o reinicie la máquina virtual. Así, se creará un nuevo filtro para la versión 6.2.3 que habilita la compatibilidad con ALG de TFTP.

c Escriba el número de puerto y haga clic en Aceptar (OK). Para proteger la red contra saturaciones ACK o SYN, puede establecer el servicio con el valor TCP-all_ports o UDP-all_ports y establecer la acción de bloqueo para la regla predeterminada. Para obtener información sobre cómo modificar la regla predeterminada, consulte Editar la regla de Distributed Firewall predeterminada.

Especificar un registro y una acción de regla de firewallLas reglas de firewall se pueden establecer para permitir, bloquear o rechazar tráfico de un origen, un destino o un servicio especificados.

Procedimiento

1 Coloque el cursor sobre la celda Acción (Action) de la nueva regla y realice las selecciones apropiadas, según se describen en la tabla que aparece a continuación.

Acción Resultado

Permitir (Allow) Permite tráfico desde o hacia los orígenes, los destinos y los servicios especificados.

Bloquear (Block) Bloquea el tráfico desde o hacia los orígenes, los destinos y los servicios especificados.


Se envían paquetes RST para conexiones TCP.

Se envían mensajes ICMP con código prohibido de forma administrativa para conexiones UDP, ICMP y otras conexiones IP.


VMware, Inc. 232

Acción Resultado

Registrar (Log) Registra todas las sesiones que coinciden con esta regla. Si el registro se habilita, el rendimiento puede verse afectado.

No registrar (Do not log) No registra las sesiones.

2 (opcional) Habilite los registros.


NSX 6.4.1 En la columna Registro (Logging), haga clic en el botón Registrar (Log) para activarlo.

NSX 6.4.0 a Coloque el puntero sobre la celda Acción (Action) de la nueva regla y haga

clic en .

b Seleccione Registrar (Log) o No registrar (Do not Log). El registro incluye a todas las sesiones que coincidan con esta regla y esta acción puede afectar al rendimiento.

Definir el ámbito de firewallMediante el campo Se aplica a (Applied To), se puede delimitar el ámbito en el que se desea aplicar la regla.

Si la regla contiene máquinas virtuales o vNIC en los campos de origen y destino, debe agregar las máquinas virtuales o vNIC de origen y destino a Se aplica a (Applied To) para que la regla funcione correctamente.


VMware, Inc. 233

Procedimiento

u En Se aplica a (Applied To), defina el ámbito al cual se aplica esta regla. Realice las selecciones correspondientes según se describe en la siguiente tabla y haga clic en Aceptar (OK). Tenga en cuenta que si se agrega una regla de acceso a escritorio remoto, el campo Aplicado a (Applied to) no será compatible.

Para aplicar una regla a Hacer lo siguiente

Todos los clústeres preparados en el entorno Seleccione Aplicar esta regla en todos los clústeres donde está instalado el Distributed Firewall (Apply this rule on all clusters on which Distributed Firewall is installed). Después de hacer clic en Aceptar (OK), la columna Se aplica a (Applied To) para esta regla muestra Distributed Firewall (Distributed Firewall).

Todas las puertas de enlace NSX Edge en el entorno Seleccione Aplicar esta regla en todas las puertas de enlace Edge (Apply this rule on all Edge gateways). Después de hacer clic en Aceptar (OK) o Guardar (SAVE), la columna Se aplica a (Applied To) para esta regla muestra Todos las instancias de Edge (All Edges).

Si las dos opciones anteriores están seleccionadas, la columna Se aplica a (Applied To) muestra Cualquiera (Any).

Uno o varios clústeres, centros de datos, grupos de puertos virtuales distribuidos, instancias de NSX Edge, redes, máquinas virtuales, vNIC o conmutadores lógicos

En la lista Disponibles (Available), seleccione uno o varios

objetos y haga clic en (add).

Publicar una regla de firewallDespués de crear una nueva regla de firewall, tiene que publicarla para que se apliquen los cambios.

Procedimiento

u Haga clic en Publicar (Publish) o Publicar cambios (Publish Changes). Se agregará una nueva regla en la parte superior de la sección. Si la regla definida por el sistema es la única regla en la sección, la regla nueva se agrega arriba de la regla predeterminada.

Después de unos minutos, aparece un mensaje que indica si la operación de publicación se completó correctamente. Si se produce algún error, se muestra un listado de los hosts donde no se aplicó la regla. Para obtener detalles adicionales sobre una publicación con errores, desplácese hasta Instancias de NSX Manager (NSX Managers) > NSX_Manager_IP_Address > Supervisar (Monitor) > Eventos del sistema (System Events).

Si desea agregar una regla en un lugar específico de la sección, seleccione una regla. En la columna

N.º (No.), haga clic en y seleccione Agregar arriba (Add Above) o Agregar abajo (Add Below).

Al hacer clic en Publicar cambios (Publish Changes), se guarda automáticamente la configuración del firewall. Para obtener información sobre cómo revertir a una configuración anterior, consulte Cargar una configuración de firewall guardada.


VMware, Inc. 234

Pasos siguientes

n Para deshabilitar una regla, haga clic en ; para habilitarla, haga clic en .

n Para mostrar columnas adicionales en la tabla de reglas, haga clic en y seleccione las columnas correspondientes.

Nombre de la columna Información que se muestra

Identificador de reglas Identificador único generado por el sistema para cada regla

Registrar (Log) El tráfico para esta regla se registra o no

Estadísticas (Stats) Al hacer clic en , se muestra el tráfico relacionado con esta regla (tamaño y paquetes de tráfico)

Comentarios (Comments) Comentarios de la regla

n Para buscar las reglas, escriba texto en el campo Buscar (Search).

n Mueva una regla hacia arriba o hacia abajo en la tabla de firewall.

n Para combinar las secciones, haga clic en el icono Combinar sección (Merge section) y seleccione Combinar con la sección anterior (Merge with above section) o Combinar con la sección siguiente (Merge with below section).

Editar la regla de Distributed Firewall predeterminadaLa configuración de firewall predeterminada aplica al tráfico que no coincide con ninguna de las reglas de firewall definidas por el usuario. La regla de Distributed Firewall predeterminada se muestra en la interfaz de usuario de firewall centralizado y la regla predeterminada de cada instancia de NSX Edge se muestra en el nivel de NSX Edge.

La regla de Distributed Firewall predeterminada permite el acceso directo de todo el tráfico de Capa 3 y Capa 2 a los clústeres preparados en la infraestructura. La regla predeterminada se encuentra siempre al final de la tabla de reglas y no se puede eliminar ni es posible agregarle elementos. Sin embargo, puede cambiar el elemento Acción (Action) de la regla desde Permitir bloquear o rechazar (Allow to Block or Reject), agregar comentarios a la regla e indicar si el tráfico de esa regla se debe registrar.

En un entorno de Cross-vCenter NSX, la regla predeterminada no es una regla universal. Cualquier cambio en la regla predeterminada debe realizarse en cada instancia de NSX Manager.

Procedimiento


2 Expanda la sección Valor predeterminado (Default) y realice los cambios necesarios.

Solo puede editar Acción (Action) y Registro (Log), o agregar comentarios a la regla predeterminada.


VMware, Inc. 235

Forzar sincronización de las reglas de Distributed FirewallSi no puede publicar reglas de firewall para los hosts, realice una sincronización forzada.

La sincronización forzada se utiliza cuando es necesario sincronizar las reglas de firewall en un host individual con NSX Manager.

Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Instalación y actualización (Installation and Upgrade) > Preparación del host (Host Preparation).

2 Seleccione el clúster que desee sincronizar y, a continuación, haga clic en Acciones (Actions) ( ) > Forzar servicios de sincronización (Force Sync Services).

3 Seleccione el Firewall de los servicios para forzar la sincronización. Haga clic en Aceptar (OK).

El estado del Firewall cambia a Ocupado (Busy) durante la sincronización.

Reglas de firewall con un protocolo personalizado de Capa 3Las reglas de firewall pueden crearse con un número de protocolo personalizado que no aparece en el menú desplegable de protocolos.

Puede crearse una regla de firewall con un número de protocolo personalizado en el firewall distribuido o el firewall de NSX Edge.

Procedimiento


2 Para agregar una regla de Capa 3, asegúrese de que está en la pestaña Configuración

(Configuration) > General. Haga clic en el icono Agregar regla (Add rule) ( ).

3 Coloque el puntero sobre la celda Nombre (Name) de la nueva regla y haga clic en .

4 Escriba el nombre de la nueva regla.

5 Especifique el Origen (Source) de la nueva regla. Consulte Agregar un origen o destino de las reglas de firewall para obtener detalles.

6 Especifique el Destino (Destination) de la nueva regla. Consulte Agregar un origen o destino de las reglas de firewall para obtener detalles.

7 Coloque el puntero sobre la celda Servicio (Service) de la nueva regla. Haga clic en el icono

Agregar servicio (Add Service) ( )

8 Haga clic en Nuevo servicio (New Service) en la parte inferior izquierda de la ventana Especificar servicio (Specify Service).

9 Introduzca el Nombre (Name) del nuevo protocolo (por ejemplo, OSPF).


VMware, Inc. 236

10 En el menú desplegable de protocolos, seleccione L3_OTHERS.

Aparecerá un campo Número de protocolo (Protocol Number) en el menú desplegable.

11 Introduzca el Número de protocolo (Protocol Number), por ejemplo, 89 para OSPF.


13 Publique la regla de firewall. Consulte Publicar una regla de firewall para obtener detalles.

Se creó una regla de firewall mediante un número de protocolo personalizado.

Guardar una configuración sin publicarEs posible agregar una regla y guardar la configuración sin publicarla. La configuración guardada se puede cargar y publicar en otro momento.

Procedimiento

1 Agregue una regla de firewall. Consulte Agregar una regla de firewall.

2 Haga clic en Guardar cambios (Save Changes) o Guardar (Save).

3 Introduzca un nombre y una descripción para crear una nueva configuración.

4 Haga clic en Conservar configuración (Preserve Configuration) para mantener este cambio.

NSX puede guardar hasta 100 configuraciones. Cuando se supera este límite, se conservan las configuraciones guardadas con la marca Conservar configuración (Preserve Configuration) y se eliminan las configuraciones antiguas no conservadas para que las configuraciones conservadas tengan espacio.

5 Haga clic en Guardar (Save).

6 Para realizar cambios en una configuración guardada:


En NSX 6.4.1 y versiones posteriores a Agregue otra regla de firewall.

b Haga clic en Guardar (Save).

c Seleccione Actualizar configuración existente (Update existing configuration).

d Haga clic en Guardar (Save).

En NSX 6.4.0 a Agregue otra regla de firewall.

b Haga clic en Actualizar cambios (Update Changes).

c Haga clic en Guardar cambios (Save Changes). n Haga clic en Revertir cambios (Revert Changes) para regresar a la configuración utilizada antes

de agregar la regla. Cuando desee publicar la regla recientemente agregada, haga clic en el icono Cargar configuración (Load Configuration), seleccione la regla guardada en el paso 3 y haga clic en Aceptar (OK).

n Haga clic en Actualizar cambios (Update Changes) para seguir agregando reglas.


VMware, Inc. 237

7 Para revertir los cambios realizados:


En NSX 6.4.1 y versiones posteriores a Haga clic en Deshacer (Undo).

En NSX 6.4.0 a Haga clic en Revertir cambios (Revert Changes) para regresar a la configuración utilizada antes de agregar la regla.

Cargar una configuración de firewall guardadaPuede cargar una configuración de firewall guardada automáticamente o importada. Si la configuración actual contiene reglas administradas por Service Composer, estas seanulan después de la importación.

Procedimiento


2 Asegúrese de estar en la pestaña Configuración (Configuration) > General para cargar una configuración de firewall de Capa 3. Haga clic en la pestaña Ethernet para cargar una configuración de firewall de Capa 2.

3 Cargue la configuración guardada.


NSX 6.4.1 y versiones posteriores a Haga clic en Más (More) y seleccione Cargar la configuración guardada (Load Saved Configuration).

b Seleccione la configuración que desea cargar y haga clic en CARGAR (LOAD).

NSX 6.4.0a Haga clic en el icono Cargar configuración (Load configuration) ( ).

b Seleccione la configuración que desea cargar y haga clic en Aceptar (OK). La configuración seleccionada reemplaza a la configuración actual.

Pasos siguientes

Si la configuración cargada anuló las reglas de Service Composer en la configuración, haga clic en Acciones (Actions) > Sincronizar reglas de firewall (Synchronize Firewall Rules) en la pestaña Directivas de seguridad (Security Policies) de Service Composer.

Filtrar reglas de firewallSe puede utilizar una gran cantidad de criterios para filtrar el conjunto de reglas, lo que permite modificar con facilidad las reglas.

Las reglas se pueden filtrar por dirección IP o máquinas virtuales de origen o destino, acción de la regla, registro, nombre de la regla, comentarios e identificador de la regla. También puede filtrar las reglas por un protocolo, aplicación o servicio específicos.


VMware, Inc. 238

Procedimiento

1 En la pestaña Firewall, haga clic en el icono Aplicar filtro (Apply Filter) ( o ).

2 Introduzca los criterios del filtro según corresponda.

3 Haga clic en Aplicar (Apply).

Se muestran las reglas que coinciden con sus criterios de filtrado.

Pasos siguientes

Para volver a ver todas las reglas, borre los filtros.

n En NSX 6.4.1 y versiones posteriores, haga clic en Borrar (Clear) en el cuadro de diálogo Filtro (Filter).

n En NSX 6.4.0, haga clic en el icono Eliminar filtro aplicado (Remove applied filter) ( ).

Cambiar el orden de una regla de firewallLas reglas de firewall se aplican en el orden en que se presentan en la tabla de reglas.

Las reglas se muestran (y se aplican) en el siguiente orden:

1 Las reglas definidas previamente por el usuario tienen la prioridad más alta y se aplican de arriba abajo por nivel de NIC virtual.

2 Reglas asociadas automáticamente.

3 Reglas locales definidas en un nivel de NSX Edge.

4 Reglas de Service Composer (una sección aparte para cada directiva). Estas reglas no se pueden editar en la tabla de firewall, pero es posible agregar reglas en la parte superior de una sección de reglas de firewall de una directiva de seguridad. Al hacer eso, es necesario volver a sincronizar las reglas en Service Composer. Para obtener más información, consulte Capítulo 18 Service Composer.

5 Regla predeterminada de Distributed Firewall.

Es posible mover una regla personalizada hacia arriba o abajo en la tabla. La regla predeterminada siempre se coloca en la parte inferior de la tabla y no se puede mover.

Procedimiento

1 En la pestaña Firewall, seleccione la regla que desea mover.

2 Haga clic en el icono Mover regla hacia arriba (Move rule up) o Mover regla hacia abajo (Move

rule down) .


Comportamiento de las reglas de firewall en los grupos de seguridadEl comportamiento de las reglas de firewall es diferente dependiendo del grupo de seguridad.


VMware, Inc. 239

Tabla 10-6. Comportamiento de las reglas del firewall con secciones con RDSH y sin RDSH

Habilitar el grupo de seguridad de identidad del usuario (sección con RDSH)

Grupo de seguridad de identidad (sección con RDSH)

Cualquier grupo de seguridad (sección sin RDSH)

Origen: las reglas basadas en SID se publican en segundo plano en el hipervisor. El cumplimiento de reglas se encuentra en el primer paquete.

Origen: reglas basadas en IP Origen: reglas basadas en IP

Destino: reglas basadas en IP Destino: reglas basadas en IP Destino: reglas basadas en IP

Se aplica a (Applied To) con grupo de seguridad basado en identidad - Se aplica a todos los hosts

Usuario según Se aplica a (Applied To)

Se aplica a (Applied To) con grupo de seguridad sin identidad - Usuario según Se aplica a (Applied To)


Restablecimiento y recuento de reglas de firewallEn la parte superior de la pantalla del firewall aparece el panel de resumen de reglas y se encuentra en las tres pestañas del firewall.

El panel de resumen de reglas muestra:

n El número total de reglas

n El número total de reglas sin publicar

n El número de reglas desactivadas

n El número total de las secciones

n El número total de las secciones bloqueadas

Para restablecer los recuentos de las reglas:

Procedimiento

1 Haga clic en MÁS (MORE) en la esquina superior derecha de la pantalla.

2 Haga clic en Restablecer recuento de regla (Reset Rule Hit Count) y, a continuación, haga clic en Restablecer (Reset).

3 Haga clic en RESTABLECER (RESET).

Todos los recuentos de las reglas se restablecen a cero.

Registros de firewallEl firewall genera y almacena archivos de registro, como los registros de auditoría, los registros de mensajes de reglas y los registros de eventos del sistema. Debe configurar un servidor syslog por cada


VMware, Inc. 240

clúster que tenga habilitado el firewall. El servidor syslog está especificado en el atributo Syslog.global.logHost.

Recomendación Para recopilar los registros de auditoría del firewall en un servidor syslog, asegúrese de haber actualizado el servidor syslog a la versión más reciente. Preferiblemente, configure un servidor syslog-ng remoto para recopilar los registros de auditoría del firewall.

En la siguiente tabla se describe cómo genera el firewall los registros.

Tabla 10-7. Registros de firewall

Tipo de registro Descripción Ubicación

Registros de mensajes de reglas

Incluyen todas las decisiones de acceso, como el tráfico permitido y el no permitido para cada regla, si el registro estaba habilitado para esa regla. Contienen los registros de paquetes DFW para las reglas en las que el registro se habilitó.

/var/log/dfwpktlogs.log

Registros de auditoría Incluyen registros de administración y cambios en la configuración de Distributed Firewall.

/home/secureall/secureall/logs/vsm.log

Registros de eventos del sistema

Incluye la configuración aplicada de Distributed Firewall, el filtro creado, eliminado o con errores, y las máquinas virtuales que se agregaron a los grupos de seguridad, entre otros.

/home/secureall/secureall/logs/vsm.log

Registros de VMKernel o del plano de datos

Captura las actividades relacionadas con un módulo de kernel del firewall (VSIP). Incluye entradas de registro para los mensajes generados por el sistema.

/var/log/vmkernel.log

Registros VSFWD o del cliente del bus de mensajería

Captura las actividades de un agente del firewall. /var/log/vsfwd.log

Nota Se puede acceder al archivo vsm.log ejecutando el comando show log manager desde la interfaz de línea de comandos (CLI) de NSX Manager y ejecutando grep para la palabra clave vsm.log. Solo el usuario o el grupo de usuario que tengan el privilegio raíz pueden acceder al archivo.

Registros de mensajes de reglasLos registros de mensajes de reglas incluyen todas las decisiones de acceso, como el tráfico permitido y el no permitido para cada regla, si el registro estaba habilitado para esa regla. Estos registros se almacenan en cada host de /var/log/dfwpktlogs.log.

A continuación aparecen ejemplos de mensajes de registro del firewall:

# more /var/log/dfwpktlogs.log

2015-03-10T03:22:22.671Z INET match DROP domain-c7/1002 IN 242 UDP 192.168.110.10/138-

>192.168.110.255/138


VMware, Inc. 241

# more /var/log/dfwpktlogs.log

2017-04-11T21:09:59.877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST

10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070

Más ejemplos:

2017-10-19T22:38:05.586Z 58734 INET match PASS domain-c8/1006 OUT 84 ICMP 172.18.8.121->172.18.8.119

RULE_TAG

2017-10-19T22:38:08.723Z 58734 INET match PASS domain-c8/1006 OUT 60 TCP 172.18.8.121/36485-

>172.18.8.119/22 S RULE_TAG

2017-10-19T22:38:18.785Z 58734 INET TERM domain-c8/1006 OUT ICMP 8 0 172.18.8.121->172.18.8.119 2/2

168/168 RULE_TAG

2017-10-19T22:38:20.789Z 58734 INET TERM domain-c8/1006 OUT TCP FIN 172.18.8.121/36484-

>172.18.8.119/22 44/33 4965/5009 RULE_TAG

En el ejemplo siguiente:

n 1002 es el identificador de regla de Distributed Firewall.

n domain-c7 es el identificador de clúster en el explorador de objetos administrados (MOB) de vCenter.

n 192.168.110.10/138 es la dirección IP de origen.

n 192.168.110.255/138 es la dirección IP de destino.

n ETIQUETA_REGLA (RULE_TAG) es un ejemplo del texto que escribe en el cuadro de texto Etiqueta (Tag) al agregar o editar la regla del firewall.

El ejemplo siguiente muestra los resultados de un ping 192.168.110.10 a 172.16.10.12.

# tail -f /var/log/dfwpktlogs.log | grep 192.168.110.10

2015-03-10T03:20:31.274Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12

2015-03-10T03:20:35.794Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12

Las siguientes tablas explican los cuadros de texto del mensaje de registro del firewall.

Tabla 10-8. Componentes de una entrada de archivo de registro

Componente Valor en el ejemplo

Marca de tiempo 2017-04-11T21:09:59

Porción específica del firewall 877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST 10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070

Tabla 10-9. Porción específica del firewall de una entrada del archivo de registro

Entidad Valores posibles

Hash del filtro Es un número que puede utilizarse para obtener el nombre del filtro y otra información.

Valor AF INET, INET6


VMware, Inc. 242

Tabla 10-9. Porción específica del firewall de una entrada del archivo de registro (continuación)


Motivo n match: el paquete coincide con una regla.

n bad-offset: error interno en la ruta de acceso a los datos al obtener el paquete.

n fragment: fragmentos que no son el primario tras ensamblarse a este.

n short: paquete demasiado pequeño (por ejemplo, no incluye encabezados IP ni TCP/UDP).

n normalize: paquetes con formato incorrecto que no tienen una carga útil o un encabezado correctos.

n memory: ruta de acceso a los datos sin memoria.

n bad-timestamp: marca de tiempo TCP incorrecta.

n proto-cksum: suma de comprobación incorrecta del protocolo.

n state-mismatch: paquetes TCP que no envían la comprobación de la máquina del estado TCP.

n state-insert: se encontró una conexión duplicada.

n state-limit: se alcanzó el número máximo de estados de los que una ruta de acceso a los datos puede hacer un seguimiento.

n SpoofGuard: paquetes que SpoofGuard descarta.

n TERM: la conexión finaliza.

Acción n PASS: se acepta el paquete.

n DROP: se descarta el paquete.

n NAT: regla SNAT.

n NONAT: coincide con la regla SNAT, pero no se puede traducir la dirección.

n RDR: regla DNAT.

n NORDR: coincide con la regla DNAT, pero no se puede traducir la dirección.

n PUNT: envía el paquete a una máquina virtual de servicio que se ejecuta en el mismo hipervisor de la máquina virtual actual.

n REDIRECT: envía el paquete a un servicio de redes que se ejecuta fuera del hipervisor de la máquina virtual actual.

n COPY: acepta el paquete y copia una máquina virtual de servicio que se ejecuta en el mismo hipervisor de la máquina virtual actual.

n REJECT: rechaza el paquete.

Regla establecida e ID rule set/rule ID

Dirección IN, OUT

Longitud de paquetes length

Protocolo (Protocol) TCP, UDP, ICMP o PROTO (número de protocolo)

En las conexiones TCP, la razón real por la que una conexión finaliza aparece tras la palabra clave TCP.

Si TERM es la razón de una sesión TCP, aparece una explicación extra en la fila PROTO. Entre las posibles razones para que una conexión TCP finalice se incluyen: RST (paquete RST de TCP), FIN (paquete FIN de TCP) y TIMEOUT (inactividad prolongada).

En el ejemplo anterior es RST. Esto significa que existe un paquete RST en la conexión que se debe restablecer.

Para conexiones que no sean TCP (UDP, ICMP u otros protocolos), la razón por la que finaliza una conexión es únicamente TIMEOUT.


VMware, Inc. 243

Tabla 10-9. Porción específica del firewall de una entrada del archivo de registro (continuación)


Puerto y dirección IP de origen IP address/port

Puerto y dirección IP de destino IP address/port

Marcas TCP S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET)

Número de paquetes Número de paquetes.

22/14 - paquetes de entrada/paquetes de salida

Número de bytes Número de bytes.

7684/1070 - bytes de entrada/bytes de salida

Para habilitar un mensaje de reglas, inicie sesión en vSphere Web Client:

1 Acceda a Redes y seguridad (Networking & Security) > Seguridad (Security) > Firewall.

2 Asegúrese de estar en la pestaña General.

3 Habilite los registros.


NSX 6.4.1 y versiones posteriores

Haga clic en Más (More)>Habilitar (Enable)>Habilitar registros de regla (Enable Rule Logs)

NSX 6.4.0 1 Habilite la columna Registro (Log) en la página.

2 Habilite el registro para una regla. Para hacerlo, pase el cursor sobre la celda de la tabla Registro (Log) y haga clic en el icono de lápiz.

Nota Si desea personalizar el texto que aparece en el mensaje de registro del firewall, puede habilitar la columna Etiqueta (Tag) y escribir el texto deseado haciendo clic en el icono del lápiz.

Registros de eventos del sistema y de auditoríaLos registros de auditoría incluyen registros de administración y cambios en la configuración del Distributed Firewall. Se almacenan en /home/secureall/secureall/logs/vsm.log.

Los registros de eventos del sistema incluyen la configuración aplicada de Distributed Firewall, los filtros creados, eliminados o con errores, y las máquinas virtuales agregadas a los grupos de seguridad, entre otros. Estos registros se almacenan en /home/secureall/secureall/logs/vsm.log.

Para ver los registros de eventos de sistema y de auditoría del vSphere Web Client, acceda a Redes y seguridad (Networking & Security) > Sistema (System) > Eventos (Events). En la pestaña Supervisar (Monitor), seleccione la dirección IP de NSX Manager.


VMware, Inc. 244

Escenarios de firewall 11Puede utilizar los escenarios de firewall para comprender el flujo de trabajo de extremo a extremo necesario.


n Escenarios del firewall relacionado con el contexto

n Configurar la identificación de aplicaciones

Escenarios del firewall relacionado con el contextoEl firewall relacionado con el contexto está destinado para casos de tráfico este-oeste y no para una clasificación general de exploración web. Las aplicaciones pueden estar limitadas a las específicas usadas en el centro de datos, como SSH, FTP, TFTP, SQL, DNS y PCoIP, entre otras.

A continuación, aparecen algunos casos de uso de un firewall relacionado con el contexto:

n Caso de uso 1: Don, el director de TI de un equipo, solicita a su administrador de NSX que restrinja TODO el tráfico HTTP de una máquina virtual en concreto. Don quiere restringir este tráfico, independientemente del puerto del que venga.

n Caso de uso 2: Robert, el jefe de TI de un equipo, quiere restringir el tráfico HTTP que se dirige a una máquina virtual en concreto, con la condición de que el tráfico no venga del puerto TCP 8080.

n Caso de uso 3: Ahora que hay un firewall relacionado con el contexto, se puede ampliar también a los inicios de sesión basados en identidad, como los usuarios de Active Directory que inician sesión en su escritorio virtual, para que solo tengan acceso a las solicitudes HTTP del puerto 8080. Un administrador desea que su empleado John pueda acceder únicamente a HTTP desde el puerto 8080 y solo cuando John tenga la sesión iniciada en Active Directory.

Escenario 1: Permitir el tráfico web en un puerto específicoEs posible que quiera que el tráfico web solo se permita en el puerto 80.

Para crear una regla de firewall relacionado con el contexto, realice los siguientes pasos:

1 Agregar una sección de reglas de firewall, si es necesario.

2 Agregar una regla de firewall que diga HTTP al servidor web (HTTP to Web Server).

3 Seleccione el servidor web requerido como el Destino (Destination).

VMware, Inc. 245

4 Crear un servicio para identificar la aplicación con los siguientes parámetros:

Parámetro Opción

Capa Layer7

ID de la aplicación HTTP

Protocolo (Protocol) TCP

Puerto de destino 80

5 Cambie la regla predeterminada del firewall a Bloquear (Block).

6 Publique los cambios.

Con la regla del firewall relacionado con el contexto, el único tráfico que se permite es el Web en el puerto 80.

Escenario 2: Permitir el tráfico SSH en cualquier puertoEs posible que quiera permitir el tráfico SSH en cualquier puerto.

Realice los siguientes pasos para crear una regla del firewall relacionado con el contexto:

1 Agregar una sección de reglas de firewall, si es necesario.

2 Agregar una regla de firewall que diga SSH al servidor SSH (SSH to SSH Server).

3 Seleccione el servidor SSH requerido como el Destino (Destination).

4 Crear un servicio para identificar la aplicación con los siguientes parámetros:

Parámetro Opción

Capa Layer7

ID de la aplicación SSH

Protocolo (Protocol) TCP

Puerto de destino Dejar el cuadro de texto en blanco

5 Cambie la regla predeterminada del firewall a Bloquear (Block).

6 Publique los cambios.

Con la regla del firewall relacionado con el contexto, el único tráfico que se permite es el SSH en cualquier puerto.

Ejemplo: EjemploPara obtener todos los pasos sobre cómo crear una regla de firewall relacionado con el contexto mediante el uso de vSphere Web Client, consulte Ejemplo: Crear una regla de firewall relacionado con el contexto.


VMware, Inc. 246

Configurar la identificación de aplicacionesLa identidad de aplicaciones y protocolos habilita la visibilidad en un gran número de aplicaciones y el cumplimiento basado en los niveles de aplicación, como Active Directory, DNS, HTTPS o MySQL.

La identificación de aplicación de Capa 7 identifica qué aplicación genera un paquete o un flujo específicos, independientemente del puerto que se está utilizando.

El cumplimiento en función de la identidad de la aplicación permite a los usuarios permitir o denegar que las aplicaciones se ejecuten en cualquier puerto, o bien forzar a las aplicaciones a ejecutarse en su puerto estándar. La inspección profunda de paquetes (PPP) permite comparar la carga útil de paquetes con patrones definidos, comúnmente conocidos como firmas. Los objetos de servicio de la Capa 7 se pueden utilizar para la aplicación de puertos independientes o para crear nuevos objetos de servicio que utilicen una combinación de identidad de aplicación, protocolo y puerto de Capa 7. Los objetos basados en servicio de Capa 7 se pueden utilizar en la tabla de reglas de firewall y Service Composer, y la información de identificación de la aplicación se captura en los registros de Distributed Firewall, Flow Monitoring y Application Rule Manager (ARM) al crear perfiles de una aplicación.

Procedimiento

1 En vSphere Web Client, haga clic en Redes y seguridad (Networking & Security) > Grupos y etiquetas (Groups and Tags).

2 Cree servicios y especifique Capa 7, el identificador de aplicaciones, el protocolo y el puerto. Se puede omitir este paso para realizar aplicaciones de puertos independientes. Consulte GUID de ID de aplicaciones y Crear un servicio para obtener más detalles.

3 Cree una nueva regla de firewall distribuido. En el campo de servicio, seleccione el servicio Capa 7 que creó en el paso 2. Para una aplicación independiente de puertos, seleccione un identificador de aplicaciones y consulte GUID de ID de aplicaciones. Consulte Agregar una regla de firewall para obtener detalles.

4 Guarde y publique la regla de firewall.


VMware, Inc. 247

Introducción al firewall de identidad 12Las funciones del firewall de identidad permiten al administrador de NSX crear un usuario de Active Directory basado en reglas de DFW.

Al preparar la infraestructura comienza una visión general de alto nivel del flujo de trabajo de la configuración de IDFW. Esto incluye que el administrador instale los componentes de preparación del host en cada clúster protegido y que establezca la sincronización de Active Directory de forma que NSX pueda aceptar usuarios y grupos de AD. A continuación, IDFW debe saber en qué escritorio inicia sesión un usuario de Active Directory (AD) para poder aplicar las reglas de DFW. IDFW utiliza dos métodos para detectar el inicio de sesión: Guest Introspection (GI) y/o a través del recopilador de registros de eventos de Active Directory. Guest Introspection se implementa en los clústeres de ESXi en los que se ejecutan las máquinas virtuales de IDFW. Cuando un usuario genera eventos de red, un agente invitado instalado en la máquina virtual envía la información a través de la trama de Guest Introspection a NSX Manager. La segunda opción es el recopilador de registros de eventos de Active Directory. Configure el recopilador de registros de eventos de Active Directory en NSX Manager para señalar una instancia de la controladora de dominio de Active Directory. NSX Manager extraerá eventos del registro de eventos de seguridad de AD. Puede usar ambos en su entorno o bien uno de ellos. Cuando se utilizan tanto el recopilador de registros de AD como Guest Introspection, Guest Introspection tendrá prioridad. Tenga en cuenta que si se utiliza el recopilador de registros de eventos de AD y Guest Introspection, ambos son mutuamente exclusivos: si uno de ellos deja de funcionar, el otro no comenzará a trabajar como copia de seguridad.

Una vez que la infraestructura está preparada, el administrador crea grupos de seguridad de NSX y agrega los grupos de AD de disponibilidad reciente (a los que se hace referencia como Grupo de directorios). El administrador podrá a continuación crear directivas de seguridad con reglas de firewall asociadas y aplicar dichas directivas a los grupos de seguridad recién creados. Ahora, cuando un usuario inicie sesión en un escritorio, el sistema detectará ese evento a través de la dirección IP que se utilizó, buscará la directiva del firewall que está asociada a dicho usuario y empujará estas reglas hacia abajo. Esto funciona tanto para escritorios físicos como virtuales. Para los escritorios físicos, es necesario que el recopilador de registros de eventos de Active Directory también detecte que un usuario inició sesión en un escritorio físico.

El firewall de identidad se puede usar en procesos de microsegmentación con sesiones de escritorios remotos (RDSH), habilitando los inicios de sesión de varios usuarios, el acceso de aplicaciones de usuario según ciertos requisitos y la capacidad de mantener los entornos de usuarios independientes. El firewall de identidad requiere Active Directory para sesiones de escritorio remoto.

VMware, Inc. 248

Para conocer los sistemas operativos Windows que se admiten, consulte Configuraciones admitidas y probadas del firewall de identidad. Tenga en cuenta que el firewall de identidad no acepta sistemas operativos basados en Linux.


n Flujo de trabajo del firewall de identidad

n Configuraciones admitidas y probadas del firewall de identidad

Flujo de trabajo del firewall de identidadEl firewall de identidad (IDFW) permite normas del firewall distribuido establecidas por el usuario (DFW)

Las reglas del firewall distribuido establecidas por el usuario están determinadas por la pertenencia a un grupo Active Directory (AD). IDFW supervisa si los usuarios de AD iniciaron sesión y asignan el registro a una dirección IP que usa el DFW para aplicar reglas del firewall. El firewall de identidad necesita la trama guest introspection o bien activar la extracción de los registros de los eventos del directorio. Puede usar ambos en su entorno o bien uno de ellos. Cuando se utilizan tanto el recopilador de registros de AD como Guest Introspection, Guest Introspection tendrá prioridad. Tenga en cuenta que si se utiliza el recopilador de registros de eventos de AD y Guest Introspection, ambos son mutuamente exclusivos: si uno de ellos deja de funcionar, el otro no comenzará a trabajar como copia de seguridad.

Los cambios de pertenencia al grupo AD no se aplican inmediatamente para los usuarios que hayan iniciado sesión y utilicen las reglas del firewall de identidad de RDSH, lo que incluye habilitar, deshabilitar y eliminar usuarios. Para que los cambios se apliquen, los usuarios deben cerrar sesión y volver a iniciarla. Le recomendamos que los administradores de AD fuercen un cierre de sesión cuando se modifique la pertenencia al grupo. Este comportamiento es una limitación de Active Directory.

El flujo en dirección norte de IDFW:

1 Un usuario inicia sesión en una máquina virtual.

2 El plano de administración de NSX recibe un evento de inicio de sesión de usuario.

3 El plano de administración de NSX examina el usuario y recibe todos los grupos de Active Directory (AD) a los que el usuario pertenece. A continuación, el plano de administración de NSX envía eventos de modificación de grupo a todos los grupos de AD afectados.

4 En cada grupo de Active Directory, todos los grupos de seguridad (SG), incluido este grupo de AD, se marcan y se agrega un trabajo a la cola para procesar este cambio. Debido a que un solo SG puede incluir varios grupos de Active Directory, un único evento de inicio de sesión suele activar varios eventos de procesamiento para el mismo SG. Para solucionar este problema, se eliminan las solicitudes de procesamiento de grupo de seguridad duplicadas.

El flujo en dirección sur de IDFW:

1 Se recibió una solicitud de procesamiento de grupo de seguridad. Si se modifica una SG, NSX actualiza todas las entidades afectadas y activa acciones por reglas de IDFW.

2 NSX recibe todos los grupos de Active Directory para una SG.


VMware, Inc. 249

3 Desde Active Directory, NSX recibe todos los usuarios que pertenecen a grupos de AD.

4 Los usuarios de Active Directory se asocian a las direcciones IP.

5 Las direcciones IP se asignan a las vNIC y, a continuación, las vNIC se asignan a máquinas virtuales. La lista de máquinas virtuales que aparece resulta de la traducción del grupo de seguridad a la máquina virtual.

Nota El firewall de identidad para RDSH solo se admite con Windows Server 2016, Windows 2012 con VMware Tools 10.2.5 y versiones posteriores, y Windows 2012 R2 con VMware Tools 10.2.5 y versiones posteriores.

Procedimiento

1 Configure la sincronización de Active Directory en NSX, consulte Sincronizar un dominio de Windows con Active Directory. Esto es necesario para usar los grupos de Active Directory en Service Composer.

2 Prepare el clúster ESXi para DFW. Consulte cómo preparar el clúster del host para NSX (Prepare the Host Cluster for NSX) en Guía de instalación de NSX.

3 Configure las opciones de detección de inicio de sesión del firewall de identidad. Se deben configurar una o varias de estas opciones.

Nota Si tiene una arquitectura de AD de varios dominios y el extractor de registros no está accesible debido a restricciones de seguridad, Guest Introspection le permitirá generar eventos de inicio y cierre de sesión.

n Configure el acceso al registro de los eventos de Active Directory. Consulte Registrar un dominio de Windows con NSX Manager.

n Windows Guest OS con un agente invitado instalado. Viene con una instalación completa de VMware Tools ™ Implemente el servicio Guest Introspection para los clústeres protegidos. Consulte Instalar Guest Introspection en los clústeres de host.

Configuraciones admitidas y probadas del firewall de identidadServidores de directorio y servidores de extracción de registros admitidos por IDFW.

Tabla 12-1. Servidores de directorio y versiones

Servidor/Versión ¿Admitido?

Windows Server 2016 Sí


Windows Server 2012 R2 Sí

Windows Server 2008 R2 No

Windows Server 2008 No


VMware, Inc. 250

Tabla 12-1. Servidores de directorio y versiones (continuación)


Windows Server 2003 No

Servidores LDAP que no sean de Microsoft AD No

Tabla 12-2. Sistema operativo de Windows para escritorios RDSH


Windows 2016 Sí

Windows 2012 con VMware Tools 10.2.5 y versiones posteriores Sí

Windows 2012 R2 con VMware Tools 10.2.5 y versiones posteriores

Sí

Tenga en cuenta que Identity Firewall con soporte para RDSH requiere que se instalen los controladores de red de Guest Introspection.

Tabla 12-3. Opciones de sincronización de dominios


Sincronización de dominios con LDAP u LDAPs Sí

Adición de registro de eventos con CIFs y WMI Sí

Sincronización de dominios con rootDN único Sí

Sincronización de dominios con varias unidades organizativas de RootDN

6.4.0 y posteriores

Sincronización de dominios con un solo subárbol de unidades organizativas con jerarquía de nivel

6.4.0 y posteriores

Sincronización de dominios con varios subárboles de unidades organizativas

6.4.0 y posteriores

Eliminar y volver a agregar el mismo dominio con una unidad organizativa selectiva

6.4.0 y posteriores

Agregar un nuevo subárbol a una unidad organizativa sincronizada

6.4.0 y posteriores

Sincronizar con BaseDN selectivo 6.4.0 y posteriores

Sincronizar ignorando a los usuarios deshabilitados Sí

Sincronización diferencial con cambios en el dominio de AD Sí

Tabla 12-4. Servidores de extracción de registros y versiones






VMware, Inc. 251

Tabla 12-4. Servidores de extracción de registros y versiones (continuación)



Linux u otras implementaciones de LDAP No

Limitaciones de la extracción de registros

n Si se producen las siguientes condiciones, la máquina virtual se debe reiniciar en caso de un evento entrante de inicio de sesión:

n se deshabilitan o habilitan usuarios

n cambia la dirección IP de la máquina virtual

n se vuelve a agregar el mismo dominio con NSX Manager

n La cola del registro de eventos para los eventos de inicio de sesión entrantes es limitada, y los eventos de inicio de sesión no se reciben si el registro está lleno.

Para obtener más información sobre la sincronización de dominios, consulte Sincronizar un dominio de Windows con Active Directory.

Tabla 12-5. Sistema operativo con Guest Introspection


Win-7 (32 y 64 bits) Sí

Win-8 (64 bits) Sí

Win-10 (32 y 64 bits) Sí

Windows Server 2016 Sí.



Soporte para Linux No

Limitaciones de Guest Introspection

n El marco de GI se debe implementar en todos los clústeres donde se ejecuten máquinas virtuales de IDFW.

n Se debe realizar una instalación completa de VMware Tools ™ en todas las máquinas virtuales invitadas.

n No se admiten las sesiones UDP. No se generan eventos de red para las sesiones UDP en máquinas virtuales invitadas.

n No se admite la integración de Linux GOS con el servidor de Active Directory.


VMware, Inc. 252

Configuraciones de Microsoft Active Directory admitidasSegún las directrices de diseño de prácticas recomendadas y estándares de Microsoft (https://msdn.microsoft.com/en-us/library/bb727085.aspx), siguiendo las configuraciones de bosques de Active Directory, los dominios, los árboles de dominios y los grupos/usuarios se probaron y están admitidos en el firewall de identidad:

Tabla 12-6. Bosque único, dominio único y anidamiento de configuraciones de usuarios y grupos de Active Directory

Situaciones ¿Admitido?

Cambiar la pertenencia de usuarios al dominio Sí

Pertenencia a un grupo circular Sí, se admite desde la versión 6.2.8

Pertenencia a grupos anidados Sí

Agregar y modificar el nombre del grupo Sí

Agregar y modificar el nombre de usuario Sí

Eliminar el grupo y el usuario Sí

Deshabilitar y habilitar el usuario Sí

Tabla 12-7. Bosque único, dominio único, árbol de subdominios


Usuarios creados en el dominio principal y parte de grupos en el dominio principal

Sí

Usuarios creados en un dominio secundario, pero que forman parte de grupos del dominio principal

No

Usuarios creados en el dominio secundario 1 y cuya pertenencia está en el dominio secundario 2

Cambiar la pertenencia de usuarios entre dos dominios de diferentes (raíz y secundario)

Sí

Pertenencia a un grupo circular Sí, se admite desde la versión 6.2.8

Pertenencia a grupos anidados en un solo dominio (no admitido para dominios cruzados)

Sí

Agregar y modificar grupos y nombres de usuario Sí

Eliminar el grupo y el usuario Sí

Deshabilitar y habilitar el usuario Sí

Tabla 12-8. Bosque único, dominio único, árbol de subdominios


Cambiar la contraseña del dominio después de la sincronización Sí

Cambiar la dirección IP después de la sincronización Sí

Cambiar el nombre de los controladores de dominio Sí


VMware, Inc. 253

https://msdn.microsoft.com/en-us/library/bb727085.aspx

https://msdn.microsoft.com/en-us/library/bb727085.aspx

Tabla 12-8. Bosque único, dominio único, árbol de subdominios (continuación)


Desconectar y volver a conectar la red del dominio y el servidor de registros de eventos durante la sincronización de dominios

Sí

Desconectar y volver a conectar la red del dominio y el servidor de registros de eventos después de la sincronización de dominios

Sí

Nota Suposiciones y flujo de cumplimiento de reglas

n El evento de inicio de sesión del usuario se procesa únicamente cuando se inicia una sesión TCP desde una máquina virtual invitada.

n Los eventos de cierre de sesión de los usuarios no se envían o no se procesan. El conjunto de reglas aplicadas se mantiene hasta que transcurre un intervalo de tiempo de 8 horas desde la última actividad en la red de un usuario o hasta que un usuario diferente genera una conexión TCP desde la misma máquina virtual. El sistema procesa esto como un cierre de sesión del usuario anterior y un inicio de sesión del nuevo usuario.

n En NSX 6.4.0 y versiones posteriores se admiten varios usuarios con IDFW con RDSH.

n El motor de contexto para el cumplimiento de reglas gestiona los inicios de sesión en máquinas virtuales de RDSH. Los inicios de sesión RDSH solo coinciden con las reglas de firewall que se crearon con Habilitar la identidad del usuario en el origen (Enable User Identity at Source) y la regla se debe crear en una nueva sección de Reglas de firewall (Firewall Rules). Si un usuario pertenece a un grupo de seguridad de usuarios sin identidad en el origen e inicia sesión en una máquina virtual de RDSH, el inicio de sesión no activará ninguna traducción de este grupo de seguridad. Una máquina de RDSH nunca pertenece a un grupo de seguridad de usuarios sin identidad en el origen.


VMware, Inc. 254

Trabajar con dominios de Active Directory 13Se puede registrar uno o varios dominios de Windows en una instancia de NSX Manager y una instancia asociada de vCenter Server. NSX Manager obtiene información del grupo y del usuario, así como de la relación existente entre estos elementos, desde cada dominio con el que está registrado. NSX Manager también recupera las credenciales de Active Directory (AD).

Una vez que NSX Manager recupera las credenciales de AD, se pueden crear grupos de seguridad basados en la identidad del usuario, crear reglas de firewall basadas en la identidad y ejecutar informes de supervisión de la actividad.

Los cambios de pertenencia al grupo AD no se aplican inmediatamente para los usuarios que hayan iniciado sesión y utilicen las reglas del firewall de identidad de RDSH, lo que incluye habilitar, deshabilitar y eliminar usuarios. Para que los cambios se apliquen, los usuarios deben cerrar sesión y volver a iniciarla. Le recomendamos que los administradores de AD fuercen un cierre de sesión cuando se modifique la pertenencia al grupo. Este comportamiento es una limitación de Active Directory.

Importante Los cambios realizados en Active Directory NO se verán en el NSX Manager hasta que se haya realizado una sincronización completa o diferencial.


n Registrar un dominio de Windows con NSX Manager

n Sincronizar un dominio de Windows con Active Directory

n Editar un dominio de Windows

n Habilitar el acceso al registro de seguridad de solo lectura en Windows 2008

n Comprobar los privilegios de Directory

Registrar un dominio de Windows con NSX Manager

Requisitos previos

La cuenta de dominio debe tener permisos de lectura de AD para todos los objetos en el árbol de dominios. La cuenta del lector de registros de eventos debe tener permisos de lectura para los registros de eventos de seguridad.

VMware, Inc. 255

Procedimiento

1 En vSphere Web Client, acceda a Redes y seguridad (Networking & Security) > Sistema (System) > Usuarios y dominios (Users and Domains).

2 Haga clic en la pestaña Dominios (Domains) y, a continuación, haga clic en el icono Agregar

dominio (Add domain) ( ).

3 En el cuadro de diálogo Agregar dominio (Add Domain), escriba el nombre del dominio completo (por ejemplo, eng.vmware.com) y el nombre netBIOS del dominio.

Para recuperar el nombre netBIOS del dominio, escriba nbtstat -n en una ventana de comandos de una estación de trabajo con Windows que sea parte de un dominio o se encuentre en un controlador de dominio. En la Tabla de nombre local NetBIOS (NetBIOS Local Name Table), la entrada con el prefijo <00> y el tipo Grupo (Group) es el nombre netBIOS.

4 Al agregar un dominio secundario, seleccione Combinar automáticamente (Auto Merge).

5 Durante la sincronización, haga clic en Ignorar usuarios deshabilitados (Ignore disabled users) para filtrar los usuarios que ya no tengan cuentas activas.

6 Haga clic en Siguiente (Next).

7 En la página Opciones de LDAP (LDAP Options), especifique el controlador de dominio con la que se sincronizará el dominio y seleccione el protocolo. Consulte Configuraciones admitidas y probadas del firewall de identidad para obtener más información sobre las opciones de sincronización de dominio admitidas.

8 Si es necesario, edite el número de puerto.

9 Escriba las credenciales de usuario de la cuenta de dominio. Este usuario debe poder acceder a la estructura de árbol de directorios.


11 (opcional) En la página Acceso a los registros de eventos de seguridad (Security Event Log Access), seleccione CIFS o WMI en el método de conexión para acceder a los registros de eventos de seguridad del servidor AD especificado. Cambie el número de puerto, si es necesario. Este paso lo utiliza el recopilador de registros de eventos de Active Directory. Consulte Flujo de trabajo del firewall de identidad.

Nota El lector de registros de eventos busca eventos con los siguientes ID del registro de eventos de seguridad de AD: Windows 2008/2012: 4624, Windows 2003: 540. El servidor de registro de eventos tiene un límite de 128 MB. Cuando se alcanza este límite, aparece en el lector de registro de seguridad el mensaje ID 1104 de evento (Event ID 1104). Consulte https://technet.microsoft.com/en-us/library/dd315518 para obtener más información.


VMware, Inc. 256

https://technet.microsoft.com/en-us/library/dd315518

https://technet.microsoft.com/en-us/library/dd315518

12 Seleccione Utilizar credenciales de dominio (Use Domain Credentials) para utilizar las credenciales de usuario del servidor LDAP. Para especificar una cuenta de dominio alternativa para el acceso al registro, desactive la casilla Utilizar credenciales de dominio (Use Domain Credentials) y especifique el nombre de usuario y la contraseña.

La cuenta especificada debe poder leer los registros de eventos de seguridad en el controlador de dominio especificada en el paso 10.


14 En la página Listo para finalizar (Ready to Complete), revise la configuración especificada.

15 Haga clic en Finalizar (Finish).

Atención n Si aparece un mensaje de error que indique que se produjo un error al agregar un dominio a la

entidad debido a un conflicto de dominios, seleccione Combinar automáticamente (Auto Merge). Los dominios se crearán y la configuración aparecerá debajo de la lista de dominios.

Se crea el dominio y la configuración se muestra debajo de la lista de dominios.

Pasos siguientes

Compruebe que los eventos de inicio de sesión del servidor de registro de eventos estén habilitados.

Es posible agregar, editar, eliminar, habilitar o deshabilitar servidores LDAP desde la pestaña Servidores LDAP (LDAP Servers) en el panel debajo de la lista de dominios. Se pueden realizar las mismas tareas para los servidores de registro de eventos desde la pestaña Servidores de registro de eventos (Event Log Servers) en el panel debajo de la lista de dominios. Al agregar varios servidores Windows (controladores de dominio, servidores Exchange o servidores de archivos) como servidor de registro de eventos se mejora la asociación con la identidad del usuario.

Nota En caso de utilizar IDFW, solo los servidores de AD son compatibles.

Sincronizar un dominio de Windows con Active DirectoryDe forma predeterminada, todos los dominios registrados se sincronizan automáticamente con Active Directory cada tres horas. También se pueden sincronizar a petición.

Mediante la interfaz de usuario de vSphere Web Client, puede realizar una sincronización forzada para los dominios de Active Directory. Se realiza una sincronización periódica una vez a la semana y una sincronización diferencial cada 3 horas. No es posible sincronizar subárboles de forma selectiva mediante la interfaz de usuario.

Con NSX 6.4 y versiones posteriores, es posible sincronizar subárboles de Active Directory de forma selectiva usando llamadas de API. El dominio raíz no puede tener ninguna relación principal-secundario y debe tener un nombre distinguido válido de directorio.

n /api/1.0/directory/updateDomain tiene una opción para especificar la carpeta bajo el dominio raíz. Además, existe una opción para realizar una actualización forzada: private boolean forceUpdate .


VMware, Inc. 257

n /api/directory/verifyRootDN. Compruebe que la lista de rootDN no tenga ninguna relación principal-secundario. Compruebe que cada rootDN sea un nombre distinguido de Active Directory.

Procedimiento


2 Haga clic en la pestaña Dominios (Domains) y, a continuación, seleccione el dominio que se sincronizará.

Importante Los cambios realizados en Active Directory NO se verán en el NSX Manager hasta que se haya realizado una sincronización completa o diferencial.

3 Seleccione una de las siguientes opciones:

Haga clic en Para

Realice una sincronización diferencial, donde los objetos AD locales que cambiaron desde el último evento de sincronización se actualizan.

Realice una sincronización completa, donde el estado local de todos los objetos AD se actualiza.

Editar un dominio de WindowsEs posible editar el nombre, el nombre de netBIOS, el servidor LDAP principal y las credenciales de la cuenta de un dominio.

Procedimiento


2 Haga clic en la pestaña Dominios (Domains).

3 Seleccione un dominio y, a continuación, haga clic en el icono Editar dominio (Edit domain).

4 Realice los cambios necesarios y haga clic en Finalizar (Finish).

Habilitar el acceso al registro de seguridad de solo lectura en Windows 2008El recopilador de registros de eventos de IDFW utiliza el acceso al registro de seguridad de solo lectura.

Después de crear una cuenta de usuario nueva, debe habilitar el acceso al registro de seguridad de solo lectura en una sección de dominio basada en un servidor de Windows 2008 para garantizar el acceso de solo lectura a los usuarios.

Nota Debe seguir estos pasos en un controlador de dominio del bosque, del árbol o del dominio.


VMware, Inc. 258

Procedimiento

1 Acceda a Inicio > Herramientas administrativas > Equipos y usuarios de Active Directory (Start > Administrative Tools > Active Directory Users and Computers).

2 En el árbol de navegación, expanda el nodo que corresponda al dominio en el que desee habilitar el acceso al registro de seguridad.

3 En el nodo que expandió, seleccione el nodo Builtin.

4 Haga doble clic en Lector de registros de eventos (Event Log Readers) en la lista de grupos.

5 Seleccione la pestaña Miembros (Members) del cuadro de diálogo Propiedades de los lectores de registros de eventos (Event Log Readers Properties).

6 Haga clic en el botón Agregar... (Add...).

Aparecerá el cuadro de diálogo Seleccionar usuarios (Select Users), Contactos (Contacts) o Equipos (Computers).

7 Si ya creó un grupo para el usuario "Lector AD" (AD Reader), seleccione ese grupo en el cuadro de diálogo Seleccionar usuarios (Select Users), Contactos (Contacts), Equipos (Computers) o Grupos (Groups). Si solo creó el usuario y no creó un grupo, seleccione ese usuario en el cuadro de diálogo Seleccionar usuarios (Select Users), Contactos (Contacts), Equipos (Computers) o Grupos (Groups).

8 Haga clic en Aceptar (OK) para cerrar el cuadro de diálogo Seleccionar usuarios (Select Users), Contactos (Contacts), Equipos (Computers) o Grupos (Groups).

9 Haga clic en Aceptar (OK) para cerrar el cuadro de diálogo Propiedades de los lectores de registros de eventos (Event Log Readers Properties).

10 Cierre las ventanas Usuarios de Active Directory (Active Directory Users) y Equipos (Computers).

Pasos siguientes

Después de establecer el acceso al registro de seguridad, compruebe los privilegios de Directory siguiendo los pasos de Comprobar los privilegios de Directory.

Comprobar los privilegios de DirectoryComprobar que la cuenta de usuario tiene los privilegios necesarios para leer los registros de seguridad.

Tras crear una cuenta nueva y habilitar el acceso al registro de seguridad, debe comprobar que puede leer los registros de seguridad.

Requisitos previos

Habilitar el acceso al registro de seguridad. Consulte Habilitar el acceso al registro de seguridad de solo lectura en Windows 2008.

Procedimiento

1 Inicie sesión como administrador en el dominio desde cualquier estación de trabajo que sea parte de dicho dominio.


VMware, Inc. 259

2 Diríjase a Inicio > Herramientas administrativas > Visor de eventos (Start > Administrative Tools > Event Viewer).

3 Seleccione Conectar a otro equipo... (Connect to Another Computer...) en el menú de Acción (Action). Aparece el cuadro de diálogo Seleccionar un equipo (Select Computer). (Tenga en cuenta que debe realizar esto incluso si ya inició sesión en la máquina de la que quiere ver el registro de eventos)

4 Seleccione el botón de radio Otro equipo (Another computer) si aún no se seleccionó.

5 En el campo de texto adyacente al botón de radio Otro equipo (Another computer), introduzca el nombre del controlador del dominio. De forma alternativa, haga clic en el botón Examinar... (Browse) y seleccione el controlador de dominio.

6 Marque la casilla de Conectar como otro usuario (Connect as another user).

7 Haga clic en el botón Establecer usuario (Set user). Aparece el cuadro de diálogo Visor de eventos (Event Viewer).

8 En el campo Nombre de usuario (User name), introduzca el nombre del usuario que creó.

9 En el campo Contraseña (Password), introduzca la contraseña del usuario que creó.


11 Vuelva a hacer clic en Aceptar (OK).

12 Expanda el nodo Registros de Windows (Windows Logs) en el árbol de navegación.

13 En el nodo Registros de Windows (Windows Logs), seleccione el nodo Seguridad (Security). Si puede ver los eventos de registros, la cuenta tiene los privilegios necesarios.


VMware, Inc. 260

Utilizar SpoofGuard 14Tras la sincronización con el servidor vCenter Server, NSX Manager recopila las direcciones IP de todas las máquinas virtuales invitadas de vCenter desde la instancia de VMware Tools en cada máquina virtual. Si hay una máquina virtual comprometida, la dirección IP puede suplantarse y las transmisiones maliciosas pueden omitir las directivas de firewall.

Puede crear una directiva de SpoofGuard para redes específicas que permita autorizar las direcciones IP informadas por VMware Tools y alterarlas, si fuera necesario, para impedir la suplantación. SpoofGuard confía de forma intrínseca en las direcciones MAC de las máquinas virtuales recopiladas a partir de archivos VMX y vSphere SDK. Dado que funcionan de forma separada de las reglas de firewall, puede utilizar SpoofGuard para bloquear el tráfico identificado como suplantado.

SpoofGuard admite direcciones IPv4 e IPv6. La directiva de SpoofGuard admite varias direcciones IP asignadas a una vNIC cuando se use la intromisión DHCP y VMwareTools. La intromisión de ARP admite hasta 128 direcciones detectadas por máquina virtual y por vNIC. La directiva de SpoofGuard supervisa y administra las direcciones IP que informan las máquinas virtuales en uno de los siguientes modos.

Confiar automáticamente en las asignaciones IP en el primer uso (Automatically Trust IP Assignments on Their First Use)

Este modo permite que todo el tráfico proveniente de las máquinas virtuales circule mientras se crea una tabla de asignaciones de direcciones vNIC a IP. Puede revisar la tabla según lo necesite y hacer los cambios necesarios en la dirección IP. Este modo aprueba automáticamente todas las direcciones IPv4 e IPv6 que aparecieron por primera vez en una vNIC.

Inspeccionar y aprobar manualmente todas las asignaciones IP antes de utilizarlas (Manually Inspect and Approve All IP Assignments Before Use)

Este modo bloquea todo el tráfico hasta que se aprueba cada asignación de direcciones vNIC a IP. En este modo, se pueden aprobar varias direcciones IPv4.

Nota SpoofGuard autoriza las solicitudes DHCP de forma intrínseca independientemente del modo habilitado. No obstante, en el modo de inspección manual, el tráfico no circula hasta que se haya aprobado la dirección IP asignada por DHCP.

VMware, Inc. 261

SpoofGuard incluye una directiva predeterminada generada por el sistema que se aplica a los grupos de puertos y redes lógicas que no cubren otras directivas de SpoofGuard. La nueva red agregada se incorpora automáticamente a la directiva predeterminada hasta que agregue la red a una directiva existente o cree para ella una nueva directiva.

SpoofGuard es una de las formas en que la directiva de Distributed Firewall de NSX puede determinar la dirección IP de una máquina virtual. Para obtener información, consulte Detección de IP para máquinas virtuales.


n Crear una directiva SpoofGuard

n Aprobar direcciones IP

n Cambiar una dirección IP

n Borrar una dirección IP

Crear una directiva SpoofGuardSe puede crear una directiva SpoofGuard para especificar el modo de funcionamiento de redes específicas. La directiva (predeterminada) generada por el sistema aplica a los grupos de puertos y a los conmutadores lógicos que no están contemplados por las directivas SpoofGuard existentes.

Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Seguridad (Security) > SpoofGuard.


3 Introduzca un nombre para la directiva.

4 Habilite o deshabilite la directiva.

5 Seleccione uno de los siguientes Modo de operación (Operation Mode):


Confiar automáticamente en las asignaciones IP en el primer uso (Automatically Trust IP Assignments on Their First Use)

Seleccione esta opción para confiar en todas las asignaciones IP desde el registro inicial con NSX Manager.

Inspeccionar y aprobar manualmente todas las asignaciones IP antes de utilizarlas (Manually Inspect and Approve All IP Assignments Before Use)

Seleccione esta opción para solicitar la aprobación manual de todas las direcciones IP. Todo el tráfico desde y hacia direcciones IP no aprobadas se bloquea.


VMware, Inc. 262

6 Haga clic en Permitir dirección local como dirección válida en este espacio de nombre (Allow local address as valid address in this namespace) para permitir direcciones IP locales en la instalación.

Cuando enciende una máquina virtual y no se puede conectar al servidor DHCP, se le asigna una dirección IP local. Esta dirección IP local se considera válida solo si el modo SpoofGuard está establecido en Permitir dirección local como dirección válida en este espacio de nombre (Allow local address as valid address in this namespace). De lo contrario, la dirección IP local se ignora.


8 Seleccione el tipo de objeto al que se aplicará esta directiva y, a continuación, seleccione los objetos que desee.

u En NSX 6.4.0, haga clic en el icono Agregar (Add). Seleccione el tipo de objeto al que se aplicará esta directiva y, a continuación, seleccione los objetos que desee.

Un grupo de puertos o un conmutador lógico pueden pertenecer solamente a una directiva SpoofGuard.


Pasos siguientes

Puede editar una directiva con el icono Editar (Edit) y eliminar una directiva con el icono Eliminar (Delete).

Aprobar direcciones IPSi se configura SpoofGuard para que se requiera la aprobación manual de todas las asignaciones de direcciones IP, es necesario aprobar las asignaciones de direcciones IP para que el tráfico de esas máquinas virtuales pueda pasar.

Procedimiento

1 En SpoofGuard, seleccione una directiva.

Se mostrarán los detalles de la directiva debajo de la tabla de directivas.

2 En NSX 6.4.1 y posterior, seleccione uno de los vínculos de opciones en el menú desplegable o Todos (All).


vNIC activas Lista de todas las direcciones IP validadas

vNIC pendientes de aprobación Cambios en las direcciones IP que se deben aprobar antes de que se pueda transmitir el tráfico hacia o desde estas máquinas virtuales

vNIC inactivas Lista de direcciones IP en las que la dirección IP actual no coincide con la dirección IP publicada

vNIC con la dirección IP duplicada Direcciones IP que son duplicados de una dirección IP asignada existente dentro del centro de datos seleccionado


VMware, Inc. 263

3 En NSX 6.4.0, seleccione Ver (View) y haga clic en uno de los vínculos de opciones.


NIC virtuales activas (Active Virtual NICs)

Lista de todas las direcciones IP validadas

NIC virtuales activas desde última publicación (Active Virtual NICs Since Last Published)

Lista de direcciones IP que se validaron desde que se actualizó por última vez la directiva

Aprobación requerida para IP de NIC virtuales (Virtual NICs IP Required Approval)

Cambios en las direcciones IP que se deben aprobar antes de que se pueda transmitir el tráfico hacia o desde estas máquinas virtuales

NIC virtuales con IP duplicadas (Virtual NICs with Duplicate IP)

Direcciones IP que son duplicados de una dirección IP asignada existente dentro del centro de datos seleccionado

NIC virtuales inactivas (Inactive Virtual NICs)

Lista de direcciones IP en las que la dirección IP actual no coincide con la dirección IP publicada

IP de NIC virtuales sin publicar (Unpublished Virtual NICs IP)

Lista de máquinas virtuales en las que se editó la asignación de direcciones IP pero eso todavía no se publicó


n Para aprobar una sola dirección IP, haga clic en la opción Aprobar (Approve) junto a la dirección IP.

n Para aprobar varias direcciones IP, seleccione las vNIC adecuadas y haga clic en Aprobar IP (Approve IPs).

Cambiar una dirección IPEs posible cambiar la dirección IP asignada a una dirección MAC para corregir la dirección IP asignada.

Nota SpoofGuard acepta una dirección IP exclusiva de las máquinas virtuales. Sin embargo, puede asignar una dirección IP solo una vez. Una dirección IP aprobada es exclusiva en todo NSX. No se permiten las direcciones IP aprobadas duplicadas.

Procedimiento


2 En NSX 6.4.1 y posterior, seleccione uno de los vínculos de opciones en el menú desplegable o Todos (All).





VMware, Inc. 264


















4 Agregue una dirección IP.


NSX 6.4.1 Haga clic en Agregar IP (Add IP) y agregue una dirección IP.

NSX 6.4.0 Haga clic en el icono de lápiz que aparece junto a una dirección IP aprobada (Approved IP), a continuación haga clic en + y agregue una nueva dirección IP.

5 Para eliminar una dirección IP incorrecta, seleccione Borrar (Clear).


Borrar una dirección IPEs posible borrar una asignación de dirección IP aprobada de una directiva SpoofGuard.

Procedimiento



VMware, Inc. 265

2 En NSX 6.4.1 y posterior, seleccione uno de los vínculos o Todos (All).




















4 Seleccione Borrar (Clear) o Borrar IP aprobadas (Clear Approved IPs) para borrar una dirección IP.


VMware, Inc. 266

Redes privadas virtuales (VPN) 15NSX Edge admite varios tipos de VPN. SSL VPN-Plus permite a los usuarios remotos acceder a aplicaciones privadas de la empresa. IPsec VPN ofrece conectividad de sitio a sitio entre una instancia de NSX Edge y sitios remotos. La VPN de Capa 2 permite extender el centro de datos y que las máquinas virtuales conserven la conectividad de red más allá de los límites geográficos.

Para poder utilizar la VPN, primero debe tener una instancia de NSX Edge que esté funcionando. Para obtener información sobre cómo configurar NSX Edge, consulte Configuración de NSX Edge.


n Descripción general de SSL VPN-Plus

n Descripción general de IPsec VPN

n Descripción general de VPN de Capa 2

Descripción general de SSL VPN-PlusCon SSL VPN-Plus, los usuarios remotos pueden conectarse de forma segura a redes privadas detrás de una puerta de enlace de NSX Edge. Los usuarios remotos pueden acceder a servidores y aplicaciones en las redes privadas.

VMware, Inc. 267

VPN VP

Usuarios remotosconectándose medianteel modo de acceso web

NSXManager

Administrador

NSX EdgeSSL VPNexterna

InternetWindowsServer

LAN corporativa

Usuarios remotos conectándose mediante un cliente SSL

Se admiten los sistemas operativos cliente siguientes.

Sistema operativo Versiones admitidas

Servidor 8, 10 (incluida la opción Arranque seguro de Windows 10 activada)

Mac OS Sierra 10.12.6

Mac OS High Sierra 10.13.4

Mac OS Mojave 10.14.2, 10.14.3 (compatible con NSX 6.4.4 y versiones posteriores)

Linux Fedora 26, 28

Linux CentOS 6.0, 7.5

Linux Ubuntu 18.04

Importante Las bibliotecas de los servicios de seguridad de redes (NSS), TK y TLC de Linux son necesarias para que la interfaz de usuario funcione.

Configurar el acceso de red de SSL VPN-PlusEn el modo de acceso de red, un usuario remoto puede acceder a redes privadas después de descargar e instalar un cliente SSL.


VMware, Inc. 268

Requisitos previos

La puerta de enlace de SSL VPN requiere el acceso al puerto 443 desde redes externas, mientras que el cliente de SSL VPN requiere la comunicación entre el sistema cliente y la dirección IP de la puerta de enlace y el puerto 443 de NSX Edge.

Agregar configuración del servidor SSL VPN-PlusDebe agregar la configuración del servidor SSL VPN para habilitar SSL en una interfaz NSX Edge.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Configuración del servidor (Server Settings) en el panel izquierdo.

2 Haga clic en Cambiar (Change).

3 Seleccione la dirección IPv4 o IPv6.

4 Si es necesario, edite el número de puerto. Este número de puerto se requiere para configurar el paquete de instalación.

5 Seleccione uno o varios métodos de cifrado o cifrados.

Nota Si configura alguno de los cifrados GCM que se incluyen a continuación en el servidor SSL VPN, algunos navegadores pueden sufrir problemas de compatibilidad con versiones anteriores:

n AES128-GCM-SHA256

n ECDHE-RSA-AES128-GCM-SHA256

n ECDHE-RSA-AES256-GCM-SHA38

6 (opcional) En la tabla Certificados de servidor (Server Certificates), utilice el certificado de servidor predeterminado, o bien inhabilite la selección de la casilla de verificación Usar certificado predeterminado (Use Default Certificate) y haga clic en el certificado de servidor que quiera agregar.

Restricción n El servicio SSL VPN-Plus solo admite certificados RSA.

n El servicio SSL VPN-Plus es compatible con certificados de servidor firmados solo por la CA raíz. No admite los certificados de servidor firmados por una CA intermedia.


Agregar un grupo de direcciones IPSe asigna una dirección IP virtual al usuario remoto del grupo de direcciones IP agregado.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Grupos de direcciones IP (IP Pools) en el panel izquierdo.


VMware, Inc. 269

2 Haga clic en el icono Agregar (Add) ( ).

3 Escriba la dirección IP de inicio y de finalización para el grupo de direcciones IP.

4 Escriba la máscara de red del grupo de direcciones IP.

5 Escriba la dirección IP que se agregará a la interfaz de enrutamiento en la puerta de enlace de NSX Edge.

6 (opcional) Escriba una descripción para el grupo de direcciones IP.

7 Seleccione si desea habilitar o deshabilitar el grupo de direcciones IP.

8 (opcional) En el panel Opciones avanzadas (Advanced), escriba el nombre DNS.

9 (opcional) Escriba el nombre DNS secundario.

10 Escriba el sufijo DNS específico de la conexión para la resolución de nombres de host basada en el dominio.

11 Escriba la dirección del servidor WINS.


Agregar una red privadaEs posible agregar la red a la que se desea que el usuario remoto pueda acceder.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Redes privadas (Private Networks) en el panel izquierdo.

2 Haga clic en el icono Agregar (Add) .

3 Especifique la dirección IP de la red privada.

4 Especifique la máscara de red de la red privada.

5 (opcional) Introduzca una descripción para la red.

6 Indique si desea enviar el tráfico de la red privada y de Internet mediante NSX Edge con SSL VPN-Plus habilitado u omitir NSX Edge y enviarlo directamente al servidor privado.

7 Si eligió Enviar tráfico por el túnel (Send traffic over the tunnel), seleccione Habilitar optimización de TCP (Enable TCP Optimization) para optimizar la velocidad de Internet.

El túnel convencional de SSL VPN con acceso total envía los datos de TCP/IP en una segunda pila de TCP/IP para el cifrado por medio de Internet. Como resultado, los datos de la capa de aplicación se encapsulan dos veces en dos flujos de TCP distintos. Cuando se pierde algún paquete (lo que es posible incluso en condiciones óptimas de Internet), se produce un efecto de degradación de rendimiento que se conoce como “colapso de TCP sobre TCP”. Básicamente, dos instrumentos TCP corrigen un mismo paquete de datos IP; eso socava la capacidad de proceso de la red y genera tiempo de espera en la conexión. La optimización de TCP elimina este problema de TCP sobre TCP y garantiza un nivel de rendimiento óptimo.


VMware, Inc. 270

8 Al habilitar la optimización, especifique los números de los puertos en los que se debe optimizar el tráfico.

No se optimizará el tráfico en los puertos restantes de esa red específica.

Nota Se optimizará el tráfico en todos los puertos si no se especifican números de puerto.

Cuando se optimiza el tráfico de TCP, el servidor SSL VPN abre la conexión TCP en nombre del cliente. Como es el servidor SSL VPN el que abre la conexión TCP, se aplica la primera regla generada automáticamente, lo que permite que se transmitan todas las conexiones abiertas desde Edge. El tráfico no optimizado se evaluará en función de las reglas normales de Edge Firewall. La regla de permiso predeterminada es colapso de "any any".

9 Indique si desea habilitar o deshabilitar la red privada.


Pasos siguientes

Agregue la regla de firewall correspondiente para permitir el tráfico de la red privada.

Agregar autenticaciónAdemás de la autenticación de usuario local, puede agregar un servidor de autenticación externo (AD, LDAP, Radius o RSA) que esté vinculado a la puerta de enlace de SSL. Todos los usuarios con cuentas en el servidor de autenticación vinculado se autenticarán.

El tiempo máximo de autenticación por medio de SSL VPN es de 3 minutos. Esto se debe a que el tiempo de espera sin autenticación es de 3 minutos, y no se trata de una propiedad configurable. Por eso, en situaciones donde el tiempo de espera de autenticación de AD se establece con un valor superior a 3 minutos, o donde existen varios servidores para autenticación en cadena y el tiempo que tarda la autorización del usuario es superior a 3 minutos, no será posible autenticarse.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Autenticación (Authentication) en el panel izquierdo.


3 Seleccione el tipo de servidor de autenticación.


VMware, Inc. 271

4 Según el tipo de servidor de autenticación seleccionado, complete los siguientes campos.

u Servidor de autenticación de AD (AD authentication server)

Tabla 15-1. Opciones del servidor de autenticación de AD (AD Authentication Server Options)


Habilitar SSL (Enable SSL)

Si se habilita SSL, se establece un vínculo encriptado entre un servidor web y un explorador.

Nota Puede experimentar problemas si no habilita SSL y vuelve a intentar cambiar la contraseña a través de la pestaña SSL VPN-Plus o a través del equipo cliente más tarde.

Dirección IP (IP Address)

Dirección IP del servidor de autenticación.

Puerto (Port) Muestra el nombre de puerto predeterminado. Si es necesario, edite esta opción.

Tiempo de espera (Timeout)

Período en segundos dentro del cual debe responder el servidor de AD.

Estado (Status) Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para indicar si el servidor está habilitado.

Base de búsqueda (Search base)

Parte del árbol del directorio externo donde se llevará a cabo la búsqueda. La base de búsqueda puede ser un elemento equivalente a la unidad de organización (OU), al controlador de dominio (DC), o el nombre de dominio (AD) del directorio externo.

Ejemplos:

n OU=Users,DC=aslan,DC=local

n OU=VPN,DC=aslan,DC=local

DN de enlace (Bind DN)

El usuario del servidor de AD externo permitió la búsqueda en el directorio de AD dentro de la base de búsqueda definida. La mayoría de las veces, el DN de enlace se permite para buscar en todo el directorio. La función del DN de enlace es realizar una consulta en el directorio con el filtro de consulta y la base de búsqueda del nombre distinguido (DN) para autenticar usuarios de AD. Cuando se recibe el DN, se utilizan el DN y la contraseña para autenticar el usuario de AD.

Ejemplo: CN=ldap.edge,OU=users,OU=Datacenter Users,DC=aslan,DC=local

Contraseña de enlace (Bind Password)

Contraseña para autenticar el usuario de AD.

Volver a escribir contraseña de enlace (Retype Bind Password)

Vuelva a escribir la contraseña.

Nombre de atributo de inicio de sesión (Login Attribute Name)

Nombre con el cual se hace coincidir al identificador de usuario introducido por el usuario remoto. Para Active Directory, el nombre de atributo de inicio de sesión es sAMAccountName.

Filtro de búsqueda (Search Filter)

Valores de filtro con los cuales se limita la búsqueda. El formato del filtro de búsqueda es attribute operator value.

Si necesita limitar la base de búsqueda a un grupo específico de AD y no permitir la búsqueda en toda la unidad de organización:

n No coloque el nombre de grupo dentro de la base de búsqueda, coloque únicamente la unidad de organización y el controlador de dominio.

n No coloque objectClass y memberOf dentro de la misma cadena de filtro de búsqueda. Ejemplo de formato correcto para el filtro de búsqueda: memberOf=CN=VPN_Users,OU=Users,DC=aslan,DC=local


VMware, Inc. 272

Tabla 15-1. Opciones del servidor de autenticación de AD (AD Authentication Server Options) (continuación)


Utilizar este servidor para la autenticación secundaria (Use this server for secondary authentication)

Si se selecciona esta opción, este servidor de AD se utiliza como el segundo nivel de autenticación.

Finalizar sesión si se produce un error en la autenticación (Terminate Session if authentication fails)

Si se selecciona esta opción, se finaliza la sesión si se produce un error en la autenticación.

u Servidor de autenticación LDAP

Tabla 15-2. Opciones del servidor de autenticación LDAP


Habilitar SSL (Enable SSL)

Si se habilita SSL, se establece un vínculo encriptado entre un servidor web y un explorador.

Dirección IP (IP Address) Dirección IP del servidor externo.





Base de búsqueda (Search base)

Parte del árbol del directorio externo donde se llevará a cabo la búsqueda. La base de búsqueda puede ser un elemento equivalente a la organización, al grupo o al nombre de dominio (AD) del directorio externo.

DN de enlace (Bind DN) El usuario del servidor externo permitió la búsqueda en el directorio de AD dentro de la base de búsqueda definida. La mayoría de las veces, el DN de enlace se permite para buscar en todo el directorio. La función del DN de enlace es realizar una consulta en el directorio con el filtro de consulta y la base de búsqueda del nombre distinguido (DN) para autenticar usuarios de AD. Cuando se recibe el DN, se utilizan el DN y la contraseña para autenticar el usuario de AD.

Contraseña de enlace (Bind Password)

Contraseña para autenticar el usuario de AD.

Volver a escribir contraseña de enlace (Retype Bind Password)

Vuelva a escribir la contraseña.

Nombre de atributo de inicio de sesión (Login Attribute Name)

Nombre con el cual se hace coincidir al identificador de usuario introducido por el usuario remoto. Para Active Directory, el nombre de atributo de inicio de sesión es sAMAccountName.


VMware, Inc. 273

Tabla 15-2. Opciones del servidor de autenticación LDAP (continuación)


Filtro de búsqueda (Search Filter)

Valores de filtro con los cuales se limita la búsqueda. El formato del filtro de búsqueda es attribute operator value.


Si se selecciona esta opción, este servidor se utiliza como el segundo nivel de autenticación.



u Servidor de autenticación RADIUS

En el modo FIPS está deshabilitada la autenticación RADIUS.

Tabla 15-3. Opciones del servidor de autenticación RADIUS


Dirección IP (IP Address)

Dirección IP del servidor externo.





Secreto (Secret) Secreto específico compartido al agregar el agente de autenticación en la consola de seguridad de RSA.

Volver a escribir secreto (Retype secret)

Vuelva a escribir el secreto compartido.

Dirección IP de NAS (NAS IP Address)

La dirección IP que se configura y utiliza como la dirección IP de NAS, atributo 4 de RADIUS, sin cambiar la dirección IP de origen en el encabezado IP de los paquetes RADIUS.

Cantidad de reintentos (Retry Count)

Cantidad de veces que debe entablarse comunicación con el servidor RADIUS si no responde antes de se produzca un error en la autenticación.


VMware, Inc. 274

Tabla 15-3. Opciones del servidor de autenticación RADIUS (continuación)






u Servidor de autenticación RSA-ACE

En el modo FIPS está deshabilitada la autenticación RSA.

Tabla 15-4. Opciones del servidor de autenticación RSA-ACE




Archivo de configuración (Configuration File)

Haga clic en Examinar (Browse) para seleccionar el archivo sdconf.rec que descargó de RSA Authentication Manager.


Dirección IP de origen (Source IP Address)

Dirección IP de la interfaz de NSX Edge por medio de la cual se accede al servidor RSA.


VMware, Inc. 275

Tabla 15-4. Opciones del servidor de autenticación RSA-ACE (continuación)






u Servidor de autenticación local

Tabla 15-5. Opciones del servidor de autenticación local


Habilitar directiva de contraseña (Enable password policy)

Si se selecciona esta opción, se define una directiva de contraseña. Especifica los valores requeridos.

Habilitar directiva de contraseña (Enable password policy)

Si se selecciona esta opción, se define una directiva de bloqueo de cuenta. Especifica los valores requeridos.

1 En Cantidad de reintentos (Retry Count), escriba la cantidad de veces que un usuario remoto puede intentar acceder a su cuenta después de introducir una contraseña incorrecta.

2 En Duración de los reintentos (Retry Duration), escriba el período durante el cual la cuenta del usuario remoto debe bloquearse tras intentos de inicio de sesión incorrectos.

Por ejemplo, si especifica 5 para Cantidad de reintentos (Retry Count) y 1 minuto para Duración de los reintentos (Retry Duration), la cuenta del usuario remoto se bloquea si realiza 5 intentos de inicio de sesión incorrectos en 1 minuto.

3 En Duración del bloqueo (Lockout Duration), escriba el período durante el cual permanece bloqueada la cuenta del usuario. Transcurrido este período, la cuenta se desbloquea automáticamente.



VMware, Inc. 276

Tabla 15-5. Opciones del servidor de autenticación local (continuación)






5 (opcional) Agregue la autenticación del certificado de cliente.

a Junto a Autenticación de certificado (Certificate Authentication), haga clic en Cambiar (Change).

b Seleccione la casilla de verificación Habilitar autenticación de certificado de cliente (Enable client certificate authentication).

c Seleccione un certificado de cliente emitido por la CA raíz y haga clic en Aceptar (OK).

Restricción n El portal web SSL VPN-Plus y el cliente de acceso completo SSL VPN-Plus (cliente PHAT)

admiten el certificado de usuario o de cliente que esté firmado solo por la CA raíz. El certificado de cliente firmado por una CA intermedia no es compatible.

n La autenticación de certificado de cliente solo se puede usar en un cliente SSL VPN-Plus que esté instalado en un equipo Windows. Esta autenticación no se admite en un cliente SSL VPN-Plus instalado en equipos Linux y Mac.

Agregar paquete de instalaciónCree un paquete de instalación del cliente SSL VPN-Plus para el usuario remoto.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Paquete de instalación (Installation Package) en el panel izquierdo.


3 Escriba un nombre de perfil para el paquete de instalación.


VMware, Inc. 277

4 En Puerta de enlace (Gateway), escriba la dirección IP o el nombre de dominio completo (Fully Qualified Domain Name, FQDN) de la interfaz pública de NSX Edge.

Esta dirección IP o FQDN están enlazados al cliente SSL. Al instalar el cliente, esta dirección IP o FQDN aparecen en el cliente SSL.

5 Escriba el número de puerto especificado en la configuración del servidor para SSL VPN-Plus. Consulte Agregar configuración del servidor SSL VPN-Plus.

6 (opcional) Para enlazar interfaces de vínculo superior NSX Edge adicionales al cliente SSL,

a Haga clic en el icono Agregar (Add) ( ).

b Escriba la dirección IP y el número de puerto.


7 De forma predeterminada, se crea el paquete de instalación para el sistema operativo Windows. Seleccione Linux o Mac si además desea crear un paquete de instalación para los sistemas operativos Linux o Mac.

8 (opcional) Introduzca una descripción para el paquete de instalación.

9 Seleccione Habilitar (Enable) para mostrar el paquete de instalación en la página Paquete de instalación (Installation Package).

10 Seleccione las siguientes opciones según corresponda.


Iniciar cliente al iniciar sesión (Start client on logon)

El cliente de SSL VPN se inicia cuando el usuario remoto inicia sesión en el sistema.

Permitir recordar contraseña (Allow remember password)

Habilita la opción.

Habilitar instalación en modo silencioso (Enable silent mode installation)

Oculta los comandos de instalación del usuario remoto.

Ocultar adaptador de red del cliente SSL (Hide SSL client network adapter)

Oculta el adaptador VMware SSL VPN-Plus, que está instalado en el equipo del usuario remoto junto con el paquete de instalación de SSL VPN.

Ocultar icono de la bandeja del sistema del cliente (Hide client system tray icon)

Oculta el icono de la bandeja de SSL VPN, que indica si la conexión VPN está activa o no.

Crear icono en el escritorio (Create desktop icon)

Crea un icono para invocar al cliente SSL en el escritorio del usuario.

Habilitar funcionamiento en modo silencioso (Enable silent mode operation)

Oculta la ventana emergente que indica la finalización de la instalación.


VMware, Inc. 278


Validación del certificado de seguridad del servidor (Server security certificate validation)

El cliente de SSL VPN valida el certificado del servidor SSL VPN antes de establecer la comunicación segura.

Bloquear usuario cuando se produce un error en la validación del certificado

Si se produce un error en la validación del certificado, bloquee el usuario SSL VPN.


Agregar un usuarioAgregue un usuario remoto a la base de datos local.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Usuarios (Users) en el panel izquierdo.


3 Escriba el identificador de usuario.

4 Escriba la contraseña.

5 Vuelva a escribir la contraseña.

6 (opcional) Escriba el nombre y el apellido del usuario.

7 (opcional) Escriba una descripción para el usuario.

8 En Detalles de la contraseña (Password Details), seleccione La contraseña no caduca nunca (Password never expires) para conservar siempre la misma contraseña para el usuario.

9 Seleccione Permitir cambio de contraseña (Allow change password) para permitir que el usuario cambie la contraseña.

10 Seleccione Cambiar contraseña en el próximo inicio de sesión (Change password on next login) si desea que el usuario cambie la contraseña la próxima vez que inicie sesión.

11 Establezca el estado del usuario.


Habilitar el servicio SSL VPN-PlusDespués de configurar el servicio SSL VPN-Plus, habilite el servicio para que los usuarios remotos puedan comenzar a acceder a las redes privadas.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Panel de control (Dashboard) en el panel izquierdo.


VMware, Inc. 279

2 Haga clic en Inicio (Start).

El panel muestra el estado del servicio, la cantidad de sesiones de SSL VPN activas, y las estadísticas y los detalles del flujo de datos de las sesiones. Haga clic en Detalles (Details) junto a Cantidad de sesiones activas (Number of Active Sessions) para ver la información sobre las conexiones simultáneas a redes privadas detrás de la puerta de enlace de NSX Edge.

Pasos siguientes

1 Agregue una regla SNAT para traducir la dirección IP del dispositivo NSX Edge a la dirección IP de Edge de la VPN.

2 En un explorador web, para desplazarse hasta la dirección IP de la interfaz de NSX Edge, escriba https//NSXEdgeIPAddress.

3 Inicie sesión con el nombre de usuario y la contraseña que creó en la sección Agregar un usuario y descargue el paquete de instalación.

4 Habilite el reenvío en el enrutador para el número de puerto utilizado en Agregar configuración del servidor SSL VPN-Plus.

5 Inicie el cliente VPN, seleccione el servidor VPN e inicie sesión. Ahora puede desplazarse hasta los servicios de la red. Los registros de la puerta de enlace de SSL VPN-Plus se envían al servidor syslog configurado en el dispositivo NSX Edge. Los registros del cliente SSL VPN-Plus se almacenan en el directorio siguiente en el equipo del usuario remoto: %PROGRAMFILES%/VMWARE/SSLVPN Client/.

Agregar un scriptEs posible agregar varios scripts de inicio o de cierre de sesión. Por ejemplo, se puede enlazar un script de inicio de sesión para iniciar Internet Explorer con gmail.com. Cuando el usuario remoto inicia sesión en el cliente SSL, Internet Explorer abre gmail.com.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Scripts de inicio/cierre de sesión (Login/Logoff Scripts) en el panel izquierdo.


3 En Script, haga clic en Examinar (Browse) y seleccione el script que desea enlazar con la puerta de enlace NSX Edge.


VMware, Inc. 280

4 Seleccione el Tipo (Type) de script.


Inicio de sesión (Login) Se ejecuta la acción del script cuando el usuario remoto inicia la sesión en SSL VPN.

Cierre de sesión (Logoff) Se ejecuta la acción del script cuando el usuario remoto cierra la sesión de SSL VPN.

Ambos (Both) Se ejecuta la acción del script cuando el usuario remoto inicia y cierra la sesión de SSL VPN.

5 Introduzca una descripción para el script.

6 Seleccione Habilitado (Enabled) para habilitar el script.


Instalar el cliente SSL VPN-PlusUtilice el cliente de SSL VPN de acceso completo (PHAT) para conectarse a una red privada configurada como usuario remoto. El cliente es compatible con escritorios de Windows, Mac y Linux.

En los temas siguientes, se explican los pasos que se deben realizar para instalar el cliente SSL VPN-Plus en diversos sistemas operativos.

n Instalar un cliente SSL VPN-Plus en un sitio Windows remoto

Utilice los pasos en este tema para instalar el cliente VPN-Plus SSL en un sitio Windows remoto.

n Instalar un cliente SSL VPN-Plus en un sitio Linux remoto

Utilice los pasos de este tema para instalar el cliente SSL VPN-Plus en un sitio remoto Linux.

n Instalar un cliente SSL VPN-Plus en un sitio Mac remoto

Utilice los pasos de este tema para instalar el cliente SSL VPN-Plus en un equipo Mac.

Instalar un cliente SSL VPN-Plus en un sitio Windows remotoUtilice los pasos en este tema para instalar el cliente VPN-Plus SSL en un sitio Windows remoto.

Procedimiento

1 En el sitio del cliente remoto, abra una ventana de navegador y escriba https://IPInterfazEdgeExterna/sslvpn-plus/, donde IPInterfazEdgeExterna es la dirección IP de la interfaz externa de Edge donde se habilita el servicio SSL VPN-Plus.

2 Inicie sesión en el portal usando las credenciales del usuario remoto.

3 Haga clic en la pestaña Acceso total (Full Access).

4 Haga clic en el nombre del paquete del instalador de la lista.

5 Haga clic en el vínculo clic aquí (click here) para descargar el paquete del instalador.

Se descarga el cliente SSL.


VMware, Inc. 281

6 Extraiga los archivos descargados y ejecute el archivo Installer.exe para instalar el cliente.

Pasos siguientes

Inicie sesión en el cliente SSL con las credenciales especificadas en la sección Usuarios (Users). El cliente SSL VPN-Plus valida el certificado del servidor SSL VPN.

El cliente Windows se autentica como si la opción Validación del certificado de seguridad del servidor (Server security certificate validation) estuviera seleccionada de forma predeterminada cuando se creó el paquete de instalación.

Para Internet Explorer (IE), agregue una CA de confianza al almacén de certificados de confianza. Si se produce un error en la validación del certificado del servidor, se le solicitará que se ponga en contacto con el administrador del sistema. Si la validación del certificado del servidor se completa correctamente, se muestra un símbolo del sistema que le solicita que inicie sesión.

Agregar una entidad de certificación de confianza a la tienda de confianza es independiente del flujo de trabajo de la SSL VPN.

Instalar un cliente SSL VPN-Plus en un sitio Linux remotoUtilice los pasos de este tema para instalar el cliente SSL VPN-Plus en un sitio remoto Linux.

Requisitos previos

Instale los paquetes TK y TCL de Linux en el equipo remoto.

Debe tener privilegios raíz para instalar el cliente SSL VPN-Plus.

Procedimiento




4 Haga clic en el nombre del paquete del instalador y guarde el archivo comprimido linux_phat_client.tgz en el equipo remoto.

5 Extraiga el archivo comprimido. Se crea el directorio linux_phat_client.

6 Abra la CLI de Linux y cambie al directorio linux_phat_client.

7 Ejecute el comando $./install_linux_phat_client.sh.


VMware, Inc. 282

Pasos siguientes

Inicie sesión en la interfaz gráfica de usuario SSL VPN con las credenciales especificadas en la sección Usuarios (Users).

Atención n No se admite la autenticación de RSA en dos fases para iniciar sesión en el cliente SSL VPN de los

sistemas operativos Linux.

n La CLI del cliente Linux de SSL VPN no valida los certificados del servidor. Si se requiere la validación de los certificados del servidor, use la GUI SSL VPN para conectarse a la puerta de enlace.

El cliente Linux de SSL VPN valida el certificado del servidor con el almacén de certificados del navegador de forma predeterminada. Si se produce un error en la validación del certificado del servidor, se le solicitará que se ponga en contacto con el administrador del sistema. Si la validación del certificado del servidor se completa correctamente, se muestra un símbolo del sistema que le solicita que inicie sesión.

Agregar una entidad de certificación de confianza a la tienda de confianza (por ejemplo, la tienda de certificados de Firefox) es independiente del flujo de trabajo de SSL VPN.

Instalar un cliente SSL VPN-Plus en un sitio Mac remotoUtilice los pasos de este tema para instalar el cliente SSL VPN-Plus en un equipo Mac.

Requisitos previos

Debe tener privilegios raíz para instalar el cliente SSL VPN-Plus.

Procedimiento




4 Haga clic en el nombre del paquete del instalador y guarde el archivo comprimido mac_phat_client.tgz en el equipo remoto.

5 Extraiga el archivo comprimido. Se crea el directorio mac_phat_client.

6 Para instalar el cliente SSL VPN-Plus, haga doble clic en el archivo naclient.pkg.

Siga los pasos del asistente para completar la instalación.

Si se produce un error en la instalación del cliente SSL VPN, compruebe el archivo de registro en /tmp/naclient_install.log.


VMware, Inc. 283

Para solucionar los problemas de instalación en Mac OS High Sierra, consulte Guía para solucionar problemas de NSX.

Pasos siguientes

Inicie sesión en el cliente SSL con las credenciales especificadas en la sección Usuarios (Users).

Atención No se admite la autenticación de RSA en dos fases para iniciar sesión en el cliente SSL VPN de los sistemas operativos Mac.

De forma predeterminada, el cliente SSL VPN de Mac valida el certificado del servidor con una Keychain, una base de datos que almacena certificados en Mac OS. Si se produce un error en la validación del certificado del servidor, se le solicitará que se ponga en contacto con el administrador del sistema. Si la validación del certificado del servidor se completa correctamente, se muestra un símbolo del sistema que le solicita que inicie sesión.

Configurar los ajustes del servidor proxy en un cliente SSL VPN-PlusA partir de NSX 6.4.6, la configuración del servidor proxy es compatible con el cliente SSL VPN-Plus en equipos Windows, Mac y Linux. En NSX 6.4.5 y versiones anteriores, la configuración del servidor proxy solo es compatible con el cliente SSL VPN-Plus en equipos Windows.

Precaución En NSX 6.4.5 y versiones anteriores:

n Aunque el cliente SSL VPN-Plus en Mac OS ofrece la posibilidad de configurar los ajustes del servidor proxy, los usuarios remotos no deben hacerlo.

n Los usuarios remotos de Linux OS deben evitar configurar los ajustes del servidor proxy en el cliente SSL VPN-Plus a través de la CLI de Linux.

En el procedimiento que se incluye a continuación, se explican los pasos para configurar los ajustes del servidor proxy en un cliente SSL VPN-Plus.

Requisitos previos

El cliente SSL VPN-Plus está instalado en un equipo remoto.

Procedimiento

1 Haga doble clic en el icono del escritorio del cliente SSL VPN-Plus en el equipo remoto.

Se abrirá la ventana Inicio de sesión del cliente SSL (SSL VPN-Plus Client - Login).

2 Desplácese hasta la configuración del proxy.

n En equipos Windows y Mac, haga clic en Configuración (Settings) y, a continuación, en la pestaña Configuración del proxy.

n En equipos Linux, haga clic en Configuración del proxy (Proxy Settings).


VMware, Inc. 284

3 Especifique la configuración del servidor proxy.

a Seleccione la casilla de verificación Usar proxy (Use proxy).

b En Tipo de proxy (Type Of Proxy), configure uno de los tipos de servidor proxy.


Usar configuración de Internet Explorer (Use IE Settings)

Esta opción solo está disponible en un cliente SSL VPN-Plus de Windows.

Utilice la configuración del servidor proxy especificada en su navegador Internet Explorer.

HTTP Indique los siguientes ajustes para un servidor proxy HTTP:

n El nombre del servidor proxy o una dirección IP del servidor proxy.

n El puerto del servidor proxy. El puerto predeterminado es 80, pero lo puede cambiar.

SOCKS versión 4 (SOCKS ver 4) Esta opción solo está disponible en un cliente SSL VPN-Plus de Windows.

Especifique los siguientes ajustes para un servidor de proxy SOCKS 4.0:



SOCKS versión 5 (SOCKS ver 5) Especifique los siguientes ajustes para un servidor de proxy SOCKS 5.0:



n (Opcional) Un nombre de usuario y una contraseña para acceder al servidor SOCKS 5.0.

4 Para guardar la configuración del servidor proxy, haga clic en Aceptar (OK).

Registros de SSL VPN-PlusLos registros de la puerta de enlace de SSL VPN-Plus se envían al servidor syslog configurado en el dispositivo NSX Edge.

La siguiente tabla muestra las ubicaciones del equipo del usuario remoto donde se almacenan los registros del cliente SSL VPN-Plus.

Sistema operativo Ubicación del archivo de registro

Windows 8 C:\Users\nombredeusuario\AppData\Local\VMware\vpn\svp_client.log

Windows 10 C:\Users\nombredeusuario\AppData\Local\VMware\vpn\svp_client.log

Linux Archivos de registro del sistema

Mac Archivo del registro de instalación en /tmp/naclient_install.logArchivos de registro del sistema

Cambiar los registros y el nivel de registro del cliente SSL VPN-Plus1 En la pestaña SSL VPN-Plus, haga clic en Configuración del servidor (Server Settings) en el panel

izquierdo.


VMware, Inc. 285

2 Vaya a la sección Directiva de registro (Logging Policy) y expanda la sección para ver la configuración actual.

3 Haga clic en Cambiar (Change).

4 Marque la casilla de verificación Habilitar registro (Enable logging) para habilitar el registro.

O

Desmarque la casilla de verificación Habilitar registro (Enable logging) para deshabilitar el registro.

5 Seleccione el nivel de registro requerido.

Nota Los registros del cliente de SSL VPN-Plus están habilitados de forma predeterminada y el nivel de registro está establecido en AVISO (NOTICE).


Editar la configuración de clienteEs posible cambiar la manera en que el túnel cliente de SSL VPN reacciona cuando un usuario remoto inicia sesión en SSL VPN.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Configuración de cliente (Client Configuration) en el panel izquierdo.

2 Seleccione una opción de Modo de tunelización (Tunneling Mode).

En el modo de túnel dividido, solo VPN pasa por la puerta de enlace de NSX Edge. En el modo de túnel completo, la puerta de enlace de NSX Edge se convierte en la puerta de enlace predeterminada del usuario remoto y todo el tráfico (VPN, local e Internet) pasa por esta puerta.

3 Si seleccionó el modo de túnel completo:

a Seleccione Excluir subredes locales (Exclude local subnets) para impedir que el tráfico local pase por el túnel de VPN.

b Introduzca la dirección IP de la puerta de enlace predeterminada para el sistema del usuario remoto.

4 Seleccione Habilitar reconexión automática (Enable auto reconnect) si desea que el usuario remoto se vuelva a conectar automáticamente al cliente de SSL VPN después de una desconexión.

5 Seleccione Notificación de actualización de cliente (Client upgrade notification) para que el usuario remoto reciba una notificación cuando exista una actualización disponible para el cliente. El usuario remoto decidirá si instala o no la actualización.


Editar configuración generalEs posible editar la configuración de la VPN predeterminada.


VMware, Inc. 286

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Configuración general (General Settings) en el panel izquierdo.

2 Realice las selecciones necesarias.

Seleccionar Para

Evitar varios inicios de sesión con el mismo nombre de usuario (Prevent multiple logon using same username)

Permite que un usuario remoto inicie sesión solo una vez con un nombre de usuario.

Habilitar compresión (Enable compression)

Habilita la compresión de datos inteligentes basados en TCP y mejora la velocidad de transferencia de datos.

Habilitar registro (Enable logging) Mantiene un registro del tráfico que atraviesa la puerta de enlace de SSL VPN.

Forzar teclado virtual (Force virtual keyboard)

Permite a los usuarios remotos escribir la información de inicio de sesión web o de cliente solo mediante el teclado virtual.

Aleatorizar teclas del teclado virtual (Randomize keys of virtual keyboard)

Muestra las teclas de forma aleatoria en el teclado virtual.

Habilitar tiempo de espera forzado (Enable forced timeout)

Desconecta al usuario remoto una vez finalizado el tiempo de espera especificado. Escriba el tiempo de espera en minutos.

Tiempo de espera de inactividad de la sesión (Session idle timeout)

Finaliza la sesión del usuario una vez finalizado el período si no hay actividad en la sesión del usuario por el período especificado.

El tiempo de espera de inactividad de SSLVPN incluye a todos los paquetes, incluidos los paquetes de control que envíe cualquier información de usuario y aplicación, en la detección de tiempo de espera. Como resultado, aunque no haya información de usuario, la sesión no agotará el tiempo de espera si hay una aplicación que transmita un paquete de control periódico (por ejemplo, MDNS).

Notificación al usuario (User notification)

Permite escribir un mensaje que se mostrará al usuario remoto después de iniciar sesión.


Editar diseño del portal webEs posible editar el banner del cliente enlazado al cliente de SSL VPN.

Procedimiento

1 En la pestaña Instancias de NSX Edge (NSX Edges), haga doble clic en una instancia de NSX Edge.

2 Haga clic en la pestaña Administrar (Manage) y seleccione la pestaña SSL VPN-Plus.

3 Seleccione Personalización del portal (Portal Customization) en el panel izquierdo.

4 Escriba el título del portal.

5 Escriba el nombre de la empresa del usuario remoto.

6 En Logotipo (Logo), haga clic en Cambiar (Change) y seleccione el archivo de imagen del logotipo del usuario remoto.


VMware, Inc. 287

7 En Colores (Colors), haga clic en el cuadro de colores junto al elemento numerado del que desea cambiar el color y seleccione el color deseado.

8 Si lo desea, cambie el banner del cliente.


Trabajar con grupos de direcciones IP para SSL VPNPuede editar o eliminar un grupo de direcciones IP.

Para obtener información sobre cómo agregar un grupo de direcciones IP, consulte Configurar el acceso de red de SSL VPN-Plus.

Editar un grupo de direcciones IPEs posible editar un grupo de direcciones IP.

Procedimiento

1 En la pestaña SSL VPN-Plus, haga clic en Grupo de direcciones IP (IP Pool) en el panel izquierdo.

2 Seleccione el grupo de direcciones IP que desea editar.

3 Haga clic en el icono Editar (Edit) ( ).

Se abre el cuadro de diálogo Editar grupo de direcciones IP (Edit IP Pool).

4 Realice las ediciones necesarias.


Eliminar un grupo de direcciones IPEs posible eliminar un grupo de direcciones IP.

Procedimiento


2 Seleccione el grupo de direcciones IP que desea eliminar.

3 Haga clic en el icono Eliminar (Delete) ( ).

Se elimina el grupo de direcciones IP seleccionado.

Habilitar un grupo de direcciones IPPuede habilitar un grupo de direcciones IP si desea que se asigne una dirección IP de ese grupo al usuario remoto.

Procedimiento


2 Seleccione el grupo de direcciones IP que desea habilitar.


VMware, Inc. 288

3 Haga clic en el icono Habilitar (Enable) ( ).

Deshabilitar un grupo de direcciones IPPuede deshabilitar un grupo de direcciones IP si no desea que el usuario remoto se asigne a una dirección IP de ese grupo.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Grupo de direcciones IP (IP Pool) en el panel izquierdo.

2 Seleccione el grupo de direcciones IP que desea deshabilitar.

3 Haga clic en el icono Deshabilitar (Disable) ( ).

Cambiar el orden de un grupo de direcciones IPSSL VPN asigna a cada usuario remoto una dirección IP procedente de un grupo de direcciones IP según el orden de la dirección en la tabla de ese grupo.

Procedimiento


2 Seleccione el grupo de direcciones IP cuyo orden desea cambiar.

3 Haga clic en el icono Mover hacia arriba (Move Up) o Mover hacia abajo (Move Down) .

Trabajar con redes privadasPuede editar o eliminar una red privada a la que puede acceder un usuario remoto.

Para obtener información sobre cómo agregar una red privada, consulte Configurar el acceso de red de SSL VPN-Plus.

Eliminar una red privadaEs posible eliminar una red privada.

Procedimiento

1 En la pestaña SSL VPN-Plus, haga clic en Redes privadas (Private Networks) en el panel izquierdo.

2 Seleccione la red que desea eliminar y haga clic en el icono Eliminar (Delete) ( ).

Habilitar una red privadaCuando habilita una red privada, el usuario remoto puede acceder a ella mediante SSL VPN-Plus.

Procedimiento


2 Haga clic en la red que desea habilitar.


VMware, Inc. 289

3 Haga clic en el icono Habilitar (Enable) ( ).

Se habilita la red seleccionada.

Deshabilitar una red privadaCuando se deshabilita una red privada, el usuario remoto no puede acceder a ella mediante SSL VPN-Plus.

Procedimiento


2 Haga clic en la red que desea deshabilitar.

3 Haga clic en el icono Deshabilitar (Disable) ( ).

Se deshabilita la red seleccionada.

Cambiar la secuencia de una red privadaCon SSL VPN-Plus, los usuarios remotos pueden acceder a redes privadas en la secuencia en la que se muestran en el panel Redes privadas (Private Networks).

Si se selecciona Habilitar optimización de TCP (Enable TCP Optimization) en una red privada, es posible que algunas aplicaciones como FTP en modo activo no funcionen dentro de esa subred. Para agregar un servidor FTP configurado en modo activo, es necesario agregar otra red privada para ese servidor con la optimización de TCP deshabilitada. También se debe deshabilitar la red privada de TCP activa y se debe colocar arriba de la red privada de la subred.

Procedimiento


2 Haga clic en el icono Cambiar orden (Change Order) .

3 Seleccione la red cuyo orden desea cambiar.

4 Haga clic en el icono Mover hacia arriba (Move Up) o Mover hacia abajo (Move Down) .


Pasos siguientes

Para agregar un servidor FTP configurado en modo activo, consulte Configurar red privada para un servidor FTP activo.

Configurar red privada para un servidor FTP activoPuede agregar un servidor FTP configurado en modo activo a la red privada. Cuando un FTP está activo, el servidor FTP backend inicia la conexión de control con el equipo cliente que no admite optimización TCP.


VMware, Inc. 290

Requisitos previos

El servidor FTP está configurado en modo activo.

Procedimiento


2 Agregue la red privada que desea configurar para el FTP activo. Para obtener más información, consulte Agregar una red privada .

3 Desmarque la casilla de verificación Habilitar optimización de TCP (Enable TCP Optimization).

4 En el campo Ports (Puertos), agregue el número de puerto de la red privada.

5 Seleccione el estado Habilitado (Enabled) para habilitar la red privada.

6 Coloque la red privada que desea configurar para el FTP activo por encima de otras redes privadas que están configuradas. Para obtener más información, consulte Cambiar la secuencia de una red privada.

Pasos siguientes

Agregue la regla de firewall correspondiente para permitir el tráfico de la red privada.

Trabajar con paquetes de instalaciónPuede eliminar o editar un paquete de instalación del cliente SSL.

Para obtener información sobre cómo crear un paquete de instalación, consulte Configurar el acceso de red de SSL VPN-Plus.

Editar un paquete de instalaciónEs posible editar un paquete de instalación.

Procedimiento

1 En la pestaña SSL VPN-Plus, haga clic en Paquete de instalación (Installation Package) en el panel izquierdo.

2 Seleccione el paquete de instalación que desea editar.


Se abre el cuadro de diálogo Editar paquete de instalación (Edit Installation Package).



Eliminar un paquete de instalaciónEs posible eliminar un paquete de instalación.


VMware, Inc. 291

Procedimiento

1 En la pestaña SSL VPN-Plus, haga clic en Paquete de instalación (Installation Package) en el panel izquierdo.

2 Seleccione el paquete de instalación que desea eliminar.

3 Haga clic en el icono Eliminar (Delete) ( ).

Trabajar con usuariosPuede editar o eliminar usuarios de la base de datos local.

Para obtener información sobre cómo agregar un usuario, consulte Configurar el acceso de red de SSL VPN-Plus.

Editar un usuarioEs posible editar los detalles de un usuario, excepto el identificador de usuario.

Procedimiento

1 En la pestaña SSL VPN-Plus, haga clic en Usuarios (Users) en el panel izquierdo.




Eliminar un usuarioEs posible eliminar un usuario.

Procedimiento


2 En el panel Configurar (Configure), haga clic en Usuarios (Users).

3 Seleccione el usuario que desea eliminar y haga clic en el icono Eliminar (Delete) ( ).

Cambiar la contraseña de un usuarioEs posible cambiar la contraseña de un usuario.

Procedimiento


2 Haga clic en el icono Cambiar contraseña (Change Password).

3 Introduzca dos veces la contraseña nueva.

4 Haga clic en la opción Cambiar contraseña en el próximo inicio de sesión (Change password on next login) para cambiar la contraseña la próxima vez que el usuario se conecte al sistema.


VMware, Inc. 292


Trabajar con scripts de inicio y cierre de sesiónPuede vincular un script de inicio o cierre de sesión con la puerta de enlace de NSX Edge.

Editar un scriptEs posible editar el tipo, la descripción y el estado de un script de inicio o cierre de sesión que esté enlazado a la puerta de enlace de NSX Edge.

Procedimiento

1 En la pestaña SSL VPN-Plus, haga clic en Scripts de inicio/cierre de sesión (Login/Logoff Scripts) en el panel izquierdo.

2 Seleccione un script y haga clic en el icono Editar (Edit) ( ).



Eliminar un scriptPuede eliminar un script de inicio o cierre de sesión.

Procedimiento


2 Seleccione un script y haga clic en el icono Eliminar (Delete) ( ).

Habilitar un scriptDebe habilitar un script para que funcione.

Procedimiento


2 Seleccione un script y haga clic en el icono Habilitar (Enable) ( ).

Deshabilitar un scriptEs posible deshabilitar un script de inicio o cierre de sesión.

Procedimiento



VMware, Inc. 293

2 Seleccione un script y haga clic en el icono Deshabilitar (Disable) ( ).

Cambiar el orden de un scriptEs posible cambiar el orden de un script. Por ejemplo, si un script de inicio de sesión para abrir gmail.com en Internet Explorer se encuentra arriba de un script de inicio de sesión para abrir yahoo.com, cuando el usuario remoto inicia sesión en SSL VPN, se muestra gmail.com antes que yahoo.com. Si se invierte el orden de los scripts de inicio de sesión, se puede ver yahoo.com antes que gmail.com.

Procedimiento


2 Seleccione el script cuyo orden desea cambiar y haga clic en el icono Mover hacia arriba (Move Up)

o Mover hacia abajo (Move Down) .


Descripción general de IPsec VPNNSX Edge admite IPsec VPN de sitio a sitio entre una instancia de NSX Edge y sitios remotos. Se admiten la autenticación de certificados, el modo de clave compartida previamente y el tráfico unidifusión de IP entre la instancia de NSX Edge y los sitios VPN remotos.

A partir de NSX Data Center 6.4.2, puede configurar el servicio de VPN IPSec basada en directivas y el servicio de VPN IPSec basada en rutas. Sin embargo, solo puede configurar, administrar y editar los parámetros de la VPN IPSec basada en rutas usando las REST API. No puede configurar ni editar los parámetros de la VPN IPSec basada en rutas de vSphere Web Client. Para obtener más información sobre cómo usar las API para configurar VPN IPSec basada en rutas, consulte la Guía de NSX API.

En NSX 6.4.1 y versiones anteriores, solo puede configurar el servicio VPN IPSec basada en directivas.

VPN IPSec basada en directivasEn la VPN IPSec basada en directivas, puede conectar varias subredes locales tras NSX Edge con las subredes a mismo nivel en el sitio VPN usando túneles IPSec.

Las subredes locales tras un NSX Edge deben tener rangos de direcciones que no se superpongan con las direcciones IP en el sitio VPN al mismo nivel. Si el mismo nivel local y remoto mediante un túnel VPN IPSec tiene direcciones IP que se superponen, es posible que no sea consistente el reenvío de tráfico mediante el túnel.

Puede implementar un agente NSX Edge detrás de un dispositivo NAT. En esta implementación, el dispositivo NAT traduce la dirección de la VPN de una instancia de NSX Edge a una dirección de acceso público a la que puede accederse desde Internet. Los sitios de VPN remotos utilizan esta dirección pública para acceder a la instancia de NSX Edge.


VMware, Inc. 294

También es posible colocar sitios de VPN remotos detrás de un dispositivo NAT. Debe proporcionar la dirección IP pública del sitio VPN y su ID (dirección IP o FQDN) para configurar el túnel. En ambos extremos, se requiere una NAT estática individual para la dirección de la VPN.

El tamaño de la ESG determina el número máximo de túneles admitidos, como aparecen en la siguiente tabla.

Tabla 15-6. Cantidad de túneles IPSec admitidos

Tamaño de la ESG Cantidad de túneles IPsec

Compacto 512

Grande 1.600

Cuádruple 4096

Extra grande

6.000

Restricción La arquitectura inherente de VPN IPSec basada en directivas restringe la configuración de la redundancia del túnel VPN.

Para obtener un ejemplo sobre cómo configurar un túnel de VPN IPSec basada en políticas entre NSX Edge y una puerta de enlace de VPN, consulte Ejemplo de configuración del sitio de VPN IPSec basada en directivas.

VPN IPSec basada en rutasLa VPN IPSec basada en rutas es similar a la encapsulación de enrutamiento genérico (GRE) mediante IPSec, con la excepción de que ninguna encapsulación adicional se agrega al paquete antes de aplicar el procesamiento de IPSec.

En este enfoque de túnel de VPN, las interfaces de túnel virtual (VTI) se crean en el dispositivo de ESG. Cada VTI se asocia a un túnel de IPSec. El tráfico cifrado está enrutado de un sitio a otro mediante las interfaces VTI. El procesamiento de IPSec solo sucede en las interfaces VTI.

Redundancia de túnel de VPNCon el servicio VPN IPSec basada en rutas, puede configurar la redundancia de túnel de VPN. La redundancia del túnel ofrece una conectividad sin interrupciones de la ruta de datos entre los dos sitios cuando el vínculo ISP falla, o bien cuando falla la puerta de enlace de VPN.

Importante n En NSX Data Center 6.4.2 y versiones posteriores, la redundancia del túnel de VPN IPSec solo se

admite al utilizar BGP. El enrutamiento dinámico de OSPF no se admite para enrutar mediante túneles de VPN IPSec.

n No utilice el enrutamiento estático en túneles de VPN IPSec basada en rutas para conseguir la redundancia del túnel de VPN.


VMware, Inc. 295

La siguiente imagen muestra una representación lógica de la redundancia del túnel de VPN IPSec entre dos sitios. En esta imagen, el Sitio A y el Sitio B representan dos centros de datos. En este ejemplo, asumamos que el Sitio A tiene puertas de enlace de VPN de Edge que NSX no administra, y el Sitio B tiene un dispositivo virtual de puerta de enlace de Edge que administra NSX.

Figura 15-1. Redundancia de túnel en la VPN IPSec basada en rutas

Sitio A

TúnelVPN

TúnelVPN

Enrutador

BGPVTI

BGPVTI

Enlace ascendente

Enlace ascendente

Enlace ascendenteVTI

BGP

VTIBGP

Subredes Subredes

Sitio B

Como aparece en la imagen, puede configurar dos túneles VPN IPSec independientes usando VTI. El enrutamiento dinámico se configura usando el protocolo BGP para conseguir la redundancia del túnel. Ambos túneles de VPN IPSec siguen en servicio si están disponibles. Todo el tráfico destinado del Sitio A al Sitio B mediante ESG se enruta mediante la VTI. El tráfico de datos se somete al procesamiento de IPSec y sale de su interfaz de vínculo ascendente ESG asociada. Todo el tráfico IPSec entrante recibido desde la puerta de enlace VPN del Sitio B en la interfaz de vínculo ascendente ESG se reenvía a la VTI después de la descripción y, a continuación, tiene lugar el enrutamiento habitual.

Debe configurar los valores del temporizador Supresión (HoldDown) de BGP y Mantenimiento (KeepAlive) para detectar la pérdida de la conectividad con el mismo nivel dentro del tiempo de conmutación por error requerido.

Algunos puntos clave que debe recordar sobre el servicio VPN IPSec basada en rutas son los siguientes:

n Puede configurar los túneles de VPN IPSec basada en directivas y túneles de IPSec basada en rutas en el mismo dispositivo ESG. Sin embargo, no puede configurar un túnel basado en directivas ni un túnel basado en rutas con el mismo sitio par de VPN.

n NSX admite un máximo de 32 VTI en un único dispositivo ESG. Es decir, puede configurar un máximo de 32 sitios par de VPN basadas en rutas.

n NSX no admite la migración de los túneles de VPN IPSec basada en directivas a los túneles basados en rutas o viceversa.

Para obtener más información sobre cómo configurar un sitio VPN IPSec basada en rutas, consulte Configurar el sitio de VPN IPSec basada en rutas.


VMware, Inc. 296

Para obtener un ejemplo sobre cómo configurar un túnel de VPN IPSec basado en rutas entre NSX Edge y una puerta de enlace de VPN Cisco CSR 1000V, consulte Utilizar un dispositivo Cisco CSR 1000V.

Configurar el sitio de VPN IPSec basada en directivasPuede configurar los túneles de VPN IPSec basada en directivas entre las subredes locales y las subredes al mismo nivel.

Nota Si se conecta a un sitio remoto usando un túnel VPN IPSec, el enrutamiento dinámico del vínculo ascendente no puede conocer la dirección IP de ese sitio.

Los temas de las tareas en esta sección explican los pasos para configurar un sitio de VPN IPSec basada en directivas.

Habilitar el servicio IPsec VPNDebe habilitar el servicio IPsec VPN para que el tráfico fluya de la subred local a la subred del mismo nivel.

Requisitos previos

Debe configurar al menos un sitio VPN IPSec en NSX Edge antes de habilitar el servicio VPN IPSec.

Procedimiento




4 Haga clic en Administrar (Manage) > VPN (VPN) > VPN IPSec (IPSec VPN).

5 Junto a Estado del servicio VPN IPSec (IPSec VPN Service Status), haga clic en Iniciar (Start).

Utilizar OpenSSL a fin de generar certificados firmados por la entidad de certificación para IPsec VPNPara habilitar la autenticación de certificados para IPsec, deben importarse los certificados del servidor y los correspondientes certificados firmados por la entidad de certificación. También puede utilizar una herramienta de línea de comandos de código abierto, como OpenSSL, para generar certificados firmados por la entidad de certificación.

Requisitos previos

Debe estar instalado OpenSSL.

Procedimiento

1 En la máquina Linux o Mac donde esté instalado OpenSSL, abra el archivo: /opt/local/etc/openssl/openssl.cnf o /System/Library/OpenSSL/openssl.cnf.

2 Asegúrese de que dir = ..


VMware, Inc. 297

3 Ejecute los siguientes comandos:

mkdir newcerts

mkdir certs

mkdir req

mkdir private

echo "01" > serial

touch index.txt

4 Ejecute el comando para generar un certificado firmado por la entidad de certificación:

openssl req -new -x509 -newkey rsa:2048 -keyout private/cakey.pem -out cacert.pem -days 3650

5 En NSX Edge1, realice estos pasos:

a Genere una solicitud de firma del certificado (Certificate Signing Request, CSR).

Para obtener instrucciones detalladas, consulte Configurar un certificado firmado por una entidad de certificación.

b Copie el contenido del archivo del correo mejorado con privacidad (Privacy-Enhanced Mail, PEM) y guárdelo en un archivo en req/edge1.req.

6 Ejecute el siguiente comando para firmar la solicitud CSR:

sudo openssl ca -policy policy_anything -out certs/edge1.pem -in req/edge1.req

7 En NSX Edge2, genere una solicitud CSR, copie el contenido del archivo PEM y guárdelo en un archivo en req/edge2.req.

8 Ejecute el siguiente comando para firmar la solicitud CSR:

sudo openssl ca -policy policy_anything -out certs/edge2.pem -in req/edge2.req

9 Cargue el certificado PEM al final del archivo certs/edge1.pem en Edge1.

10 Cargue el certificado PEM al final del archivo certs/edge2.pem en Edge2.

11 Importe el certificado firmado (cacert.pem) a Edge1 y Edge2 como certificados firmados por la entidad de certificación.

12 En la configuración global de IPsec para Edge1 y Edge2, seleccione el certificado PEM subido y el certificado de CA y guarde la configuración.

13 Desplácese hasta Administrar (Manage) > Ajustes (Settings) > Certificados (Certificates). Seleccione el certificado firmado que importó y registre la cadena DN.

14 Devuelva la cadena DN al formato C=IN,ST=ka,L=blr,O=bmware,OU=vmware,CN=edge2.eng.vmware.com y guárdela para Edge1 y Edge2.

15 Cree sitios VPN IPsec en Edge1 y Edge2 con un identificador local y del mismo nivel como una cadena de nombre distinguido (Distinguished Name, DN) en el formato especificado.


VMware, Inc. 298

Compruebe el estado. Para ello, haga clic Mostrar estadísticas (Show Statistics) o Mostrar estadísticas de IPSec (Show IPSec Statistics). Haga clic en el canal para ver el estado del túnel. El estado del canal debe estar habilitado y el estado del túnel debe ser Activo (Up).

Especificar la configuración global de IPsec VPNUtilice los pasos de este tema para habilitar la VPN IPSec en la instancia de NSX Edge.

Requisitos previos

Para habilitar la autenticación del certificado, deben importarse los certificados del servidor y los correspondientes certificados firmados por la entidad de autorización. También puede utilizar una herramienta de línea de comandos de código abierto, como OpenSSL, para generar certificados firmados por la entidad de certificación.

No pueden utilizarse certificados autofirmados para VPN IPSec. Solo se pueden utilizar en el equilibrador de carga y en SSL VPN.

Procedimiento





5 Junto a Configuración global (Global Configuration), haga clic en Editar (Edit) o Cambiar (Change).

6 Introduzca una clave previamente compartida para los sitios cuyo endpoint del mismo nivel esté establecido en "cualquiera" (any).

Para consultar la clave previamente compartida, haga clic en el icono Mostrar clave previamente compartida (Show Pre-Shared Key) ( ) o seleccione la casilla de verificación Mostrar clave compartida (Display Shared Key).


VMware, Inc. 299

7 Configure las extensiones globales.

La siguiente tabla describe las extensiones globales.

Extensión Descripción

add_spd Los valores permitidos son on y off. El valor predeterminado es on, aunque no se configure esta extensión.

Al utilizar add_spd=off:

n Las directivas de seguridad solo se instalan cuando el túnel está activado.

n Si el túnel está activado, se envían los paquetes cifrados mediante el túnel.

n Si el túnel está desactivado, se envían los paquetes sin cifrar, si algún enrutador está disponible.

Al utilizar add_spd=on:

n Las directivas de seguridad se instalan sin tener en cuenta si el túnel está establecido.

n Si el túnel está activado, se envían los paquetes cifrados mediante el túnel.

n Si el túnel está desactivado, se descartan los paquetes.

ike_fragment_size Si la unidad de transmisión máxima (MTU) es pequeña, puede establecer el tamaño del fragmento IKE usando esta extensión, de forma que se eviten errores en la negociación IKE. Por ejemplo, ike_fragment_size=900

ignore_df Los valores permitidos son on y off. El valor predeterminado es off.

n Al utilizar ignore_df=off, NSX Edge copia el valor del bit "don't fragment (DF)" del paquete de texto no cifrado al paquete cifrado. Esto implica que si el paquete de texto no cifrado tiene el bit DF establecido, el paquete también lo tendrá configurado tras el cifrado.

n Al utilizar ignore_df=on, NSX Edge ignora el valor del bit DF en el paquete de texto cifrado y el bit DF siempre es 0 en el paquete cifrado.

n Establezca esta marca en on si el bit DF está establecido en el paquete de texto no cifrado y el tamaño del paquete tras el cifrado supera la MTU del paquete TCP. Si el bit DF está establecido, el paquete se descartará. Sin embargo, si el bit no aparece, el paquete se fragmentará.

8 Habilite la autenticación de certificados y, a continuación, seleccione la lista de revocación de

certificados (Certificate Revocation List, CRL) y el certificado de CA y el certificado de servicio apropiado.

9 Haga clic en Guardar (Save) o Aceptar (OK) y, a continuación, seleccione Publicar cambios (Publish Changes).

Habilitar el registro de IPsec VPNEs posible habilitar el registro de todo el tráfico de IPsec VPN.

De forma predeterminada, el inicio de sesión está habilitado y establecido en el nivel de ADVERTENCIA.

Procedimiento




VMware, Inc. 300



5 Habilite el registro para registrar el flujo de tráfico entre la subred local y la subred del mismo nivel.


6.4.6 y posteriores a Junto a Configuración del registro (Logging Configuration), haga clic en Editar (Edit).

b Haga clic en el interruptor para habilitar el registro y seleccione el nivel de registro.

c Haga clic en Guardar (Save).

6.4.5 y versiones anteriores a Junto a Directiva de registro (Logging Policy), haga clic en .

b Seleccione la casilla de verificación Habilitar registro (Enable logging) y, a continuación, el nivel de registro.


Configurar parámetros de IPsec VPNEs necesario configurar al menos una dirección IP externa en NSX Edge para ofrecer el servicio de IPsec VPN.

Procedimiento






6 Introduzca un nombre para el sitio VPN IPSec.

7 Configure los parámetros de endpoint del sitio VPN IPsec.

a Introduzca el identificador local para identificar la instancia local de NSX Edge. Este identificador local es el identificador del sitio remoto de mismo nivel.

El identificador local puede ser cualquier cadena. Se prefiere el uso de la dirección IP pública de la VPN o un nombre de dominio completo (FQDN) para el servicio VPN como identificador local.

b Introduzca una dirección IP o un FQDN para el endpoint local.

Si desea agregar un túnel IP a IP con una clave precompartida, el identificador local y la dirección IP del endpoint local pueden ser iguales.

c Introduzca las subredes que comparten los sitios de IPSec VPN en formato CIDR. Utilice la coma como separador para especificar varias subredes.


VMware, Inc. 301

d Introduzca el identificador del mismo nivel (Peer ID) para identificar el sitio del mismo nivel.

n Para los elementos del mismo nivel con autenticación de certificado, este identificador debe ser el nombre distintivo (Distinguished Name, DN) indicado en el certificado del elemento del mismo nivel. Introduzca el DN del certificado como una cadena de valores separados por coma en el orden que se indica a continuación y sin espacios: C=xxx,ST=xxx,L=xxx,O=xxx,OU=xxx,CN=xxx,E=xxx.

n Para los elementos del mismo nivel con PSK, este identificador puede ser cualquier cadena. Se prefiere el uso de la dirección IP pública de la red VPN o un nombre FQDN para el servicio VPN como identificador del mismo nivel.

e Introduzca una dirección IP o un FQDN del endpoint del mismo nivel. El valor predeterminado es any. Si conserva el valor predeterminado, debe configurar PSK global.

f Introduzca en formato CIDR la dirección IP interna de la subred del mismo nivel. Utilice la coma como separador para especificar varias subredes.


VMware, Inc. 302

8 Configure los parámetros de túnel.

a (opcional) Seleccione un paquete de conformidad de seguridad para configurar el perfil de seguridad del sitio VPN IPSec con valores predefinidos establecidos por ese paquete.

El valor seleccionado de forma predeterminada es Ninguno (None), lo que significa que debe especificar manualmente la configuración del método de autenticación, el perfil de IKE y el perfil de túnel. Si selecciona un paquete de conformidad, los valores predefinidos en el paquete de conformidad estándar se asignan automáticamente y no podrá editarlos. Para obtener más información sobre los paquetes de conformidad, consulte Paquetes de conformidad compatibles.

Nota n El paquete de conformidad se admite en NSX Data Center 6.4.5 o versiones posteriores.

n Si el modo FIPS está habilitado en la instancia de Edge, no puede especificar un paquete de conformidad.

b Seleccione uno de los siguientes protocolos IKE (intercambio de claves de Internet) para configurar una asociación de seguridad (SA) en el conjunto de protocolos IPSec.


IKEv1 Si selecciona esta opción, la VPN con IPSec se inicia y responde solo al protocolo IKEv1.

IKEv2 Si selecciona esta opción, la VPN con IPSec se inicia y responde solo al protocolo IKEv2.

IKE Flex Si se selecciona esta opción y falla el establecimiento de túnel con el protocolo IKEv2, el sitio de origen no retrocede e inicia una conexión con el protocolo IKEv1. En lugar de eso, si el sitio remoto inicia una conexión con el protocolo IKEv1, la conexión se aceptará.

Importante Si configura varios sitios con los mismos endpoints locales y remotos, asegúrese de seleccionar la misma versión de IKE y PSK en todos los sitios VPN IPSec.

c En el menú desplegable Algoritmo de resumen (Digest Algorithm), seleccione uno de los siguientes algoritmos hash seguros:

n SHA1

n SHA_256


VMware, Inc. 303

d En el menú desplegable Algoritmo de cifrado (Encryption Algorithm), seleccione uno de los siguientes algoritmos de cifrado admitidos:

n AES (AES128-CBC)

n AES256 (AES256-CBC)

n Triple DES (3DES192-CBC)

n AES-GCM (AES128-GCM)

Nota n El algoritmo de cifrado AES-GCM no es compatible con FIPS.

n Desde la versión 6.4.5 de NSX, el algoritmo de cifrado Triple DES pasa a estar obsoleto en el servicio VPN IPSec.

La siguiente tabla explica la configuración de cifrado que se usa en la puerta de enlace VPN al mismo nivel para la configuración de cifrado que selección en el NSX Edge local.

Tabla 15-7. Configuración de cifrado

Configuración de cifrado en NSX Edge

Configuración IKE en la puerta de enlace VPN al mismo nivel Configuración IPSec en la puerta de enlace VPN al mismo nivel

AES-256 AES-256 AES-256

AES-128 AES-128 AES-128

3DES 3DES 3DES

AES-GCM, IKEv1 AES-128 AES-GCM

AES-GCM, IKEv2 AES-128 o AES-GCM AES-GCM

e En Método de autenticación (Authentication Method), seleccione una de las siguientes opciones:


PSK (Pre Shared Key) (Clave precompartida [PSK])

Se indica que se utilizará la clave secreta compartida entre NSX Edge y el sitio del mismo nivel para la autenticación. La clave secreta puede ser una cadena con un máximo de 128 bytes de longitud.

En el modo FIPS está deshabilitada la autenticación PSK.

Certificado (Certificate) Se indica que se utilizará el certificado definido en el nivel global para la autenticación.

f (opcional) Introduzca la clave previamente compartida del sitio VPN IPSec del mismo nivel.


VMware, Inc. 304

g Para mostrar la clave del sitio del mismo nivel, haga clic en el icono Mostrar clave previamente compartida (Show Pre-Shared Key) ( ) o seleccione la casilla de verificación Mostrar clave compartida (Display Shared Key).

h En el menú desplegable Grupo Diffie-Hellman (DH) (Diffie-Hellman [DH] Group), seleccione una de las siguientes combinaciones de criptografía que permita al sitio del mismo nivel y a NSX Edge establecer un secreto compartido mediante un canal de comunicaciones no seguro.

n DH-2

n DH-5

n DH-14

n DH-15

n DH-16

DH14 es la selección predeterminada para los modos FIPS y no FIPS. Ni DH2 ni DH5 están disponibles cuando está habilitado el modo FIPS.

9 Configure los parámetros avanzados.

a Si el sitio VPN IPSec remoto no admite PFS, deshabilite la opción Confidencialidad directa total (PFS) (Perfect forward secrecy, [PFS]). Esta opción está habilitada de forma predeterminada.

b (opcional) Para utilizar la VPN con IPsec en un modo de solo respondedor, seleccione la casilla de verificación Solo respondedor (Responder only).

En este modo, la VPN con IPsec nunca iniciará una conexión.

c (opcional) En el cuadro de texto Extensión (Extension), escriba uno de los siguientes:

n securelocaltrafficbyip=direcciónIP para redirigir el tráfico local de Edge mediante el túnel VPN IPSec. La dirección IP es el valor predeterminado. Para obtener más información, consulte http://kb.vmware.com/kb/20080007 .

n passthroughSubnets=direcciónIPDeSubredDelMismoNivel para admitir la superposición de subredes.

10 Haga clic en Agregar (Add) o en Aceptar (OK) y, a continuación, en Publicar cambios (Publish Changes).

La configuración VPN IPSec se guarda en NSX Edge.


VMware, Inc. 305

https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2080007

Pasos siguientes

Habilite el servicio de IPsec VPN.

Sugerencia En vSphere Web Client, siga estos pasos en la página VPN IPSec (IPSec VPN) para generar el script de configuración de la puerta de enlace VPN del mismo nivel.

n En NSX 6.4.6 y versiones posteriores, seleccione el sitio VPN IPSec y haga clic en Acciones (Actions) > Generar configuración del mismo nivel (Generate Peer Configuration).

n En NSX 6.4.5 y versiones anteriores, seleccione el sitio VPN IPSec y haga clic en el icono Generar configuración del mismo nivel (Generate Peer Configure). En el cuadro de diálogo que aparece, haga clic en Generar configuración del mismo nivel (Generate Peer Configuration).

Se genera el script de configuración. Puede usar este script como referencia para configurar los parámetros de VPN IPSec en la puerta de enlace VPN del mismo nivel.

Paquetes de conformidad compatiblesDesde la versión 6.4.5 de NSX Data Center, puede especificar un paquete de conformidad para configurar diferentes parámetros en el perfil de seguridad de un sitio VPN IPSec.

Un paquete de conformidad de seguridad incluye un conjunto de valores predefinidos para diferentes parámetros de seguridad. Un paquete de conformidad se debe considerar como una plantilla predefinida que le ayuda a configurar automáticamente el perfil de seguridad de una sesión VPN IPSec de acuerdo con un estándar determinado. Por ejemplo, la Agencia de Seguridad Nacional del gobierno de Estados Unidos publica el paquete Algoritmo de seguridad nacional comercial (Commercial National Security Algorithm, CNSA) y este estándar se utiliza para las aplicaciones de seguridad nacional. Cuando selecciona un paquete de conformidad, el perfil de seguridad de un sitio VPN IPSec se configura automáticamente con los valores predefinidos y no podrá modificarlos. Al especificar un paquete de conformidad, evita la necesidad de configurar individualmente cada parámetro del perfil de seguridad.

NSX admite siete paquetes de conformidad de seguridad. La tabla siguiente muestra los valores predefinidos de los distintos parámetros de configuración incluidos en cada paquete de conformidad admitido.

Tabla 15-8. Paquetes de conformidad: valores predefinidos de los parámetros de configuración

Parámetro de configuración

Paquete de conformidad

CNSA Suite-B-GCM-128

Suite-B-GCM-256

Suite-B-GMAC-128

Suite-B-GMAC-256

Perfil principal

Perfil base

Versión de IKE

IKEv2 IKEv2 IKEv2 IKEv2 IKEv2 IKEv2 IKEv1

Algoritmo de resumen (Digest Algorithm)

SHA 384 SHA 256 SHA 384 SHA 256 SHA 384 SHA 256 SHA 256


VMware, Inc. 306

Tabla 15-8. Paquetes de conformidad: valores predefinidos de los parámetros de configuración (continuación)

Parámetro de configuración

Paquete de conformidad

Algoritmo de cifrado (Encryption Algorithm)

AES 256 AES 128 AES 256 AES 128 AES 256 AES GCM 128

AES 128

Cifrado de túnel (Tunnel Encryption)

AES 256 AES GCM 128

AES GCM 256

AES GMAC 128

AES GMAC 256

AES GCM 128

AES 128

Algoritmo de resumen de túnel (Tunnel Digest Algorithm)

SHA 384 NULO NULO NULO NULO NULO SHA 256

Autenticación n Certificado RSA (clave de 3.072 bits)

n Certificado ECDSA (curva P-384)

Certificado ECDSA (curva P-256)





Certificado RSA (clave de 2.048 bits y SHA-256)

Grupo Diffie-Hellman (DH Group)

DH15 y ECDH20

ECDH19 ECDH20 ECDH19 ECDH20 ECDH20 DH14

Precaución A partir de NSX 6.4.6, los paquetes de conformidad "Suite-B-GMAC-128" y "Suite-B-GMAC-256" pasan a estar obsoletos. Si configuró sitios VPN IPSec en NSX 6.4.5 con alguno de estos dos paquetes de conformidas obsoletos, podrá seguir actualizando las instancias de Edge a la versión 6.4.6. Sin embargo, aparecerá un mensaje de advertencia para informarle de que los sitios VPN IPSec están usando un paquete de conformidad vulnerable.

Atención Cuando configure un sitio VPN IPSec con el paquete de conformidad de perfil "principal" (Prime) y "base" (Foundation), no podrá utilizar las extensiones de sitio ikelifetime ni salifetime. Estas extensiones de sitio se configuran previamente según el estándar.


VMware, Inc. 307

Si selecciona el paquete de conformidad "CNSA", los grupos Diffie-Hellman DH15 y ECDH20 estarán configurados internamente en la instancia de NSX Edge. Sin embargo, debe tener en cuenta las siguientes limitaciones cuando seleccione este paquete de conformidad:

n Si el servicio VPN IPSec de una instancia de NSX Edge está configurado como iniciador, NSX solo envía ECDH20 para establecer una asociación de seguridad IKE con el sitio VPN IPSec remoto. NSX utiliza ECDH20 de forma predeterminada porque es un grupo más seguro que DH15. Si un sitio VPN IPSec respondedor de terceros se configura solo con DH15, el respondedor envía un mensaje de error de carga útil IKE y solicita al iniciador que utilice el grupo DH15. El iniciador reinicia una asociación de seguridad de IKE con el grupo DH15 y se establece un túnel entre los dos sitios VPN IPSec. Sin embargo, si la solución VPN IPSec de terceros no admite un error de carga útil IKE no válido, no se establecerá nunca el túnel entre los dos sitios.

n Si el servicio VPN IPSec de una instancia de NSX Edge se configura como respondedor, el túnel se establece siempre en función del grupo Diffie-Hellman que comparta el sitio VPN IPSec iniciador.

n Cuando los sitios VPN IPSec iniciador y respondedor utilizan una instancia de NSX Edge, el túnel se establece siempre con ECDH20.

Configurar el sitio de VPN IPSec basada en rutasPuede configurar un túnel de IPSec basada en rutas entre un NSX Edge en el sitio local y una puerta de enlace VPN remota en el sitio al mismo nivel.

A diferencia de la configuración del túnel de IPSec basada en directivas, donde usted configura las subredes locales y remotas, en una configuración de túnel de IPSec basada en rutas, no puede definir las subredes locales ni las subredes del mismo nivel que quiere que se comuniquen entre sí. En una configuración de túnel de IPSec basada en rutas, debe definir una VTI con una dirección IP privada en los sitios local y al mismo nivel. El tráfico desde las subredes locales se enruta mediante la VTI a las subredes al mismo nivel. Use un protocolo de enrutamiento dinámico, como BGP, para enrutar el tráfico mediante el túnel de IPSec. El protocolo de enrutamiento dinámico decide establecer el tráfico desde la red local que se enruta usando el túnel de IPSec hasta la subred del mismo nivel.

Los siguientes pasos explican el procedimiento para configurar un túnel de IPSec basada en rutas entre los dos sitios:

1 Configure los parámetros de VPN IPSec en el NSX Edge local. En NSX Data Center 6.4.2 y versiones posteriores, solo puede configurar parámetros VPN IPSec basada en rutas mediante las REST API. Para obtener más información, consulte la Guía de NSX API.

n El ID local y la dirección IP del endpoint local para identificar la puerta de enlace local de NSX Edge.

n El ID local y la dirección IP del endpoint al mismo nivel para identificar la puerta de enlace de VPN al mismo nivel.

n Versión de IKE para configurar una asociación de seguridad entre los dos sitios.

n Algoritmo de resumen.

n Algoritmo de cifrado.


VMware, Inc. 308

n Mecanismo de autenticación (clave compartida previamente o certificado).

n Esquema de cifrado de clave pública Grupo Diffie-Hellman (DH).

n Habilitar o deshabilitar la confidencialidad directa total.

n Habilitar o deshabilitar el modo de solo respondedor.

n Interfaz de túnel virtual (VTI) en NSX Edge. Proporcione una dirección IP privada y estática para la VTI.

Nota La VTI que configura es estática. Por lo tanto, no puede tener más de una dirección IP. La práctica recomendada es garantizar que la dirección IP de la VTI en los sitios al mismo nivel y local estén en la misma subred.

2 Use la API de descarga de la configuración IPSec para recuperar la configuración del mismo nivel para usarla como referencia, y configure la puerta de enlace VPN del mismo nivel.

3 Configure el emparejamiento BGP entre las VTI en ambos sitios. El emparejamiento garantiza que BGP del sitio local notifique las subredes locales a la puerta de enlace VPN del mismo nivel y, de forma similar, que BGP en el sitio del mismo nivel notifique las subredes remotas a la puerta de enlace VPN local. Para obtener más información sobre cómo configurar BGP, consulte la sección Enrutamiento en la Guía de administración de NSX.

Importante En NSX 6.4.2 y versiones posteriores, no se admite el enrutamiento dinámico OSPF ni el enrutamiento estático a través de un túnel IPSec.

4 Si desea configurar la redundancia de túnel a través de más de un túnel, configure los valores de los temporizadores Supresión (Hold Down) y Mantenimiento (Keep Alive) de BGP. Los valores de temporizador ayudan a detectar la pérdida de conectividad con la puerta de enlace VPN remota dentro del tiempo de conmutación por error requerido.

Para obtener un ejemplo sobre cómo configurar un túnel de IPSec basado en rutas entre NSX Edge y una puerta de enlace de VPN Cisco CSR 1000V, consulte Utilizar un dispositivo Cisco CSR 1000V.

Editar el sitio VPN IPSecPuede editar un sitio VPN IPSec.

Procedimiento





5 Seleccione el sitio VPN IPSec que desea editar.

6 Haga clic en el icono Editar (Edit) ( o ).


VMware, Inc. 309

7 Edite los valores adecuados.

8 Haga clic en Guardar (Save) o Aceptar (OK) y, a continuación, seleccione Publicar cambios (Publish Changes).

Deshabilitar sitios VPN IPSecPuede deshabilitar un sitio VPN IPSec.

Procedimiento





5 Seleccione el sitio VPN IPSec que desea deshabilitar.

6 Deshabilite el sitio.

n En NSX 6.4.6 y versiones posteriores, haga clic en Acciones (Actions) > Deshabilitar (Disable).

n En NSX 6.4.5 y versiones anteriores, haga clic en el icono Deshabilitar (Disable) ( ).

Eliminar el sitio VPN IPSecPuede eliminar un sitio VPN IPSec.

Procedimiento





5 Seleccione el sitio VPN IPSec que desea eliminar.


Terminología de IPsecIPsec es un marco de estándares abiertos. Hay muchos términos técnicos en los registros de NSX Edge y otros dispositivos VPN que se pueden utilizar para solucionar problemas con IPsec VPN.


VMware, Inc. 310

Los siguientes términos son algunos de los estándares que se puede encontrar:

n ISAKMP (Protocolo de administración de claves y asociaciones de seguridad en Internet) es un protocolo definido por RFC 2408 para establecer asociaciones de seguridad (SA) y claves criptográficas en un entorno de Internet. ISAKMP solo proporciona un marco para la autenticación y el intercambio de claves y este marco es independiente del intercambio de claves.

n Oakley es un protocolo de acuerdo de claves que permite que las partes autenticadas intercambien material de claves en una conexión no protegida mediante el algoritmo de intercambio de claves Diffie-Hellman.

n IKE (Intercambio de claves por red) es una combinación del marco ISAKMP y de Oakley. NSX Edge proporciona IKEv1, IKEv2 e IKE-Flex.

n El intercambio de claves Diffie-Hellman (DH) es un protocolo criptográfico que permite que dos partes que no se conocen previamente puedan establecer conjuntamente una clave secreta compartida en un canal de comunicaciones sin protección. VSE admite el grupo 2 (1024 bits) y el grupo 5 (1536 bits) de DH.

Fase 1 y fase 2 de IKEv1IKEv1 es un método estándar que se utiliza para organizar comunicaciones seguras y autenticadas.

Parámetros de fase 1La fase 1 configura la autenticación mutua de los pares, negocia los parámetros criptográficos y crea claves de sesión. Los parámetros de la fase 1 que utiliza NSX Edge son:

n Modo Principal (Main).

n Triple DES, AES-128, AES-256 [configurable]. AES-GCM no se admite en la fase 1, por lo que se utiliza AES-128 de forma interna.

n SHA1, SHA_256

n Grupo de MODP 2, 5, 14, 15 y 16

n Certificado y clave secreta precompartida (configurables)

n Vida útil de SA de 28.800 segundos (8 horas) sin regeneración de claves de los bytes que se transmiten antes de que caduque

n Modo intenso ISAKMP deshabilitado

Importante n VPN IPSec solo admite la regeneración de claves basadas en el tiempo. Debe deshabilitar la

regeneración de claves de los bytes que se transmiten antes de que caduque.

n Desde la versión 6.4.5 de NSX, el algoritmo de cifrado Triple DES pasa a estar obsoleto en el servicio VPN IPSec.


VMware, Inc. 311

Parámetros de fase 2La fase 2 de IKE negocia un túnel de IPSec con la creación de material de claves para que utilice el túnel de IPSec (ya sea con las claves de la fase 1 de IKE como base o con un intercambio de clave nueva). Los parámetros de la fase 2 de IKE compatibles con NSX Edge son:

n Triple DES, AES-128, AES-256 y AES-GCM (coincide con los ajustes de la fase 1)

n SHA1, SHA_256

n Modo de túnel ESP

n Grupo de MODP 2, 5, 14, 15 y 16

n Confidencialidad directa total para la regeneración de claves

n Vida útil de SA de 3.600 segundos (1 hora) sin regeneración de claves de los bytes que se transmiten antes de que caduque

n Selectores para todos los protocolos IP, todos los puertos, entre las dos redes, con subredes IPv4

Importante n VPN IPSec solo admite la regeneración de claves basadas en el tiempo. Debe deshabilitar la

regeneración de claves de los bytes que se transmiten antes de que caduque.

n Desde la versión 6.4.5 de NSX, el algoritmo de clave de cifrado Triple DES pasa a estar obsoleto en el servicio VPN IPSec.

Muestras de modo de transacciónNSX Edge es compatible con el modo Principal (Main) de la fase 1 y el modo Rápido (Quick) de la fase 2.

NSX Edge propone una directiva que requiere PSK o certificado, 3DES/AES128/AES256/AES-GCM, SHA1/SHA256 y el grupo DH 2/5/14/15/16. El par debe aceptar esta directiva; de lo contrario, se produce un error en la fase de negociación.

Fase 1: transacciones de modo Principal (Main)En este ejemplo se muestra un intercambio de negociación de fase 1 iniciado desde una instancia de NSX Edge a un dispositivo Cisco.

Las siguientes transacciones ocurren en una secuencia entre la instancia de NSX Edge y un dispositivo de VPN Cisco en modo Principal (Main).

1 NSX Edge a Cisco

n Propuesta: cifrar 3des-cbc, sha, psk, group5(group2)

n DPD habilitado

2 Cisco a NSX Edge

n Contiene propuestas elegidas por Cisco


VMware, Inc. 312

n Si el dispositivo Cisco no acepta ninguno de los parámetros que envió la instancia de NSX Edge en el paso uno, el dispositivo Cisco envía un mensaje con la marca NO_PROPOSAL_CHOSEN y finaliza la negociación.

3 NSX Edge a Cisco

n Nonce y clave DH

4 Cisco a NSX Edge

n Nonce y clave DH

5 NSX Edge a Cisco (cifrado)

n Incluye el identificador (PSK).

6 Cisco a NSX Edge (cifrado)

n Incluye el identificador (PSK).

n Si el dispositivo Cisco descubre que PSK no coincide, envía un mensaje con la marca INVALID_ID_INFORMATION y se produce un error en la fase 1.

Fase 2: transacciones de modo Rápido (Quick)Las transacciones siguientes ocurren en secuencia entre la instancia de NSX Edge y un dispositivo de VPN Cisco en modo Rápido (Quick).

1 NSX Edge a Cisco

NSX Edge propone una directiva de fase 2 al par. Por ejemplo:

Aug 26 12:16:09 weiqing-desktop

ipsec[5789]:

"s1-c1" #2: initiating Quick Mode

PSK+ENCRYPT+TUNNEL+PFS+UP+SAREFTRACK

{using isakmp#1 msgid:d20849ac

proposal=3DES(3)_192-SHA1(2)_160

pfsgroup=OAKLEY_GROUP_MODP1024}

2 Cisco a NSX Edge

El dispositivo Cisco devuelve NO_PROPOSAL_CHOSEN si no encuentra una directiva que coincida con la propuesta. De lo contrario, el dispositivo Cisco envía el conjunto de parámetros elegido.

3 NSX Edge a Cisco

Para facilitar la depuración, puede habilitar el registro de IPsec en NSX Edge y habilitar la depuración de cifrado en Cisco (debug crypto isakmp <level>).

Ejemplo de configuración del sitio de VPN IPSec basada en directivasEste ejemplo proporciona escenarios de configuración de una conexión básica de VPN IPSec basada en directivas de punto a punto entre una instancia de NSX Edge y una VPN Cisco o WatchGuard del otro extremo.


VMware, Inc. 313

En este escenario, NSX Edge conecta la red interna 192.168.5.0/24 a Internet. Las interfaces de NSX Edge están configuradas del siguiente modo:

n Interfaz del vínculo ascendente: 10.115.199.103

n Interfaz interna: 192.168.5.1

La puerta de enlace VPN del sitio remoto conecta la red interna 172.15.0.0/16 a Internet. Las interfaces de la puerta de enlace remota están configuradas del siguiente modo:

n Interfaz del vínculo superior: 10.24.120.90

n Interfaz interna: 172.16.0.1

Figura 15-2. NSX Edge se conecta a una puerta de enlace de VPN remota

V

NSX Edge

192.168.5.1

10.115.199.103 10.24.120.90

Internet

192.168.5.0/24

172.16.0.1

172.15.0.0/16

Nota Para las instancias de NSX Edge a túneles IPsec de NSX Edge, se puede utilizar el mismo escenario si se instala la segunda instancia de NSX Edge como puerta de enlace remota.

Procedimiento






6 En el cuadro de texto Nombre (Name), escriba un nombre para el sitio VPN IPSec.

7 En el cuadro de texto ID local (Local Id), escriba 10.115.199.103 como la dirección IP de la instancia de NSX Edge. Este identificador local se convierte en el identificador del sitio remoto de mismo nivel.

8 En el cuadro de texto Endpoint local (Local Endpoint), escriba 10.115.199.103.

Si desea agregar un túnel IP a IP con una clave precompartida, el identificador local y la dirección IP para el endpoint local pueden ser iguales.

9 En el cuadro de texto Subredes locales (Local Subnets), escriba 192.168.5.0/24.


VMware, Inc. 314

10 En Id al mismo nivel (Peer Id), escriba 10.24.120.90 para identificar el sitio al mismo nivel automáticamente.

11 En el cuadro de texto Endpoint del mismo nivel (Peer Endpoint), escriba 10.24.120.90.

12 En el cuadro de texto Subredes del mismo nivel (Peer Subnets), escriba 172.15.0.0/16.

13 Seleccione la Versión de IKE (IKE Version). Por ejemplo, seleccione IKEv2.

14 Seleccione el Algoritmo de resumen (Digest Algorithm). Por ejemplo, seleccione SHA_256.

15 Seleccione el Algoritmo de cifrado (Encryption Algorithm). Por ejemplo, seleccione AES.

16 Seleccione un Método de autenticación (Authentication Method). Por ejemplo, seleccione PSK.

17 Escriba la Clave previamente compartida (Pre-shared Key).

18 Para mostrar la clave previamente compartida del sitio del mismo nivel, haga clic en el icono Mostrar clave previamente compartida (Show Pre-Shared Key) ( ) o seleccione la casilla de verificación Mostrar clave compartida (Display Shared Key).

19 Seleccione el esquema de criptografía Grupo Diffie-Hellman (DH) (Diffie-Hellman [DH] Group). Por ejemplo, seleccione DH14.


La configuración del sitio VPN IPSec se guarda en la instancia de NSX Edge.

Pasos siguientes

Habilite el servicio de IPsec VPN.

Usar un enrutador de servicios integrados Cisco 2821A continuación se describen las configuraciones realizadas con Cisco IOS.

Procedimiento

1 Configurar interfaces y ruta predeterminada

interface GigabitEthernet0/0

ip address 10.24.120.90 255.255.252.0

duplex auto

speed auto

crypto map MYVPN

!


ip address 172.16.0.1 255.255.0.0

duplex auto

speed auto

!

ip route 0.0.0.0 0.0.0.0 10.24.123.253


VMware, Inc. 315

2 Configurar la directiva de IKE

Router# config term

Router(config)# crypto isakmp policy 1

Router(config-isakmp)# encryption 3des

Router(config-isakmp)# group 2

Router(config-isakmp)# hash sha

Router(config-isakmp)# lifetime 28800

Router(config-isakmp)# authentication

pre-share

Router(config-isakmp)# exit

3 Buscar coincidencias de cada nivel con su secreto compartido previamente

Router# config term

Router(config)# crypto isakmp key vshield

address 10.115.199.103


4 Definir la transformación de IPsec

Router# config term

Router(config)# crypto ipsec transform-set

myset esp-3des esp-sha-hmac


5 Crear la lista de acceso de IPsec

Router# config term

Enter configuration commands, one per line.

End with CNTL/Z.

Router(config)# access-list 101 permit ip

172.16.0.0 0.0.255.255 192.168.5.0 0.0.0.255

Router(config)# exit

6 Conectar la directiva con un mapa criptográfico y etiquetarlo

En el siguiente ejemplo, el mapa criptográfico está etiquetado como MYVPN.

Router# config term

Router(config)# crypto map MYVPN 1

ipsec-isakmp

% NOTE: This new crypto map will remain

disabled until a peer and a valid

access list have been configured.

Router(config-crypto-map)# set transform-set

myset

Router(config-crypto-map)# set pfs group1

Router(config-crypto-map)# set peer

10.115.199.103

Router(config-crypto-map)# match address 101

Router(config-crypto-map)# exit


VMware, Inc. 316

Ejemplo: Configuración

router2821#show running-config output

Building configuration...

Current configuration : 1263 bytes

!

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname router2821

!

boot-start-marker

boot-end-marker

!

! card type command needed for slot 0

! card type command needed for slot 1

enable password cisco

!

no aaa new-model

!

resource policy

!

ip subnet-zero

!

ip cef

!no ip dhcp use vrf connected

!

!

no ip ips deny-action ips-interface

!

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

crypto isakmp key vshield address 10.115.199.103

!

crypto ipsec transform-set myset esp-3des

esp-sha-hmac

!

crypto map MYVPN 1 ipsec-isakmp

set peer 10.115.199.103

set transform-set myset

set pfs group1

match address 101

!


ip address 10.24.120.90 255.255.252.0

duplex auto

speed auto

crypto map MYVPN

!



VMware, Inc. 317

ip address 172.16.0.1 255.255.0.0

duplex auto

speed auto

!

ip classless

ip route 0.0.0.0 0.0.0.0 10.24.123.253

!

ip http server

no ip http secure-server

!

access-list 101 permit ip 172.16.0.0

0.0.255.255 192.168.5.0 0.0.0.255

!

control-plane

!

line con 0

line aux 0

line vty 0 4

password cisco

login

line vty 5 15

password cisco

login

!

scheduler allocate 20000 1000

!

end

Usar Cisco ASA 5510Utilice los siguientes resultados para configurar una instancia de Cisco ASA 5510.

ciscoasa# show running-config output

: Saved

:

ASA Version 8.2(1)18

!

hostname ciscoasa

enable password 2KFQnbNIdI.2KYOU encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

names

!

interface Ethernet0/0

nameif untrusted

security-level 100

ip address 10.24.120.90 255.255.252.0

!


nameif trusted

security-level 90

ip address 172.16.0.1 255.255.0.0

!


shutdown


VMware, Inc. 318

no nameif

no security-level

no ip address

!


shutdown

no nameif

no security-level

no ip address

!

interface Management0/0

shutdown

no nameif

no security-level

no ip address

!

boot system disk0:/asa821-18-k8.bin

ftp mode passive

access-list ACL1 extended permit ip 172.16.0.0 255.255.0.0

192.168.5.0 255.255.255.0

access-list ACL1 extended permit ip 192.168.5.0 255.255.255.0

172.16.0.0 255.255.0.0

access-list 101 extended permit icmp any any

pager lines 24

mtu untrusted 1500

mtu trusted 1500

no failover

icmp unreachable rate-limit 1 burst-size 1

icmp permit any untrusted

icmp permit any trusted

no asdm history enable

arp timeout 14400

access-group 101 in interface untrusted

access-group 101 out interface untrusted

access-group 101 in interface trusted

access-group 101 out interface trusted

route untrusted 10.115.0.0 255.255.0.0 10.24.123.253 1

route untrusted 192.168.5.0 255.255.255.0 10.115.199.103 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00

udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00

mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00

sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

dynamic-access-policy-record DfltAccessPolicy

no snmp-server location

no snmp-server contact

crypto ipsec transform-set MYSET esp-3des esp-sha-hmac

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

crypto map MYVPN 1 match address ACL1

crypto map MYVPN 1 set pfs


VMware, Inc. 319

crypto map MYVPN 1 set peer 10.115.199.103

crypto map MYVPN 1 set transform-set MYSET

crypto map MYVPN interface untrusted

crypto isakmp enable untrusted

crypto isakmp policy 1

authentication pre-share

encryption 3des

hash sha

group 2

lifetime 86400

telnet 10.0.0.0 255.0.0.0 untrusted

telnet timeout 5

ssh timeout 5

console timeout 0

no threat-detection basic-threat

no threat-detection statistics access-list

no threat-detection statistics tcp-intercept

username admin password f3UhLvUj1QsXsuK7 encrypted

tunnel-group 10.115.199.103 type ipsec-l2l

tunnel-group 10.115.199.103 ipsec-attributes

pre-shared-key *

!

!

prompt hostname context

Cryptochecksum:29c3cc49460831ff6c070671098085a9

: end

Utilizar un dispositivo Cisco CSR 1000VPuede configurar túneles de VPN IPSec basada en rutas entre un NSX Edge y un dispositivo virtual Cisco CSR 1000V.

Configuración de NSX EdgeLos siguientes resultados de CLI muestran la configuración de VPN IPSec basada en rutas de NSX Edge:

Edge IPsec VPN Config:

{

"ipsec" : {

"global" : {

"extension" : null,

"crlCertificates" : [],

"pskForDynamicIp" : null,

"id" : null,

"caCertificates" : [],

"serviceCertificate" : null

},

"logging" : {

"logLevel" : "debug",

"enable" : true

},


VMware, Inc. 320

"disableEvent" : null,

"enable" : true,

"sites" : [

{

"name" : "VPN2 to edge-ext tun 2 192.168.14.2",

"encryptionAlgorithm" : "3des",

"psk" : "****",

"tunnelInterfaceId" : 1,

"authenticationMode" : "psk",

"peerIp" : "111.111.111.5",

"ipsecSessionType" : "routebasedsession",

"pskEncryption" : null,

"digestAlgorithm" : "sha1",

"enabled" : true,

"localSubnets" : [

"0.0.0.0/0"

],

"description" : "VPN to edge subnet2",

"mtu" : null,

"peerId" : "111.111.111.5",

"extension" : null,

"ikeOption" : "ikev2",

"localIp" : "51.51.51.1",

"peerSubnets" : [

"0.0.0.0/0"

],

"responderOnly" : false,

"certificate" : null,

"dhGroup" : "dh2",

"siteId" : "ipsecsite-53",

"localId" : "51.51.51.1",

"tunnelInterfaceLabel" : "vti-1",

"enablePfs" : true

},

{

"peerIp" : "71.71.71.5",

"authenticationMode" : "psk",

"ipsecSessionType" : "routebasedsession",

"tunnelInterfaceId" : 2,

"psk" : "****",

"name" : "VPN to edge-ext tun 1 192.168.13.2",

"encryptionAlgorithm" : "3des",

"description" : "VPN to edge subnet1",

"localSubnets" : [

"0.0.0.0/0"

],

"enabled" : true,

"pskEncryption" : null,

"digestAlgorithm" : "sha1",

"ikeOption" : "ikev2",

"extension" : null,

"peerSubnets" : [

"0.0.0.0/0"

],

"localIp" : "61.61.61.1",


VMware, Inc. 321

"peerId" : "71.71.71.5",

"mtu" : null,

"siteId" : "ipsecsite-54",

"localId" : "61.61.61.1",

"enablePfs" : true,

"tunnelInterfaceLabel" : "vti-2",

"responderOnly" : false,

"certificate" : null,

"dhGroup" : "dh2"

}

]

}

}

Los siguientes resultados de CLI muestran la configuración de VTI de NSX Edge:

Edge VTI Tunnels Config:

{

"vtiTunnels" : [

{

"name" : "vti-1",

"mtu" : 1416,

"label" : "vti-1",

"sourceAddress" : "51.51.51.1",

"destinationAddress" : "111.111.111.5",

"tunnelAddresses" : [

"192.168.14.2/24"

],

"mode" : "VTI",

"enabled" : true

},

{

"enabled" : false,

"tunnelAddresses" : [

"192.168.13.2/24"

],

"mode" : "VTI",

"sourceAddress" : "61.61.61.1",

"destinationAddress" : "71.71.71.5",

"label" : "vti-2",

"mtu" : 1416,

"name" : "vti-2"

}

]

}

Configuración del dispositivo Cisco CSR 1000VEl siguiente script configura los dos túneles de IPSec basada en rutas en el dispositivo Cisco CSR 1000V:

crypto ikev2 proposal PH1PROPOSAL

encryption 3des

integrity sha1


VMware, Inc. 322

group 2

crypto ikev2 proposal PH2PROPOSAL

encryption 3des

integrity sha1

group 2

crypto ikev2 policy PH1POLICY

proposal PH1PROPOSAL

crypto ikev2 policy PH2POLICY

proposal PH2PROPOSAL

crypto ikev2 keyring PH1KEY

peer SITE1

address 61.61.61.1

pre-shared-key sharedvalue

!

crypto ikev2 keyring PH2KEY

peer SITE2

address 51.51.51.1

pre-shared-key sharedvalue

!

crypto ikev2 profile PH1PROFILE

match identity remote address 61.61.61.1 255.255.255.0

identity local address 71.71.71.5

authentication remote pre-share key sharedvalue

authentication local pre-share key sharedvalue

crypto ikev2 profile PH2PROFILE

match identity remote address 51.51.51.1 255.255.255.0

identity local address 111.111.111.5

authentication remote pre-share key sharedvalue

authentication local pre-share key sharedvalue

crypto ipsec transform-set TSET esp-3des esp-sha-hmac

mode tunnel

crypto ipsec profile IPSEC_PROF1

set transform-set TSET

set ikev2-profile PH1PROFILE

responder-only

crypto ipsec profile IPSEC_PROF2

set transform-set TSET

set ikev2-profile PH2PROFILE

responder-only

interface Tunnel1

ip address 192.168.13.1 255.255.255.0

tunnel source 71.71.71.5

tunnel mode ipsec ipv4

tunnel destination 61.61.61.1

tunnel protection ipsec profile IPSEC_PROF1

interface Tunnel2

ip address 192.168.14.1 255.255.255.0

tunnel source 111.111.111.5

tunnel mode ipsec ipv4

tunnel destination 51.51.51.1

tunnel protection ipsec profile IPSEC_PROF2

interface GigabitEthernet1

ip address dhcp


VMware, Inc. 323

negotiation auto

interface GigabitEthernet2

no ip address

negotiation auto

interface GigabitEthernet2.2

encapsulation dot1Q 23

ip address 81.81.81.5 255.255.255.0



ip address 111.111.111.5 255.255.255.0



ip address 71.71.71.5 255.255.255.0

Configurar WatchGuard Firebox X500Puede configurar la instancia de WatchGuard Firebox X500 como una puerta de enlace remota.

Nota Consulte la documentación de WatchGuard Firebox para ver los pasos exactos.

Procedimiento

1 En el Administrador del sistema Firebox (Firebox System Manager), seleccione Herramientas (Tools) > Policy Manager (Administrador de directivas).

2 En Administrador de directivas (Policy Manager), seleccione Red (Network) > Configuración (Configuration).

3 Configure las interfaces y haga clic en Aceptar (OK).

4 (opcional) Seleccione Red (Network) > Rutas (Routes) para configurar una ruta predeterminada.

5 Seleccione Red (Network) > VPN de la sucursal (Branch Office VPN) > IPsec manual (Manual IPSec) para configurar la puerta de enlace remota.

6 En el cuadro de diálogo Configuración de IPsec (IPSec Configuration), haga clic en Puertas de enlace (Gateways) para configurar la puerta de enlace remota de IPsec.

7 En el cuadro de diálogo Configuración de IPsec (IPSec Configuration), haga clic en Túneles (Tunnels) para configurar un túnel.

8 En el cuadro de diálogo Configuración de IPsec (IPSec Configuration), haga clic en Agregar (Add) para agregar una directiva de enrutamiento.

9 Haga clic en Cerrar (Close).

10 Confirme que el túnel esté funcionando.

Descripción general de VPN de Capa 2Con VPN de Capa 2, puede ampliar varias redes lógicas (tanto VLAN como VXLAN) en varios sitios geográficos. Además, puede configurar varios sitios en un servidor VPN de Capa 2.


VMware, Inc. 324

Las máquinas virtuales permanecen en la misma subred cuando se las traslada de un sitio a otro y sus direcciones IP no cambian. La optimización del egreso permite a Edge enrutar cualquier paquete enviado hacia la dirección IP de optimización de egreso de forma local y conectar todo lo demás con un puente.

Por lo tanto, con el servicio de VPN de Capa 2, las empresas pueden migrar sin problemas las cargas de trabajo entre sitios físicos diferentes. Las cargas de trabajo se pueden ejecutar en redes basadas en VXLAN o en VLAN. Con respecto a los proveedores de servicios de nube, la VPN de Capa 2 les proporciona un mecanismo para incorporar empresas sin modificar las direcciones IP existentes de las cargas de trabajo y las aplicaciones.

Nota n A partir de NSX Data Center 6.4.2, puede configurar el servicio de VPN de Capa 2 mediante túneles

SSL e IPSec. Sin embargo, solo puede configurar el servicio de VPN de Capa 2 mediante túneles IPSec mediante REST API. Para obtener más información sobre cómo configurar la VPN de Capa 2 mediante IPSec, consulte la Guía NSX API.

n En NSX 6.4.1 y versiones anteriores, solo puede configurar el servicio VPN de Capa 2 mediante túneles SSL.


VMware, Inc. 325

Figura 15-3. Extender VXLAN en varios sitios con VPN de Capa 2

NSX

Redde vínculo superior

VPN

Red deCapa 3

NSX Edge

Sitio A: Red respaldada con VXLAN Sitio B: Red respaldada con VXLAN

vNic de tronco de VXLAN

VXLAN5010

VM 1 VM 2

VM 3 VM 4

VXLAN5011

NSX


VPN

NSX Edge

vNic de tronco

de VXLAN

VXLAN5010

VM 5 VM 6

VM 7 VM 8

VXLAN5011

Cliente SSL/ IPSec del mismo nivel

Servidor SSL/ IPSec al mismo nivel

El servidor y cliente de la VPN L2 conocen las direcciones MAC de los sitios locales y remotos con base en el tráfico que fluye a través de ellos. La optimización del egreso mantiene el enrutamiento local, dado que la puerta de enlace predeterminada de todas las máquinas virtuales siempre se resuelve en la puerta de enlace local que utiliza las reglas de firewall. Las máquinas virtuales que se movieron al Sitio B también pueden acceder a los segmentos L2 que no están ampliados al Sitio A.

Si alguno de los sitios no tiene NSX implementado, se puede implementar en ese sitio una instancia de Edge independiente.

En el gráfico siguiente, la VPN L2 amplía la red VLAN 10 a VXLAN 5010 y VLAN 11 a VXLAN 5011. Por lo que, la máquina virtual 1 con un puente a VLAN 10 puede acceder a las máquinas virtuales 2, 5 y 6.


VMware, Inc. 326

Figura 15-4. Ampliar un sitio sin NSX con redes basadas en VLAN a un sitio NSX con redes basadas en VXLAN usando la VPN de Capa 2


VPN

Cliente SSL/ IPSec del mismo nivelValores predeterminados

de los enrutadores

Red deCapa 3

NSX Edgeindependiente

Sitio A: Red respaldada con VLAN Sitio B: Red respaldada con VXLAN

vNicde troncode VLAN 10-11

VM 1 VM 2 VM 3 VM 4

VLAN 10 VLAN 11

NSX


VPN

Servidor SSL/ IPSec del mismo nivel

NSX Edge

vNic de tronco

de VXLANVXLAN5010

VM 5 VM 6

VM 7 VM 8

VXLAN5011

Prácticas recomendadas de VPN L2Las prácticas recomendadas que se incluyen en esta sección se aplican a la VPN de Capa 2 mediante un túnel SSL y VPN de Capa 2 mediante un túnel de IPSec.

Recomendación Para obtener el máximo rendimiento de la VPN de Capa 2, le recomendamos que implemente una instancia de NSX Edge con un formato extra grande tanto en el cliente como en el servidor por los siguientes motivos:

n Aumenta el tamaño del búfer de TCP.

n Permite fijar la CPU en vCPU 1, 3 y 5. No permite fijar la CPU en formatos grandes ni cuádruple.


VMware, Inc. 327

Configurar la VPN L2 según las prácticas recomendadas puede evitar problemas como los bucles y los pings y las respuestas duplicados.

Opciones de VPN de Capa 2 para mitigar los buclesExisten dos opciones para mitigar los bucles. Las instancias de NSX Edge y las máquinas virtuales pueden estar en hosts ESXi diferentes o en el mismo host ESXi.

Opción 1: separar los hosts ESXi para las instancias de Edge de VPN de Capa 2 y las máquinas virtuales

1. Implementar VM y edges L2VPN en hosts ESXi independientes

Vínculos superiores

Activo

En espera


Activo

Activo

Enrutar según elpuerto virtual de origen

Cualquier directiva de formación

Modo promiscuo:Deshabilitado

dvPortGroup

Interfaztroncal vDS

RECEPCIÓN

dvPortGroup

Activo de formación/Activo:No admitido

1 Implemente las instancias de Edge y las máquinas virtuales en hosts ESXi distintos.

2 Configure la directiva de formación de equipos y conmutación por error para el grupo de puertos distribuidos asociado con la vNic troncal de Edge de la siguiente forma:

a Establezca el equilibrio de carga en "Enrutar según el puerto virtual de origen" (Route Based on originating virtual port).

b Configure solo un vínculo superior como Activo (Active) y el otro como En espera (Standby).

3 Configure la directiva de formación de equipos y conmutación por error para el grupo de puertos distribuidos asociado con las máquinas virtuales de la siguiente forma:

a Cualquier directiva de formación de equipos está bien.

b Es posible configurar varios vínculos superiores.


VMware, Inc. 328

4 Configure las instancias de Edge para que utilicen el modo de puerto de recepción y deshabilite el modo promiscuo en la vNic troncal.

Nota n Deshabilite el modo promiscuo: si usa vSphere Distributed Switch.

n Habilite el modo promiscuo: si usa un conmutador virtual para configurar la interfaz de enlace troncal.

Si un conmutador virtual tiene habilitado el modo promiscuo, algunos de los paquetes procedentes de los vínculos superiores que no esté usando el puerto promiscuo en ese momento no se descartarán. Debe habilitar y, a continuación, deshabilitar ReversePathFwdCheckPromisc, lo que descartará explícitamente en el puerto promiscuo todos los paquetes procedentes de los vínculos superiores que no se estén usando en ese momento.

Para bloquear los paquetes duplicados, active la comprobación de RPF para el modo promiscuo desde la CLI de ESXi donde se encuentra NSX Edge:

esxcli system settings advanced set -o /Net/ReversePathFwdCheckPromisc -i 1

esxcli system settings advanced list -o /Net/ReversePathFwdCheckPromisc

Path: /Net/ReversePathFwdCheckPromisc

Type: integer

Int Value: 1

Default Int Value: 0

Max Value: 1

Min Value: 0

String Value:

Default String Value:

Valid Characters:

Description: Block duplicate packet in a teamed environment when the virtual switch is set to

Promiscuous mode.

En la directiva de seguridad de PortGroup, cambie Modo promiscuo (PromiscousMode) de Aceptar (Accept) a Rechazar (Reject) y vuelva a establecer Aceptar (Accept) para activar el cambio configurado.

n Opción 2: instancias de Edge y máquinas virtuales en el mismo host ESXi


VMware, Inc. 329

2. Implementar VM y edges L2VPN en el mismo host

El orden de los vínculos superiores Activo/En espera

debe ser el mismo para ambos

dvPortGroups.


Activo

En espera En espera


Activo



Modo promiscuo:Deshabilitado

dvPortGroup

Interfaztroncal vDS

RECEPCIÓN

dvPortGroup

a Configure la directiva de formación de equipos y conmutación por error para el grupo de puertos distribuidos asociado con la vNic troncal de Edge de la siguiente forma:

1 Establezca el equilibrio de carga en "Enrutar según el puerto virtual de origen" (Route Based on originating virtual port).

2 Configure solo un vínculo superior como activo y el otro como en espera.

b Configure la directiva de formación de equipos y conmutación por error para el grupo de puertos distribuidos asociado con las máquinas virtuales de la siguiente forma:

1 Cualquier directiva de formación de equipos está bien.

2 Solo puede haber un vínculo superior activo.

3 El orden de los vínculos superiores activo/en espera debe ser igual en el grupo de puertos distribuidos de las máquinas virtuales y el grupo de puertos distribuidos de la vNic troncal de Edge.

c Configure la instancia de Edge independiente del lado del cliente para que utilice el modo de puerto de recepción y deshabilite el modo promiscuo en la vNic troncal.

Configurar un puerto de recepciónCuando una instancia de Edge administrada por NSX se configura como cliente VPN de Capa 2, NSX realiza parte de la configuración automáticamente. Cuando una instancia de NSX Edge independiente se configura como cliente VPN de Capa 2, estos pasos de configuración deben realizarse manualmente.


VMware, Inc. 330

Si uno de sus sitios VPN no tiene NSX implementado, puede configurar una VPN de Capa 2. Para ello, debe implementar una instancia de NSX Edge independiente en dicho sitio. Se implementa un Edge independiente usando un archivo OVF en un host que no administre NSX. Esto implementa un dispositivo de puerta de enlace de servicios Edge para que funcione como un cliente VPN de Capa 2.

Si una vNIC de enlace troncal de una instancia de Edge independiente se conecta a un conmutador vSphere Distributed Switch, se requiere el modo promiscuo o un puerto de recepción para la función VPN de Capa 2. La utilización del modo promiscuo puede provocar pings duplicados y respuestas duplicadas. Por este motivo, utilice el modo de puerto de recepción en la configuración de la instancia de NSX Edge independiente de VPN de Capa 2.

Procedimiento

1 Recupere el número de puerto del tronco vNIC que quiera configurar como el puerto de recepción.

a Inicie sesión en vSphere Web Client y acceda a Inicio (Home) > Redes (Networking).

b Haga clic en el grupo de puertos distribuidos al que está conectada la interfaz troncal de NSX Edge, y haga clic en Puertos (Ports) para ver los puertos y las máquinas virtuales conectadas. Anote el número de puerto asociado a la interfaz troncal.

Utilice este número de puerto cuando recupere y actualice datos opacos.

2 Recupere el valor dvsUuid para vSphere Distributed Switch.

a Inicie sesión en la interfaz de usuario de vCenter Mob en https://<ip-vc>/mob.

b Haga clic en contenido (content).

c Haga clic en el vínculo asociado con rootFolder (por ejemplo, grupo-d1 [Centrosdedatos]).

d Haga clic en el vínculo asociado con childEntity (por ejemplo: centrodedatos-1).

e Haga clic en el vínculo asociado con networkFolder (por ejemplo: grupo-n6).

f Haga clic en el vínculo del nombre de DVS para el conmutador vSphere Distributed Switch asociado con las instancias de NSX Edge (por ejemplo: dvs-1 [Mgmt_VDS]).

g Copie el valor de la cadena uuid.

Utilice este valor de dvsUuid cuando recupere y actualice datos opacos.

3 Compruebe si los datos opacos existen para el puerto especificado.

a Acceda a https://<ip-vc> /mob/?moid=DVSManager&vmodl=1.

b Haga clic en fetchOpaqueDataEx.


VMware, Inc. 331

c En el cuadro del valor selectionSet, pegue la siguiente entrada de XML:

<selectionSet xsi:type="DVPortSelection">

<dvsUuid>c2 1d 11 50 6a 7c 77 68-e6 ba ce 6a 1d 96 2a 15</dvsUuid> 

</selectionSet>

Utilice el número de puerto y el valor dvsUuid que recuperó para la interfaz troncal de NSX Edge.

d Establezca isRuntime como false.

e Haga clic en Invocar método (Invoke Method).

Si el resultado muestra valores para vim.dvs.OpaqueData.ConfigInfo, significa que ya hay un conjunto de datos opacos, por lo que debe usar la operación edit cuando establezca el puerto de recepción. Si el valor de vim.dvs.OpaqueData.ConfigInfo está vacío, use la operación add cuando establezca el puerto de recepción.

4 Configure el puerto de recepción en el navegador de objeto administrado (MOB) de vCenter

a Acceda a https://<ip-vc> /mob/?moid=DVSManager&vmodl=1.

b Haga clic en updateOpaqueDataEx.

c En el cuadro del valor selectionSet, pegue la siguiente entrada de XML:

<selectionSet xsi:type="DVPortSelection">

<dvsUuid>c2 1d 11 50 6a 7c 77 68-e6 ba ce 6a 1d 96 2a 15</dvsUuid> 

</selectionSet>

Utilice el valor dvsUuid que recuperó de vCenter MOB.


VMware, Inc. 332

d En el cuadro del valor opaqueDataSpec, pegue una de las siguientes entradas XML:

Use esta entrada para habilitar un puerto de recepción si no se configuraron los datos opacos (operation está establecido como add):

<opaqueDataSpec>

<operation>add</operation>

<opaqueData>

<key>com.vmware.etherswitch.port.extraEthFRP</key>

<opaqueData

xsi:type="vmodl.Binary">AAABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA


AAAAAAAAA=</opaqueData>

</opaqueData>

</opaqueDataSpec>

Use esta entrada para habilitar un puerto de recepción si ya se configuraron los datos opacos (operation está establecido como edit):

<opaqueDataSpec>

<operation>edit</operation>

<opaqueData>


<opaqueData

xsi:type="vmodl.Binary">AAABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA




</opaqueData>

</opaqueDataSpec>

Utilice esta entrada para deshabilitar un puerto de recepción:

<opaqueDataSpec>

<operation>edit</operation>

<opaqueData>


<opaqueData

xsi:type="vmodl.Binary">AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA




</opaqueData>

</opaqueDataSpec>

e Establezca isRuntime como false.

f Haga clic en Invocar método (Invoke Method).


VMware, Inc. 333

VPN de Capa 2 mediante SSLPara ampliar la red con VPN de Capa 2, debe configurar un servidor VPN de Capa 2 (Edge de destino) y un cliente VPN de Capa 2 (Edge de origen). Para ello, debe habilitar el servicio VPN de Capa 2 tanto en el servidor como en el cliente.

Los temas de las tareas en esta sección explican los pasos para configurar el servicio VPN de Capa 2 mediante túneles SSL.

Requisitos previos

Es necesario haber agregado una subinterfaz en una interfaz troncal de NSX Edge. Consulte Agregar una subinterfaz.

Configurar un servidor VPN de Capa 2El servidor VPN de Capa 2 es la instancia de NSX Edge de destino a la cual debe conectarse el cliente.

Procedimiento




4 Haga clic en Administrar (Manage) > VPN (VPN) > VPN de Capa 2 (L2 VPN).

5 Junto a Modo VPN de Capa 2 (L2 VPN Mode), seleccione Servidor (Server).

6 Junto a Detalles de configuración global (Global Configuration Details), haga clic en Editar (Edit) o Cambiar (Change).

7 En IP de agente de escucha (Listener IP), introduzca la dirección IP principal o secundaria de una interfaz externa de la instancia de NSX Edge.

8 El puerto predeterminado para el servicio VPN de Capa 2 es 443. Edite el número de puerto, si fuera necesario.

9 Seleccione uno o varios algoritmos de cifrado para cifrar la comunicación entre el servidor y el cliente.

n En NSX 6.4.6 y versiones posteriores, haga clic en el icono Editar (Edit) ( ). Seleccione uno o varios algoritmos de cifrado y, a continuación, haga clic en Guardar (Save).

n En NSX 6.4.5 y versiones anteriores, seleccione un algoritmo en el cuadro de la lista. Para selccionar varios valores, pulse Ctrl y haga clic en los algoritmos de la lista.

10 Seleccione el certificado que desea enlazar al servidor SSL VPN.

Importante El servicio VPN de Capa 2 mediante SSL solo admite certificados RSA.



VMware, Inc. 334

Agregar sitios del mismo nivelPuede conectar varios sitios al servidor VPN de Capa 2.

Nota Al cambiar los ajustes de la configuración del sitio, NSX Edge desconecta y vuelve a conectar todas las conexiones existentes.

Procedimiento




4 Junto a Modo VPN de Capa 2 (L2 VPN Mode), seleccione Servidor (Server).

5 En Detalles de configuración del sitio (Site Configuration Details), haga clic en Agregar (Add).

6 Especifique la configuración del sitio VPN de Capa 2 del mismo nivel.

a Introduzca un nombre único para el sitio del mismo nivel.

b Introduzca un nombre de usuario y una contraseña para autenticar el sitio del mismo nivel. Las credenciales de usuario del sitio del mismo nivel deben ser las mismas que las del cliente.

c En Interfaces ampliadas (Stretched Interfaces), haga clic en o en Seleccionar subinterfaces (Select Sub Interfaces) para seleccionar las subinterfaces que se deben ampliar con el cliente.

d Seleccione la interfaz troncal para la instancia de Edge.

Aparecen las subinterfaces configuradas en la vNIC de tronco.

e Haga doble clic en las subinterfaces que se ampliarán.

f Haga clic en Agregar (Add) o Aceptar (OK).

g Si la puerta de enlace predeterminada para máquinas virtuales es la misma en los dos sitios, introduzca las direcciones IP de puerta de enlace en el cuadro de texto Dirección de puerta de enlace de optimización de egreso (Egress Optimization Gateway Address). Estas direcciones IP se utilizan para enrutar el tráfico localmente hacia ellas o para bloquear el tráfico procedente de ellas en el túnel.


VMware, Inc. 335

h (opcional) Habilite Redes sin ampliar (Unstretched Networks) si quiere que las máquinas virtuales de las redes sin ampliar se comuniquen con las máquinas virtuales que están detrás de la instancia de Edge del cliente VPN de Capa 2 de la red ampliada. Además, le recomendamos que esta comunicación se enrute a través del mismo túnel VPN de Capa 2. Las subredes sin ampliar pueden estar detrás de la instancia de Edge del servidor VPN de Capa 2 o de la instancia de Edge del cliente VPN de Capa 2, o bien detrás de ambas.

Pongamos como ejemplo que ha creado un túnel VPN de capa 2 para ampliar la subred 192.168.10.0/24 entre dos centros de datos mediante el servicio VPN de Capa 2 de NSX.

Detrás de la instancia de Edge del servidor VPN de Capa 2, hay dos subredes adicionales (por ejemplo, 192.168.20.0/24 y 192.168.30.0/24). Si habilita las redes sin ampliar, las máquinas virtuales de las subredes 192.168.20.0/24 192.168.30.0/24 se pueden comunicar con las máquinas virtuales que están detrás de la instancia de Edge del cliente VPN de Capa 2 de la red ampliada (192.168.10.0/24). Esta comunicación se enruta a través del mismo túnel VPN de Capa 2.

i Si habilita las redes sin ampliar, siga estos pasos en función de la ubicación de las subredes sin ampliar:

n Cuando las subredes sin ampliar están detrás de la instancia de Edge del cliente VPN de Capa 2, introduzca la dirección de la red sin ampliar en formato CIDR y agregue el sitio (cliente) del mismo nivel en la instancia de Edge del servidor VPN de Capa 2. Para especificar varias redes sin ampliar, separe con comas las direcciones de red.

n Cuando las subredes sin ampliar están detrás de la instancia de Edge del servidor VPN de Capa 2, mantenga vacío el cuadro de texto Redes sin ampliar (Unstretched Networks). Esto quiere decir que no debe introducir la dirección de las redes sin ampliar mientras agrega el sitio (del mismo nivel) del cliente en el servidor VPN de Capa 2.

En el ejemplo anterior, las subredes sin ampliar estaban detrás de la instancia de Edge del servidor VPN de Capa 2. Por lo tanto, debe mantener vacío el cuadro de texto Redes sin ampliar (Unstretched Networks) de la ventana Agregar sitio del mismo nivel (Add Peer Site).

7 Haga clic en Agregar (Add) o en Aceptar (OK) y, a continuación, en Publicar cambios (Publish Changes).

Habilitar el servicio VPN de Capa 2 en el servidorDebe habilitar el servicio VPN de Capa 2 en el servidor VPN de Capa 2 (NSX Edge de destino). Si ya está configurado HA en este dispositivo Edge, asegúrese de que Edge tenga más de una interfaz interna configurada. Si solo hay una interfaz presente y ya la utiliza HA, la configuración de VPN de Capa 2 de la misma interfaz interna generará errores.

Procedimiento




VMware, Inc. 336

3 Haga doble clic en la instancia de NSX Edge de destino y desplácese hasta Administrar (Manage) > VPN (VPN) > VPN de Capa 2 (L2 VPN).

4 Junto a Estado del servicio VPN de Capa 2 (L2 VPN Service Status), haga clic en Iniciar (Start).

Pasos siguientes

Cree una regla de firewall o NAT en el lado del firewall orientado a Internet para permitir la conexión entre el cliente y el servidor.

Configurar el cliente VPN de Capa 2El cliente VPN de Capa 2 es la instancia de NSX Edge de origen que inicia la comunicación con la instancia de Edge de destino (servidor VPN de Capa 2).

También se puede configurar una instancia independiente de Edge como el cliente VPN de Capa 2. Consulte Configurar un dispositivo Edge independiente como cliente VPN de Capa 2.

Procedimiento



3 Haga doble clic en la instancia de Edge que quiera configurar como cliente VPN de capa 2.


5 Junto a Modo VPN de Capa 2 (L2 VPN Mode), seleccione Cliente (Client).

6 Junto a Detalles de configuración global (Global Configuration Details), haga clic en Editar (Edit) o Cambiar (Change).

7 Indique la información del cliente VPN de Capa 2.

a Introduzca la dirección del servidor VPN de Capa 2 al que deba conectarse el cliente. La dirección puede ser un nombre de host o una dirección IP.

b Si fuera necesario, edite el puerto predeterminado al que debe conectarse el cliente VPN de Capa 2.

c Seleccione el algoritmo de cifrado para la comunicación con el servidor.

d En Interfaces ampliadas (Stretched Interfaces), haga clic en o en Seleccionar subinterfaces (Select Sub Interfaces) para seleccionar las subinterfaces que se deben ampliar hasta el servidor.

e Seleccione la interfaz troncal para la instancia de Edge.

Aparecen las subinterfaces configuradas en la vNIC de tronco.

f Haga doble clic en las subinterfaces que se deben ampliar y haga clic en Agregar (Add) o Aceptar (OK).


VMware, Inc. 337

g En Dirección de puerta de enlace de optimización de egreso (Egress Optimization Gateway Address), introduzca la dirección IP de puerta de enlace de las subinterfaces o las direcciones IP por las que no debe fluir el tráfico en el túnel.

h (opcional) Seleccione la casilla de verificación Redes sin ampliar (Unstretched Networks) si quiere que las máquinas virtuales de las redes sin ampliar se comuniquen con las máquinas virtuales que están detrás de la instancia de Edge del servidor VPN de Capa 2 de la red ampliada. Además, le recomendamos que esta comunicación se enrute a través del mismo túnel VPN de Capa 2. Las subredes sin ampliar pueden estar detrás de la instancia de Edge del servidor VPN de Capa 2 o de la instancia de Edge del cliente VPN de Capa 2, o bien detrás de ambas.

Pongamos como ejemplo que ha creado un túnel VPN de capa 2 para ampliar la subred 192.168.10.0/24 entre dos centros de datos mediante el servicio VPN de Capa 2 de NSX.

Detrás de la instancia de Edge del servidor VPN de Capa 2, hay dos subredes adicionales (por ejemplo, 192.168.20.0/24 y 192.168.30.0/24). Si habilita las redes sin ampliar, las máquinas virtuales de las subredes 192.168.20.0/24 192.168.30.0/24 se pueden comunicar con las máquinas virtuales que están detrás de la instancia de Edge del servidor VPN de Capa 2 de la red ampliada (192.168.10.0/24). Esta comunicación se enruta a través del mismo túnel VPN de Capa 2.

i Si habilita las redes sin ampliar, siga estos pasos en función de la ubicación de las subredes sin ampliar:

n Cuando las subredes sin ampliar están detrás de la instancia de Edge del servidor VPN de Capa 2, introduzca la dirección de la red sin ampliar en formato CIDR y configure la instancia de Edge del cliente VPN de Capa 2. Para especificar varias redes sin ampliar, separe con comas las direcciones de red.

n Cuando las subredes sin ampliar están detrás de la instancia de Edge del cliente VPN de Capa 2, mantenga vacío el cuadro de texto Redes sin ampliar (Unstretched Networks). Esto quiere decir que no debe introducir la dirección de las redes sin ampliar en la instancia de Edge del cliente VPN de Capa 2.

En el ejemplo anterior, las subredes sin ampliar estaban detrás de la instancia de Edge del servidor VPN de Capa 2. Por lo tanto, debe introducir las redes sin ampliar 192.168.20.0/24, 192.168.30.0/24 y configurar la instancia de Edge del cliente VPN de Capa 2.

j En Detalles de usuario (User Details), introduzca las credenciales del usuario para que el servidor pueda autenticarlo.


VMware, Inc. 338

8 Haga clic en la pestaña Avanzada (Advanced) y especifique el resto de información del cliente.

a (opcional) Habilite solo conexiones de proxy seguras.

Cuando una instancia de Edge no dispone de acceso directo a Internet y necesita llegar a la instancia de NSX Edge de origen (servidor) mediante un servidor proxy, debe especificar los valores de configuración del proxy.

b Introduzca la dirección, el puerto, el nombre de usuario y la contraseña del servidor proxy.

c Para habilitar la validación de certificados de servidor, seleccione Validar certificado de servidor (Validate Server Certificate) y elija el certificado de la entidad de certificación correspondiente.

d Haga clic en Guardar (Save) o Aceptar (OK) y, a continuación, seleccione Publicar cambios (Publish Changes).

Pasos siguientes

Asegúrese de que el firewall orientado a Internet permita el flujo de tráfico desde la instancia de Edge con VPN de Capa 2 hacia Internet. El puerto de destino es 443.

Habilitar el servicio VPN de Capa 2 en el clienteDebe habilitar el servicio VPN de Capa 2 en el cliente VPN de Capa 2 (NSX Edge de origen).

Procedimiento



3 Haga doble clic en la instancia de NSX Edge que configuró en el modo de cliente VPN de Capa 2.


5 Junto a Estado del servicio VPN de Capa 2 (L2 VPN Service Status), haga clic en Iniciar (Start).

Pasos siguientes

n Para permitir que el cliente y el servidor se conecten entre sí, cree reglas de firewall o NAT en el lado del firewall orientado a Internet.

n Si se va a ampliar una vNIC troncal respaldada por un grupo de puertos estándar, habilite manualmente el tráfico de VPN de Capa 2 siguiendo estos pasos:

a Establezca Modo promiscuo (Promiscuous mode) en Aceptar (Accept).

b Establezca Transmisiones falsificadas (Forged Transmits) en Aceptar (Accept).

Para obtener más información sobre la operación del modo promiscuo y las transmisiones falsificadas, consulte el apartado sobre cómo proteger los conmutadores estándar de vSphere en la documentación de VMware vSphere ® .


VMware, Inc. 339

Ver estadísticas de la VPN de Capa 2Puede ver las estadísticas del túnel VPN de Capa 2, como el estado del túnel, los bytes enviados y recibidos y otras estadísticas, tanto en el servidor VPN de Capa 2 como en las instancias de Edge del cliente.

Procedimiento

1 Consulte las estadísticas en la instancia de Edge del cliente VPN de Capa 2.

a Haga doble clic en la instancia de NSX Edge que configuró en el modo de cliente VPN de Capa 2.

b Haga clic en Administrar (Manage) > VPN (VPN) > VPN de Capa 2 (L2 VPN).

c Expanda la sección Estado del túnel (Tunnel Status) y haga clic en el icono Actualizar (Refresh) para ver las estadísticas del túnel.

2 Consulte las estadísticas en la instancia de Edge del servidor VPN de Capa 2.

a Haga doble clic en la instancia de NSX Edge que configuró en el modo de servidor VPN de Capa 2.

b Desplácese hasta la página VPN de Capa 2 (L2 VPN).

c En la sección Detalles de configuración del sitio (Site Configuration Details), haga clic en el vínculo Mostrar estadísticas (Show Statistics) o Mostrar estadísticas de VPN de Capa 2 (Show L2VPN Statistics).

Se mostrarán las estadísticas de todos los sitios del mismo nivel que estén configurados en el servidor VPN de Capa 2.

Pasos siguientes

Para ver las redes configuradas en una interfaz troncal, desplácese hasta Administrar (Manage) > Configuración (Settings) > Interfaces de la instancia Edge y haga clic en Troncal (Trunk) en la columna Tipo (Type).

VPN de Capa 2 mediante IPSecA partir de NSX Data Center 6.4.2, puede ampliar sus redes de capa 2 entre dos sitios con el servicio VPN de Capa 2 mediante IPSec. Antes de configurar el servicio VPN de Capa 2 mediante IPSec, primero debe crear un túnel de VPN IPSec basada en rutas. A continuación, puede consumir este túnel de VPN IPSec basada en rutas para crear un túnel VPN de Capa 2 entre los dos sitios.

No puede crear ni editar un túnel de VPN IPSec basada en rutas con vSphere Web Client. Debe usar las REST API de NSX. Para obtener más información sobre cómo crear túneles de VPN IPSec basada en rutas, consulte la Guía NSX API.

Flujo de trabajo para configurar el servicio de VPN de Capa 2 mediante IPSecDebe usar las REST API de NSX para configurar el servicio VPN de Capa 2 mediante IPSec tanto en el servidor Edge como en el cliente Edge.


VMware, Inc. 340

En primer lugar, configure el servicio VPN de Capa 2 en el modo (concentrador) del servidor en NSX Edge usando los siguientes pasos. El Edge que configure en modo de servidor debe ser un NSX Edge.

1 Cree un túnel de VPN IPSec basada en rutas con el Edge que quiera configurar como el servidor VPN de Capa 2 (concentrador). Un identificador de sitio se genera automáticamente cuando crea el túnel.

2 Cree un túnel de VPN de Capa 2 y enlácelo con el identificador de sitio que se generó en el paso 1.

3 Recupere el código para de ese cliente. Este código al mismo nivel se convierte en el código de entrada (código compartido) para configurar el servicio de VPN de Capa 2 en el Edge cliente.

4 Habilite el servicio de VPN de Capa 2 mediante IPSec.

Si desea ampliar la red de Capa 2 con otros sitios, repita los siguientes tres pasos en el servidor para los clientes VPN de Capa 2 en otros sitios.

Ahora, configure el servicio VPN de Capa 2 en el modo (radio) cliente en otro Edge usando los siguientes pasos. Esta instancia de Edge puede ser un Edge administrado por NSX o un Edge independiente.

1 Cree un túnel de VPN IPSec basada en rutas con los mismos parámetros que usó para configurar el túnel de VPN IPSec basada en rutas en el servidor Edge.

2 Configure el Edge en modo radio.

3 Cree un túnel de VPN de Capa 2 usando el ID de sitio que se generó en el servidor y con el código par que recuperó del servidor.

4 Habilite el servicio de VPN de Capa 2 mediante IPSec.

Edge independiente como cliente VPN de Capa 2Con NSX, puede configurar conexiones VPN de Capa 2 con dispositivos Edge o dispositivos virtuales Edge en el sitio cliente, independientemente de NSX si se implementa en los sitios cliente.

Los dispositivos Edge implementados en un sitio cliente donde NSX no está implementado se denominan instancias Edge independientes. Se implementa un Edge independiente usando un archivo OVF en un host que no administre NSX.

Configurar un dispositivo Edge independiente como cliente VPN de Capa 2Si uno de los sitios que desea ampliar no está respaldado por NSX, puede implementar una instancia de Edge independiente como cliente VPN de Capa 2 en ese sitio.

Si desea cambiar el modo FIPS por un Edge independiente, use los comandos fips enable o fips disable. Para obtener más información, consulte la Referencia de la interfaz de línea de comandos de NSX.

Puede implementar un par de clientes Edge L2VPN independientes y habilitar HA entre ellos para soportar la redundancia de VPN. Los dos clientes Edge VPN de Capa 2 se denominan nodo 0 y nodo 1. No es obligatorio especificar las opciones de configuración de HA en ambos dispositivos Edge L2VPN independientes al implementar. Sin embargo, debe habilitar HA en el momento de la implementación.


VMware, Inc. 341

Se aplican los pasos del siguiente procedimiento cuando se desee implementar el Edge independiente como cliente VPN de Capa 2 para enrutar tráfico desde un túnel SSL o un túnel VPN IPSec.

Requisitos previos

Creó un grupo de puertos troncales para que la interfaz troncal de la instancia de Edge independiente se conecte a ese grupo. Este grupo de puertos requiere cierta configuración manual:

n Si el grupo de puertos troncales está en un conmutador estándar de vSphere, debe seguir estos pasos:

n Habilite las transmisiones falsificadas.

n Habilite el modo promiscuo.

Consulte la Guía de redes de vSphere.

n Si el grupo de puertos troncales está en un conmutador vSphere Distributed Switch, debe seguir estos pasos:

n Habilite las transmisiones falsificadas. Consulte la Guía de redes de vSphere.

n Habilite el puerto de recepción para la vNic de tronco o habilite el modo promiscuo. Como práctica recomendada, puede habilitar el puerto de recepción.

La configuración del puerto de recepción debe realizarse después de implementar la instancia de Edge independiente, ya que se debe cambiar la configuración del puerto conectado a la vNIC de tronco de Edge.

Procedimiento

1 Con vSphere Web Client, inicie sesión en la instancia de vCenter Server que administra el entorno que no es de NSX.

2 Seleccione Hosts y clústeres (Hosts and Clusters) y expanda los clústeres para mostrar los hosts disponibles.

3 Haga clic con el botón derecho en el host en el que desea instalar la instancia de Edge independiente y seleccione Implementar plantilla de OVF (Deploy OVF Template).

4 Introduzca la URL para descargar e instalar el archivo OVF desde Internet, o bien haga clic en Examinar (Browse) para buscar la carpeta en el equipo que contiene el archivo OVF de la instancia de Edge independiente y, a continuación, haga clic en Siguiente (Next).

5 En la página Detalles de la plantilla de OVF (OVF Template Details), revise los detalles de la plantilla y haga clic en Siguiente (Next).

6 En la página Seleccionar nombre y carpeta (Select name and folder), escriba un nombre para la instancia de Edge independiente y seleccione la carpeta o el centro de datos donde desea realizar la implementación. A continuación, haga clic en Siguiente (Next).

7 En la página Select Storage (Seleccionar almacenamiento), seleccione la ubicación para almacenar los archivos de la plantilla implementada.


VMware, Inc. 342

8 En la página Seleccionar redes (Select networks), configure las redes que debe utilizar la plantilla implementada. Haga clic en Siguiente (Next).

n La interfaz pública es la interfaz de vínculo superior.

n La interfaz de tronco se utiliza para crear subinterfaces para las redes que se ampliarán. Conecte esta interfaz al grupo de puertos troncales creado.

n La interfaz de HA se usa para establecer la alta disponibilidad en los dispositivos Edge L2VPN independientes. Seleccione un grupo de puertos distribuidos para la interfaz de HA.

9 En la página Personalizar plantilla (Customize Template), especifique los siguientes valores.

a Escriba la contraseña de administrador de la CLI y, a continuación, vuelva a escribirla.

b Escriba la contraseña de habilitación de la CLI y, a continuación, vuelva a escribirla.

c Escriba la contraseña raíz de la CLI y, a continuación, vuelva a escribirla.

d Escriba la dirección IP del vínculo superior y la longitud del prefijo y, de manera opcional, la dirección IP del DNS y la puerta de enlace predeterminada.

e Seleccione el cifrado que se utilizará para la autenticación. El valor seleccionado debe coincidir con el cifrado utilizado en el servidor VPN de Capa 2.

Nota Realice este paso solo cuando quiera configurar VPN de Capa 2 mediante SSL.

f Para habilitar la optimización de egreso, escriba las direcciones IP de la puerta de enlace para las cuales debe enrutarse localmente el tráfico o para las cuales debe bloquearse el tráfico por el túnel.

g Para habilitar la alta disponibilidad del dispositivo Edge L2VPN independiente, seleccione la casilla Habilitar alta disponibilidad para este dispositivo (Enable High Availability for this appliance).

h (opcional) Escriba la dirección IP del primer dispositivo Edge L2VPN independiente (nodo 0). La dirección IP debe estar en la subred de IP /30.

i (opcional) Escriba la dirección IP del segundo dispositivo Edge L2VPN independiente (nodo 1). La dirección IP debe estar en la subred de IP /30.

j (opcional) En el dispositivo nodo 0, seleccione 0 para asignar la dirección IP del nodo 0 a la interfaz de HA. De forma similar, en el dispositivo nodo 1, seleccione 1 para usar la dirección IP del nodo 1 en la interfaz de HA.

k (opcional) Especifique un valor entero para establecer el intervalo de tiempo de inactividad en segundos. Por ejemplo, escriba 15.

l Escriba el puerto y la dirección del servidor VPN de Capa 2.

Si configura el cliente VPN de Capa 2 para que enrute el tráfico mediante el túnel VPN IPSec, debe especificar la dirección IP del sitio al mismo nivel y el código al mismo nivel.


VMware, Inc. 343

m Escriba el nombre de usuario y la contraseña con las que se autentica el sitio del mismo nivel.

Nota Realice este paso solo cuando quiera configurar VPN de Capa 2 mediante SSL.

n En VLAN de subinterfaces (identificador de túnel) (Sub Interfaces VLAN [Tunnel ID]), escriba los identificadores de VLAN de las redes que desea ampliar. Puede introducir los identificadores de VLAN en una lista separada por comas o un rango. Por ejemplo: 2,3,10-20.

Si desea cambiar el identificador de VLAN de la red antes de ampliar el sitio de la instancia de Edge independiente, escriba el identificador de VLAN de la red y, a continuación, escriba el identificador de túnel entre paréntesis. Por ejemplo: 2(100),3(200). El identificador de túnel se utiliza para asignar las redes que se van a ampliar. Sin embargo, no se puede especificar el identificador de túnel con un rango. Por ejemplo, no se permitiría lo siguiente: 10(100)-14(104). Debe volver a escribirlo de la siguiente manera: 10(100),11(101),12(102),13(103),14(104).

o Si la instancia de Edge independiente no tiene acceso directo a Internet y debe comunicarse con la instancia de NSX Edge de origen (servidor) mediante un servidor proxy, escriba la dirección, el puerto, el nombre de usuario y la contraseña del proxy.

p Si hay una entidad de certificación raíz disponible, puede pegarla en la sección Certificado (Certificate).

q Haga clic en Siguiente (Next).

10 En la página Ready to complete (Listo para finalizar), revise la configuración de la instancia de Edge independiente y haga clic en Finish (Finalizar).

Pasos siguientes

n Encienda el dispositivo Edge independiente.

n Anote el número de puerto de la vNIC de tronco y configure un puerto de recepción. Consulte Configurar un puerto de recepción.

n Si especificó opciones de configuración de HA, como la dirección IP de HA, el valor índice de HA y el intervalo de tiempo de inactividad al implementar los dispositivos Edge L2VPN independientes, puede validar la configuración de HA en la consola de los nodos implementados con el comando show configuration.

n Si no implementó las opciones de configuración de HA durante la implementación, puede hacerlo más tarde en la consola de NSX Edge ejecutando el comando ha set-config en cada nodo.

Realice cualquier cambio de configuración mediante la interfaz de línea de comandos de la instancia de Edge independiente. Consulte la Referencia de la interfaz de línea de comandos de NSX.

Configurar HA en clientes independientes con L2VPNInicie sesión en la consola de NSX Edge de dispositivos Edge L2VPN independientes para especificar las opciones de configuración de HA y establecer HA entre ambos dispositivos Edge L2VPN.


VMware, Inc. 344

Implementó dos clientes Edge L2VPN independientes, denominados L2VPN-Cliente-01 y L2VPN-Cliente-02 con la misma configuración. La dirección IP de subred /30 de L2VPN-Cliente-01 es 192.168.1.1 y para L2VPN-Cliente-02 es 192.168.1.2. En este apartado, Nodo-1 se refiere a L2VPN-Cliente-01 y Nodo-2 a L2VPN-Cliente-02.

Requisitos previos

n Habilite HA en ambos dispositivos Edge L2VPN.

n Asegúrese de las opciones de configuración de HA, como la dirección IP de HA, el valor índice de HA y el intervalo de tiempo de inactividad están establecidas en ambos nodos.

n Asegúrese de que ambos clientes Edge L2VPN independientes tienen la misma configuración de VPN.

Procedimiento

1 Inicie sesión en cada nodo y ejecute el comando ha get-local node en ambos nodos de forma individual para recuperar la dirección MAC de las tres tarjetas de interfaz vNIC.

Por ejemplo, en Nodo-1:

nsx-l2vpn-edge(config)# ha get-localnode

00:50:56:90:12:ea 00:50:56:90:97:ca 00:50:56:90:d9:69


nsx-l2vpn-edge(config)# ha get-localnode

00:50:56:90:1c:75 00:50:56:90:34:c1 00:50:56:90:36:80

2 Ejecute el comando ha set-peernode en ambos nodos de forma individual para asignar la dirección MAC del Nodo-1 al Nodo-2 y la dirección MAC del Nodo-2 al Nodo-1.

Por ejemplo, asigne la dirección MAC del Nodo-2 al Nodo-1:

nsx-l2vpn-edge(config)# ha set-peernode 00:50:56:90:1c:75 00:50:56:90:34:c1 00:50:56:90:36:80

Por ejemplo, asigne la dirección MAC del Nodo-1 al Nodo-2:

nsx-l2vpn-edge(config)# ha set-peernode 0:50:56:90:12:ea 00:50:56:90:97:ca 00:50:56:90:d9:69

3 Para iniciar HA, ejecute el comando ha admin-state UP en cada nodo.

Por ejemplo, en el Nodo-1 y el Nodo-2:

nsx-l2vpn-edge(config)# ha admin-state UP

Nota Asegúrese de que escribe ACTIVADO (UP) en mayúsculas, como aparece en el ejemplo.


VMware, Inc. 345

4 Ejecute el comando commit en ambos nodos de forma individual para guardar la configuración de HA y establecer HA entre el Nodo-1 y el Nodo-2.

Por ejemplo, en el Nodo-1 y el Nodo-2:

nsx-l2vpn-edge(config)# commit

High Availability Feature is enabled on this appliance. Please make sure to make

similar configuration on paired Standalone Edge appliance.

La configuración de HA se guarda en ambos nodos y se establece HA entre los nodos.

Pasos siguientes

Inicie sesión en cada nodo y verifique el estado de HA ejecutando el comando show service highavailability en ambos nodos.

La CLI del nodo L2VPN-Cliente-01 muestra la siguiente salida:

El estado de L2VPN-Cliente-1 es Activo (Active)

El estado de accesibilidad del nodo al mismo nivel 192.168.1.2 es Activo (Up)

La CLI del nodo L2VPN-Cliente-02 muestra la siguiente salida:


VMware, Inc. 346

El estado de L2VPN-Cliente-2 es En espera (Standby)

El estado de accesibilidad del nodo al mismo nivel 192.168.1.1 es Activo (Up)

En cualquier etapa, si quiere comprobar el estado del vínculo en HA, ejecute el comando show service highavailability link en cada nodo. Este comando enumera las direcciones IP /30 de subred locales y al mismo nivel que configuró al implementar los nodos L2VPN independientes.


nsx-l2vpn-edge> show service highavailability link

Local IP address: 192.168.1.1/30

Peer IP Address: 192.168.1.2/30

Enfoques para deshabilitar HA en dispositivos Edge L2VPN independientesNSX proporciona dos métodos para deshabilitar HA en dispositivos Edge L2VPN independientes.

Supongamos que implementó dos dispositivos Edge L2VPN independientes llamados L2VPN-Cliente-1 y L2VPN-Cliente-2 y estableció HA entre ambos. L2VPN-Cliente-1 es el dispositivo activo y L2VPN-Cliente-2 es el dispositivo en espera.

En el primer método, puede realizar los siguientes pasos para deshabilitar HA:

1 Eliminar o apagar directamente el dispositivo en espera (L2 VPN-Cliente-2).

2 Iniciar sesión en la consola del dispositivo activo (L2 VPN-Cliente-1) y ejecutar el comando ha disable.


VMware, Inc. 347

La ventaja de este métodos es que el tiempo de conmutación por error de HA es mínimo. Sin embargo, este método tiene las siguientes limitaciones:

n Tiene que apagar manualmente el dispositivo L2VPN en espera.

n Este método puede derivar en una situación de doble estado activo. Por ejemplo, es posible que olvide apagar el dispositivo en espera e iniciar el mismo dispositivo. Esto podría causar que ambos dispositivos L2VPN estuvieran activos.

En el segundo método, puede realizar los siguientes pasos para deshabilitar HA:

1 Eliminar o apagar cualquiera de los dispositivos L2VPN (el dispositivo activo o el dispositivo en espera).

2 Iniciar sesión en la consola del otro dispositivo y ejecutar el comando ha disable para deshabilitar la función HA.

En el segundo método, el tiempo de conmutación por error de HA también es mínimo. Sin embargo, el segundo método tiene estas limitaciones:

n Tiene que apagar el dispositivo L2VPN manualmente.

n Este método también puede derivar en una situación de doble estado activo. Por ejemplo, es posible que olvide apagar el dispositivo e iniciar el mismo dispositivo. Esto podría causar que ambos dispositivos L2VPN estuvieran activos.

n El servicio se interrumpe cuando se elimina el dispositivo activo debido a que la conmutación por error de HA podría no producirse de forma inmediata para hacer que el dispositivo en espera estuviera activo.

Reemplazar un cliente L2VPN independiente con erroresSi un cliente L2VPN independiente falló o se bloqueó, puede reemplazar este dispositivo implementando un nuevo cliente L2VPN independiente y configurar este dispositivo desde la consola de NSX Edge.

Supongamos que implementó dos dispositivos de cliente L2VPN independientes llamados L2VPN-Cliente-01 y L2VPN-Cliente-02 y activó HA en ambos. El nodo L2VPN-Cliente-01 falló o se bloqueó. Para reemplazar este nodo con errores, implemente un nuevo dispositivo cliente L2VPN independiente denominado L2VPN-Cliente-Reemplazo y especifique la misma configuración VPN que en el nodo activo.

Procedimiento

1 Inicie sesión en la consola del nodo activo (L2VPN-Cliente-02) y compruebe su índice de HA.

2 Ejecute el comando ha get-localnode en el nodo L2VPN-Cliente-02 para recuperar la dirección MAC de la vNIC y copie la salida de CLI de este comando.


VMware, Inc. 348

3 Implemente un nuevo dispositivo cliente L2VPN independiente y denomínelo L2VPN-Cliente-Reemplazo. Durante la implementación, asegúrese de que especifica los siguientes detalles:

a Habilite la función HA.

b Escriba la dirección IP de HA correcta para el nodo 0 y el nodo 1. Las direcciones IP debe estar en la subred de IP /30.

c Seleccione el valor del índice de HA.

n Si falló el nodo con el índice de HA 1, seleccione 0 para el índice de HA del dispositivo L2VPN-Cliente-Reemplazo.

n Si falló el nodo con el índice de HA 0, seleccione 1 para el índice de HA del dispositivo L2VPN-Cliente-Reemplazo.

4 Inicie sesión en la consola del nuevo dispositivo L2VPN-Cliente-Reemplazo y lleve a cabo los siguientes pasos:

a Ejecute el comando ha set-peernode y ejecute la dirección MAC del nodo a mismo nivel (L2VPN-Cliente-02).

b Ejecute el comando ha get-localnode y copie la salida de CLI de este comando.

5 Inicie sesión en la consola del nodo activo (L2VPN-Cliente-02) y ejecute el comando ha set-peernode para establecer las direcciones MAC de la vNIC del dispositivo recientemente implementado (L2VPN-Cliente-Reemplazo).

6 Por último, ejecute el comando commit en ambos dispositivos L2VPN-Cliente-02 y L2VPN-Cliente-Reemplazo.

Escenario: agregar una red VLAN o VXLAN ampliadaLa empresa ACME Enterprise tiene dos centros de datos privados: el "sitio A" y el "sitio B". NSX Data Center se implementa en los dos centros de datos. Como administrador de NSX, quiere migrar las cargas de trabajo (aplicaciones) del sitio A al sitio B mediante la ampliación o extensión de las redes VLAN del sitio A a las redes VXLAN del sitio B.

La VPN de Capa 2 de NSX es compatible con la optimización de egreso mediante la utilización de la misma dirección IP de puerta de enlace en los dos sitios. Este escenario utiliza la función de optimización de egreso y garantiza que las direcciones IP de las aplicaciones no se modifican tras la migración.

La imagen siguiente muestra la topología lógica de la ampliación de redes entre dos sitios cuando se utiliza el servicio VPN de Capa 2 en las instancias de NSX Edge.


VMware, Inc. 349

Red de vínculo superior

VPN

Cliente SSL / IPSec del mismo nivel Valores predeterminados

de los enrutadores

Red deCapa 3

NSX Edge

Sitio A: Red respaldada con VLAN Sitio B: Red respaldada con VXLAN

vNicde troncode VLAN 10-11

VM 1 VM 2 VM 3 VM 4

VLAN 10 VLAN 11

NSX

NSX

Red de vínculo superior

VPN

Servidor SSL / IPSecdel mismo nivel

NSX Edge

vNic de tronco

de VXLANVXLAN5010

VM 5 VM 6

VM 7 VM 8

VXLAN5011

El servicio VPN de Capa 2 de la instancia de NSX Edge del sitio A se configura en modo "cliente" (client), mientras que el servicio VPN de Capa 2 de NSX Edge del sitio B se configura en modo "servidor" (server). Como administrador, su objetivo es crear un túnel VPN de Capa 2 y realizar una extensión de Capa 2 entre los sitios A y B de la siguiente manera:

n El túnel con identificador 200 (Tunnel ID 200) extiende la red VLAN 10 del sitio A a la red VXLAN 5010 del sitio B.

n El túnel con identificador 201 (Tunnel ID 201) extiende la red VLAN 11 del sitio A a la red VXLAN 5011 del sitio B.

La siguiente imagen muestra la representación lógica de la extensión de Capa 2 entre los dos sitios.


VMware, Inc. 350

VM

VM VM

VM

NSX Edge

Cliente VPN de Capa 2

NSX Edge

ID del túnel: 200Extensión de Capa 2

ID del túnel: 201VLAN 11

VLAN 10

VXLAN 5011

VXLAN 5010

Extensión de Capa 2

Servidor VPN de Capa 2

Recordatorio En este escenario, los dos sitios tienen instancias de Edge que administra NSX. Para llevar a cabo una extensión de Capa 2 entre ambos sitios, la instancia de Edge que se configura en modo "servidor" (server) debe ser una instancia de NSX Edge. Sin embargo, la instancia de Edge que se configura en modo "cliente" (client) puede ser tanto una instancia de NSX Edge como una instancia de Edge independiente que no administra NSX.

Si el sitio del cliente utiliza una instancia de Edge independiente, solo podrá ampliar las redes del sitio del cliente con las redes VLAN o VXLAN en el sitio del servidor.

Para realizar una extensión de Capa 2, puede configurar el servicio VPN de Capa 2 mediante SSL o IPSec. El siguiente procedimiento explica los pasos que debe seguir para ampliar las redes de Capa 2 con una VPN de Capa 2 mediante SSL:

Procedimiento

1 Desplácese hasta la instancia de Edge VPN de Capa 2 del sitio B y configure una interfaz de vNIC de tipo "troncal". Agregue dos subinterfaces a esta interfaz.

Para obtener instrucciones detalladas sobre cómo configurar una interfaz en la instancia de Edge y agregar subinterfaces, consulte Configurar una interfaz .

En este caso, por ejemplo, configure "vNIC 1" en la instancia de Edge servidor para que se conecte a un grupo de puertos distribuido. Agregue subinterfaces que se conecten a conmutadores lógicos con el VNI 5010 y 5011. Cada subinterfaz debe tener un identificador de túnel único. La siguiente tabla muestra la configuración de subinterfaz de la instancia de Edge servidor VPN de Capa 2.

Tabla 15-9. Subinterfaces de vNIC 1 de la instancia de Edge servidor VPN de Capa 2

NombreDirecciones IP (IP Addresses) Red

Identificador de red VXLAN (VNI)

Identificador del túnel (Tunnel ID) Estado

sub_vxlan1 192.168.10.10/24 VXLAN-Network1 5010 200 Conectado

sub_vxlan2 192.168.100.10/24 VXLAN-Network2 5011 201 Conectado


VMware, Inc. 351

2 Desplácese hasta la instancia de Edge VPN de Capa 2 del sitio A y configure una interfaz de vNIC de tipo "troncal". Agregue dos subinterfaces a esta interfaz.

En este caso, por ejemplo, configure "vNIC 2" en la instancia de Edge cliente para que se conecte a un grupo de puertos estándar. Agregue subinterfaces que se conecten a las VLAN 10 y 11. Los identificadores del túnel de la instancia de Edge cliente deben coincidir con los que especificara en la instancia de Edge servidor. La siguiente tabla muestra la configuración de subinterfaz de la instancia de Edge cliente VPN de Capa 2.

Tabla 15-10. Subinterfaces de vNIC 2 de la instancia de Edge cliente VPN de capa 2

NombreDirecciones IP (IP Addresses) VLAN

Identificador del túnel (Tunnel ID) Estado

sub_vlan1 192.168.10.10/24 10 200 Conectado

sub_vlan2 192.168.100.10/24 11 201 Conectado

3 Configure la instancia de Edge VPN de Capa 2 en el sitio B.

a Configure la VPN de Capa 2 en modo Servidor (Server).

b Establezca los ajustes de configuración global.

Para obtener instrucciones detalladas sobre cómo configurar el servidor VPN de Capa 2, consulte Configurar un servidor VPN de Capa 2.

c En Detalles de configuración del sitio (Site Configuration Details), haga clic en Agregar (Add) y especifique la configuración del sitio (del mismo nivel) del cliente VPN de Capa 2.

Para obtener instrucciones detalladas sobre cómo agregar sitios del mismo nivel VPN de Capa 2, consulte Agregar sitios del mismo nivel.

Por ejemplo, en este escenario, establezca la siguiente configuración para el sitio del mismo nivel:

n Agregue un sitio del mismo nivel que se llame "sitio-A" (site-A). Seleccione la interfaz troncal "vnic 1" en la instancia de Edge servidor e incluya las subinterfaces "sub_vxlan1" y "sub_vxlan2" como redes ampliadas. Asegúrese de habilitar el sitio del mismo nivel. La siguiente tabla inclyye las subinterfaces (interfaces ampliadas) del sitio A del mismo nivel.

Tabla 15-11. Subinterfaces del sitio A del mismo nivel

Nombre

Índice principal (Parent Index)

Nombre principal (Parent Name)

Direcciones IP (IP Addresses) Red

Identificador de red VXLAN (VNI)

Identificador del túnel (Tunnel ID)

sub_vxlan1 1 vnic 1 192.168.10.10/24

VXLAN-Network1

5010 200

sub_vxlan2 1 vnic 1 192.168.100.10/24

VXLAN-Network2

5011 201

n En el cuadro de texto Dirección de puerta de enlace de optimización de egreso (Egress Optimization Gateway Address), introduzca 192.168.10.10,192.168.100.10.


VMware, Inc. 352

d Inicie el servicio VPN de Capa 2 en la instancia de Edge servidor.

e Publique los cambios.

4 Configure la instancia de Edge VPN de Capa 2 en el sitio A.

a Configure la VPN de Capa 2 en modo Cliente (Client).

b Especifique los ajustes de configuración global y de registro.

Para obtener instrucciones detalladas sobre cómo configurar el cliente VPN de Capa 2, consulte Configurar el cliente VPN de Capa 2.

Por ejemplo, en escenario, establezca la siguiente configuración para el cliente VPN de Capa 2:

n Seleccione la interfaz troncal "vnic 2" en la instancia de Edge cliente e incluya las subinterfaces "sub_vlan1" y "sub_vlan2" como redes ampliadas. La siguiente tabla muestra la configuración de las subinterfaces (interfaces ampliadas) de la instancia de Edge cliente VPN de Capa 2.

Tabla 15-12. Interfaces ampliadas de la instancia de Edge cliente VPN de Capa 2

NombreÍndice principal (Parent Index)

Nombre principal (Parent Name)

Direcciones IP (IP Addresses) VLAN

Identificador del túnel (Tunnel ID)

sub_vlan1 2 vnic2 192.168.10.10/24 10 200

sub_vlan2 2 vnic2 192.168.100.10/24 11 201

n En el cuadro de texto Dirección de puerta de enlace de optimización de egreso (Egress Optimization Gateway Address), introduzca 192.168.10.10,192.168.100.10.

c Inicie el servicio VPN de Capa 2 en la instancia de Edge cliente.

d Publique los cambios.

Se establecerá un túnel VPN de Capa 2 entre los sitios A y B. Ahora podrá migrar cargas de trabajo entre los dos sitios mediante las redes de Capa 2 ampliadas.

Pasos siguientes

Realice estos pasos en la instancia de Edge cliente y servidor VPN de Capa 2:

n Verifique que el estado del túnel VPN de Capa 2 sea "Activo" (Up).

n Consulte las estadísticas del túnel.

Para obtener instrucciones detalladas, consulte Ver estadísticas de la VPN de Capa 2.

También puede iniciar sesión en la consola de la CLI de la instancia de Edge cliente y servidor VPN de Capa 2 y ejecute el comando show service l2vpn para verificar el estado del túnel.

Para obtener más información sobre este comando, consulte la guía NSX Referencia de la interfaz de línea de comandos.


VMware, Inc. 353

Escenario: eliminar una red VLAN o VXLAN ampliadaEn este escenario, el objetivo es eliminar la ampliación de Capa 2 que se extiende la red VLAN 10 del sitio A a la red VXLAN 5010 del sitio B.

Requisitos previos

Asegúrese de que configuró la ampliación de Capa 2 entre las redes VLAN (identificador de VLAN: 10 y 11) del sitio A a las redes VXLAN (VNI: 5010 y 5011) del sitio B. Consulte Escenario: agregar una red VLAN o VXLAN ampliada.

Procedimiento


2 (Requerido) Desplácese hasta la instancia de Edge cliente VPN de Capa 2 del sitio A y detenga el servicio VPN de Capa 2.

3 (Requerido) Desplácese hasta la instancia de Edge servidor VPN de Capa 2 del sitio B y detenga el servicio VPN de Capa 2.

4 En la instancia de Edge servidor VPN de Capa 2, elimine la subinterfaz "sub_vxlan1" de la interfaz troncal "vnic1".

a Desplácese hasta los ajustes de la interfaz de la instancia de Edge. Para ello, haga clic en Administrar (Manage) > Ajustes (Settings) > Interfaces (Interfaces).

b Seleccione la interfaz vnic1 y haga clic en el icono Editar (Editar) ( o ).

c En Subinterfaces (Sub Interfaces), seleccione sub_vxlan1 y haga clic en el icono Eliminar

(Delete) ( o ).

d Haga clic en Guardar (Save) o Aceptar (OK).

5 En la instancia de Edge cliente VPN de Capa 2, elimine la subinterfaz "sub_vlan1" de la interfaz troncal "vnic2".

a Desplácese hasta los ajustes de la interfaz de la instancia de Edge. Para ello, haga clic en Administrar (Manage) > Ajustes (Settings) > Interfaces (Interfaces).

b Seleccione la interfaz vnic2 y haga clic en el icono Editar (Editar) ( o ).

c En Subinterfaces (Sub Interfaces), seleccione sub_vlan1 y haga clic en el icono Eliminar

(Delete) ( o ).

d Haga clic en Guardar (Save) o Aceptar (OK).

Se eliminarán las suinterfaces que extienden la red VLAN 10 del sitio A a la red VXLAN 5010 del sitio B.

Pasos siguientes

n En el sitio A, desplácese hasta la página VPN de Capa 2 (L2 VPN) de la instancia de Edge cliente. Como podrá comprobar, no aparece la interfaz "sub_vlan1" en Interfaces ampliadas (Stretched Interfaces). Sin embargo, sigue existiendo la otra interfaz ampliada "sub_vlan2".


VMware, Inc. 354

n En el sitio B, desplácese hasta la página VPN de Capa 2 (L2 VPN) de la instancia de Edge servidor. Como podrá comprobar, no aparece la interfaz "sub_vxlan1" en Interfaces ampliadas (Stretched Interfaces) del sitio del mismo nivel (sitio-A). Sin embargo, sigue existiendo la otra interfaz ampliada "sub_vxlan2".


VMware, Inc. 355

Equilibrador de carga lógico 16El equilibrador de carga de NSX Edge habilita el servicio de disponibilidad alta y distribuye la carga del tráfico de red entre varios servidores. Distribuye las solicitudes de servicio entrante de manera uniforme entre varios servidores de forma tal que la distribución de carga sea transparente para los usuarios. Así, el equilibrio de carga ayuda a lograr una utilización de recursos óptima, maximizar la capacidad de proceso, minimizar el tiempo de respuesta y evitar la sobrecarga. NSX Edge proporciona el equilibrio de carga hasta la capa 7.

Usted asigna una dirección IP externa, o pública, a un conjunto de servidores internos para el equilibrio de la carga. El equilibrador de carga acepta las solicitudes TCP, UDP, HTTP o HTTPS en la dirección IP externa y decide qué servidor interno se va a utilizar. El puerto 80 es el puerto predeterminado para HTTP y el puerto 443 es el puerto predeterminado para HTTPS.

Debe contar con una instancia de NSX Edge que funcione para poder equilibrar la carga. Para obtener información sobre cómo configurar NSX Edge, consulte Configuración de NSX Edge.

Para obtener información sobre cómo configurar un certificado de NSX Edge, consulte Trabajar con certificados.

Las características del equilibrio de carga de NSX son las siguientes:

n Protocolos: TCP, UDP, HTTP, HTTPS

n Algoritmos: weighted round robin, hash de IP, URI y least connection

n Terminación SSL con aceleración AES-NI

n Protocolo de puente SSL (SSL de cliente + SSL de servidor)

n Administración de certificados SSL

n Reenvío del encabezado X para identificar el cliente

n Modo transparente de Carga 4 o 7

n Limitación de conexiones

n Habilitar o deshabilitar servidores individuales (miembros del grupo) para realizar tareas de mantenimiento

n Métodos de comprobación de estado (TCP, HTTP y HTTPS)

n Supervisión de la comprobación del estado mejorada

n Métodos estables o de persistencia: SourceIP, MSRDP, COOKIE, SSLSESSIONID

VMware, Inc. 356

n Modo one-arm

n Modo en línea

n Redirección y reescritura de direcciones URL

n Reglas de aplicaciones para la administración avanzada del tráfico

n Compatibilidad estable con las sesiones de HA para el equilibrio de carga del proxy de Capa 7

n Compatibilidad con IPv6

n CLI del equilibrador de carga mejorado para solucionar problemas

n Disponible en todas las versiones de una puerta de enlace de servicios NSX Edge con la recomendación de Extra grande o Cuádruple para el tráfico de producción

TopologíasExisten dos tipos de servicios de equilibrio de carga que se pueden configurar en NSX: el modo one-arm (también denominado modo proxy) o el modo en línea (al que también se le conoce como el modo transparente).

Equilibrado de carga lógico de NSX: topología en líneaEl modo en línea o transparente implementa el NSX Edge en línea en el tráfico destinado a la granja de servidores. El flujo de tráfico del modo transparente se procesa de la siguiente manera:

n El cliente externo envía tráfico a la dirección IP virtual (VIP) expuesta por el equilibrador de carga.

n El equilibrador de carga (una instancia centralizada de NSX Edge) solo realiza la NAT de destino (DNAT) para reemplazar la VIP por la dirección IP de uno de los servidores implementados en la granja de servidores.

n El servidor de la granja de servidores responden a la dirección IP de cliente original. El equilibrador de carga vuelve a recibir el tráfico puesto que está implementado en línea, por lo general, como la puerta de enlace predeterminada para la granja de servidores.

n El equilibrador de carga realiza NAT de origen para enviar el tráfico al cliente externo, utilizando su VIP como dirección IP de origen.


VMware, Inc. 357

V

Fase 1

IP DST 192.168.20.20

DST 80

VLAN

192.168.20.20 TCP 80

El tráfico de servidor siempre vuelve a SLB

El enrutamientoconsume recursos de SLB

192.168.1.3(Seleccionada)

192.168.1.2

192.168.1.1

Conmutadorlógico

(VXLAN)

Dirección del cliente172.30.40.7

Puerta de enlace deservicios NSX Edge

SRC 172.30.40.7

SRC 1025

TCP

Fase 4

IP DST 172.30.40.7

DST 1025

SRC 192.168.20.20

SRC 80

TCP

Fase 2 (DNAT)

IP DST 192.168.1.3

DST 80

SRC 172.30.40.7

SRC 1025

TCP

Fase 3

IP DST 172.30.40.7

DST 1025

SRC 192.168.1.3

SRC 80

TCP

Equilibrado de carga lógico de NSX: topología One-ArmedEl modo One-Armed o Proxy consiste en implementar una instancia de NSX Edge directamente a la red lógica en la que se requieren los servicios de equilibrado de carga.

n El cliente externo envía tráfico a la dirección IP virtual (VIP) expuesta por el equilibrador de carga.

n El equilibrador de carga realiza dos traducciones de direcciones en los paquetes originales recibidos del cliente: NAT de destino (DNAT) para reemplazar la VIP por la dirección IP de uno de los servidores implementados en la granja de servidores y NAT de origen (SNAT) para reemplazar la dirección I del cliente por la dirección IP que identifica al propio equilibrador de carga. SNAT se requiere para forzar al tráfico a regresar a través del equilibrador de carga desde la granja de servidores hasta el cliente

n El servidor de la granja de servidores responde enviando el tráfico al equilibrador de carga de acuerdo con la funcionalidad SNAT.

n El equilibrador de carga vuelve a realizar un servicio NAT de origen y destino para enviar el tráfico al cliente externo, utilizando su VIP como dirección IP de origen.


VMware, Inc. 358

V

Fase 1

IP DST 192.168.1.20

DST 80

VLAN

192.168.1.20TCP 80

Fácil inserción No se detectala IP del cliente

Solución alternativa para el encabezado de HTTP

Reenvío de X (X-Forwarded-For HTTP)


192.168.1.2

192.168.1.1

Conmutadorlógico

(VXLAN)


Puerta de enlacede servicios de

NSX Edge

SRC 172.30.40.7

SRC 1025

TCP

Fase 4

IP DST 172.30.40.7

DST 1025

SRC 192.168.1.20

SRC 80

TCP

Fase 2 (DNAT + SNAT)

IP DST 192.168.1.3

DST 80

SRC 192.168.1.20

SRC 4099

TCP

Fase 3

IP DST 192.168.1.20

DST 4099

SRC 192.168.1.3

SRC 80

TCP

SLB


n Configurar equilibrio de carga

n Administrar perfiles de aplicaciones


VMware, Inc. 359

n Administrar monitores de servicio

n Administrar grupos de servidores

n Administrar servidores virtuales

n Administrar reglas de aplicaciones

n Servidores web de equilibrio de carga que utilizan autenticación NTLM

n Modos de conexión HTTP del equilibrador de carga

n Escenarios de configuración del equilibrador de carga de NSX

Configurar equilibrio de cargaEl equilibrador de carga de NSX Edge distribuye el tráfico de red por varios servidores para optimizar el uso de los recursos, ofrecer redundancia y distribuir el uso de los recursos.

El equilibrador de carga de NSX es compatible con los motores del equilibrio de carga de Capa 4 y Capa 7. El equilibrador de carga de Capa 4 se basa en paquetes y proporciona un procesamiento rápido de ruta de acceso. El equilibrador de carga de Capa 7 se basa en sockets y permite realizar manipulaciones avanzadas en el tráfico y mitigar los ataques DDOS para servicios back-end.

El equilibrio de carga basado en paquetes se implementa en la capa de TCP y UDP. El equilibrio de carga basado en paquetes no detiene la conexión ni almacena en el búfer la solicitud completa, envía el paquete directamente al servidor seleccionado tras manipular el paquete. Las sesiones de TCP y UDP se mantienen en el equilibrador de carga para que los paquetes de una sesión única se dirijan al mismo servidor. Puede seleccionar Aceleración habilitada (Acceleration Enabled) tanto en la configuración global como en la configuración de los servidores virtuales relevantes para habilitar el equilibrio de carga basado en paquetes.

Se implementa equilibrio de carga basado en sockets en la parte superior de la interfaz del socket. Se establecen dos conexiones para una única solicitud, una conexión orientada al cliente y una conexión orientada al servidor. La conexión orientada al servidor se establece tras la selección del servidor. Para la implementación basada en socket de HTTP, se recibe la solicitud completa antes de enviarla al servidor seleccionado con la manipulación de Capa 7 opcional. Para la implementación basada en socket de HTTPS, la información de autenticación se intercambia en la conexión orientada al cliente o bien en la conexión orientada al servidor. El equilibrio de carga basado en socket es el modo predeterminado para los servidores virtuales de TCP, HTTP y HTTPS.

Los conceptos clave del equilibrador de carga de NSX incluyen:

Servidor virtual Resumen del servicio de una aplicación, representado por una combinación única de IP, puerto, protocolos y perfil de aplicación, como TCP o UDP.

Grupo de servidores Grupo de servidores backend.

Miembro del grupo de servidores

Representa el servidor backend como miembro en un grupo.


VMware, Inc. 360

Supervisión del servicio

Define cómo comprobar el estado de un servidor backend.

Perfil de aplicación Representa la configuración en lo relativo a los protocolos TCP y UDP, la persistencia y los certificados para una determinada aplicación.

Empiece por configurar las opciones globales del equilibrador de carga y, a continuación, cree un grupo de servidores de miembros de servidores back-end y asocie un monitor de servicio al grupo para administrar y compartir los servidores back-end de forma eficiente.

A continuación puede crear un perfil de aplicación para definir el comportamiento de la aplicación común en un equilibrador de carga como por ejemplo, el cliente SSL, el servidor SSL, x-forwarded-for o la persistencia. La persistencia envía solicitudes posteriores con características similares, la IP de origen o la cookie deben enviarse al mismo miembro del grupo, sin ejecutar el algoritmo de equilibrio de carga. Los perfiles de la aplicación se pueden volver a usar en los servidores virtuales.

Se puede crear una regla de aplicación opcional para establecer la configuración específica de las aplicaciones para la manipulación del tráfico como por ejemplo, hacer coincidir una URL o un nombre de host concretos para que distintos grupos puedan llevar a cabo distintas solicitudes. A continuación puede crear un monitor de servicio específico para la aplicación o bien utilizar un monitor de servicio creado anteriormente.

Otra opción consistiría en crear una regla de aplicación para permitir las funcionalidades avanzadas de los servidores virtuales de Capa 7. Algunos usos típicos para las reglas de aplicación son la conmutación de contenido, la manipulación de encabezados, las reglas de seguridad y la protección frente a ataques de denegación de servicio (DOS).

Por último, cree un servidor virtual que conecte entre sí su grupo de servidores, su perfil de aplicación y cualquier posible regla de aplicación.

Cuando el servidor virtual recibe una solicitud, el algoritmo del equilibrio de carga tiene en cuenta la configuración del miembro del grupo y el estado del tiempo de ejecución. El algoritmo calcula el grupo apropiado para distribuir el tráfico e incluye a uno o varios miembros. La configuración de los miembros del grupo incluye opciones como peso, conexión máxima y estado de la condición. El estado del tiempo de ejecución incluye las conexiones actuales, el tiempo de respuesta y la información sobre el estado de mantenimiento. Los métodos de cálculo pueden ser round-robin, weighted round-robin, least connection, hash de IP de origen, weighted least connections, URL, URI o encabezado HTTP.

El monitor de servicio asociado supervisa a cada grupo. Cuando el equilibrador de carga detecta un problema en un servidor del grupo, lo marca como fuera de servicio (DOWN). Solo se selecciona el servidor activo (UP) cuando se elige un miembro del grupo de servidores. Si el grupo de servidores no está configurado con un monitor de servicio, todos los miembros del grupo se consideran activos (UP).

Nota Para obtener información sobre cómo solucionar problemas relacionados con el equilibrador de carga, consulte la Guía para solucionar problemas de NSX.

n Configurar el servicio de equilibrador de carga


VMware, Inc. 361

n Crear un monitor de servicio

El monitor de servicio se crea para definir los parámetros de comprobación de estado de un tipo de tráfico de red en especial. Cuando asocia un monitor de servicio con un grupo, los miembros del grupo se supervisan según los parámetros del monitor de servicio.

n Agregar un grupo de servidores

Puede agregar un grupo de servidores para administrar y compartir servidores de back-end de forma flexible y eficaz. Un grupo de servidores administra los métodos de distribución de equilibradores de carga e incluye un monitor de servicio asociado para los parámetros de comprobación de estado.

n Crear un perfil de aplicación

Utilice perfiles de aplicación para mejorar el control sobre la administración del tráfico de red y así hará que las tareas de administración de tráfico sean más sencillas y eficientes.

n Agregar una regla de aplicación

Puede escribir una regla de aplicación para manipular directamente el tráfico de las aplicaciones y administrarlo.

n Agregar servidores virtuales

Es posible agregar una interfaz interna o de vínculo superior de NSX Edge como un servidor virtual.

Configurar el servicio de equilibrador de carga

Procedimiento




4 Haga clic en Administrar (Manage) > Equilibrador de carga (Load Balancer) > Configuración global (Global Configuration).

5 Junto a Configuración global del equilibrador de carga (Load Balancer Global Configuration), haga clic en Editar (Edit).


VMware, Inc. 362

6 Indique los parámetros de configuración global del equilibrador de carga.


Equilibrador de carga Permite que el equilibrador de carga de NSX Edge distribuya tráfico a servidores internos para equilibrar la carga.

Aceleración (Acceleration) Cuando se deshabilita, todas las direcciones IP virtuales (VIP) utilizan el motor LB de Capa 7.

Cuando se habilita, la IP virtual utiliza el motor LB de Capa 7 o el motor LB de Capa 4 más rápido (según la configuración de la dirección VIP).

La dirección VIP de Capa 4 ["Aceleración habilitada" (Acceleration enabled) en la configuración de la VIP y ninguna configuración de Capa 7 como AppProfile con persistencia de cookie o descarga de SSL] se procesa antes del firewall de Edge y no se necesita ninguna regla del firewall de Edge para comunicarse con la dirección VIP. Sin embargo, si la dirección VIP está utilizando un grupo en el modo no transparente, debe habilitarse el firewall de Edge (para permitir la regla SNAT creada automáticamente).

Las direcciones VIP HTTP/HTTPS de Capa 7 ["Aceleración deshabilitada" (Acceleration disabled) o la configuración de Capa 7 como AppProfile con persistencia de cookie o descarga de SSL] se procesan después del firewall de Edge y se necesita una regla para permitir al firewall de Edge comunicarse con la dirección VIP.

Nota: Si desea comprobar qué motor LB utiliza el equilibrador de carga de NSX para cada dirección VIP, ejecute el siguiente comando en la CLI de NSX Edge (SSH o la consola): "show service loadbalancer virtual" y busque el campo "LB PROTOCOL [L4|L7]".

Registro (Logging) El equilibrador de carga de NSX Edge recopila registros de tráfico.

Puede seleccionar el nivel de registro en el menú desplegable. Los registros se exportan al servidor syslog configurado. Asimismo, puede utilizar el comando show log follow para incluir los registros del equilibrio de carga en una lista.

Las opciones de depuración e información registran las solicitudes de usuarios finales. Las opciones de advertencia, error y críticas no registran las solicitudes de usuarios finales. Si el registro de nivel de Control de NSX Edge se establece como depuración o información, el equilibrador de carga registra estadísticas de los miembros del grupo, los grupos, vip y lb cada minuto.

Tenga en cuenta que, al ejecutarlo con las opciones de depuración o de información, se consume espacio de partición de registro de Edge y CPU, y esto puede afectar ligeramente a la capacidad máxima de administración de tráfico.

Habilitar inserción de servicios (Enable Service Insertion)

Permite que el equilibrador de carga funcione con servicios de proveedores de terceros.

Si tiene un servicio de equilibrador de carga de terceros implementado en su entorno, consulte Usar el equilibrador de carga de un partner.

Atención Desde la versión 6.4.5 de NSX, ya no se admite la integración de servicios de terceros.



VMware, Inc. 363

Crear un monitor de servicioEl monitor de servicio se crea para definir los parámetros de comprobación de estado de un tipo de tráfico de red en especial. Cuando asocia un monitor de servicio con un grupo, los miembros del grupo se supervisan según los parámetros del monitor de servicio.

Se admiten los siguientes tipos de supervisión: ICMP, TCP, UDP, HTTP, HTTPS, DNS, MSSQL y LDAP.

Procedimiento




4 Haga clic en Administrar (Manage) > Equilibrador de carga (Load Balancer) > Supervisión del servicio (Service Monitoring).


6 Introduzca un Nombre (Name) para el monitor de servicio.

Intervalo (Interval), Tiempo de espera (Timeout) y Límite de reintentos (Max Retries) son parámetros comunes para todos los tipos de comprobaciones de estado.

7 Introduzca el Intervalo (Interval) en segundos que se debe usar para probar un servidor.

El intervalo es el periodo de tiempo en segundos durante el que el monitor envía solicitudes al servidor back-end.

8 Introduzca el valor de Tiempo de espera (Timeout). En cada comprobación de estado, el valor del tiempo de espera es el tiempo máximo (en segundos) dentro del cual se debe recibir una respuesta del servidor.

9 Introduzca el Límite de reintentos (Max Retries). Este valor es el número de veces que el servidor se prueba antes de declararse INACTIVO (DOWN).

Por ejemplo, si el valor de Intervalo (Interval) se establece en 5 segundos, Tiempo de espera (Timeout) en 15 segundos y Límite de reintentos (Max Retries) en 3, el equilibrador de carga de NSX sondeará el servidor back-end cada 5 segundos. En cada sondeo, si la respuesta esperada se recibe desde el servidor en un plazo de 15 segundos, el resultado de la comprobación de estado será CORRECTO (OK). En caso contrario, el resultado será CRÍTICO (CRITICAL). Si los tres resultados de las comprobaciones de estado recientes son FUERA DE SERVICIO (DOWN), el servidor se marca como FUERA DE SERVICIO (DOWN).

10 En el menú desplegable Tipo (Type) seleccione cómo se debe enviar la solicitud de comprobación de estado al servidor. Se admiten los siguientes tipos de monitor: ICMP, TCP, UDP, HTTP, HTTPS, DNS, MSSQL y LDAP. Se integran tres supervisiones predefinidas en el sistema: default_tcp_monitor, default_http_monitor y default_https_monitor.

11 Si selecciona ICMP como el tipo de monitor, no se podrán aplicar otros parámetros. Deje el resto de parámetros vacío.


VMware, Inc. 364

12 Si selecciona TCP como el tipo de supervisión, hay tres parámetros más disponibles: Enviar (Send), Recibir (Receive) y Extensión (Extension).

a Enviar (Send) (opcional): la cadena se envía al servidor back-end después de que se establezca una conexión. La longitud máxima permitida de la cadena es de 256 caracteres.

b Recibir (Receive) (opcional): Introduzca la cadena que debe coincidir. Esta cadena puede ser un encabezado o en el cuerpo de la respuesta. El servidor solo se considerará ACTIVO (UP) si la cadena recibida coincide con esta definición.

c Extensión (Extension): Introduzca los parámetros de supervisión avanzados como pares key=value en la sección Extensión (Extension).

Por ejemplo, warning=10 indica que si un servidor no responde en un lapso de 10 segundos, el estado se establecerá como advertencia (warning).

Todos los elementos de extensión deben separarse con un carácter de retorno de carro.

Tabla 16-1. Extensiones para el protocolo TCP

Extensión del monitor Descripción

escape Se pueden utilizar \n, \r, \t o \ en la cadena send o quit. Debe aparecer antes de la opción send o quit. Valor predeterminado: nada agregado a send, \r\n agregado al final de quit.

all Todas las cadenas esperadas deben estar presentes en la respuesta del servidor. El valor predeterminado es any.

quit=STRING Cadena para enviar al servidor para iniciar un cierre correcto de la conexión.

refuse=ok|warn|crit Se aceptan los rechazos de TCP en los estados ok, warn o crit. El valor predeterminado es crit.

mismatch=ok|warn|crit Se aceptan las faltas de coincidencia de la cadena esperada con los estados ok, warn o crit. El valor predeterminado es warn.

jail Se ocultan los resultados del socket de TCP.

maxbytes=INTEGER Se cierra la conexión cuando se recibe una cantidad de bytes superior a la especificada.

delay=INTEGER Segundos que se deben esperar entre el envío de la cadena y el sondeo de la respuesta.

certificate=INTEGER[,INTEGER] Cantidad mínima de días que debe tener de validez un certificado. El primer valor es #days para la advertencia y el segundo valor es critical (si no se especifica, 0).

warning=DOUBLE Tiempo de respuesta en segundos antes de que aparezca el estado de advertencia.

critical=DOUBLE Tiempo de respuesta en segundos antes de que aparezca el estado crítico.


VMware, Inc. 365

13 Si selecciona HTTP o HTTPS como el tipo de monitor, realice los siguientes pasos:

a Esperada (Expected) (opcional): Introduzca la cadena que la supervisión espera que coincida en la línea de estado de la respuesta de HTTP en la sección Esperada (Expected). Se trata de una lista separada con comas.

Por ejemplo, 200, 301, 302, 401.

b Método (Method) (opcional): Seleccione el método para detectar el estado del servidor en el menú desplegable: GET, OPTIONS o POST.

c URL (opcional): Introduzca la URL en GET o POST ("/" de forma predeterminada).

d Si selecciona el método POST, introduzca los datos que deben enviarse en la sección Negrita (Bold).


VMware, Inc. 366

e Introduzca la cadena que debe coincidir con la respuesta en la sección Recibir (Receive). Esta cadena puede ser un encabezado o en el cuerpo de la respuesta.

Si no coincide con la cadena de la sección esperada (Expected section), el monitor no intentará coincidir con el contenido de recepción.

Ejemplo del formato JSON: La validación de respuesta contiene "{"Healthy":true}": receive={\"Healthy\":true}

f Extensión (Extension): Introduzca los parámetros de supervisión avanzados como pares key=value en la sección Extensión (Extension).



Nota Para eregi, regex y ereg, si la cadena contiene { } y “, debe agregar un carácter \ tras analizar la cadena para el formato JSON. Ejemplo del formato JSON: La validación de respuesta contiene "{"Healthy":true}": eregi="\{\"Healthy\":true\}".

Tabla 16-2. Extensiones para el protocolo HTTP/HTTPS


no-body No esperar el cuerpo del documento: se interrumpe la lectura después de los encabezados. Observe que se siguen haciendo llamadas HTTP/GET o POST, no HEAD.

ssl-version=3 Forzar protocolo de enlace de SSL a través de sslv3.

Sslv3 y tlsv1 están deshabilitadas de forma predeterminada en la opción para comprobar el estado.

ssl-version=10 Forzar protocolo de enlace de SSL a través de tls 1.0.



max-age=SECONDS Se advierte si el documento tiene más de segundos de antigüedad que el valor que se especifica en SECONDS. El número también puede tener el formato 10m para minutos, 10h para horas o 10d para días.

content-type=STRING Se especifica el tipo de medios de encabezado Content-Type en las llamadas POST.

linespan Se permite que la expresión regular expanda líneas nuevas (debe preceder -r o -R).

regex=STRING o ereg=STRING Se busca la expresión regular STRING en la página.

eregi=STRING Se busca la expresión regular STRING sin distinguir entre mayúsculas y minúsculas en la página.

Por ejemplo:

n La validación de respuesta contiene "OK1" u "OK2": eregi="(OK1|OK2)"


VMware, Inc. 367

Tabla 16-2. Extensiones para el protocolo HTTP/HTTPS (continuación)


n La validación de respuesta contiene "{"Healthy":true}": eregi="{\"Healthy\":true}"

invert-regex Se devuelve CRITICAL si se encuentra, OK si no.

proxy-authorization=AUTH_PAIR Username:password en servidores proxy con autenticación básica.

useragent=STRING Cadena que se debe enviar en encabezado HTTP como User Agent

header=STRING Cualquier otra etiqueta que se debe enviar en un encabezado HTTP. Se utiliza varias veces para encabezados adicionales.

Por ejemplo:

header="Host: app1.xyz.com

onredirect=ok|warning|critical|follow|sticky|stickyport Cómo controlar las páginas redirigidas. sticky es como follow, pero se queda con la dirección IP especificada. stickyport también garantiza que el puerto permanezca igual.

pagesize=INTEGER:INTEGER Tamaño de página mínimo necesario (bytes) : tamaño de página máximo necesario (bytes).

warning=DOUBLE Tiempo de respuesta en segundos antes de que aparezca el estado de advertencia.

critical=DOUBLE Tiempo de respuesta en segundos antes de que aparezca el estado crítico.

expect = STRING Lista de cadenas delimitada por comas. Al menos una de ellas se espera que aparezca en la primera línea (estado) de la respuesta del servidor (de forma predeterminada: HTTP/1) si el valor especificado omite todas las secuencias lógicas de la línea de estado (por ejemplo: procesamiento 3xx, 4xx, 5xx)

string = STRING Cadena que se espera en el contenido.

url = PATH URL en GET o POST (de forma predeterminada: /).

post = STRING URL para codificar los datos de http POST.

method = STRING Configure el método HTTP (por ejemplo, HEAD, OPTIONS, TRACE, PUT o DELETE).

timeout = INTEGER Segundos antes de que se agote el tiempo de espera de conexión (el valor predeterminado es 10 segundos).

header=Host:nombre_host -H nombre_host --sni nombre_host es un nombre de host válido o un FQDN del host.

Cree un monitor de servicio independiente para cada host virtual y agregue una extensión de indicación de nombre de servidor (SNI) en cada monitor de servicio.


VMware, Inc. 368

Tabla 16-3. Extensiones para el protocolo HTTPS


certificate=INTEGER Cantidad mínima de días que debe tener de validez un certificado. El valor predeterminado del puerto es 443. Cuando se utiliza esta opción, no se comprueba la URL.

authorization=AUTH_PAIR Username:password en sitios con autenticación básica.

ciphers=’ECDHE-RSA-AES256-GCM-SHA384’ Mostrar los cifrados utilizados para comprobar el estado de HTTPS.

14 Si selecciona UDP como tipo de monitor, realice los siguientes pasos:

a Enviar (Send) (obligatorio): introduzca la cadena que se debe enviar al servidor back-end después de que se establezca una conexión.

b Recibir (requerido): introduzca la cadena que se espera que se reciba del servidor backend. El servidor solo se considerará ACTIVO (UP) si la cadena recibida coincide con esta definición.

Nota El monitor UDP no admite ninguna extensión.

15 Si selecciona DNS como tipo de monitor, realice los siguientes pasos:

a Enviar (Send) (obligatorio): Introduzca la cadena que se debe enviar al servidor backend después de que se haya establecido una conexión.

b Recibir: introduzca la cadena que se espera que se reciba del servidor backend. El servidor solo se considerará activo si la cadena recibida coincide con esta definición.

c Extensión (Extension): Introduzca los parámetros de supervisión avanzados como pares key=value en la sección Extensión (Extension).

Por ejemplo, warning=10 indica que si un servidor no responde en un lapso de 10 segundos, el estado se establecerá como advertencia (warning). Este tipo de monitor solo admite el protocolo TCP.


Tabla 16-4. Extensiones para el protocolo DNS


querytype=TYPE Opcional: Tipo de consulta de registro de DNS en el que TYPE =A, AAAA, SRV, TXT, MX, CNAME, ANY.

n A=Dirección de host IPv4

n AAAA=Dirección de host IPv6

n SRV=Localizador de servicios

n TXT=Registro de texto

n MX=Intercambio de correo para el registro del dominio

n CNAME=Nombre canónico de un registro de alias

El tipo de consulta predeterminado es A.

expect-authority Opcional: El servidor DNS solicitará autorización para realizar búsquedas.


VMware, Inc. 369

Tabla 16-4. Extensiones para el protocolo DNS (continuación)


accept-cname Opcional: Acepta las respuestas de cname como un resultado válido de una consulta. Se utiliza junto a querytype=CNAME.

El valor predeterminado es ignorar las respuestas de cname como parte del resultado.

warning=seconds Opcional: Devuelve un mensaje de ADVERTENCIA si el tiempo transcurrido supera el valor proporcionado.

Está desactivado de forma predeterminada.

critical=seconds Opcional: Devuelve un mensaje de alerta CRÍTICA si el tiempo transcurrido supera el valor proporcionado.

Está desactivado de forma predeterminada.

16 Si selecciona MSSQL como tipo de monitor, realice los siguientes pasos:

a Enviar (Send): introduzca la cadena que se debe ejecutar en el servidor back-end después de que se establezca una conexión.

b Recibir: introduzca la cadena que se espera que se reciba del servidor backend. El servidor solo se considerará activo si la cadena recibida coincide con esta definición.

c Nombre de usuario (User Name), Contraseña (Password) y Confirmar contraseña (Confirm password) (obligatorios): introduzca los valores para estos campos obligatorios. Como el monitor está asociado a un grupo, debe asignar a los servidores MSSQL del grupo el mismo nombre de usuario y la misma contraseña que especifique aquí.

d Extensión (Extension): Introduzca los parámetros de supervisión avanzados como pares key=value en la sección Extensión (Extension).



Tabla 16-5. Extensiones para el protocolo MSSQL


database=DBNAME Opcional: Nombre de la base de datos a la que conectarse.

Esta extensión es obligatoria cuando se utiliza el parámetro Enviar (Send) o storedproc.

storedproc=STOREPROC Opcional: Es un procedimiento almacenado que se ejecuta en el servidor MSSQL.


VMware, Inc. 370

17 Si selecciona LDAP como tipo de monitor, realice los siguientes pasos:

a Contraseña (Password) y Confirmar contraseña (Confirm password) (opcionales): Introduzca los valores obligatorios para estos campos.

b Extensión (Extension): Introduzca los parámetros de supervisión avanzados como pares key=value en la sección Extensión (Extension).



Tabla 16-6. Extensiones para el protocolo LDAP


attr=’ATTR’ Opcional: El atributo LDAP para realizar la búsqueda (valor predeterminado: ‘(objectclass=*)’.

Debe utilizar attr junto con el rango crit-entires.

base=’cn=admin,dc=example,dc=com’ Obligatorio: Base de LDAP (por ejemplo: ou=my unit, o=my org, c=at.

Ver2 o ver3 Opcional:

n ver2: se usará el protocolo LDAP versión 2.

n ver3: se usará el protocolo LDAP versión 3.

La versión predeterminada del protocolo es la 2.

bind=BINDDN Opcional: Use un nombre distintivo (DN) de enlace LDAP (si fuera necesario).

Para obtener más información, consulte https://www.ldap.com/the-ldap-bind-operation.

crit=DOUBLE Opcional: El tiempo de respuesta que debe pasar para mostrar el estado CRÍTICO (segundos).

crit-entries=low:high Opcional: El número de entradas que se deben encontrar para mostrar el estado CRÍTICO.

Si el número de entradas encontradas está fuera del rango [low, high], el resultado de comprobación será CRÍTICO.


Pasos siguientes

Asocie un monitor de servicio con un grupo.

Agregar un grupo de servidoresPuede agregar un grupo de servidores para administrar y compartir servidores de back-end de forma flexible y eficaz. Un grupo de servidores administra los métodos de distribución de equilibradores de carga e incluye un monitor de servicio asociado para los parámetros de comprobación de estado.

Procedimiento



VMware, Inc. 371

https://www.ldap.com/the-ldap-bind-operation

https://www.ldap.com/the-ldap-bind-operation



4 Haga clic en Administrar (Manage) > Equilibrador de carga (Load Balancer) > Grupos (Pools).


6 Introduzca un nombre y una descripción para el grupo de equilibradores de carga.

7 Seleccione el método de equilibrio del algoritmo para cada servicio habilitado.


IP-HASH Selecciona un servidor según un hash de la dirección IP de origen y el peso total de los servidores en ejecución.

Los parámetros del algoritmo se deshabilitan para esta opción.

LEASTCONN Se distribuyen las solicitudes de los clientes entre varios servidores según la cantidad de conexiones existentes en el servidor.

Las conexiones nuevas se envían al servidor con menos conexiones.


ROUND_ROBIN Se utiliza un servidor por vez según el peso que se le haya asignado a cada uno.

Este es el algoritmo más uniforme y justo para mantener el tiempo de procesamiento de cada servidor distribuido equitativamente.


URI Se aplica un hash sobre la porción izquierda del URI (antes del signo de interrogación) que se divide entre el peso total de los servidores en ejecución.

El resultado permite designar el servidor que recibirá la solicitud. Esto garantiza que cada URI se dirija siempre al mismo servidor si ningún servidor se activa o desactiva.

El parámetro del algoritmo URI tiene dos opciones uriLength=<len> y uriDepth=<dep>. El rango del parámetro de longitud debe ser 1<=len<256. El rango del parámetro de profundidad debe ser 1<=dep<10.

Los parámetros de longitud y de profundidad están seguidos de un número entero positivo. Estas opciones pueden equilibrar los servidores según el principio del URI exclusivamente. El parámetro de longitud indica que el algoritmo solo debe considerar los caracteres definidos al principio del URI para calcular el hash.

El parámetro de profundidad indica la profundidad del directorio que se va a utilizar para calcular el hash. Se cuenta un nivel por cada barra diagonal en la solicitud. Si se especifican ambos parámetros, la evaluación se detiene cuando se llega a cualquiera de los dos.


VMware, Inc. 372


HTTPHEADER El nombre del encabezado HTTP se busca en cada solicitud HTTP.

El nombre del encabezado entre paréntesis no distingue entre mayúsculas y minúsculas, de forma similar a la función ACL "hdr()". Si no hay encabezado o este no contiene ningún valor, se aplicará el algoritmo round robin.

El parámetro del algoritmo HTTPHEADER tiene una opción headerName=<name>. Por ejemplo, puede utilizar host como el parámetro del algoritmo HTTPHEADER.

URL El parámetro URL especificado en el argumento se busca en la cadena de consulta de cada solicitud HTTP GET.

Si el parámetro está seguido de un signo igual (=) y un valor, el valor se dividirá entre el peso total de los servidores en ejecución y se le aplicará un hash. El resultado permite designar el servidor que recibirá la solicitud. Este proceso se utiliza para realizar el seguimiento de los identificadores de usuario de las solicitudes y para garantizar que se envía el mismo ID de usuario al mismo servidor, a menos que el servidor se active o se desactive.

Si no se encuentra ningún parámetro o ningún valor, se aplica un parámetro round robin.

El parámetro del algoritmo URL tiene una opción urlParam=<url>.

8 (opcional) Seleccione un monitor personalizado o uno predeterminado del menú desplegable Monitores (Monitors).

9 (opcional) Seleccione el tipo de tráfico de direcciones IP para el grupo. El valor predeterminado es cualquier tráfico de direcciones IP.

10 Para que los servidores back-end puedan ver las direcciones IP del cliente, habilite la opción Transparente (Transparent). Para obtener más información, consulte Capítulo 16 Equilibrador de carga lógico.

Cuando la opción Transparente (Transparent) no está seleccionada (valor predeterminado), los servidores back-end consieran la dirección IP de origen del tráfico como una dirección IP interna del equilibrador de carga. Cuando esta opción está seleccionada, la dirección IP de origen es la dirección IP real del cliente y NSX Edge debe configurarse como la puerta de enlace predeterminada para que los paquetes devueltos pasen por el dispositivo NSX Edge.

11 Agregue miembros al grupo.


b Introduzca el nombre y la dirección IP del miembro del servidor o haga clic en Seleccionar (Select) para asignar objetos de grupo.

Nota VMware Tools debe estar instalado en cada máquina virtual o debe disponerse de un método de detección de IP habilitado (sondeo DHCP o ARP, o ambos) cuando se utilicen objetos de agrupación en lugar de direcciones IP. Para obtener más información, consulte Detección de IP para máquinas virtuales.

Los objetos de agrupación pueden ser vCenter Server o NSX.


VMware, Inc. 373

c Seleccione el estado miembro como Habilitar (Enable), Deshabilitar (Disable) o Purgar (Drain).

n Purgar (Drain): fuerza al servidor para que se apague de forma controlada con el fin de realizar tareas de mantenimiento. Si se configura el miembro del grupo como "purgar", el servidor back-end no puede equilibrar la carga, pero se puede utilizar para conexiones existentes y nuevas de clientes con persistencia en dicho servidor. Los métodos de persistencia que funcionan con el estado de purga son la persistencia de IP de origen, la inserción de cookie y el prefijo de cookie.

Nota El estado de purga no se puede habilitar en un equilibrador de carga de NSX Edge para el que se haya configurado la opción Habilitar aceleración (Enable Acceleration). Consulte Configurar el servicio de equilibrador de carga para obtener más información.

Nota Habilitar y deshabilitar la configuración de High Availability en NSX Edge puede romper la persistencia y el estado de purga con el método de persistencia de la IP de origen.

n Habilitar (Enable): quita el servidor del modo de mantenimiento y hace que vuelva a estar operativo. El estado de miembro de grupo debe ser Purgar (Drain) o Deshabilitado (Disabled).

n Deshabilitar (Disable): el servidor permanece en modo de mantenimiento.

Nota No puede cambiar el estado de miembro de un grupo de Deshabilitado (Disabled) a Purgar (Drain).

d Introduzca el puerto en el que el miembro recibirá el tráfico y el puerto de supervisión en el que el miembro recibirá los pings de estado.

El valor del puerto debe ser nulo si el servidor virtual relacionado se configura con un rango de puerto.

e En Peso (Weight), introduzca la proporción del tráfico que este miembro puede controlar.

f Introduzca la cantidad máxima de conexiones simultáneas que el miembro puede manejar.

Cuando las solicitudes entrantes superen la cantidad máxima, se colocarán en cola hasta que se libere una conexión.

g Introduzca la cantidad mínima de conexiones simultáneas que un miembro debe aceptar siempre.

h Haga clic en Aceptar (OK).


Crear un perfil de aplicaciónUtilice perfiles de aplicación para mejorar el control sobre la administración del tráfico de red y así hará que las tareas de administración de tráfico sean más sencillas y eficientes.


VMware, Inc. 374

Puede crear un perfil de aplicación para definir el comportamiento de un tipo de tráfico de red en particular. Después de configurar un perfil, este debe asociarse con un servidor virtual. A continuación, el servidor virtual procesa el tráfico según los valores especificados en el perfil.

En los temas siguientes, se explican los pasos que se deben realizar para crear los distintos tipos de perfil de aplicación.

n Crear un perfil de aplicación de TCP o UDP

Para crear un perfil de aplicación que equilibre el tipo de tráfico TCP o UDP, especifique el nombre y el tipo de persistencia en el perfil.

n Crear un perfil de aplicación de HTTP

Para crear un perfil de aplicación que equilibre el tipo de tráfico HTTP, indique el nombre, la URL de redireccionamiento de HTTP y el tipo de persistencia en el perfil. También puede optar por insertar el encabezado X-forwarded-for-HTTP.

n Crear un perfil de aplicación de HTTPS

Puede crear un perfil de aplicación de HTTPS para tres tipos de tráfico HTTPS: acceso directo a SSL, descarga de HTTPS y HTTPS de extremo a extremo. El flujo de trabajo para crear el perfil de aplicación es diferente para cada tipo de tráfico HTTPS.

Crear un perfil de aplicación de TCP o UDPPara crear un perfil de aplicación que equilibre el tipo de tráfico TCP o UDP, especifique el nombre y el tipo de persistencia en el perfil.

Procedimiento




4 Haga clic en Administrar (Manage) > Equilibrador de carga (Load Balancer) > Perfiles de aplicación (Application Profiles).


Se abrirá la ventana Nuevo perfil de aplicación (New Application Profile).


VMware, Inc. 375

6 Indique los parámetros del perfil de aplicación.

a Seleccione el tipo de perfil (TCP o UDP).

b Introduzca un nombre para el perfil de aplicación.

c Seleccione un tipo de persistencia.

La persistencia realiza un seguimiento de los datos de la sesión, como el miembro del grupo específico que procesó una solicitud de cliente, y los almacena. Con la persistencia, las solicitudes del cliente se dirigen al mismo miembro del grupo durante toda una sesión o durante las sesiones posteriores.

Persistencia Descripción

IP de origen Este tipo de persistencia realiza un seguimiento de las sesiones según la dirección IP de origen.

Cuando un cliente solicita una conexión a un servidor virtual que admite la persistencia de dirección IP de origen, el equilibrador de carga comprueba si ese cliente se conectó anteriormente. Si lo hizo, el equilibrador de carga devuelve al cliente al mismo miembro del grupo.

MSRDP Este tipo de persistencia mantiene las sesiones persistentes entre los clientes y los servidores Windows que ejecutan el servicio de Protocolo de escritorio remoto (Remote Desktop Protocol, RDP) de Microsoft.

Por ejemplo, puede habilitar la persistencia de MSRDP para crear un grupo de equilibro de carga compuesto por miembros que ejecutan Windows Server 2003 o Windows Server 2008. En este escenario, todos los miembros pertenecen a un clúster de Windows y participan en un directorio de sesión de Windows.

Este tipo de persistencia solo está disponible para un perfil de aplicación con protocolo TCP.


Crear un perfil de aplicación de HTTPPara crear un perfil de aplicación que equilibre el tipo de tráfico HTTP, indique el nombre, la URL de redireccionamiento de HTTP y el tipo de persistencia en el perfil. También puede optar por insertar el encabezado X-forwarded-for-HTTP.

Procedimiento








VMware, Inc. 376

6 Indique las propiedades del perfil de aplicación.

a Seleccione el tipo de perfil HTTP.

b Introduzca un nombre para el perfil de aplicación.

c Introduzca la URL a la que quiere redirigir el tráfico HTTP.

Por ejemplo, puede redirigir el tráfico de http://miweb.com a https://miweb.com.

d Seleccione un tipo de persistencia.

La persistencia realiza un seguimiento de los datos de la sesión, como el miembro del grupo específico que procesó una solicitud de cliente, y los almacena. Con la persistencia, las solicitudes del cliente se dirigen al mismo miembro del grupo durante toda una sesión o durante las sesiones posteriores.




Cookie Este tipo de persistencia inserta una cookie única para identificar la sesión la primera vez que un cliente accede al sitio.

En las solicitudes posteriores se acude a la cookie para persistir en la conexión al servidor apropiado.

7 Si ha seleccionado el tipo de persistencia Cookie, introduzca el nombre de la cookie y establezca el

modo de inserción de la cookie. En caso contrario, continúe con el siguiente paso.

Modo Descripción

Insertar (Insert) NSX Edge envía una cookie.

Si el servidor envía una o varias cookies, el cliente recibe una cookie adicional (las cookies del servidor y la cookie de Edge). Si el servidor no envía ninguna cookie, el cliente recibe la cookie de Edge.

Prefijo (Prefix) Seleccione este modo si el cliente no admite más de una cookie.

Todos los navegadores aceptan varias cookies. Si dispone de una aplicación registrada que utilice un cliente registrado que admite solo una cookie, el servidor web envía su cookie de la forma habitual. NSX Edge inserta la información de la cookie como un prefijo en el valor de la cookie del servidor. Esta información agregada de la cookie se elimina cuando la instancia de Edge la envía al servidor.

Sesión de la aplicación En este modo, la aplicación no admite una nueva cookie agregada por el servidor virtual (insertar), ni admite una cookie modificada (prefijo).

El servidor virtual conoce la cookie insertada por el servidor back-end. Cuando el cliente presenta esa cookie, el servidor virtual envía la solicitud del cliente al mismo servidor back-end. No es posible ver la tabla de persistencia de Sesión de aplicación (App Session) para la solución de problemas.


VMware, Inc. 377

8 (opcional) Para identificar la dirección IP de origen de un cliente que se conecta a un servidor web a través del equilibrador de carga, habilite la opción Insertar encabezado X-Forwarded-For HTTP (Insert X-Forwarded-For HTTP header).


Crear un perfil de aplicación de HTTPSPuede crear un perfil de aplicación de HTTPS para tres tipos de tráfico HTTPS: acceso directo a SSL, descarga de HTTPS y HTTPS de extremo a extremo. El flujo de trabajo para crear el perfil de aplicación es diferente para cada tipo de tráfico HTTPS.

Nota n Desde la versión 6.4.5 de NSX, el menú desplegable Tipo de perfil de aplicación (Application

Profile Type) incluye opciones diferentes que permiten crear un perfil para cada uno de los tres tipos de tráfico HTTPS.

n En NSX 6.4.4 y versiones anteriores, el menú desplegable Tipo (Type) solo contiene una única opción HTTPS. Si quiere crear un perfil para uno de los tres tipos de tráfico HTTPS, debe especificar los parámetros de perfil correspondientes.

Desde la versión 6.4.5 de NSX, se han modificado las terminologías de interfaz de usuario de un par de parámetros del perfil de HTTPS. Los cambios se incluyen en la tabla siguiente.

NSX 6.4.4 y versiones anteriores NSX 6.4.5 y versiones posteriores

Certificados de servidor virtual (Virtual Server Certificates) SSL cliente (Client SSL)

Certificados de grupo (Pool Certificates) Servidor SSL (Server SSL)

En la siguiente tabla, se describen los tres tipos de tráfico HTTPS.

Tabla 16-7. Tipos de tráfico HTTPS

Tipo de tráfico HTTPS Descripción

Acceso directo a SSL Se permiten las reglas de aplicación relacionadas con atributos SSL sin necesidad de requerir una terminación SSL en el equilibrador de carga.

El patrón de tráfico es: Cliente -> HTTPS-> LB (acceso directo a SSL) -> HTTPS -> Servidor.

Descarga de HTTPS Se produce un equilibro de carga basado en HTTP. SSL termina en el equilibrador de carga y se utiliza HTTP entre el equilibrador de carga y el grupo de servidores.

El patrón de tráfico es: Cliente -> HTTPS-> LB (final de SSL) -> HTTP -> Servidor.

HTTPS de extremo a extremo Se produce un equilibro de carga basado en HTTP. SSL termina en el equilibrador de carga y se utiliza HTTPS entre el equilibrador de carga y el grupo de servidores.

El patrón de tráfico es: Cliente -> HTTPS-> LB (final de SSL) -> HTTPS -> Servidor.

La siguiente tabla describe la persistencia compatible con los tipos de tráfico HTTPS.


VMware, Inc. 378

Tabla 16-8. Tipos de persistencia compatibles




ID de sesión SSL Este tipo de persistencia está disponible cuando crea un perfil para el tipo de tráfico de acceso directo a SSL.

La persistencia de ID de sesión SSL garantiza que las conexiones repetidas del mismo cliente se envíen al mismo servidor. La persistencia de ID de sesión permite reanudar la sesión SSL, lo que ahorra tiempo de procesamiento tanto al cliente como al servidor.

Cookie Este tipo de persistencia inserta una cookie única para identificar la sesión la primera vez que un cliente accede al sitio.

En las solicitudes posteriores se acude a la cookie para persistir en la conexión al servidor apropiado.

En el caso de los tipos de persistencia IP de origen e ID de sesión SSL, puede introducir el tiempo de caducidad de la persistencia en segundos. El valor predeterminado de la persistencia es de 300 segundos (5 minutos).

Recordatorio La tabla de persistencia tiene un tamaño limitado. Si el tráfico es intenso, un valor elevado de tiempo de espera puede causar que la tabla de persistencia se rellene lentamente. Cuando se llena la tabla de persistencia, se elimina la entrada más antigua para aceptar la entrada más reciente.

La tabla de persistencia del equilibrador de carga mantiene las entradas para registrar que las solicitudes de los clientes se dirigen al mismo miembro del grupo.

n Si no se reciben nuevas solicitudes de conexión del mismo cliente dentro del tiempo de espera, la entrada de persistencia caducará y se eliminará.

n Si se recibe una nueva solicitud de conexión del mismo cliente dentro del tiempo de espera, se restablecerá el temporizador y se enviará la solicitud de cliente a un miembro estable del grupo.

n Una vez transcurrido el tiempo de espera, se enviarán nuevas solicitudes de conexión a un miembro del grupo asignado por el algoritmo de equilibrio de carga.

En el escenario de persistencia de la IP de origen de la TCP del equilibrio de carga de Capa 7, el tiempo de espera de la entrada de persistencia se agota si no se producen nuevas conexiones TCP durante un periodo de tiempo, aunque las conexiones existentes aún estén activas.

La tabla siguiente indica los conjuntos de claves de cifrado aprobados que se pueden utilizar para negociar los ajustes de seguridad durante el enlace de SSL o TLS.

Tabla 16-9. Conjuntos de claves de cifrado aprobados

Valor de cifrado Nombre de cifrado

DEFAULT DEFAULT

ECDHE-RSA-AES128-GCM-SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256


VMware, Inc. 379

Tabla 16-9. Conjuntos de claves de cifrado aprobados (continuación)

Valor de cifrado Nombre de cifrado

ECDHE-RSA-AES256-GCM-SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

ECDHE-RSA-AES256-SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

ECDHE-ECDSA-AES256-SHA TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

ECDH-ECDSA-AES256-SHA TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA

ECDH-RSA-AES256-SHA TLS_ECDH_RSA_WITH_AES_256_CBC_SHA

AES256-SHA TLS_RSA_WITH_AES_256_CBC_SHA

AES128-SHA TLS_RSA_WITH_AES_128_CBC_SHA

DES-CBC3-SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

ECDHE-RSA-AES128-SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

ECDHE-RSA-AES128-SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

ECDHE-RSA-AES256-SHA384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

AES128-SHA256 TLS_RSA_WITH_AES_128_CBC_SHA256

AES128-GCM-SHA256 TLS_RSA_WITH_AES_128_GCM_SHA256

AES256-SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256

AES256-GCM-SHA384 TLS_RSA_WITH_AES_256_GCM_SHA384

El procedimiento siguiente explica los pasos que permiten crear un perfil de aplicación para cada uno de los tres tipos de tráfico HTTPS.

Procedimiento








VMware, Inc. 380

6 Indique los parámetros del perfil de aplicación.

Pasos para el tipo de tráfico Acceso directo a SSL


6.4.5 y posteriores a En el menú desplegable Tipo de perfil de aplicación (Application Profile Type), seleccione Acceso directo a SSL (SSL Passthrough).

b Introduzca el nombre del perfil.

c Seleccione el tipo de persistencia.

d Introduzca el tiempo de caducidad de la persistencia.

e Haga clic en Agregar (Add).

6.4.4 y anteriores a Introduzca el nombre del perfil.

b En el menú desplegable Tipo (Type), seleccione HTTPS.

c Seleccione la casilla Habilitar Passthrough SSL (Enable SSL Passthrough).

d Seleccione el tipo de persistencia.

e Introduzca el tiempo de caducidad de la persistencia.

f Haga clic en Aceptar (OK).


VMware, Inc. 381

Pasos para el tipo de tráfico Descarga de HTTPS


6.4.5 y posteriores a En el menú desplegable Tipo de perfil de aplicación (Application Profile Type), seleccione Descarga de HTTPS (HTTPS Offloading).


c Introduzca la URL a la que quiere redirigir el tráfico HTTP.

d Seleccione el tipo de persistencia.

n Para el tipo de persistencia Cookie, introduzca el nombre de la cookie y seleccione el modo de inserción de la cookie. Para obtener una descripción de cada modo de cookie, consulte Crear un perfil de aplicación de HTTP.

n Para el tipo de persistencia IP de origen, introduzca el tiempo de caducidad de la persistencia.

e Opcional: Para identificar la dirección IP de origen de un cliente que se conecta a un servidor web a través del equilibrador de carga, habilite la opción Insertar encabezado X-Forwarded-For HTTP (Insert X-Forwarded-For HTTP header).

f Haga clic en la pestaña SSL cliente (Client SSL).g Seleccione uno o varios algoritmos de clave de cifrado o un conjunto de claves

de cifrado para utilizarlos durante el enlace de SSL. Asegúrese de que el conjunto de claves de cifrado aprobado contiene la longitud de la clave DH superior o igual a 1024 bits.

h Especifique si la autenticación de clientes se debe ignorar o debe ser obligatoria. Si es necesario, el cliente deberá proporcionar un certificado tras la cancelación de la solicitud o del enlace.

i Seleccione el certificado de servicio, el certificado de CA y la CRL requeridos que debe utilizar el perfil para finalizar el tráfico HTTPS del cliente en el equilibrador de carga.

j Haga clic en Agregar (Add).



c Siga los pasos indicados en esta tabla para NSX 6.4.5 y versiones posteriores si quiere establecer los parámetros del perfil de aplicación siguientes:

n URL de redireccionamiento de HTTP (HTTP Redirect URL)

n Persistencia (Persistence)

n Insertar encabezado X-Forwarded-For HTTP (Insert X-Forwarded-For HTTP header)

d Haga clic en la pestaña Certificados de servidor virtual (Virtual Server Certificates).

e Siga los pasos indicados en esta tabla para NSX 6.4.5 y versiones posteriores si quiere establecer algoritmos de clave de cifrado y la autenticación de cliente.

f Haga clic en Configurar certificados de servicio (Configure Service Certificates) y seleccione el certificado de servicio, el certificado de CA y la CRL requeridos que debe utilizar el perfil para finalizar el tráfico HTTPS del cliente en el equilibrador de carga.

g Haga clic en Aceptar (OK). Pasos para el tipo de tráfico HTTPS de extremo a extremo


VMware, Inc. 382

En este tipo de perfil de aplicación, especifica los parámetros de SSL cliente (certificados de servidor Virtual) y los parámetros de servidor SSL (SSL del grupo).

Los parámetros de servidor SSL se utilizan para autenticar el equilibrador de carga del servidor. Si el equilibrador de carga de Edge tiene un certificado de CA y una CRL ya configurados y el equilibrador de carga necesita verificar un certificado de servicio de los servidores back-end, seleccione el certificado de servicio. También puede proporcionar el certificado del equilibrador de carga al servidor back-end si este servidor necesita verificar el certificado de servicio del equilibrador de carga.


6.4.5 y posteriores a En el menú desplegable Tipo de perfil de aplicación (Application Profile Type), seleccione HTTPS de extremo a extremo (HTTPS End-to-End).


c Siga los pasos indicados en la tabla para crear un perfil de descarga de HTTPS si quiere establecer los siguientes parámetros del perfil de aplicación:




n SSL cliente (Client SSL): algoritmos de clave de cifrado, autenticación de cliente, certificado de servicio, certificado de CA y CRL

d Haga clic en la pestaña Servidor SSL (SSL Server) y seleccione los algoritmos de clave de cifrado, así como el certificado de servicio, el certificado de CA y la CRL requeridos para autenticar el equilibrador de carga del sevidor.

e Haga clic en Agregar (Add).



c Siga los pasos indicados en la tabla para crear un perfil de descarga de HTTPS si quiere establecer los siguientes parámetros del perfil de aplicación:




n Certificados de servidor virtual (Virtual Server Certificates): algoritmos de clave de cifrado, autenticación de cliente, certificado de servicio, certificado de CA y CRL

d Seleccione la casilla de verificación Habilitar SSL del grupo (Enable Pool Side SSL) para habilitar la comunicación HTTPS entre el equilibrador de carga y los servidores back-end.

e Seleccione los algoritmos de clave de cifrado, así como el certificado de servicio, el certificado de CA y la CRL requeridos para autenticar el equilibrador de carga del sevidor.

f Haga clic en Aceptar (OK).

Agregar una regla de aplicaciónPuede escribir una regla de aplicación para manipular directamente el tráfico de las aplicaciones y administrarlo.


VMware, Inc. 383

Para consultar ejemplos de reglas de aplicación, vaya a Ejemplos de reglas de aplicación.

Procedimiento




4 Haga clic en Administrar (Manage) > Equilibrador de carga (Load Balancer) > Reglas de aplicaciones (Application Rules).


6 Introduzca un nombre y un script para la regla.

Para obtener información sobre la sintaxis de las reglas de aplicaciones, consulte http://cbonte.github.io/haproxy-dconv/.


Ejemplos de reglas de aplicaciónReglas de aplicación utilizadas habitualmente.

Redireccionamiento de HTTP/HTTPS basado en condición

Un perfil de aplicación permite especificar una redirección HTTP/HTTPS, en la cual el tráfico se redirige siempre, independientemente de las direcciones URL de solicitud. También se obtiene flexibilidad para especificar las condiciones en las que se debe redirigir el tráfico HTTP/HTTPS.

move the login URL only to HTTPS.

acl clear dst_port 80

acl secure dst_port 8080

acl login_page url_beg /login

acl logout url_beg /logout

acl uid_given url_reg /login?userid=[^&]+

acl cookie_set hdr_sub(cookie) SEEN=1

redirect prefix https://mysite.com set-cookie SEEN=1 if !cookie_set

redirect prefix https://mysite.com if login_page !secure

redirect prefix http://mysite.com drop-query if login_page !uid_given

redirect location http://mysite.com/ if !login_page secure

redirect location / clear-cookie USERID= if logout

Enrutamiento por nombre de dominio

Es posible crear una regla de aplicación para dirigir las solicitudes a un grupo de equilibradores de carga específico según el nombre de dominio. La siguiente regla dirige las solicitudes de foo.com a pool_1 y las solicitudes de bar.com a pool_2.

acl is_foo hdr_dom(host) -i foo

acl is_bar hdr_dom(host) -i bar

use_backend pool_1 if is_foo

use_backend pool_2 if is_bar


VMware, Inc. 384

http://cbonte.github.io/haproxy-dconv/

http://cbonte.github.io/haproxy-dconv/

Protección y equilibrio de carga RDP de Microsoft

En el siguiente escenario de prueba, el equilibrador de carga envía un nuevo usuario al servidor menos cargado y reanuda una sesión interrumpida. La dirección IP de la interfaz interna de NSX Edge para este escenario es 10.0.0.18, la dirección IP de la interfaz interna es 192.168.1.1 y los servidores virtuales son 192.168.1.100, 192.168.1.101, y 192.168.1.102.

1 Cree un perfil de aplicación para el tráfico de TCP con persistencia de Escritorio remoto de Microsoft (MSRDP).

2 Cree una supervisión de estado de TCP (tcp_monitor).

3 Cree un grupo (llamado rdp-pool) con 192.168.1.100:3389, 192.168.1.101:3389 y 192.168.1.102:3389 como miembros.

4 Asocie tcp_monitor con rdp-pool.

5 Cree la siguiente regla de aplicación.

tcp-request content track-sc1 rdp_cookie(mstshash) table rdp-pool

tcp-request content track-sc2 src table ipv4_ip_table

# each single IP can have up to 2 connections on the VDI infrastructure

tcp-request content reject if { sc2_conn_cur ge 2 }

# each single IP can try up to 5 connections in a single minute

tcp-request content reject if { sc2_conn_rate ge 10 }

# Each user is supposed to get a single active connection at a time, block the second one

tcp-request content reject if { sc1_conn_cur ge 2 }

# if a user tried to get connected at least 10 times over the last minute,

# it could be a brute force

tcp-request content reject if { sc1_conn_rate ge 10 }

6 Cree un servidor virtual (con el nombre rdp-vs).

7 Asocie el perfil de aplicación a este servidor virtual y agregue la regla de aplicación creada en el paso 4.

Esta regla aplicada recientemente en el servidor virtual protege los servidores RDP.

Registro avanzado

De forma predeterminada, el equilibrador de carga de NSX es compatible con el inicio de sesión básico. Es posible crear una regla de aplicación mediante los siguientes pasos para ver mensajes de registro más detallados para la solución de problemas.

# log the name of the virtual server

capture request header Host len 32

# log the amount of data uploaded during a POST

capture request header Content-Length len 10

# log the beginning of the referrer


VMware, Inc. 385

capture request header Referer len 20

# server name (useful for outgoing proxies only)

capture response header Server len 20

# logging the content-length is useful with "option logasap"

capture response header Content-Length len 10

# log the expected cache behaviour on the response

capture response header Cache-Control len 8

# the Via header will report the next proxy's name

capture response header Via len 20

# log the URL location during a redirection

capture response header Location len 20

Después de asociar la regla de aplicación al servidor virtual, los registros incluirán mensajes detallados como los que se muestran en el siguiente ejemplo.

2013-04-25T09:18:17+00:00 edge-187 loadbalancer[18498]: [org1]: 10.117.7.117 - - [25/Apr/

2013:09:18:16 +0000] "GET /favicon.ico HTTP/1.1" 404 1440 "" "" 51656 856 "vip-http-complete"

"pool-http-complete" "m2" 145 0 1 26 172 --NI 1 1 0 0 0 0 0 "" "" "10.117.35.187" "Mozilla/5.0

(Windows NT 6.1; WOW64) AppleWebKit/537.31

(KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31" "Apache/2.2.15 (Linux" ""

2013-04-25T09:18:17+00:00 edge-187 loadbalancer[18498]: [org1]: 10.117.7.117 - - [25/Apr/

2013:09:18:16 +0000] "GET /favicon.ico HTTP/1.1" 404 1440 "" "" 51657 856 "vip-http-complete"

"pool-http-complete" "m2" 412 0 0 2 414 --NI 0 0 0 0 0 0 0 "" "" "10.117.35.187" "Mozilla/5.0

(Windows NT 6.1; WOW64) AppleWebKit/537.31

(KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31" "Apache/2.2.15 (Linux" ""

Para solucionar problemas en el tráfico HTTPS, es posible que sea necesario agregar más reglas. La mayoría de las aplicaciones web utilizan respuestas 301/302 con un encabezado de ubicación para redirigir el cliente a una página (casi siempre después de un inicio de sesión o una llamada POST) y también requieren una cookie de aplicación. Es por eso que el servidor de aplicaciones puede tener dificultades para conocer la información de conexión del cliente y no pueda proporcionar las respuestas correctas; incluso puede impedir que la aplicación funcione.

Para permitir que una aplicación web admita la descarga de SSL, agregue la siguiente regla.

# See clearly in the log if the application is setting up response for HTTP or HTTPS

capture response header Location len 32

capture response header Set-Cookie len 32

# Provide client side connection info to application server over HTTP header

http-request set-header X-Forwarded-Proto https if { ssl_fc }

http-request set-header X-Forwarded-Proto http if !{ ssl_fc }


VMware, Inc. 386

El equilibrador de carga insertará el siguiente encabezado cuando la conexión se establezca mediante SSL.

X-Forwarded-Proto: https

El equilibrador de carga insertará el siguiente encabezado cuando la conexión se establezca mediante HTTP.

X-Forwarded-Proto: http

Bloquear URL específicas

Es posible bloquear solicitudes que tengan palabras clave específicas en la URL. La siguiente regla comprueba si la solicitud empieza por /private o /finance y bloquea las solicitudes que tienen dichos términos.

# Check if the request starts with "/private" or "/finance" (case insensitive)

acl block_url_list path_beg -i /private /finance

# If the request is part of the list forbidden urls,reply "Forbidden"(HTTP response code

403)

http-request deny if block_url_list

Redireccionamiento de autenticación HTTP si no hay cookies

Es posible redireccionar la solicitud de un cliente que no tenga cookies para obtener una autenticación. La siguiente regla comprueba si la solicitud de HTTP es auténtica y tiene cookies en el encabezado. Si la solicitud no tiene cookies, la regla redirecciona la solicitud a / authent.php para la autenticación.

acl authent_url url /authent.php

acl cookie_present hdr_sub(cookie) cookie1=

redirect prefix /authent.php if !authent_url !cookie_present

Redireccionamiento de la página predeterminada

Es posible redireccionar la solicitud del cliente / a una página predeterminada. La siguiente regla comprueba si la solicitud de HTTP es / y redirecciona la solicitud a la página de inicio de sesión predeterminada.

acl default_url url /

redirect location /login.php if default_url

Redireccionamiento al sitio de mantenimiento

Cuando el grupo primario esté fuera de servicio, puede usar un grupo de servidores de mantenimiento y redireccionar la URL a la página web de mantenimiento.

redirect location http://maitenance.xyz.com/maintenance.htm


VMware, Inc. 387

Autenticación NT LAN Manager (NTLM)

De forma predeterminada en el lado del servidor, NSX cierra la conexión TCP después de cada solicitud. Si no desea cerrar la sesión del servidor tras cada solicitud, puede mantener dicha sesión activa y segura con el protocolo NTLM.

no option http-server-close

De forma predeterminada en el lado del cliente, NSX mantiene la conexión TCP establecida entre las solicitudes. Sin embargo, con la opción "Reenvío de X" (X-Forwarded-For), la sesión se cierra después de cada solicitud. La siguiente opción mantiene abierta la conexión del cliente entre las solicitudes, incluso si XFF está configurado.

no option httpclose

Reemplazar el encabezado del servidor

Puede eliminar el encabezado del servidor de la respuesta existente y reemplazarlo por otro servidor. La siguiente regla de ejemplo elimina el encabezado del servidor y lo reemplaza por el servidor web NGINX que puede actuar como servidor proxy inverso para los protocolos HTTP, HTTPS, SMTP, POP3, y IMAP, la caché HTTP y un equilibrador de carga.

rspidel Server

rspadd Server:\ nginx

Volver a escribir el redireccionamiento

Puede cambiar el encabezado de ubicación de HTTP a HTTPS. La siguiente regla de ejemplo identifica el encabezado de ubicación y reemplaza HTTP por HTTPS.

rspirep ^Location:\ http://(.*) Location:\ https://\1

Seleccionar un grupo específico basado en un host

Puede redireccionar solicitudes con un host específico a los grupos definidos. La siguiente regla de ejemplo revisa la solicitud de los hosts específicos app1.xyz.com, app2.xyz.com y host_any_app3 y redirecciona estas solicitudes respectivamente a los grupos definidos pool_app1, o pool_app2 y pool_app3. El resto de las solicitudes se redireccionan a los grupos existentes definidos en el servidor virtual.

acl host_app1 hdr(Host) -i app1.xyz.com

acl host_app2 hdr(Host) -i app2.xyz.com

acl host_any_app3 hdr_beg(host) -i app3

Use un grupo específico para cada nombre de host.

use_backend pool_app1 if host_app1

use_backend pool_app2 if host_app2

use_backend pool_app3 if host_any_app3


VMware, Inc. 388

Seleccionar un grupo específico basado en URL

Puede redireccionar solicitudes con palabras clave de URL a los grupos específicos. La siguiente regla de ejemplo comprueba si la solicitud comienza por /private o /finance y las redirecciona a los grupos definidos, pool_private o pool_finance. El resto de las solicitudes se redireccionan a los grupos existentes definidos en el servidor virtual.

acl site_private path_beg -i /private

acl site_finance path_beg -i /finance

use_backend pool_private if site_private

use_backend pool_finance if site_finance

Redireccionar cuando el grupo principal está fuera de servicio

Si los servidores están fuera de servicio en el grupo principal, puede redireccionar usuarios para utilizar los servidores en el grupo secundario. La siguiente regla de ejemplo comprueba que pool_production está fuera de servicio y transfiere los usuarios a pool_sorry_server.

acl pool_production_down nbsrv(pool_production) eq 0

use_backend pool_sorry_server if pool_production_down

Conexión a TCP de la lista blanca

Puede bloquear las direcciones IP cliente para que no accedan al servidor. La siguiente regla de muestra bloquea la dirección IP definida y restablece la conexión si la dirección IP del cliente no está en la lista blanca.

acl whitelist src 10.10.10.0 20.20.20.0

tcp-request connection reject if !whitelist

Habilitar sslv3 y tlsv1

Las extensiones de supervisión de servicio sslv3 y tlsv1 están deshabilitadas de forma predeterminada. Puede habilitarlas mediante la siguiente regla de aplicación.

sslv3 enable

tlsv1 enable

Configurar el tiempo de espera de la sesión del cliente

El tiempo de espera de la sesión es el tiempo de inactividad de conexión máximo en el lado de cliente. El tiempo de espera de inactividad se aplica cuando se espera que el cliente confirme o envíe datos. En el modo HTTP, es importante considerar este tiempo de espera durante la primera fase, cuando el cliente envía la solicitud y durante la respuesta mientras el cliente está leyendo los datos enviados por el servidor. El valor del tiempo de espera por defecto es de cinco minutos.

La siguiente regla de muestra establece el periodo de tiempo de espera en 100 segundos.

timeout client 100s

Se puede establecer el tiempo como número entero con milisegundos, segundos, minutos, horas o días.


VMware, Inc. 389

Redireccionamiento al sitio HTTPS

Puede redirigir los clientes que llegan sobre HTTP a la misma página en HTTPS.

# Redirect all HTTP requests to same URI but HTTPS redirect scheme

https if !{ ssl_fc }

También dispone de otra opción:

rspirep ^Location:\ http://(.*) Location:\ https://\1

Redirigir los clientes no autenticados

Redirige las peticiones de clientes a "/authent.php" si no tienen una cookie.

# Check the HTTP request if request is "/authent.php"

acl authent_url url /authent.php

# Check the cookie "cookie1" is present

acl cookie_present hdr_sub(cookie) cookie1=

# If the request is NOT "/authent.php" and there is no cookie, then redirect to "/authent.php"

redirect prefix /authent.php if !authent_url !cookie_present

Reescritura de encabezado de respuesta HTTP

Sustituya el encabezado del servidor de respuesta "Servidor" (Server) por el valor "nginx".

# Delete the existing Response Server header "Server"

rspidel Server

# Add the Response Server header "Server" with the value "nginx"

rspadd Server:\ nginx

Servidor de respaldo

En caso de que todos los servidores del grupo principal estén inactivos, utilice los servidores del grupo secundario,

# detect if pool "pool_production" is still up

acl pool_production_down nbsrv(pool_production) eq 0

# use pool "pool_sorry_server" if "pool_production" is dead

use_backend pool_sorry_server if pool_production_down

# Option 1: # Redirect everything to maintenance site

redirect location http://maintenance.xyz.com/maintenance.htm

# Option 2: #Use a specific maintenance server pool and rewrite all URLs to maintenance.php

acl match_all always_true

use_backend maint_pool if match_all

reqirep ^GET\(.*)\HTTP/(.*) GET\ /maintenance.php\ HTTP/\2

Agregar servidores virtualesEs posible agregar una interfaz interna o de vínculo superior de NSX Edge como un servidor virtual.


VMware, Inc. 390

Requisitos previos

n Se debe disponer de un perfil de aplicación.

n Si quiere activar la aceleración para utilizar un equilibrador de carga más rápido, asegúrese de que la aceleración esté habilitada en la Configuración global (Global Configuration) del equilibrador de carga. Consulte Configurar el servicio de equilibrador de carga.

Procedimiento




4 Haga clic en Administrar (Manage) > Equilibrador de carga (Load Balancer) > Servidores virtuales (Virtual Servers).


Se abrirá la ventana Nuevo servidor virtual (New Virtual Server).

6 Introduzca la información del servidor virtual.

a Habilite el servidor virtual para poder utilizarlo.

b (opcional) Habilite la aceleración para que el equilibrador de carga utilice el motor del equilibrador de carga de Capa 4 más rápido en lugar del motor del equilibrador de carga de Capa 7.

Nota Esta configuración requiere que el firewall esté habilitado en la instancia de Edge.

Si la configuración de un servidor virtual que incluya, por ejemplo, reglas de aplicación, tipo de HTTP o persistencia de cookie, utiliza el motor del equilibrador de carga de Capa 7, se usará dicho motor independientemente de que la aceleración esté o no activada. La aceleración se debe seleccionar en la Configuración global (Global Configuration).

Puede usar el comando de la CLI show service loadbalancer virtual para confirmar el motor del equilibrador de carga que está en uso.

c Seleccione el perfil de aplicación que se asociará con el servidor virtual.

Se puede asociar un solo perfil de aplicación con el mismo protocolo que el servidor virtual que se desea agregar. Se mostrarán los servicios compatibles con el grupo seleccionado.

d Introduzca un nombre y una descripción para el servidor virtual.

e Introduzca un dirección IP o haga clic en Seleccionar dirección IP (Select IP Address)para establecer la dirección IP en la que escucha el equilibrador de carga.

La ventana Seleccionar dirección IP (Select IP Address) solo muestra la dirección IP principal. Si está creando una VIP mediante una dirección IP secundaria, introdúzcala de forma manual.

f Seleccione el protocolo que utilizará el servidor virtual.


VMware, Inc. 391

g Introduzca el número de puerto en el que el equilibrador de carga escucha.

También puede introducir un rango de puertos. Por ejemplo, para compartir la configuración de un servidor virtual que incluya, por ejemplo, grupo de servidores, perfil de aplicación y regla de aplicación, introduzca 80,8001-8004,443.

Para utilizar FTP, el protocolo TCP debe tener asignado el puerto 21.

h Seleccione la regla de aplicación.

i En el cuadro de texto Límite de conexiones (Connection Limit), especifique la cantidad máxima de conexiones simultáneas que puede procesar el servidor virtual.

j En el cuadro de texto Límite de velocidad de conexión (Connection Rate Limit), especifique la cantidad máxima de nuevas solicitudes de conexión entrantes permitidas por segundo.

k (opcional) Haga clic en la pestaña Avanzado (Advanced) y agregue la regla de aplicación para asociarla con el servidor virtual.

l Haga clic en Agregar (Add) o Aceptar (OK).

Administrar perfiles de aplicacionesTras crear un perfil de aplicaciones y asociarlo a un servidor virtual, puede actualizar el perfil existente o bien eliminarlo para reducir el consumo de recursos del sistema.

Editar un perfil de aplicaciónEs posible editar un perfil de aplicación.

Procedimiento





5 Seleccione un perfil y haga clic en el icono Editar (Edit) ( o ).

6 Realice los cambios apropiados de tráfico, persistencia, certificado o configuración de claves de cifrado y haga clic en Guardar (Save) o Aceptar (OK).

Configurar la terminación SSL para un equilibrador de cargaSi la terminación SSL no está configurada, no se inspeccionan las solicitudes HTTP. El equilibrador de carga ve las direcciones IP de origen y de destino y los datos cifrados. Si desea inspeccionar las solicitudes HTTP, puede finalizar la sesión SSL del equilibrador de carga y crear una nueva sesión SSL a través del grupo de celdas.


VMware, Inc. 392

Requisitos previos

Acceda a Administrar (Manage) > Configuración (Settings) > Certificados (Certificates) y asegúrese de que haya un certificado válido. Puede agregar un certificado para el equilibrador de carga de cualquiera de las siguientes formas:

n Importe un archivo con codificación PEM.

n Genere una CSR.

n Cree un certificado autofirmado.

Procedimiento





5 Haga clic en Agregar (Add) y especifique los parámetros de perfil de aplicación.


6.4.5 y posteriores a En el menú desplegable Tipo de perfil de aplicación (Application Profile Type), seleccione Descarga de HTTPS (HTTPS Offloading).

b En el menú desplegable Persistencia (Persistence), seleccione Ninguna (None).

c Haga clic en SSL cliente (Client SSL) > Certificados de servicio (Service Certificates).

d Seleccione el certificado de servicio que agregó para el equilibrador de carga de NSX Edge.

6.4.4 y versiones anteriores a En el menú desplegable Tipo (Type), seleccione HTTPS.

b Asegúrese de que la casilla de verificación Habilitar acceso directo a SSL (Enable Passthrough SSL) no esté seleccionada.

c Acceda a Certificados de servidor virtual (Virtual Server Certificates) > Certificados de servicio (Service Certificates) y haga clic en la casilla de verificación Configurar certificado de servicio (Configure Service Certificate).

d Seleccione el certificado de servicio que agregó para el equilibrador de carga de NSX Edge.


Eliminar un perfil de aplicaciónEs posible eliminar un perfil de aplicación.

Procedimiento



VMware, Inc. 393




5 Seleccione un perfil y haga clic en el icono Eliminar (Delete) ( o ).

Administrar monitores de servicioEl monitor de servicio define los parámetros de comprobación de estado del equilibrador de carga.

Si usa un monitor de servicio del equilibrador de carga con alta disponibilidad (HA, High Availability), se debe habilitar HA en una interfaz dedicada.

Después de crear un monitor de servicio y asociarlo a un grupo de servidores, puede actualizar el monitor de servicio existente, o bien eliminarlo para ahorrar recursos del sistema.

Para obtener más información sobre monitores de servicio, consulte Crear un monitor de servicio.

Editar un monitor de servicioEs posible editar un monitor de servicio.

Procedimiento





5 Seleccione un monitor de servicio y haga clic en el icono Editar (Edit) ( o ).

6 Realice los cambios apropiados y haga clic en Guardar (Save) o Aceptar (OK).

Eliminar un monitor de servicioEs posible eliminar un monitor de servicio.

Procedimiento






VMware, Inc. 394

5 Seleccione un monitor de servicio y haga clic en el icono Eliminar (Delete) ( o ).

Administrar grupos de servidoresTras agregar un grupo de servidores para administrar la distribución del equilibrador de carga, puede actualizar el grupo existente o eliminarlo para guardar recursos del sistema.

Editar un grupo de servidoresEs posible editar un grupo de servidores.

Procedimiento





5 Seleccione el grupo que desea editar.



Configurar un equilibrador de carga para utilizar el modo transparenteLa opción Transparente (Transparent) indica si las direcciones IP del cliente son visibles para los servidores back-end.

Cuando agrega un grupo de servidores, el modo transparente se deshabilita de forma predeterminada. Cuando la opción Transparente (Transparent) se deshabilita, los servidores back-end consideran la IP de origen del tráfico como una IP interna del equilibrador de carga. Si este modo se habilita, la IP de origen es la IP del cliente real y NSX Edge debe estar en la ruta de la respuesta del servidor. En un diseño típico, NSX Edge debe ser la puerta de enlace predeterminada del servidor. El modo transparente no requiere SNAT.

Para obtener más información sobre el modo en línea o transparente, consulte Capítulo 16 Equilibrador de carga lógico.

Procedimiento






VMware, Inc. 395

5 Especifique los siguientes parámetros para el grupo:

n Nombre (Name)

n Descripción (Descripción)

n Algoritmo (Algorithm)

n Monitor (Monitor)

n Filtro de IP (IP Filter)

Para obtener información sobre los distintos algoritmos, consulte Agregar un grupo de servidores

6 Para habilitar el modo transparente, haga clic en el interruptor o seleccione la casilla de verificación Transparente (Transparent).

Eliminar un grupo de servidoresEs posible eliminar un grupo de servidores.

Procedimiento





5 Seleccione el grupo que desea eliminar.


Mostrar estado del grupoPuede ver el estado más reciente de un grupo y de los miembros asociados a dicho grupo.

Procedimiento





5 Haga clic en Mostrar estado (Show Status) o en Mostrar estadísticas de grupo (Show Pool Statistics).

La ventana Estado del miembro y el grupo (Pool and Member Status) muestra el estado de todos los grupos de servidores.


VMware, Inc. 396

6 Seleccione un grupo de la tabla Estadísticas y estado del grupo (Pool Status and Statistics) y consulte el estado de todos los miembros de ese grupo en la tabla Estadísticas y estado de los miembros (Member Status and Statistics).

El estado del grupo puede ser ACTIVO (UP) o INACTIVO (DOWN). El grupo se marca como INACTIVO (DOWN) cuando todos los miembros del grupo tienen dicho estado. De lo contrario, el estado del grupo será ACTIVO (UP).

El estado de los miembros puede ser uno de los siguientes:

n ACTIVO (UP): el miembro está habilitado y su estado de mantenimiento es ACTIVO (UP). O no se ha definido el monitor en el grupo.

n INACTIVO (DOWN): el miembro está habilitado y su estado de mantenimiento es INACTIVO (DOWN).

n MANT. (MAINT): el miembro está deshabilitado.

n PURGA (DRAIN): el miembro está en estado de purga.

Sugerencia Desde la versión 6.4.5 de NSX, puede hacer clic en el estado INACTIVO (DOWN) en la tabla Estadísticas y estado de los miembros (Member Status and Statistics) para determinar la causa de la inactividad del miembro. Sin embargo, en NSX 6.4.4 y versiones anteriores, debe ejecutar el comando de CLI de Edge show service loadbalancer pool para determinar la causa de la inactividad.

Administrar servidores virtualesTras agregar servidores virtuales, puede actualizar la configuración de los existentes o eliminarlos.

Editar un servidor virtualEs posible editar un servidor virtual.

Procedimiento





5 Seleccione el servidor virtual que desea editar.


7 Realice los cambios apropiados y haga clic en Guardar (Save) o Finalizar (Finish).


VMware, Inc. 397

Eliminar un servidor virtualEs posible eliminar un servidor virtual.

Procedimiento





5 Seleccione el servidor virtual que desea eliminar.


Administrar reglas de aplicacionesTras crear reglas de aplicaciones para configurar el tráfico de aplicaciones, puede editar la regla existente o bien eliminarla.

Editar una regla de aplicaciónEs posible editar una regla de aplicación.

Procedimiento





5 Seleccione una regla y haga clic en el icono Editar (Edit) ( o ).


Eliminar una regla de aplicaciónEs posible eliminar una regla de aplicación.

Procedimiento





VMware, Inc. 398


5 Seleccione una regla de aplicación y haga clic en el icono Eliminar (Delete) ( o ).

Servidores web de equilibrio de carga que utilizan autenticación NTLMEl equilibrador de carga de NSX y la autenticación NTLM requieren que la conexión del servidor se mantenga activa.

De forma predeterminada, el equilibrador de carga de NSX cierra la conexión TCP del servidor tras cada solicitud de cliente, sin embargo, la autenticación NT LAN Manager (NTLM) de Windows requiere la misma conexión para la vida útil de la solicitud autenticada y las conexiones se mantienen activas durante el transcurso de las solicitudes.

Para mantener la conexión del servidor abierta entre solicitudes, agregue la siguiente regla de aplicación a la carga de IP virtual que equilibra a los servidores web mediante autenticación NTLM:

add # NTLM authentication and keep the server connection open between requests


Modos de conexión HTTP del equilibrador de carga

En NSX Data Center for vSphere 6.1.5 y versiones posteriores, cuando habilita x-forwarded-for, el modo de conexión HTTP cambia de cierre pasivo (option httpclose) al modo cierre de servidor HTTP (option http-server-close). Esta opción de cierre de servidor mantiene abierta la conexión orientada al cliente, mientras que la conexión orientada al servidor se cierra tras recibir una respuesta del servidor. Antes de NSX Data Center for vSphere 6.1.5, el equilibrador de carga de no cerraba la conexión de forma proactiva, pero insertaba el encabezado Connection:close en ambas direcciones para indicar al cliente o al servidor que cerraran la conexión. Si una transacción de HTTP/HTTPS falla en el equilibrador de carga después de actualizar a NSX Data Center for vSphere 6.1.5 o versiones posteriores, agregue una regla de aplicación con el script option httpclose y asóciela al servidor virtual que ya no está en funcionamiento.

Cierre de servidor HTTP (opción predeterminada): la conexión orientada al servidor se cierra una vez que se recibe el final de la respuesta y la conexión orientada al cliente permanece abierta. Cierre de servidor HTTP proporciona latencia en el lado cliente (red lenta) y hace que la sesión se vuelva a utilizar de forma más rápida en el lado servidor para ahorrar recursos del servidor. También permite a los servidores que funcionan sin conexión keep-alive funcionar con este tipo de conexión desde un punto de vista de cliente. Este modo es adecuado en la mayoría de los casos, sobre todo con redes lentas orientadas al cliente y redes rápidas orientadas al servidor.


VMware, Inc. 399

HTTP Keep Alive - Todas las solicitudes y las respuestas se procesan y las conexiones permanecen abiertas, pero inactivas entre las respuestas y las solicitudes. Las ventajas son menor latencia entre las transacciones y menor necesidad de capacidad de procesamiento en el lado servidor. Los requisitos de memoria aumentarán para alojar al número de sesiones activas, que será mayor dado que las conexiones ya no se cierran después de cada solicitud. El tiempo de espera de inactividad del cliente se puede configurar con la regla de aplicación timeout http-keep-alive [time]. De forma predeterminada, el tiempo de espera de inactividad es 1 segundo. Este modo es obligatorio cuando una aplicación requiere autenticación NTLM.

Túnel HTTP: solo se procesan la primera solicitud y la primera respuesta y se establece un túnel entre el cliente y el servidor, lo que les permite comunicarse sin mayor análisis del protocolo HTTP. Tras establecer el túnel, la conexión permanece tanto en el lado de cliente como en el lado de servidor. Para habilitar este modo, ninguna de estas opciones debe estar configurada: passive-close mode, server-close mode y force-close mode.

El modo de túnel HTTP afecta a las siguientes funciones y se aplica solo a la primera solicitud y a la primera respuesta de una sesión:

n no se generan registros

n análisis del encabezado HTTP

n manipulación de encabezado HTTP

n procesamiento de cookies

n conmutación de contenido

n inserción del encabezado X-Forwarded-For

Cierre pasivo de HTTP: es igual que el modo de túnel, pero con un encabezado Connection: close agregado tanto en el lado cliente como en el lado servidor. Ambos extremos se cierran tras el primer intercambio de solicitud y de respuesta. Si se configura option httpclose, el equilibrador de carga funciona en el modo de túnel y comprueba si hay un encabezado Connection: close en cada lado. Si el encabezado no está presente, se agregará un encabezado de cierre de conexión Connection: close. A continuación, cada extremo cierra la conexión TCP de forma activa después de cada transferencia, lo que da lugar a un cambio al modo de cierre de HTTP. Se eliminará cualquier encabezado de conexión que no sea close. Las aplicaciones que no puedan procesar correctamente la segunda solicitud ni las posteriores, como una cookie insertada por el equilibrador de carga y retirada por las siguientes solicitudes del cliente, pueden usar el modo de túnel o el modo de cierre pasivo.

Algunos servidores HTTP no necesariamente cerrarán las conexiones al recibir la configuración Connection: close de option httpclose. Si el cliente tampoco cierra la conexión, esta permanecerá abierta hasta que el tiempo de espera se agote. Esto crea un gran número de conexiones simultáneas en los servidores y muestra una larga duración de la sesión global en los registros. Por este motivo, no son compatibles con navegadores antiguos HTTP 1.0. Si esto ocurre, utilice option forceclose, que cierra de forma activa la conexión de la solicitud una vez que el servidor responde. La opción forceclose también libera antes la conexión del servidor porque no tiene que esperar a que el cliente la confirme.


VMware, Inc. 400

Cierre forzado de HTTP: el equilibrador de carga cierra de forma activa tanto las conexiones del servidor como las del cliente tras la finalización de una respuesta. Algunos servidores HTTP no necesariamente cerrarán las conexiones al recibir la configuración Connection: close de option httpclose. Si el cliente tampoco cierra la conexión, esta permanecerá abierta hasta que el tiempo de espera se agote. Esto crea un gran número de conexiones simultáneas en los servidores y muestra una larga duración de la sesión global en los registros. Cuando esto ocurre, option forceclose cierra de forma activa el canal del servidor de salida cuando el servidor acaba de responder y libera algunos recursos antes que si se utilizara con option httpclose.

Versión

Modo de conexión predeterminada

Modo de conexión cuando

X-Forwarded-For

se habilita

Reglas de aplicación disponibles para cambiar el modo de conexión

6.0.x, 6.1.0, 6.1.1 Cierre de servidor HTTP

option httpclose se agrega automáticamente al servidor virtual para forzar que xff se agregue a todas las solicitudes según se especifica en el documento de HAProxy. El encabezado xff se agrega a cada solicitud del cliente cuando se realiza el envío a un servidor back-end.

No

6.1.2 - 6.1.4 Cierre de servidor HTTP

El cierre pasivo de HTTP (option httpclose se agrega automáticamente al servidor virtual)


option httpclose

no option httpclose

6.1.5 - 6.1.x 6.2.0 - 6.2.2 Cierre de servidor HTTP

El encabezado xff de cierre de servidor HTTP se agrega a cada solicitud del cliente cuando se realiza el envío al servidor back-end.


option httpclose

no option httpclose

6.2.3-6.2.5 Cierre de servidor HTTP



option httpclose

no option httpclose

6.2.3-6.2.5 Cierre de servidor HTTP



no option httpclose

option httpclose

6.2.5 - 6.2.x Cierre de servidor HTTP



option http-keep-alive

option http-tunnel

option httpclose

option forceclose


VMware, Inc. 401

Escenarios de configuración del equilibrador de carga de NSXPuede utilizar los escenarios de configuración del equilibrador de carga de NSX para comprender el flujo de trabajo de extremo a extremo necesario.

Escenario: configurar un equilibrador de carga one-armedLa puerta de enlace de servicios Edge (ESG) se puede considerar como un proxy dirigido al tráfico cliente entrante.


VMware, Inc. 402

V

Fase 1

IP DST 192.168.1.20

DST 80

VLAN

192.168.1.20TCP 80

Fácil inserción No se detectala IP del cliente

Solución alternativa para el encabezado de HTTP

Reenvío de X (X-Forwarded-For HTTP)


192.168.1.2

192.168.1.1

Conmutadorlógico

(VXLAN)


Puerta de enlacede servicios de

NSX Edge

SRC 172.30.40.7

SRC 1025

TCP

Fase 4

IP DST 172.30.40.7

DST 1025

SRC 192.168.1.20

SRC 80

TCP

Fase 2 (DNAT + SNAT)

IP DST 192.168.1.3

DST 80

SRC 192.168.1.20

SRC 4099

TCP

Fase 3

IP DST 192.168.1.20

DST 4099

SRC 192.168.1.3

SRC 80

TCP

SLB


VMware, Inc. 403

En modo proxy, el equilibrador de carga utiliza su propia dirección IP como dirección de origen para enviar solicitudes a un servidor back-end. El servidor back-end ve todo el tráfico que se envía desde el equilibrador de carga y responde directamente al equilibrador de carga. Este modo también se conoce como modo SNAT o modo no transparente. Para obtener más información, consulte la Guía de administración de NSX.

Se implementa un equilibrador de carga one-armed de NSX en la misma subred con sus servidores back-end, aparte del enrutador lógico. El servidor virtual del equilibrador de carga de NSX escucha una IP virtual para las solicitudes entrantes del cliente y envía las solicitudes a los servidores back-end. Para el tráfico de retorno, es necesario que la NAT inversa cambie la dirección IP de origen del servidor back-end a una dirección IP virtual (Virtual IP, VIP) y que, a continuación, envíe la dirección IP virtual al cliente. Sin esta operación, la conexión con el cliente puede sufrir interrupciones.

Después de que la ESG reciba el tráfico, realiza las dos operaciones siguientes:

n La traducción de direcciones de red de destino (Destination Network Address Translation, DNAT) para cambiar la dirección de VIP a la dirección IP de una de las máquinas del equilibrador de carga

n La traducción de direcciones de red de origen (Source Network Address Translation, SNAT) para intercambiar la dirección IP del cliente con la dirección IP de la ESG

A continuación, el servidor de ESG envía el tráfico al servidor del equilibrador de carga y este envía la respuesta de nuevo a la ESG y de ahí de vuelta al cliente. Esta opción es más sencilla de configurar que el modo en línea, pero debe tener en cuenta dos posibles limitaciones. La primera es que este modo necesita un servidor ESG dedicado y la segunda es que el servidor del equilibrador de carga no conoce la dirección IP del cliente original. Una solución alternativa para las aplicaciones de HTTP o HTTPS es habilitar la opción Insertar X-Forwarded-For (Insert X-Forwarded-For) en el perfil de la aplicación de HTTP para que transmita la dirección IP del cliente en el encabezado "X-Forwarded-For HTTP" de la solicitud que se envía al servidor back-end.

Si el servidor back-end necesita ver la dirección IP del cliente para otras aplicaciones que no sean de HTTP o HTTPS, puede configurar el grupo de direcciones IP para que sea transparente. Si los clientes no están en la misma subred que el servidor back-end, se recomienda utilizar el modo en línea. En caso contrario, deberá usar la dirección IP del equilibrador de carga como la puerta de enlace predeterminada del servidor back-end.

Nota Normalmente, existen tres métodos para garantizar la integridad de la conexión:

n Modo en línea/transparente

n SNAT/proxy/modo no transparente (mencionado anteriormente)

n Direct Server Return (DSR): no compatible actualmente

En el modo DSR, el servidor back-end responde directamente al cliente. Actualmente, el equilibrador de carga de NSX no admite DSR.

El procedimiento siguiente explica cómo configurar un equilibrador de carga one-armed con el tipo de perfil de aplicación de descarga de HTTPS (descarga de SSL).


VMware, Inc. 404

Procedimiento




4 Haga clic en Administrar (Manage) > Configuración (Settings) > Certificado (Certificate).

Para este escenario, agregue un certificado autofirmado.

5 Habilite el servicio del equilibrador de carga.

a Haga clic en Administrar (Manage) > Equilibrador de carga (Load Balancer) > Configuración global (Global Configuration).

b Haga clic en Editar (Edit) y habilite el equilibrador de carga.

6 Crear un perfil de aplicación de HTTPS.

a Haga clic en Administrar (Manage) > Equilibrador de carga (Load Balancer) > Perfiles de aplicación (Application Profiles).

b Haga clic en Agregar (Add) y especifique los parámetros de perfil de aplicación.


NSX 6.4.5 y posteriores 1 En el menú desplegable Tipo de perfil de aplicación (Application Profile Type), seleccione Descarga de HTTPS (HTTPS Offloading).

2 En el cuadro de texto Nombre (Name), introduzca el nombre del perfil. Por ejemplo, introduzca Web-SSL-Profile.

3 Haga clic en SSL cliente (Client SSL) > Certificados de servicio (Service Certificates).

4 Seleccione el certificado autofirmado que agregó anteriormente.

NSX 6.4.4 y anteriores 1 En el menú desplegable Tipo (Type), seleccione HTTPS.

2 En el cuadro de texto Nombre (Name), introduzca el nombre del perfil. Por ejemplo, introduzca Web-SSL-Profile.

3 Seleccione la casilla de verificación Configurar certificados de servicio (Configure Service Certificates).

4 Seleccione el certificado autofirmado que agregó anteriormente.

7 (opcional) Haga clic en Administrar (Manage) > Equilibrador de carga (Load Balancer) > Supervisión del servicio (Service Monitoring). Edite la supervisión del servicio predeterminada y cambiéla de HTTP o HTTPS básica a una URL o varios URI específicos, según sea necesario.

8 Cree un grupo de servidores.

a Haga clic en Administrar (Manage) > Equilibrador de carga (Load Balancer) > Grupos (Pools) y, a continuación, en Agregar (Add).

b En el cuadro de texto Nombre (Name), introduzca el nombre del grupo de servidores. Por ejemplo, introduzca Web-Tier-Pool-01.


VMware, Inc. 405

c En el menú desplegable Algoritmo (Algorithm), seleccione Ejecutar por turnos (round-robin) (Round-Robin).

d En el menú desplegable Monitores (Monitors), seleccione default_https_monitor.

e Agregue dos miembros al grupo.

Por ejemplo, especifique los siguientes ajustes de configuración.

Estado (State) Nombre

Dirección IP (IP Address) Weight

Puerto de supervisión (Monitor Port) Puerto

Conexiones máx. (Max Connections)

Conexiones mín. (Min Connections)

Enabled web-01a 172.16.10.11 1 443 443 0 0

Enabled web-02a 172.16.10.12 1 443 443 0 0

f Para usar el modo SNAT, asegúrese de que no esté habilitada la opción Transparente (Transparent).

9 Haga clic en Mostrar estado (Show Status) o en Mostrar estadísticas de grupo (Show Pool Statistics) y compruebe que el estado del grupo Web-Tier-Pool-01 sea ACTIVO (UP).

Seleccione el grupo y asegúrese de que el estado de ambos miembros de este grupo sea ACTIVO (UP).


VMware, Inc. 406

10 Cree un servidor virtual.

a Haga clic en Administrar (Manage) > Equilibrador de carga (Load Balancer) > Servidores virtuales (Virtual Servers) y, a continuación, en Agregar (Add).

b Introduzca los parámetros del servidor virtual.



Servidor virtual Habilite el servidor virtual.

Aceleración (Acceleration) Si quiere utilizar el equilibrador de carga de Capa 4 para UDP o un rendimiento mayor de TCP, habilite la aceleración. Si habilita esta opción, asegúrese de que el estado del firewall esté habilitado en el equilibrador de carga de NSX Edge, ya que se requiere un firewall para el modo SNAT de Capa 4.

Perfil de aplicación Introduzca OneArmWeb-01.

Dirección IP (IP Address) Seleccione 172.16.10.110.

Protocolo (Protocol) Seleccione HTTPS.

Puerto Introduzca 443.

Grupo predeterminado (Default Pool)

Seleccione el grupo de servidores Web-Tier-Pool-01 que creó anteriormente.

Límite de conexión (Connection Limit)

Introduzca 0.

Límite de velocidad de conexión (Connection Rate Limit)

Introduzca 0.

c (opcional) Haga clic en la pestaña Avanzado (Advanced) y asocie una regla de aplicación con

el servidor virtual.

Para ejemplos compatibles, consulte https://communities.vmware.com/docs/DOC-31772.

En el modo no transparente, el servidor back-end no puede ver la IP del cliente, pero la dirección IP interna del equilibrador de carga sí es visible. Como solución alternativa para el tráfico HTTP o HTTPS, seleccione Insertar encabezado X-Forwarded-For HTTP (Insert X-Forwarded-For HTTP header) en el perfil de aplicación. Al seleccionar esta opción, el equilibrador de carga de Edge agrega el encabezado "X-Forwarded-For" con el valor de la dirección IP de origen del cliente.

Escenario: configurar un equilibrador de carga en líneaEn este escenario, el objetivo es configurar un equilibrador de carga en línea en la instancia de NSX Edge con un tipo de perfil de aplicación de HTTP.

La siguiente imagen muestra la topología lógica de una red que utiliza un equilibrador de carga en línea. La instancia de NSX Edge del perímetro de la red se encarga tanto del enrutamiento de norte a sur como del equilibro de carga.


VMware, Inc. 407


VP

Red

Clientes externos

10.30.20.100 10.30.20.101

Grupo de servidores

10.30.20.102

VXLAN 5000 (10.30.20.0/24)

NSX Edge

192.168.100.30/24

10.30.20.1/24

Equilibradorde cargaen línea

Reglas deDNAT

VM web 1

VM web 2

VM web 3

Por ejemplo, para este escenario configura las siguientes interfaces en la instancia de NSX Edge:

n Interfaz del vínculo superior: 192.168.100.30/24

n Interfaz interna: 10.30.20.1/24

El equilibrador de carga utiliza la interfaz del enlace ascendente de la instancia de Edge para la dirección IP virtual (Virtual IP Address, VIP). La interfaz interna de la instancia de Edge actúa como la puerta de enlace predeterminada para los servidores web back-end del grupo de servidores.

El objetivo es equilibrar la carga del tráfico HTTP que procede de clientes externos en la instancia de NSX Edge y distribuir el tráfico a los servidores web que están conectados al conmutador lógico VXLAN 5000.

El siguiente procedimiento explica los pasos para configurar un equilibrador de carga en línea en la instancia de NSX Edge.

Requisitos previos

Debe haber una puerta de enlace del servicio NSX Edge implementada en la red.

Procedimiento





VMware, Inc. 408




5 Cree un perfil de aplicación de HTTP.


b Haga clic en Agregar (Add) y especifique los parámetros de perfil de aplicación.

Por ejemplo:


Tipo (Type) Seleccione HTTP.

Nombre Introduzca Web-App-Profile.

Persistencia (Persistence) Mantenga el valor predeterminado (Ninguno [None]).


VMware, Inc. 409

6 Cree un grupo de servidores.


b Introduzca los parámetros del grupo.

Por ejemplo:


Nombre (Name) Introduzca Web-Server-Pool.

Algoritmo (Algorithm) Seleccione Ejecutar por turnos (round-robin)(Round-Robin).

Monitores (Monitors) Seleccione monitor_http_predeterminado (default_http_monitor).

Transparente (Transparent) Habilite esta opción para asegurarse de que las direcciones IP de origen del cliente sean visibles en los servidores back-end del grupo.

c Agregue miembros al grupo de servidores.

Por ejemplo, indique los siguientes ajustes para los miembros del grupo.






Enabled Web-1 10.30.20.100

1 80 80 0 0

Enabled Web-2 10.30.20.101

1 80 80 0 0

Enabled Web-3 10.30.20.102

1 80 80 0 0

7 Haga clic en Mostrar estado (Show Status) o en Mostrar estadísticas de grupo (Show Pool Statistics) y compruebe que el estado del grupo Web-Server-Pool sea ACTIVO (UP).

Seleccione el grupo y asegúrese de que el estado de todos los miembros de este grupo sea ACTIVO (UP).


VMware, Inc. 410


a Haga clic en Administrar (Manage) > Equilibrador de carga (Load Balancer) > Servidores virtuales (Virtual Servers) y, a continuación, en Agregar (Add).

b Introduzca los parámetros del servidor virtual.




Aceleración (Acceleration) Mantenga esta opción deshabilitada.

Perfil de aplicación Seleccione el perfil Web-App-Profile que creó antes.

Dirección IP (IP Address) Introduzca o seleccione la dirección IP que configuró en la interfaz de enlace ascendente (externa) de la instancia de Edge.

Para este escenario, seleccione 192.168.100.30.

Protocolo (Protocol) Seleccione HTTP.


Seleccione el grupo Web-App-Profile que creó antes.


Introduzca 0.


Introduzca 0.

Escenario: configurar el equilibrador de carga de NSX para Plaftorm Services ControllerPlatform Services Controller (PSC) proporciona funciones de seguridad en infraestructuras, como vCenter Single Sign-On, la reserva de servidores, la administración de certificados y la concesión de licencias.

Después de configurar el equilibrador de carga de NSX, proporcione la dirección IP de la interfaz de enlace ascendente del dispositivo NSX Edge para vCenter Single Sign-On.

Nota El procedimiento siguiente explica los pasos que permiten configurar un equilibrador de carga de NSX Edge para utilizarlo con Platform Services Controller 6.0. Para configurar el equilibrador de carga de Edge con el objetivo de usarlo con Platform Services Controller 6.5, consulte el artículo de la base de conocimientos de VMware disponible en https://kb.vmware.com/s/article/2147046.

Requisitos previos

n Realice las tareas de preparación de alta disponibilidad de PSC que se mencionan en el artículo de la base de conocimientos de VMware en http://kb.vmware.com/kb/2113315.

n Guarde los archivos /ha/lb.crt y /ha/lb_rsa.key del primer nodo de PSC para configurar los certificados.


VMware, Inc. 411


http://kb.vmware.com/kb/2113315

n Compruebe que haya un dispositivo NSX Edge configurado.

n Asegúrese de tener al menos un enlace ascendente para configurar la VIP y una interfaz adjunta a un conmutador lógico interno.

Procedimiento

1 Agregue un certificado de PSC a la instancia de NSX Edge.

a Guarde el certificado root.cer de PSC, así como el RSA y la frase de contraseña generados con el comando OpenSSL.

b Haga doble clic en la instancia de Edge y seleccione Administrar (Manage) > Configuración (Settings) > Certificados (Certicados).

c Haga clic en Agregar (Add) > Certificado (Certificate).

d En el cuadro de texto Contenidos de certificado (Certificates Contents), pegue el contenido del archivo root.cer.

e En el cuadro de texto Clave privada (Private Key), agregue la frase de contraseña.





VMware, Inc. 412

3 Cree perfiles de aplicaciones con los protocolos HTTPS y TCP.


b Haga clic en Agregar (Add) y cree un perfil de aplicación con protocolo TCP.

Por ejemplo, especifique los siguientes parámetros en el perfil de TCP.


Tipo de perfil de aplicación (Application Profile Type)

Seleccione TCP.

Nombre Por ejemplo, introduzca sso_tcp_profile.

Persistencia (Persistence) Seleccione IP de origen (Source IP).

c Crear un perfil de aplicación de HTTPS.

Por ejemplo, especifique los siguientes parámetros en el perfil de HTTPS.



2 En el cuadro de texto Nombre (Name), introduzca el nombre del perfil. Por ejemplo, introduzca sso_https_profile.


4 Seleccione el certificado de PSC que agregó anteriormente.


2 En el cuadro de texto Nombre (Name), introduzca el nombre del perfil. Por ejemplo, sso_https_profile.

3 Seleccione la casilla de verificación Configurar certificados de servicio (Configure Service Certificates).

4 Seleccione el certificado de PSC que agregó anteriormente.


VMware, Inc. 413

4 Cree grupos de servidores y agregue los nodos de PSC de miembros.


b Cree un grupo con la siguiente configuración.

Por ejemplo:


Nombre (Name) Introduzca sso_tcp_pool1.


Monitores (Monitors) Seleccione default_tcp_monitor. Agregue los siguientes miembros al grupo sso_tcp_pool1 con el puerto de supervisión 443.






Enabled PSC01 192.168.1.1 1 443 0 0

Enabled PSC02 192.168.1.2 1 443 0 0

c Cree otro grupo con la siguiente configuración.

Por ejemplo:


Nombre (Name) Introduzca sso_tcp_pool2.


Monitores (Monitors) Seleccione default_tcp_monitor. Agregue los siguientes miembros al grupo sso_tcp_pool2 con el puerto de supervisión 389.






Enabled PSC01 192.168.1.1 1 389 0 0

Enabled PSC02 192.168.1.2 1 389 0 0


VMware, Inc. 414

5 Crear servidores virtuales para los protocolos HTTPS y TCP.

a Seleccione Administrar (Manage) > Equilibrador de carga (Load Balancer) > Servidores virtuales (Virtual Servers) y, a continuación, haga clic en Agregar (Add).

b Cree un servidor virtual para la VIP TCP con la siguiente configuración.

Por ejemplo:



Aceleración (Acceleration) Deshabilite la aceleración.

Perfil de aplicación Introduzca sso_tcp_profile.

Nombre Introduzca sso_tcp_vip


Protocolo (Protocol) Seleccione TCP.

Puerto Introduzca 389,636,2012,2014,2020.


Seleccione el grupo de servidores sso_tcp_pool2 que creó anteriormente.


Introduzca 0.


Introduzca 0.

c Cree un servidor virtual para la VIP HTTPS con la siguiente configuración.

Por ejemplo:



Aceleración (Acceleration) Deshabilite la aceleración.

Perfil de aplicación Introduzca sso_https_profile.

Nombre Introduzca sso_https_vip.


Protocolo (Protocol) Seleccione HTTPS.

Puerto Introduzca 443.


Seleccione el grupo de servidores sso_tcp_pool1 que creó anteriormente.


Introduzca 0.


Introduzca 0.


VMware, Inc. 415

Escenario: descarga de SSLEn este escenario, se utiliza el tipo de perfil de aplicación de descarga de HTTPS (descarga de SSL). Edge termina la conexión HTTPS del cliente (sesiones SSL). Edge equilibra la carga de los clientes en HTTP a los servidores. Se pueden aplicar las reglas de aplicación de Capa 7.

Procedimiento

1 Agregue un certificado de servidor web.



c Haga doble clic en un dispositivo NSX Edge.

d Acceda a Administrar (Manage) > Configuración (Settings) > Certificados (Certificates).

e Haga clic en Agregar (Add) y, a continuación, en Certificado (Certificate).


VMware, Inc. 416

f Copie y pegue el contenido del certificado en el cuadro de texto Contenido del certificado (Certificate contents). El texto debería incluir "-----BEGIN xxx-----" y "-----END xxx-----".

En el caso de los certificados en cadena (certificado de servidor y un certificado de CA intermedio), seleccione la opción Certificado (Certificate). A continuación, se incluye un ejemplo del contenido de un certificado en cadena:


Server cert



Intermediate cert



Root cert


g En el cuadro de texto Clave privada (Private Key), copie y pegue el contenido de la clave privada.





Establezca un prefijo con el contenido del certificado (PEM para certificado o clave privada) con una de las siguientes cadenas:

-----BEGIN PUBLIC KEY-----

-----BEGIN RSA PUBLIC KEY-----

-----BEGIN CERTIFICATE REQUEST-----

-----BEGIN NEW CERTIFICATE REQUEST-----


-----BEGIN PKCS7-----

-----BEGIN X509 CERTIFICATE-----

-----BEGIN X509 CRL-----

-----BEGIN ATTRIBUTE CERTIFICATE-----


-----BEGIN DSA PRIVATE KEY-----

-----BEGIN EC PARAMETERS-----

-----BEGIN EC PRIVATE KEY-----

Para ver ejemplos completos del certificado y la clave privada, consulte Ejemplo: certificado y clave privada.

Nota El siguiente prefijo no se admite en NSX Manager:

-----BEGIN ENCRYPTED PRIVATE KEY-----


VMware, Inc. 417





d Haga clic en Administrar (Manage) > Equilibrador de carga (Load Balancer) > Perfiles de aplicación (Application Profiles).

e Haga clic en Agregar (Add) y especifique los parámetros de perfil de aplicación.




3 Seleccione el certificado de servidor web que agregó en el paso 1.


2 Seleccione la casilla Configurar certificados de servicio (Configure Service Certificates).






d Haga clic en Administrar (Manage) > Equilibrador de carga (Load Balancer) > Servidores virtuales (Virtual Servers).

e Haga clic en Agregar (Add) y especifique los parámetros de servidor virtual.

1 Habilite el servidor virtual para poder utilizarlo.

2 Seleccione HTTPS como protocolo.

3 Seleccione el grupo predeterminado que está compuesto por servidores HTTP (no servidores HTTPS).

4 Seleccione el perfil de aplicación que creó en el paso 2.

Para obtener información sobre cómo especificar el resto de parámetros de la ventana Nuevo servidor virtual (New Virtual Server), consulte Agregar servidores virtuales.

Ejemplo: certificado y clave privadaA continuación se muestran ejemplos de certificados y clave privada.


VMware, Inc. 418

Certificado de servidor web


MIID0DCCArigAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MQswCQYDVQQGEwJGUjET

MBEGA1UECAwKU29tZS1TdGF0ZTEOMAwGA1UEBwwFUGFyaXMxDTALBgNVBAoMBERp

bWkxDTALBgNVBAsMBE5TQlUxEDAOBgNVBAMMB0RpbWkgQ0ExGzAZBgkqhkiG9w0B

CQEWDGRpbWlAZGltaS5mcjAeFw0xNDAxMjgyMDM2NTVaFw0yNDAxMjYyMDM2NTVa

MFsxCzAJBgNVBAYTAkZSMRMwEQYDVQQIDApTb21lLVN0YXRlMSEwHwYDVQQKDBhJ

bnRlcm5ldCBXaWRnaXRzIFB0eSBMdGQxFDASBgNVBAMMC3d3dy5kaW1pLmZyMIIB

IjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAvpnaPKLIKdvx98KW68lz8pGa

RRcYersNGqPjpifMVjjE8LuCoXgPU0HePnNTUjpShBnynKCvrtWhN+haKbSp+QWX

SxiTrW99HBfAl1MDQyWcukoEb9Cw6INctVUN4iRvkn9T8E6q174RbcnwA/7yTc7p

1NCvw+6B/aAN9l1G2pQXgRdYC/+G6o1IZEHtWhqzE97nY5QKNuUVD0V09dc5CDYB

aKjqetwwv6DFk/GRdOSEd/6bW+20z0qSHpa3YNW6qSp+x5pyYmDrzRIR03os6Dau

ZkChSRyc/Whvurx6o85D6qpzywo8xwNaLZHxTQPgcIA5su9ZIytv9LH2E+lSwwID

AQABo3sweTAJBgNVHRMEAjAAMCwGCWCGSAGG+EIBDQQfFh1PcGVuU1NMIEdlbmVy

YXRlZCBDZXJ0aWZpY2F0ZTAdBgNVHQ4EFgQU+tugFtyN+cXe1wxUqeA7X+yS3bgw

HwYDVR0jBBgwFoAUhMwqkbBrGp87HxfvwgPnlGgVR64wDQYJKoZIhvcNAQEFBQAD

ggEBAIEEmqqhEzeXZ4CKhE5UM9vCKzkj5Iv9TFs/a9CcQuepzplt7YVmevBFNOc0

+1ZyR4tXgi4+5MHGzhYCIVvHo4hKqYm+J+o5mwQInf1qoAHuO7CLD3WNa1sKcVUV

vepIxc/1aHZrG+dPeEHt0MdFfOw13YdUc2FH6AqEdcEL4aV5PXq2eYR8hR4zKbc1

fBtuqUsvA8NWSIyzQ16fyGve+ANf6vXvUizyvwDrPRv/kfvLNa3ZPnLMMxU98Mvh

PXy3PkB8++6U4Y3vdk2Ni2WYYlIls8yqbM4327IKmkDc2TimS8u60CT47mKU7aDY

cbTV5RDkrlaYwm5yqlTIglvCv7o=


Certificado de servidor web con cadena (incluyendo CA raíz)


MIID0DCCArigAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MQswCQYDVQQGEwJGUjET



CQEWDGRpbWlAZGltaS5mcjAeFw0xNDAxMjgyMDM2NTVaFw0yNDAxMjYyMDM2NTVa

MFsxCzAJBgNVBAYTAkZSMRMwEQYDVQQIDApTb21lLVN0YXRlMSEwHwYDVQQKDBhJ

bnRlcm5ldCBXaWRnaXRzIFB0eSBMdGQxFDASBgNVBAMMC3d3dy5kaW1pLmZyMIIB

IjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAvpnaPKLIKdvx98KW68lz8pGa

RRcYersNGqPjpifMVjjE8LuCoXgPU0HePnNTUjpShBnynKCvrtWhN+haKbSp+QWX

SxiTrW99HBfAl1MDQyWcukoEb9Cw6INctVUN4iRvkn9T8E6q174RbcnwA/7yTc7p

1NCvw+6B/aAN9l1G2pQXgRdYC/+G6o1IZEHtWhqzE97nY5QKNuUVD0V09dc5CDYB

aKjqetwwv6DFk/GRdOSEd/6bW+20z0qSHpa3YNW6qSp+x5pyYmDrzRIR03os6Dau

ZkChSRyc/Whvurx6o85D6qpzywo8xwNaLZHxTQPgcIA5su9ZIytv9LH2E+lSwwID

AQABo3sweTAJBgNVHRMEAjAAMCwGCWCGSAGG+EIBDQQfFh1PcGVuU1NMIEdlbmVy

YXRlZCBDZXJ0aWZpY2F0ZTAdBgNVHQ4EFgQU+tugFtyN+cXe1wxUqeA7X+yS3bgw

HwYDVR0jBBgwFoAUhMwqkbBrGp87HxfvwgPnlGgVR64wDQYJKoZIhvcNAQEFBQAD

ggEBAIEEmqqhEzeXZ4CKhE5UM9vCKzkj5Iv9TFs/a9CcQuepzplt7YVmevBFNOc0

+1ZyR4tXgi4+5MHGzhYCIVvHo4hKqYm+J+o5mwQInf1qoAHuO7CLD3WNa1sKcVUV

vepIxc/1aHZrG+dPeEHt0MdFfOw13YdUc2FH6AqEdcEL4aV5PXq2eYR8hR4zKbc1

fBtuqUsvA8NWSIyzQ16fyGve+ANf6vXvUizyvwDrPRv/kfvLNa3ZPnLMMxU98Mvh

PXy3PkB8++6U4Y3vdk2Ni2WYYlIls8yqbM4327IKmkDc2TimS8u60CT47mKU7aDY

cbTV5RDkrlaYwm5yqlTIglvCv7o=



MIIDyTCCArGgAwIBAgIBADANBgkqhkiG9w0BAQUFADB/MQswCQYDVQQGEwJGUjET




VMware, Inc. 419

CQEWDGRpbWlAZGltaS5mcjAeFw0xNDAxMjgyMDI2NDRaFw0yNDAxMjYyMDI2NDRa

MH8xCzAJBgNVBAYTAkZSMRMwEQYDVQQIDApTb21lLVN0YXRlMQ4wDAYDVQQHDAVQ

YXJpczENMAsGA1UECgwERGltaTENMAsGA1UECwwETlNCVTEQMA4GA1UEAwwHRGlt

aSBDQTEbMBkGCSqGSIb3DQEJARYMZGltaUBkaW1pLmZyMIIBIjANBgkqhkiG9w0B

AQEFAAOCAQ8AMIIBCgKCAQEAuxuG4QeBIGXj/AB/YRLLtpgpTpGnDntVlgsycZrL

3qqyOdBNlwnvcB9etfY5iWzjeq7YZRr6i0dIV4sFNBR2NoK+YvdD9j1TRi7njZg0

d6zth0xlsOhCsDlV/YCL1CTcYDlKA/QiKeIQa7GU3Rhf0t/KnAkr6mwoDbdKBQX1

D5HgQuXJiFdh5XRebxF1ZB3gH+0kCEaEZPrjFDApkOXNxEARZdpBLpbvQljtVXtj

HMsvrIOc7QqUSOU3GcbBMSHjT8cgg8ssf492Go3bDQkIzTROz9QgDHaqDqTC9Hoe

vlIpTS+q/3BCY5AGWKl3CCR6dDyK6honnOR/8srezaN4PwIDAQABo1AwTjAdBgNV

HQ4EFgQUhMwqkbBrGp87HxfvwgPnlGgVR64wHwYDVR0jBBgwFoAUhMwqkbBrGp87

HxfvwgPnlGgVR64wDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAQEAVqYq

vhm5wAEKmvrKXRjeb5kiEIp7oZAFkYp6sKODuZ1VdkjMDD4wv46iqAe1QIIsfGwd

Dmv0oqSl+iPPy24ATMSZQbPLO5K64Hw7Q8KPos0yD8gHSg2d4SOukj+FD2IjAH17

a8auMw7TTHu6976JprQQKtPADRcfodGd5UFiz/6ZgLzUE23cktJMc2Bt18B9OZII

J9ef2PZxZirJg1OqF2KssDlJP5ECo9K3EmovC5M5Aly++s8ayjBnNivtklYL1VOT

ZrpPgcndTHUA5KS/Duf40dXm0snCxLAKNP28pMowDLSYc6IjVrD4+qqw3f1b7yGb

bJcFgxKDeg5YecQOSg==


Clave privada (sin frase de contraseña)


MIIEowIBAAKCAQEAvpnaPKLIKdvx98KW68lz8pGaRRcYersNGqPjpifMVjjE8LuC

oXgPU0HePnNTUjpShBnynKCvrtWhN+haKbSp+QWXSxiTrW99HBfAl1MDQyWcukoE

b9Cw6INctVUN4iRvkn9T8E6q174RbcnwA/7yTc7p1NCvw+6B/aAN9l1G2pQXgRdY

C/+G6o1IZEHtWhqzE97nY5QKNuUVD0V09dc5CDYBaKjqetwwv6DFk/GRdOSEd/6b

W+20z0qSHpa3YNW6qSp+x5pyYmDrzRIR03os6DauZkChSRyc/Whvurx6o85D6qpz

ywo8xwNaLZHxTQPgcIA5su9ZIytv9LH2E+lSwwIDAQABAoIBAFml8cD9a5pMqlW3

f9btTQz1sRL4Fvp7CmHSXhvjsjeHwhHckEe0ObkWTRsgkTsm1XLu5W8IITnhn0+1

iNr+78eB+rRGngdAXh8diOdkEy+8/Cee8tFI3jyutKdRlxMbwiKsouVviumoq3fx

OGQYwQ0Z2l/PvCwy/Y82ffq3ysC5gAJsbBYsCrg14bQo44ulrELe4SDWs5HCjKYb

EI2b8cOMucqZSOtxg9niLN/je2bo/I2HGSawibgcOdBms8k6TvsSrZMr3kJ5O6J+

77LGwKH37brVgbVYvbq6nWPL0xLG7dUv+7LWEo5qQaPy6aXb/zbckqLqu6/EjOVe

ydG5JQECgYEA9kKfTZD/WEVAreA0dzfeJRu8vlnwoagL7cJaoDxqXos4mcr5mPDT

kbWgFkLFFH/AyUnPBlK6BcJp1XK67B13ETUa3i9Q5t1WuZEobiKKBLFm9DDQJt43

uKZWJxBKFGSvFrYPtGZst719mZVcPct2CzPjEgN3Hlpt6fyw3eOrnoECgYEAxiOu

jwXCOmuGaB7+OW2tR0PGEzbvVlEGdkAJ6TC/HoKM1A8r2u4hLTEJJCrLLTfw++4I

ddHE2dLeR4Q7O58SfLphwgPmLDezN7WRLGr7Vyfuv7VmaHjGuC3Gv9agnhWDlA2Q

gBG9/R9oVfL0Dc7CgJgLeUtItCYC31bGT3yhV0MCgYEA4k3DG4L+RN4PXDpHvK9I

pA1jXAJHEifeHnaW1d3vWkbSkvJmgVf+9U5VeV+OwRHN1qzPZV4suRI6M/8lK8rA

Gr4UnM4aqK4K/qkY4G05LKrik9Ev2CgqSLQDRA7CJQ+Jn3Nb50qg6hFnFPafN+J7

7juWln08wFYV4Atpdd+9XQECgYBxizkZFL+9IqkfOcONvWAzGo+Dq1N0L3J4iTIk

w56CKWXyj88d4qB4eUU3yJ4uB4S9miaW/eLEwKZIbWpUPFAn0db7i6h3ZmP5ZL8Q

qS3nQCb9DULmU2/tU641eRUKAmIoka1g9sndKAZuWo+o6fdkIb1RgObk9XNn8R4r

psv+aQKBgB+CIcExR30vycv5bnZN9EFlIXNKaeMJUrYCXcRQNvrnUIUBvAO8+jAe

CdLygS5RtgOLZib0IVErqWsP3EI1ACGuLts0vQ9GFLQGaN1SaMS40C9kvns1mlDu

LhIhYpJ8UsCVt5snWo2N+M+6ANh5tpWdQnEK6zILh4tRbuzaiHgb



VMware, Inc. 420

Escenario: Importar un certificado SSLEn este escenario, se utiliza el tipo de perfil de aplicación HTTPS de extremo a extremo (SSL de extremo a extremo). NSX Edge cierra la conexión HTTPS del cliente (sesiones SSL). Edge equilibra la carga del cliente en una nueva conexión HTTP a los servidores. Se pueden aplicar las reglas de aplicación de Capa 7.

Procedimiento

1 Agregue un certificado de servidor web.




d Acceda a Administrar (Manage) > Configuración (Settings) > Certificados (Certificates).

e Haga clic en Agregar (Add) y, a continuación, haga clic en Certificado (Certificate).


VMware, Inc. 421

f Copie y pegue el contenido del certificado en el cuadro de texto Contenido del certificado (Certificate contents). El texto debería incluir "-----BEGIN xxx-----" y "-----END xxx-----".

En el caso de los certificados en cadena (certificado de servidor y un certificado de CA intermedio), seleccione la opción Certificado (Certificate). A continuación, se incluye un ejemplo del contenido de un certificado en cadena:


Server cert



Intermediate cert



Root cert


g En el cuadro de texto Clave privada (Private Key), copie y pegue el contenido de la clave privada.

A continuación aparece un ejemplo del contenido de clave privada:




Establezca un prefijo con el contenido del certificado (PEM para certificado o clave privada) con una de las siguientes cadenas:

-----BEGIN PUBLIC KEY-----

-----BEGIN RSA PUBLIC KEY-----

-----BEGIN CERTIFICATE REQUEST-----

-----BEGIN NEW CERTIFICATE REQUEST-----


-----BEGIN PKCS7-----

-----BEGIN X509 CERTIFICATE-----

-----BEGIN X509 CRL-----

-----BEGIN ATTRIBUTE CERTIFICATE-----


-----BEGIN DSA PRIVATE KEY-----

-----BEGIN EC PARAMETERS-----

-----BEGIN EC PRIVATE KEY-----

Para ver ejemplos completos de los certificados y claves privadas, consulte Ejemplo: certificado y clave privada.

Nota El siguiente prefijo no se admite en NSX Manager:

-----BEGIN ENCRYPTED PRIVATE KEY-----


VMware, Inc. 422








NSX 6.4.5 y posteriores 1 En el menú desplegable Tipo de perfil de aplicación (Application Profile Type), seleccione HTTPS de extremo a extremo (HTTPS End-to-End).

2 Haga clic en Servidor SSL (Server SSL) > Certificados de servicio (Service Certificates).



2 Seleccione la casilla Habilitar SSL del grupo (Enable Pool Side SSL).

3 Seleccione la casilla Configurar certificados de servicio (Configure Service Certificates).










3 Seleccione el grupo predeterminado que está compuesto por servidores HTTPS.



Escenario: Passthrough SSLEn este escenario, se utiliza el tipo de perfil de aplicación de acceso directo a SSL. Edge no cierra la conexión HTTPS del cliente (sesiones SSL). Edge equilibra la carga de las sesiones TCP en los


VMware, Inc. 423

servidores. Las sesiones SSL del cliente se cierran en los servidores (no en la instancia de Edge). No se pueden utilizar reglas de aplicación de Capa 7.

Nota Los perfiles de aplicación de acceso directo a SSL no requieren certificados.

Procedimiento

1 Cree un perfil de aplicación de acceso directo a SSL.







NSX 6.4.5 y posteriores 1 En el menú desplegable Tipo de perfil de aplicación (Application Profile Type), seleccione Acceso directo a SSL (SSL Passthrough).

2 En el menú desplegable Persistencia (Persistence), seleccione Ninguna (None).


2 Seleccione la casilla Habilitar Passthrough SSL (Enable SSL Passthrough).

3 En el menú desplegable Persistencia (Persistence), seleccione Ninguna (None).






VMware, Inc. 424





3 Seleccione el grupo predeterminado que está compuesto por servidores HTTPS.



Nota n Si la opción Aceleración (Acceleration) está habilitada y no hay configuraciones relativas a

la Capa 7, Edge no finaliza la sesión.

n Si la opción Aceleración (Acceleration) está deshabilitada, es posible que la sesión se trate como un modo TCP de Capa 7 y Edge la finalizaría en dos sesiones.

Escenario: Autenticación SSL de cliente y servidorEn este escenario, se utiliza un tipo de perfil de aplicación HTTPS de extremo a extremo con autenticación de servidor y cliente SSL.

Autenticación de clienteEl cliente accede a la aplicación web mediante HTTPS. Se cierra la sesión HTTPS en la VIP de Edge y la sesión solicita un certificado de cliente.

1 Agregue un certificado de servidor web que esté firmado por una CA raíz. Para obtener más información, consulte Escenario: Importar un certificado SSL.




2 Haga clic en SSL cliente (Client SSL) > Certificados de CA (CA Certificates).3 Seleccione el certificado de servidor web que agregó en el paso 1.

4 En el menú desplegable Autenticación de cliente (Client Authentication), seleccione Requerido (Required).


2 Haga clic en Certificados de servidor virtual (Virtual Server Certificates) > Certificados de CA (CA Certificates). Una CA verifica el certificado de cliente.




VMware, Inc. 425

3 Cree un servidor virtual. Para obtener información sobre cómo especificar los parámetros de servidor virtual, consulte Escenario: Importar un certificado SSL.

Nota En NSX 6.4.4 y versiones anteriores, si la opción Habilitar SSL del grupo (Enable Pool Side SSL) está deshabilitada en el perfil de aplicación, el grupo seleccionado estará compuesto por servidores HTTP. Si la opción Habilitar SSL del grupo (Enable Pool Side SSL) está habilitada en el perfil de aplicación, el grupo seleccionado estará compuesto por servidores HTTPS.

4 Agregue un certificado de cliente firmado por la CA raíz del navegador.

5 a Acceda al sitio web https://www.sslshopper.com/ssl-converter.html.

b Convierta el certificado y la clave privada en el archivo pfx. Para ver ejemplos completos de clave privada y certificado, consulte el tema Ejemplo: certificado y clave privada.

c Importe el archivo pfx en el explorador.

Autenticación de servidorEl cliente accede a la aplicación web mediante HTTPS. La sesión HTTPS se cierra en la VIP de Edge. Edge establece nuevas conexiones HTTPS con los servidores y solicita y verifica el certificado de servidor.

NSX Edge acepta claves de cifrado específicas.

1 Agregue el certificado de servidor web que está encadenado al certificado de CA raíz para la autenticación del certificado de servidor. Para obtener más información, consulte Escenario: Importar un certificado SSL.


VMware, Inc. 426

https://www.sslshopper.com/ssl-converter.html




2 Haga clic en Servidor SSL (Server SSL) > Certificados de CA (CA Certificates).

3 Junto a Clave de cifrado (Cypher), haga clic en el icono Editar (Edit) ( ) y seleccione las claves de cifrado.

4 Habilite la opción Autenticación de servidor (Server Authentication).5 Seleccione el certificado de servidor de CA que agregó en el paso 1.


2 Seleccione la casilla Habilitar SSL del grupo (Enable Pool Side SSL).

3 Haga clic en Certificados de grupo (Pool Certificates) > Certificados de CA (CA Certificates). Una CA verifica el certificado de cliente desde el servidor HTTPS back-end.

4 Seleccione la casilla Autenticación de servidor (Server Authentication).

5 Seleccione el certificado de servidor de CA que agregó en el paso 1.

6 En la lista Clave de cifrado (Cipher), seleccione las claves de cifrado requeridas.

Nota Si las claves de cifrado de su preferencia no se incluyen en la lista de claves de cifrado aprobadas, se restablece el valor Predeterminado (Default).

Después de actualizar una versión antigua de NSX, se restablece el valor Predeterminado (Default) si la clave de cifrado es nula o está vacía o si no se incluye en la lista de claves de cifrado aprobadas de la versión antigua.


3 Cree un servidor virtual. Para obtener información sobre cómo especificar los parámetros de servidor virtual, consulte Escenario: Importar un certificado SSL.

Nota En NSX 6.4.4 y versiones anteriores, si la opción Habilitar SSL del grupo (Enable Pool Side SSL) está deshabilitada en el perfil de aplicación, el grupo seleccionado estará compuesto por servidores HTTP. Si la opción Habilitar SSL del grupo (Enable Pool Side SSL) está habilitada en el perfil de aplicación, el grupo seleccionado estará compuesto por servidores HTTPS.


VMware, Inc. 427

Otros servicios Edge 17Una puerta de enlace NSX Services ofrece agrupación de direcciones IP, asignación uno a uno de direcciones IP estáticas y configuración de servidores DNS.

Para poder utilizar cualquiera de los servicios anteriores, debe tener una instancia de NSX Edge en funcionamiento. Para obtener información sobre cómo configurar NSX Edge, consulte Configuración de NSX Edge.


n Administrar servicio DHCP

n Configurar retransmisión de DHCP

n Configurar servidores DNS

Administrar servicio DHCPNSX Edge admite la agrupación de direcciones IP y la asignación de direcciones IP estáticas con una correspondencia uno a uno. El enlace de direcciones IP estáticas se basa en el identificador de la interfaz y el identificador del objeto administrado de vCenter del cliente que realiza la solicitud.

El servicio DHCP de NSX Edge adhiere a las instrucciones siguientes:

n Escucha en la interfaz interna de NSX Edge para la detección de DHCP.

n Utiliza la dirección IP de la interfaz interna en NSX Edge como la dirección de puerta de enlace predeterminada para todos los clientes (excepto para los grupos conectados de forma no directa) y los valores transmisión y máscara de subred de la interfaz interna para la red del contenedor.

Nota Por diseño, el servicio DHCP se admite en las interfaces internas de NSX Edge. Sin embargo, en algunas situaciones, puede optar por configurar DHCP en una interfaz de vínculo superior de Edge y no configurar ninguna interfaz interna. En esta situación, Edge puede escuchar las solicitudes de los clientes DHCP en la interfaz de vínculo superior y asignarles direcciones IP de forma dinámica. Más adelante, si configura una interfaz interna en la misma instancia de Edge, el servicio DHCP deja de funcionar debido a que Edge empieza a escuchar las solicitudes de los clientes DHCP en la interfaz interna.

Debe reiniciar el servicio DHCP en las máquinas virtuales de clientes en las situaciones siguientes:

n Si cambió o eliminó un grupo DHCP, una puerta de enlace predeterminada o un servidor DNS.

n Si cambió la dirección IP interna de la instancia de NSX Edge.

VMware, Inc. 428

Agregar un grupo de direcciones IP de DHCPEl servicio DHCP requiere un grupo de direcciones IP.

Un grupo de direcciones IP es un rango secuencial de direcciones IP dentro de la red. A las máquinas virtuales protegidas por NSX Edge que no tienen una dirección vinculante se les asigna una dirección IP desde este grupo. El rango de un grupo de direcciones IP no puede superponerse con otro, por lo que una dirección IP solo puede pertenecer a un grupo.

Procedimiento




4 Haga clic en Administrar (Manage) > DHCP.


6 Configure las siguientes opciones generales para el nuevo grupo de IP de DHCP.

Opción Acción

IP inicial (Start IP) Introduzca la dirección IP inicial del grupo.

IP final (End IP) Introduzca la dirección IP final del grupo.

Nombre de dominio (Domain Name) Introduzca el nombre de dominio del servidor DNS. Esta opción no es obligatoria.

Configuración automática de DNS (Auto Configure DNS)

Seleccione esta opción para utilizar la configuración del servicio DNS para el enlace DHCP.

Servidor de nombre principal (Primary Name Server)

Si no seleccionó Configurar automáticamente DNS (Auto Configure DNS), escriba el Servidor de nombre principal (Primary Name Server) para el servicio DNS. Debe introducir la dirección IP de un servidor DNS para la resolución de direcciones IP a nombre de host. Esta opción no es obligatoria.

Servidor de nombre secundario (Secondary Name Server)

Si no seleccionó Configurar automáticamente DNS (Auto Configure DNS), escriba el Servidor de nombre secundario (Secondary Name Server) para el servicio DNS. Debe introducir la dirección IP de un servidor DNS para la resolución de direcciones IP a nombre de host. Esta opción no es obligatoria.

Puerta de enlace predeterminada (Default Gateway)

Introduzca la dirección de la puerta de enlace predeterminada. Si no especificó la dirección IP de la puerta de enlace predeterminada, la interfaz interna de la instancia de NSX Edge se utiliza como puerta de enlace predeterminada. Esta opción no es obligatoria.

Máscara de subred (Subnet Mask) Especifique la máscara de subred. La máscara de subred debe ser la misma de la interfaz Edge o de la transmisión DHCP, en caso de que se utilice un enrutador distribuido.


VMware, Inc. 429

Opción Acción

La concesión nunca caduca (Lease never expires)

Seleccione esta opción para vincular la dirección MAC de la máquina virtual indefinidamente. Si selecciona esta opción, se deshabilita Tiempo de concesión (Lease Time).

Tiempo de concesión (Lease Time) Seleccione si desea conceder la dirección para el cliente durante el tiempo predeterminado (un día) o introduzca un valor en segundos. Si seleccionó La concesión nunca caduca (Lease never expires), no puede especificar el tiempo de concesión. Esta opción no es obligatoria.

7 (opcional) Configure las siguientes opciones de DHCP.

Opción Acción

Próximo servidor (Next Server) Próximo servidor TFTP de arranque; lo utilizan el protocolo bootp o el arranque PXE.

Nombre del servidor TFTP (opción 66) (TFTP server name [option 66])

Introduzca una dirección IPv4 de unidifusión, o bien un nombre de host que el dispositivo utilizará para descargar el archivo especificado en el nombre de archivo de arranque (opción 67).

Dirección del servidor TFTP (opción 150) (TFTP server address [option 150])

Introduzca una o varias direcciones IPv4 del servidor TFTP.

Nombre del archivo de arranque (opción 67) (Bootfile name [option 67])

Introduzca el nombre de archivo del archivo de arranque que se descargará del servidor especificado en nombre del servidor TFTP (opción 66).

MTU de la interfaz (opción 26) (Interface MTU [option 26])

La Unidad máxima de transferencia (MTU) es el tamaño máximo de trama que se puede enviar entre dos hosts sin fragmentación. Esta opción especifica el tamaño de MTU que se utilizará en la interfaz. Se puede establecer un tamaño de MTU (en bytes) para cada grupo y enlace estático. El valor mínimo de MTU es de 68 bytes y el máximo es de 65.535 bytes. Si no se configuró la MTU de la interfaz en el servidor DHCP, los clientes DHCP mantienen la configuración predeterminada del sistema operativo de la MTU de la interfaz.

Ruta estática sin clase (opción 121) (Classless static route [option 121])

Cada opción de ruta estática sin clase puede tener varias rutas con el mismo destino. Cada ruta incluye una subred de destino, una máscara de subred y un enrutador del salto siguiente. Tenga en cuenta que 0.0.0.0/0 no es una subred válida para una ruta estática. Para obtener información sobre las rutas estáticas sin clase y la opción 121, consulte la RFC 3442.


b Introduzca la dirección IP de destino y de enrutador del salto siguiente.

En NSX 6.2.5 y versiones posteriores, si se configura un grupo de DHCP en una puerta de enlace de servicios Edge con rutas estáticas sin clase y una puerta de enlace predeterminada, la puerta de enlace predeterminada se agregará como ruta estática sin clase.


Iniciar el servicio DHCPInicie el servicio DHCP para permitir que NSX Edge asigne automáticamente una dirección IP a una máquina virtual desde un grupo de direcciones IP definido.


VMware, Inc. 430

Requisitos previos

Se debe agregar un grupo de direcciones IP de DHCP.

Procedimiento





5 Haga clic en Inicio (Start).

6 (opcional) Habilite el registro y seleccione el nivel de registro.


Importante Una práctica recomendada es crear una regla de firewall para evitar que usuarios maliciosos introduzcan servidores DHCP duplicados. Para hacerlo, agregue una regla de firewall que permita tráfico UDP solo en los puertos 67 y 68 cuando haya tráfico entrante o saliente en una dirección IP válida del servidor DHCP. Para obtener más información, consulte Trabajar con reglas de firewall

Pasos siguientes

Cree un grupo de direcciones IP y enlaces.

Editar un grupo de direcciones IP de DHCPPuede editar el grupo de IP de DHCP para agregar o eliminar direcciones IP.

Procedimiento





5 Seleccione un grupo de DHCP y haga clic en el icono Editar (Edit).

6 Realice los cambios apropiados y haga clic en Añadir (Add) o Aceptar (OK).

Agregar un enlace DHCP estáticoSi tiene servicios en ejecución en una máquina virtual y no desea modificar la dirección IP, puede enlazarla a la dirección MAC de una máquina virtual. La dirección IP que enlace no debe superponerse con un grupo de direcciones IP.

Procedimiento



VMware, Inc. 431




5 Seleccione Enlaces (Bindings) en el panel izquierdo.


7 Seleccione una de las dos opciones de enlace.

n Usar el enlace de la NIC de VM (Use VM NIC Binding): seleccione esta opción si conoce el índice de la vNIC de la máquina virtual. NSX determina la dirección MAC a partir del índice de la vNIC y enlaza la dirección IP de la máquina virtual a la dirección MAC.

n Usar enlace a MAC (Use MAC Binding): seleccione esta opción si conoce la dirección MAC de la máquina virtual y desea usarla para realizar un enlace estático a la dirección IP.

8 Configure las opciones generales del enlace DHCP.

a Realice una de las siguientes opciones:

n Si seleccionó la opción Usar el enlace a la NIC de VM (Use VM NIC Binding), seleccione la interfaz que desea enlazar, la máquina virtual y el índice de vNIC de la máquina virtual que se enlazará a la dirección IP.

n Si seleccionó la opción Usar enlace a MAC (Use MAC Binding), introduzca la dirección MAC de la máquina virtual que quiera usar para el enlace estático.

b Especifique el resto de las opciones generales.

Estas opciones son comunes al enlace a la NIC de la máquina virtual y el enlace a la MAC.

Opción Acción

Nombre del host (Host name) Escriba el nombre de host de la máquina virtual del cliente DHCP.

Dirección IP (IP Address) Escriba la dirección a la que se enlazará la dirección MAC de la máquina virtual seleccionada.

Máscara de subred (Subnet Mask) Especifique la máscara de subred. La máscara de subred debe ser la misma de la interfaz de Edge o del relé DHCP, en caso de que se utilice un enrutador distribuido.

Nombre de dominio (Domain Name) Introduzca el nombre de dominio del servidor DNS.

Puerta de enlace predeterminada (Default Gateway)

Introduzca la dirección de la puerta de enlace predeterminada. Si no especificó la dirección IP de la puerta de enlace predeterminada, la interfaz interna de la instancia de NSX Edge se toma como puerta de enlace predeterminada.

La concesión nunca caduca (Lease never expires)

Seleccione esta opción para vincular la dirección MAC de la máquina virtual indefinidamente.

Tiempo de concesión (Lease Time) Si no seleccionó La concesión nunca caduca (Lease never expires), seleccione si desea concesionar la dirección para el cliente durante el tiempo predeterminado (un día) o escriba un valor en segundos.


VMware, Inc. 432

9 Configure las opciones de DNS.

Opción Acción

Configuración automática de DNS (Auto Configure DNS)

Seleccione esta opción para utilizar la configuración del servicio DNS para el enlace DHCP.

Servidor de nombre principal (Primary Name Server)

Si no seleccionó Configurar automáticamente DNS (Auto Configure DNS), escriba el Servidor de nombre principal (Primary Name Server) para el servicio DNS. Debe introducir la dirección IP de un servidor DNS para la resolución de direcciones IP a nombre de host.

Servidor de nombre secundario (Secondary Name Server)

Si no seleccionó Configurar DNS automáticamente (Auto Configure DNS), escriba el Servidor de nombre secundario (Secondary Name Server) para el servicio DNS. Debe introducir la dirección IP de un servidor DNS para la resolución de direcciones IP a nombre de host.

10 (opcional) Especifique las opciones de DHCP. Para obtener más información sobre las opciones de

configuración de DHCP, consulte el paso 7 en Agregar un grupo de direcciones IP de DHCP .

11 Haga clic en Agregar (Add) y, a continuación, en Publicar cambios (Publish Changes).

Editar enlace DHCPPuede asignar una dirección IP estática distinta que esté ligada a una dirección MAC de una máquina virtual.

Procedimiento





5 Seleccione Enlaces (Bindings) en el panel izquierdo y haga clic en el enlace para editarlo.

6 Haga clic en el icono Editar (Edit).


Configurar retransmisión de DHCPLa retransmisión del protocolo Dynamic Host Configuration Protocol (DHCP) permite aprovechar la infraestructura de DHCP existente en NSX sin interrupciones para la administración de direcciones IP del entorno. Los mensajes DHCP se retransmiten desde las máquinas virtuales hasta los servidores DHCP designados en el mundo físico. Esto permite que las direcciones IP en NSX continúen sincronizadas con las direcciones IP de otros entornos.


VMware, Inc. 433

La configuración de DHCP se aplica en el puerto del enrutador lógico y puede enumerar varios servidores DHCP. Las solicitudes se envían a todos los servidores enumerados. Mientras se retransmite la solicitud de DHCP desde el cliente, la retransmisión agrega una dirección IP de puerta de enlace a la solicitud. El servidor DHCP externo utiliza esta dirección de puerta de enlace para buscar coincidencias con un grupo y asignar una dirección IP a la solicitud. La dirección de la puerta de enlace debe pertenecer a una subred del puerto NSX en el que se ejecuta la retransmisión.

Es posible especificar un servidor DHCP diferente para cada conmutador lógico y configurar varios servidores DHCP en cada enrutador lógico para proporcionar compatibilidad con varios dominios IP.

Nota Si DHCP Offer contiene una dirección IP que no coincide con una interfaz lógica (LIF), el DLR no la devolverá a la máquina virtual. El paquete se descartará.

Cuando configure el grupo y el enlace en el servidor DHCP, asegúrese de que la máscara de subred del grupo/enlace de las consultas retransmitidas sea la misma que la de la interfaz de retransmisión de DHCP. La información de la máscara de subred debe proporcionarse en la API mientras el DLR actúa como retransmisión de DHCP entre las máquinas virtuales y la instancia de Edge que proporciona el servicio DHCP. Esta máscara de subred debe coincidir con la que está configurada en la interfaz de puerta de enlace de las máquinas virtuales en el DLR.


VMware, Inc. 434

Enrutadordistribuido

Conmutadorlógico

Conmutadorlógico

NSX

Servidor YDHCP

Relé

Servidor XDHCP

Servidor Y

Nota n La retransmisión de DHCP no admite la superposición del espacio de dirección IP (opción 82).

n La retransmisión de DHCP y el servicio DHCP no pueden ejecutarse en un puerto/una vNIC al mismo tiempo. Si un agente de retransmisión se configura en un puerto, no se puede configurar un grupo de DHCP en las subredes de ese puerto.

Agregar servidor de relé DHCPAgregue los servidores de relé externos a los cuales desea retransmitir los mensajes DHCP. El servidor de relé puede ser un grupo de direcciones IP, un bloque de direcciones IP, un dominio o una combinación de todos los anteriores. Los mensajes se retransmiten a cada uno de los servidores DHCP incluidos en el listado.

Requisitos previos

n La retransmisión de DHCP no admite la superposición del espacio de dirección IP (opción 82).

n La retransmisión de DHCP y el servicio DHCP no pueden ejecutarse en un puerto/una vNIC al mismo tiempo. Si un agente de retransmisión se configura en un puerto, no se puede configurar un grupo de DHCP en las subredes de ese puerto.

n Si DHCP Offer contiene una dirección IP que no coincide con una interfaz lógica (LIF), el DLR no la devolverá a la máquina virtual. El paquete se descartará.


VMware, Inc. 435

Procedimiento



3 Haga clic en Administrar (Manage) > DHCP > Retransmisión (Relay).

4 Junto a Configuración global de retransmisión DHCP (DHCP Relay Global Configuration), haga clic en Editar (Edit).

5 Agregue un servidor de retransmisión DHCP con uno de estos métodos o con una combinación de estos.

Método Descripción

Seleccionar el conjunto de direcciones IP

En NSX 6.4.4 y versiones posteriores:

n Seleccione un conjunto de direcciones IP de la lista Objetos disponibles (Available Objects) y muévalo a la lista Objetos seleccionados (Selected Objects).

En NSX 6.4.3 y versiones anteriores:

a Haga clic en el icono Agregar (Add).

b Seleccione un conjunto de direcciones IP de la lista Objetos disponibles (Available Objects) y muévalo a la lista Objetos seleccionados (Selected Objects).

Especificar direcciones IP Escriba una lista de direcciones IP separada por comas.

Especificar nombres de dominio Escriba una lista de nombres de dominio separados por comas. Por ejemplo, grupo1.vmware.com,grupo2.vmware.com.

Asegúrese de agregar manualmente las direcciones IP del dominio al firewall.


Agregar agente de retransmisión DHCPAgregue las interfaces Edge desde las que desee que se transmitan las solicitudes DHCP a los servidores de retransmisión DHCP externos.

Procedimiento



3 Haga clic en Administrar (Manage) > DHCP > Retransmisión (Relay).

4 En el área Agentes de retransmisión DHCP (DHCP Relay Agents), haga clic en Agregar (Add).

5 En vNIC, asegúrese de seleccionar una vNIC interna.

La opción Dirección IP de puerta de enlace (Gateway IP Address) muestra la dirección IP principal de la vNIC seleccionada.



VMware, Inc. 436

Configurar servidores DNSPuede configurar servidores DNS externos en una ESG. La ESG reenvía las solicitudes de DNS de las aplicaciones cliente a los servidores DNS para resolver un nombre de red. La ESG también puede almacenar en caché la respuesta que recibe desde los servidores DNS.

Procedimiento




4 Edite los parámetros de configuración de DNS.


NSX 6.4.4 y posteriores a Haga clic en Administrar (Manage) > DNS.

b Junto a Configuración de DNS (DNS Configuration), haga clic en Cambiar (Change).


b En el panel Configuración de DNS (DNS Configuration), haga clic en Cambiar (Change).

5 Haga clic en Habilitar el servicio DNS (Enable DNS Service).

6 Introduzca la dirección IP de uno o ambos servidores DNS.

7 Cambie el tamaño predeterminado de la memoria caché si es necesario. El tamaño predeterminado es 16 MB.

8 Para registrar el tráfico de DNS, haga clic en Habilitar registro (Enable Logging) y seleccione el nivel de registro. El nivel de registro predeterminado es info.

Los registros generados se enviarán al servidor de Syslog.



VMware, Inc. 437

Service Composer 18Service Composer permite aprovisionar y asignar los servicios de red y seguridad a las aplicaciones en una infraestructura virtual. Estos servicios se asignan a un grupo de seguridad y se aplican a las máquinas virtuales del grupo de seguridad.

Grupo de seguridad

En principio, debe crear un grupo de seguridad para definir los activos que desea proteger. Los grupos de seguridad pueden ser estáticos (incluidas máquinas virtuales específicas) o dinámicos, y la pertenencia puede definirse en una o varias de las siguientes formas:

n Contenedores vCenter (clústeres, grupos de puertos o centros de datos)

n Etiquetas de seguridad, IPset, MACset o incluso otros grupos de seguridad Por ejemplo, puede incluir un criterio para agregar al grupo de seguridad todos los miembros etiquetados con la etiqueta de seguridad especificada (como AntiVirus.virusFound).

n Grupos de Active Directory (si NSX Manager se registró con Active Directory)

n Expresiones regulares, como máquinas virtuales con el nombre VM1

Tenga en cuenta que la pertenencia al grupo de seguridad cambia constantemente. Por ejemplo, una máquina virtual que tiene la etiqueta AntiVirus.virusFound se mueve al grupo de seguridad para cuarentena. Cuando se borra el virus y se quita la etiqueta de la máquina virtual, vuelve a salir del grupo de seguridad para cuarentena.

Importante Si el VM-ID de una máquina virtual se vuelve a generar porque esta se movió o se copió, las etiquetas de seguridad no se propagan al nuevo VM-ID.

Directiva de seguridad (Security Policy)

Una directiva de seguridad es una recopilación de las siguientes configuraciones de servicios.

Tabla 18-1. Servicios de seguridad contenidos en una directiva de seguridad

Servicio (Service) Descripción Aplica a

Reglas de firewall

Reglas que definen el tráfico que se permitirá que circule desde, hacia o dentro del grupo de seguridad.

vNIC

Servicio de extremo

Servicios de un proveedor de soluciones de terceros, como servicios de administración de vulnerabilidad o antivirus.

máquinas virtuales

Servicios de introspección de red

Servicios que supervisan la red, como IPS. máquinas virtuales

VMware, Inc. 438

Durante la implementación de servicios en NSX, el proveedor de soluciones de terceros selecciona la categoría del servicio que se va a implementar. Para cada plantilla de proveedor se crea un perfil de servicios predeterminado.

Cuando los servicios del proveedor se actualizan a NSX 6.1, se crean perfiles de servicio predeterminados para las plantillas de proveedores que se van a actualizar. Las directivas de servicios existentes que incluyen reglas de Guest Introspection se actualizan para establecer una referencia con los perfiles de servicio creados durante la actualización.

Asignar una directiva de seguridad a un grupo de seguridad

Es posible asignar una directiva de seguridad (por ejemplo, DS1) a un grupo de seguridad (GS1). Los servicios configurados en DS1 se aplican a todas las máquinas virtuales que pertenecen a GS1.

Nota Si tiene muchos grupos de seguridad a los que debe aplicar la misma directiva de seguridad, cree un grupo de seguridad principal que incluya todos los grupos de seguridad secundarios y aplique la directiva de seguridad común al grupo principal. De este modo, se garantiza que Distributed Firewall de NSX utilice de forma eficiente la memoria del host ESXi.

Figura 18-1. Descripción general de Service Composer

Grupo de seguridad

Si una máquina virtual pertenece a más de un grupo de seguridad, los servicios que se aplican a la máquina virtual dependen de la prioridad de la directiva de seguridad asignada a los grupos de seguridad.

Los perfiles de Service Composer pueden exportarse e importarse como copias de seguridad o utilizarse en otros entornos. Este enfoque para la administración de servicios de red y seguridad permite la administración de directivas de seguridad reiterativa y que se puede accionar.


n Utilizar Service Composer

n Service Composer Canvas

n Trabajar con etiquetas de seguridad

n Ver servicios efectivos


VMware, Inc. 439

n Trabajar con directivas de seguridad

n Importar y exportar configuraciones de directivas de seguridad

n Situaciones de Service Composer

Utilizar Service ComposerService Composer permite consumir servicios de seguridad con facilidad.

Veamos un ejemplo para mostrar de qué modo Service Composer permite proteger la red de extremo a extremo. Imaginemos que cuenta con las siguientes directivas de seguridad definidas en su entorno:

n Una directiva de seguridad estatal inicial que incluye un servicio de examen de vulnerabilidades (InitStatePolicy).

n Una directiva de seguridad de corrección que incluye un servicio IPS de red además de reglas de firewall y un servicio antivirus (RemPolicy).

Asegúrese de que la directiva RemPolicy tenga mayor peso (prioridad) que la directiva InitStatePolicy.

También cuenta con los siguientes grupos de seguridad instalados:

n Un grupo de activos de aplicaciones que incluye las aplicaciones empresariales críticas del entorno (AssetGroup).

n Un grupo de seguridad de corrección definido por una etiqueta que indica la vulnerabilidad de la máquina virtual (VULNERABILITY_MGMT.VulnerabilityFound.threat=medium) denominado RemGroup.

Ahora puede asignar la directiva InitStatePolicy en el grupo de activos AssetGroup para proteger todas las aplicaciones empresariales críticas del entorno. También puede asignar la directiva RemPolicy en el grupo de corrección RemGroup para proteger las máquinas virtuales vulnerables.

Cuando se inicia un examen de vulnerabilidad, se examinan todas las máquinas virtuales del grupo de activos AssetGroup. Si el examen identifica una vulnerabilidad en una máquina virtual, aplica la etiqueta VULNERABILITY_MGMT.VulnerabilityFound.threat=medium en la máquina virtual.

Service Composer agrega de inmediato la máquina virtual etiquetada en el grupo RemGroup, donde ya hay una solución IPS de red para proteger esta máquina virtual vulnerable.


VMware, Inc. 440

Figura 18-2. Service Composer en acción

Solución de partners Solución de partners

Grupo de seguridadde aplicación

fundamental para el negocio

VULNERABILITY_MGMT,VulnerabilityFound.threat

=medium

Máquina virtual etiquetada


=medium

Grupo de seguridad de solución


=medium

Aplicación fundamental para el negocioExamen de

vulnerabilidades

En este tema ahora verá los pasos necesarios para consumir los servicios de seguridad que ofrece Service Composer.

Procedimiento

1 Crear un grupo de seguridad en Service Composer

Es posible crear un grupo de seguridad en el nivel de NSX Manager.

2 Configuración global

3 Crear una directiva de seguridad

Una directiva de seguridad es un conjunto de servicios de Guest Introspection, de firewall y de introspección de red que se puede aplicar a un grupo de seguridad. La ponderación asociada con la directiva determina el orden en que se muestran las directivas de seguridad lo determina. De forma predeterminada, a una directiva nueva se le asigna la ponderación más alta para ubicarla en la parte superior de la tabla. Sin embargo, se puede modificar la ponderación sugerida predeterminada para cambiar el orden asignado a la directiva nueva.

4 Aplicar una directiva de seguridad a un grupo de seguridad

Puede aplicar una directiva de seguridad a un grupo de seguridad para asegurar los escritorios virtuales, las aplicaciones esenciales del negocio y las conexiones entre ellos. También puede ver una lista de los servicios que no se aplicaron y el motivo por el cual no se los aplicó.

Crear un grupo de seguridad en Service ComposerEs posible crear un grupo de seguridad en el nivel de NSX Manager.


VMware, Inc. 441

Requisitos previos

Si va a crear una directiva de seguridad para usarla con RDSH:









Procedimiento

Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Seguridad (Security) > Service Composer.

2 Asegúrese de estar en la pestaña Grupos de seguridad (Security Groups).

3 Haga clic en Agregar grupo de seguridad (Add Security Group) o en el icono Agregar (Add).

Los grupos de seguridad que se usen con el firewall de identidad de RDSH deben usar las directivas de seguridad en las que se marcó Habilitar la identidad del usuario en el origen (Enable User Identity at Source) cuando se crearon. Los grupos de seguridad que se usen con el firewall de identidad de RDSH solo pueden contener grupos de Active Directory (AD) y todos los grupos de seguridad anidados también deben ser grupos de AD.

4 Escriba un nombre y una descripción para el grupo de seguridad y haga clic en Siguiente (Next).

5 En la página Pertenencia dinámica (Dynamic Membership), defina los criterios que debe cumplir un objeto para que se pueda agregar al grupo de seguridad que va a crear.

Por ejemplo, puede incluir un criterio para agregar al grupo de seguridad todos los miembros etiquetados con la etiqueta de seguridad especificada (como AntiVirus.virusFound).

O bien puede agregar al grupo de seguridad todas las máquinas virtuales que contengan el nombre W2008 y las máquinas virtuales que estén en el conmutador lógico global_wire.

Las etiquetas de seguridad distinguen entre mayúsculas y minúsculas.

Nota Si define un grupo de seguridad por las máquinas virtuales que tienen cierta etiqueta de seguridad aplicada, puede crear un flujo de trabajo dinámico o condicional. En el momento en que se aplica la etiqueta a la máquina virtual, esta se agrega automáticamente al grupo de seguridad.


VMware, Inc. 442


7 En la página Seleccionar objetos para incluir (Select objects to include), seleccione el tipo de objeto en el menú desplegable.

Tenga en cuenta que los grupos de seguridad que se usan en sesiones de escritorio remoto solo pueden contener grupos de directorios.

8 Seleccione el objeto que desea agregar a la lista para incluirlo. Puede incluir los siguientes objetos en un grupo de seguridad.

n Otros grupos de seguridad para agrupar dentro del grupo de seguridad que se va a crear.

n Clúster

n Conmutador lógico

n Red

n Aplicación virtual

n Centro de datos


n Grupos de AD

Nota La configuración de AD para los grupos de seguridad de NSX es diferente de la configuración de AD para vSphere SSO. La configuración de AD de NSX está destinada a usuarios finales que acceden a las máquinas virtuales invitadas mientras que vSphere SSO es para los administradores que utilizan vSphere y NSX.

n Conjuntos de direcciones MAC

Nota Service Composer permite el uso de los grupos de seguridad que contienen conjuntos de direcciones MAC en las configuraciones de directivas. Sin embargo, Service Composer no puede aplicar reglas para ese conjunto específico de direcciones MAC. Service Composer funciona en la Capa 3 y no admite las construcciones de la Capa 2.

n Etiqueta de seguridad

n vNIC

n Máquina virtual

n Grupo de recursos

n Grupo de puertos virtuales distribuidos

Los objetos aquí seleccionados se incluyen siempre en el grupo de seguridad, independientemente de que coincidan o no con los criterios dinámicos.

Cuando se agrega un recurso a un grupo de seguridad, todos los recursos asociados se agregan automáticamente. Por ejemplo, cuando selecciona una máquina virtual, la vNIC asociada se agrega automáticamente al grupo de seguridad.


VMware, Inc. 443

9 Haga clic en Siguiente (Next) y doble clic en los objetos que desea excluir del grupo de seguridad.

Los objetos aquí seleccionados se excluyen siempre del grupo de seguridad, aunque coincidan con los criterios dinámicos o estén seleccionados en la lista de inclusión.


Ejemplo

La pertenencia a un grupo de seguridad se determina de la siguiente manera:

{Resultado de la expresión (procede del Paso paso 5) + Inclusiones (especificadas en el Paso paso 8} - Exclusión (especificadas en el Paso paso 9) lo que significa que los elementos de inclusión se agregan primero al resultado de la expresión. A continuación, se restan los elementos de exclusión del resultado total.

Configuración global

Editar la opción "Se aplica a" (Applied to) del firewall de Service ComposerEs posible establecer la opción "Se aplica a" (Applied to) para todas las reglas del firewall creadas a través de Service Composer para el Distributed Firewall o las directivas de los grupos de seguridad. De forma predeterminada, "Se aplica a" (Applied to) se configura para el Distributed Firewall.

Cuando las reglas del firewall de Service Composer tienen una opción de "Se aplica a" (Applied to) para configurar el firewall distribuido, las reglas se aplican a todos los clústeres en los que dicho firewall esté instalado. Si se configuraron las reglas del firewall para aplicarse a los grupos de seguridad de la directiva, usted cuenta con más control granular sobre las reglas del firewall, pero puede necesitar varias directivas de seguridad o reglas del firewall para conseguir el resultado deseado.

Procedimiento


2 Haga clic en la pestaña Directivas de seguridad (Security Policies).

3 Para editar la configuración global del firewall:

u En NSX 6.4.1 y versiones posteriores, junto a Configuración global del firewall (Global Firewall Settings), haga clic en el icono editar (edit) ( ).

u En NSX 6.4.0, junto a Configuración global (Global Settings), Reglas de firewall aplicadas a (Firewall Rules Applied To), haga clic en Editar (Edit).


VMware, Inc. 444

4 Seleccione una configuración predeterminada para "Se aplica a" (Applied to) y haga clic en Aceptar (OK). Este valor determina las vNIC en las que se aplicará la regla de firewall.


Distributed Firewall Las reglas del firewall se aplican a todos los clústeres en los que el Distributed Firewall está instalado.

Directivas de grupos de seguridad Las reglas del firewall se aplican a los grupos de seguridad a los que se aplique la directiva de seguridad.

La configuración predeterminada de "Se aplica a" (Applied to) también se puede ver y se puede cambiar a través de la API. Consulte la Guía de NSX API.

Tenga en cuenta que al usar las reglas RDSH del firewall, la opción Se aplica a (Applied to) está establecida como Distributed Firewall. No se admite Grupo de seguridad de la directiva (Policy's Security Groups) para la opción Se aplica a (Applied to) de las reglas RDSH.

Ejemplo: Comportamiento de "Se aplica a" (Applied to)

En este escenario de ejemplo, la acción predeterminada de la regla de firewall con cualquier servicio está configurada para el bloqueo. Existen dos grupos de seguridad: web-servers y app-servers, que contienen las máquinas virtuales. Cree una directiva de seguridad, allow-ssh-from-web, que incluya la siguiente regla de firewall y aplíquela a app-servers del grupo de seguridad.

n Nombre: allow-ssh-from-web

n Origen: web-servers

n Destino: directivas de grupos de seguridad

n Servicio: ssh

n Acción: permitir

Si la regla de firewall se aplica al Distributed Firewall, podrá realizar la acción ssh desde una máquina virtual en web-servers del grupo de seguridad a una máquina virtual de app-servers del grupo de seguridad.

Si la regla del firewall se aplica al grupo de seguridad de la directiva, no podrá realizar la acción ssh ya que el tráfico se bloquea para alcanzar los servidores de la aplicación. Será necesario crear una directiva de seguridad adicional para permitir la acción ssh para los servidores de la aplicación y aplicar esta directiva a web-servers del grupo de seguridad.

n Nombre: allow-ssh-to-app

n Origen: grupo de seguridad de la directiva

n Destino: app-servers

n Servicio: ssh

n Acción: permitir


VMware, Inc. 445

Sincronizar la configuración del firewallSincronizar la configuración del firewall supone la sincronización de la configuración de Service Composer con la configuración del firewall y vuelve a crear las reglas y las secciones del firewall relativas a Service Composer en el firewall.

La sincronización de la configuración del firewall permite a los usuarios volver a sincronizar toda la configuración de Service Composer con la configuración del firewall. Vuelve a crear las reglas y las secciones del firewall relativas a Service Composer en el firewall. Esta resincronización se aplica solo al firewall y a la introspección de red relacionada con las configuraciones de directivas. Esta operación crea todas las secciones de directivas en orden de prioridad por encima de la sección de firewall predeterminada.

Nota Esta operación puede tardar mucho tiempo en completarse y solo se debe activar cuando sea necesario.

Procedimiento



3 Para sincronizar la configuración del firewall:

u En NSX 6.4.1 y versiones posteriores, al lado del Estado de sincronización (Sync Status), haga clic en Sincronizar (Synchronize).

u En NSX 6.4.0, junto a Configuración global (Global Settings), haga clic en Sincronizar (Synchronize).

La sincronización global se producirá con el firewall distribuido o con grupos de seguridad de directivas. Todas las reglas y secciones del firewall relacionadas con Service Composer se sincronizarán y cambiarán para respetar la selección Se aplica a (Applied To). Consulte Editar la opción "Se aplica a" (Applied to) del firewall de Service Composer.

Crear una directiva de seguridadUna directiva de seguridad es un conjunto de servicios de Guest Introspection, de firewall y de introspección de red que se puede aplicar a un grupo de seguridad. La ponderación asociada con la directiva determina el orden en que se muestran las directivas de seguridad lo determina. De forma predeterminada, a una directiva nueva se le asigna la ponderación más alta para ubicarla en la parte superior de la tabla. Sin embargo, se puede modificar la ponderación sugerida predeterminada para cambiar el orden asignado a la directiva nueva.

Requisitos previos

Asegúrese de que:

n Los servicios integrados de VMware requeridos (como Distributed Firewall y Guest Introspection) estén instalados.


VMware, Inc. 446

n Los servicios de partners necesarios se hayan registrado con NSX Manager.

n La opción predeterminada que desee aplicar al valor se configura para las reglas del firewall de Service Composer. Consulte Editar la opción "Se aplica a" (Applied to) del firewall de Service Composer.

Si va a crear un marco de directivas de seguridad para el firewall de identidad de RDSH:









Procedimiento



3 Para crear una nueva directiva de seguridad:

u En NSX 6.4.1 y versiones posteriores, haga clic en Agregar (Add).

u En NSX 6.4.0, haga clic en el icono Crear directiva de seguridad (Create Security Policy) ( ).

4 En el cuadro de diálogo Crear directiva de seguridad (Create Security Policy) o Nueva directiva de seguridad (New Security Policy), escriba un nombre para la directiva de seguridad.

5 Escriba una descripción para la directiva de seguridad. La descripción no debe tener más de 255 caracteres.

NSX asigna una ponderación predeterminada (la ponderación más alta +1.000) a la directiva. Por ejemplo, si la ponderación más alta en la directiva existente es 1.200, a la directiva nueva se le asignará la ponderación 2.200.

Las directivas de seguridad se aplican según su ponderación: una directiva con ponderación más alta tiene precedencia sobre una con ponderación más baja.

6 Seleccione Heredar directiva de seguridad (Inherit security policy) si desea que la directiva que va a crear reciba servicios de otra directiva de seguridad. Seleccione la directiva primaria.

La directiva nueva hereda todos los servicios de la directiva primaria.



VMware, Inc. 447

8 En la página Servicios de Guest Introspection (Guest Introspection Services), haga clic en el icono

Agregar (Add) o Agregar servicio de Guest Introspection (Add Guest Introspection Service) ( ).

a En el cuadro de diálogo Agregar servicio de Guest Introspection (Add Guest Introspection Service), escriba un nombre y una descripción para el servicio.

b Especifique si desea aplicar el servicio o bloquearlo.

Cuando hereda una directiva de seguridad, puede elegir bloquear un servicio de la directiva primaria.

Si aplica un servicio, debe seleccionar un servicio y un perfil de servicio. Si bloquea un servicio, debe seleccionar el tipo de servicio que se debe bloquear.

c Si elige bloquear el servicio, seleccione el tipo de servicio.

d Si eligió aplicar el servicio de Guest Introspection, seleccione el nombre del servicio.

Se muestra el perfil de servicio predeterminado del servicio seleccionado, que incluye información sobre los tipos de funcionalidad de servicios admitidos por la plantilla de proveedor asociada.

e En Estado (State), especifique si desea habilitar el servicio de Guest Introspection o deshabilitarlo.

Puede agregar servicios de Guest Introspection como marcadores de posición para habilitar los servicios más adelante. Esto resulta particularmente útil en los casos en los que los servicios se deben aplicar a petición (por ejemplo, aplicaciones nuevas).

f Seleccione si se debe aplicar el servicio de Guest Introspection (es decir, no se puede anular). Si el perfil de servicio seleccionado es compatible con varios tipos de funcionalidad de servicios, esto se establece en Aplicar (Enforce) de forma predeterminada y no se puede cambiar.

Si aplica un servicio de Guest Introspection en una directiva de seguridad, otras directivas que heredan esta directiva de seguridad requerirían que esta directiva se aplique antes que otras secundarias. Si no se aplica este servicio, una selección de herencia agregaría la directiva primaria una vez aplicadas las directivas secundarias.

g Haga clic en Aceptar (OK).

Es posible agregar servicios de Guest Introspection adicionales con los pasos anteriores. Los servicios de Guest Introspection se pueden administrar por medio de los iconos ubicados arriba de la tabla de servicios.

En NSX 6.4.0, puede exportar o copiar los servicios en esta página si hace clic en el icono situado en la parte inferior derecha de la página Servicios de Guest Introspection (Guest Introspection Services).



VMware, Inc. 448

10 En la página Firewall, puede definir las reglas de firewall de los grupos de seguridad a los que se aplicará esta directiva de seguridad.

Al crear una directiva de seguridad para el firewall de identidad de RDSH, debe marcar la casilla Habilitar la identidad del usuario en el origen (Enable User Identity at Source). Tenga en cuenta que esto deshabilita la opción de habilitar el firewall sin estado, ya que se realiza un seguimiento del estado de conexión TCP para identificar el contexto. Esta opción no se puede cambiar mientras se está actualizando la directiva. Una vez que se cree una directiva de seguridad con Habilitar la identidad del usuario en el origen (Enable User Identity at Source), la herencia no será compatible.

a Haga clic en la casilla de verificación para habilitar los siguientes parámetros opcionales:


Habilitar la identidad del usuario en el origen (Enable User Identity at Source)

Al usar el firewall de identidad de RDSH, se debe marcar la casilla Habilitar la identidad del usuario en el origen (Enable User Identity at Source). Tenga en cuenta que esto deshabilita la opción de habilitar el firewall sin estado, ya que se realiza un seguimiento del estado de conexión TCP para identificar el contexto.

Habilitar TCP estricto (Enable TCP Strict) Permite establecer TCP estricto en cada sección de firewall.

Habilitar firewall sin estado (Enable Stateless Firewall) Habilita el firewall sin estado en cada sección de firewall.

b Haga clic en Agregar (Add) o en el icono Agregar regla de firewall (Add Firewall Rule) ( ).

c Escriba un nombre y una descripción para la regla de firewall que está por agregar.

d Seleccione Permitir (Allow), Bloquear (Block) o Rechazar (Reject) para indicar si la regla debe permitir, bloquear o rechazar el tráfico hacia el destino seleccionado.

e Seleccione el origen para la regla. De forma predeterminada, la regla se aplica al tráfico que proviene de los grupos de seguridad a los que se aplica esta directiva. Para cambiar el origen predeterminado, haga clic en Seleccionar (Select) o Cambiar (Change) y seleccione los grupos de seguridad adecuados.

f Seleccione el destino para la regla.

Nota El origen o el destino, o ambos, deben ser grupos de seguridad a los se aplica esta directiva.

Supongamos que crea una regla con el Origen (Source) predeterminado, especifica el Destino (Destination) como Nómina (Payroll) y selecciona Negar destino (Negate Destination). Después, aplica esta directiva de seguridad al grupo de seguridad Ingeniería (Engineering). Esto permitiría que Ingeniería (Engineering) acceda a todo excepto al servidor de Nómina (Payroll).

g Seleccione los servicios o los grupos de servicios a los que se aplica la regla.

h Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para especificar el estado de la regla.


VMware, Inc. 449

i Seleccione Registrar (Log) para registrar las sesiones que coincidan con esta regla.

Si el registro se habilita, el rendimiento puede verse afectado.

j Escriba el texto que quiere agregar en el cuadro de texto Etiqueta (Tag), mientras agrega o edita la regla de firewall.

k Haga clic en Aceptar (OK).

Es posible agregar reglas de firewall adicionales con los pasos anteriores. Es posible administrar las reglas de firewall por medio de los iconos ubicados arriba de la tabla de firewall.

En NSX 6.4.0, para exportar o copiar las reglas en esta página si hace clic en el icono en la parte inferior derecha de la página Firewall.

Las reglas de firewall que agrega aquí se muestran en la tabla de firewall. VMware recomienda no editar las reglas de Service Composer en la tabla de firewall. Si debe hacerlo para solucionar problemas, debe volver a sincronizar las reglas de Service Composer con las reglas de firewall como se describe a continuación:

n En NSX 6.4.1 y versiones posteriores, seleccione Sincronizar (Synchronize) en la pestaña Directivas de seguridad (Security Policies).

n En NSX 6.4.0, seleccione Sincronizar las reglas de firewall (Synchronize Firewall Rules) en el menú Acciones (Actions) de la pestaña Directivas de seguridad (Security Policies).


La página Servicios de introspección de red (Network Introspection Services) muestra los servicios de NetX que se integraron con el entorno virtual de VMware.

12 Haga clic en la casilla de verificación para habilitar los siguientes parámetros opcionales:




13 Haga clic en el icono Agregar (Add) o Agregar servicio de introspección de red (Add Network

Introspection Service) ( ).

a Escriba un nombre y una descripción para el servicio que desea agregar.

b Seleccione si desea redirigir el servicio o no.

c Seleccione el nombre y el perfil del servicio.

d Seleccione el origen y el destino.

e Seleccione el servicio de red que desea agregar.

Puede realizar selecciones adicionales según el servicio que seleccionó.

f Seleccione si desea habilitar o deshabilitar el servicio.

g Seleccione Registrar (Log) para registrar las sesiones que coincidan con esta regla.


VMware, Inc. 450

h Escriba el texto que desee agregar en el cuadro de texto Etiqueta (Tag).

i Haga clic en Aceptar (OK).

Es posible agregar servicios de introspección de red adicionales con los pasos anteriores. Los servicios de introspección de red se pueden administrar por medio de los iconos sobre la tabla de servicios.

En NSX 6.4.0, puede exportar o copiar los servicios en esta página si hace clic en el icono situado en la parte inferior derecha de la página Servicio de instrospección de red (Network Introspection Service).

Nota Se sobrescribirán los enlaces creados manualmente para los perfiles de servicio utilizados en las directivas de Service Composer.


La directiva de seguridad se agrega a la tabla de directivas. Puede hacer clic en el nombre de la directiva y seleccionar la pestaña adecuada para ver un resumen de los servicios asociados con la directiva, ver los errores de servicio o editar un servicio.

Pasos siguientes

Asigne la directiva de seguridad a un grupo de seguridad.

Aplicar una directiva de seguridad a un grupo de seguridadPuede aplicar una directiva de seguridad a un grupo de seguridad para asegurar los escritorios virtuales, las aplicaciones esenciales del negocio y las conexiones entre ellos. También puede ver una lista de los servicios que no se aplicaron y el motivo por el cual no se los aplicó.

Procedimiento



3 Seleccione una directiva de seguridad y haga clic en el icono Aplicar (Apply) o Aplicar directiva de

seguridad (Apply Security Policy) ( ).

4 Seleccione el grupo de seguridad en el que desea aplicar la directiva.


Si selecciona un grupo de seguridad definido por máquinas virtuales que tienen una cierta etiqueta de seguridad aplicada, puede crear un flujo de trabajo dinámico o condicional. En el momento en que se aplica la etiqueta a la máquina virtual, esta se agrega automáticamente al grupo de seguridad.


VMware, Inc. 451

Las reglas de introspección de red y las reglas de extremo asociadas con la directiva no surtirán efecto en los grupos de seguridad que contienen miembros IPSet o MacSet.

5 (opcional) (Solo en NSX 6.4.0) Haga clic en el icono Vista previa de estado del servicio (Preview Service Status) para ver los servicios que no se pueden aplicar al grupo de seguridad seleccionado y los motivos.

Por ejemplo, el grupo de seguridad puede incluir una máquina virtual que pertenece a un clúster en el que uno de los servicios de la directiva no se instaló. Debe instalar ese servicio en el clúster adecuado para que la directiva de seguridad funcione como se pretende.


Service Composer CanvasLa pestaña Service Composer Canvas ofrece una vista gráfica donde se muestran todos los grupos de seguridad del NSX Manager seleccionado. La vista también muestra detalles como los miembros de cada grupo de seguridad y la directiva de seguridad aplicada.

Nota En NSX 6.4.1 y versiones posteriores, se elimina la pestaña Service Composer > Canvas.

En este tema se presenta Service Composer desde un sistema parcialmente configurado de modo que se puedan visualizar las asignaciones entre los grupos de seguridad y los objetos de la directiva de seguridad en un nivel alto de la vista de lienzo.

Procedimiento


2 Haga clic en la pestaña Lienzo (Canvas).

En la parte superior de la pantalla aparecen Estado de la sincronización (Synchronization Status), con los errores o las advertencias, y Estado de publicación del firewall (Firewall Publish Status), con la fecha y la marca de tiempo de la última publicación de reglas de firewall.

Se muestran todos los grupos de seguridad de la instancia de NSX Manager seleccionada (que no están incluidos en otro grupo de seguridad) junto con las directivas aplicadas en ellos. El menú desplegable NSX Manager muestra todas las instancias de NSX Manager donde tiene un rol asignado el usuario cuya sesión está iniciada actualmente.

Cada casilla rectangular del lienzo representa un grupo de seguridad y los iconos dentro del rectángulo representan los miembros del grupo de seguridad y los detalles de la directiva de seguridad asignada.


VMware, Inc. 452

Figura 18-3. Grupo de seguridad

El número junto a cada icono indica la cantidad de instancias; por ejemplo, indica que ese grupo de seguridad tiene asignada una directiva de seguridad.

Icono Haga clic para mostrar

Los grupos de seguridad anidados en el grupo de seguridad principal.

Las máquinas virtuales que actualmente forman parte del grupo de seguridad principal, así como los grupos de seguridad anidados. Haga clic en la pestaña Errores (Errors) para ver las máquinas virtuales con errores en el servicio.

Las directivas de seguridad efectivas asignadas al grupo de seguridad.

n Para crear una nueva directiva de seguridad, haga clic en el icono Crear directiva de seguridad (Create Security

Policy) ( ). El objeto de la directiva de seguridad recién creada se asigna automáticamente al grupo de seguridad.

n Para asignar otras directivas de seguridad al grupo de seguridad, haga clic en el icono Aplicar directiva de

seguridad (Apply Security Policy) ( ).

Los servicios Effective Endpoint asociados con la directiva de seguridad asignada al grupo de seguridad. Imaginemos que tiene dos directivas aplicadas en un grupo de seguridad y que ambas tienen configurada la misma categoría de servicio Endpoint. El recuento de servicios Effective Endpoint en este caso es 1 (dado que se anula el segundo servicio en prioridad más baja).

Los errores en el servicio Endpoint, si los hay, se indican con un icono de alerta. Haga clic en el icono para ver el error.

Las reglas de firewall de Effective Endpoint asociadas con la directiva de seguridad asignada al grupo de seguridad.

Los errores en el servicio, si los hay, se indican con un icono de alerta. Haga clic en el icono para ver el error.

Los servicios de introspección de red efectiva asociados con la directiva de seguridad asignada al grupo de seguridad.

Los errores en el servicio, si los hay, se indican con un icono de alerta. Haga clic en el icono para ver el error.

Haga clic en el icono para ver un cuadro de diálogo con los detalles correspondientes.

Figura 18-4. Detalles que aparecen al hacer clic en un icono del grupo de seguridad


VMware, Inc. 453

Puede buscar los grupos de seguridad por su nombre. Por ejemplo, si escribe PCI en el campo de búsqueda en la esquina superior derecha de la vista de lienzo, solo aparecerán los grupos de seguridad que tengan PCI en el nombre.

Para ver la jerarquía de los grupos de seguridad, haga clic en el icono Nivel superior (Top Level) ( ) ubicado en la esquina superior izquierda de la ventana y seleccione el grupo de seguridad que desea

mostrar. Si un grupo de seguridad contiene grupos de seguridad anidados, haga clic en para ver los grupos anidados. La barra superior muestra el nombre del grupo de seguridad primario y los iconos de la barra muestran la cantidad total de directivas de seguridad, servicios Endpoint, servicios de firewall y servicios de introspección de red aplicables al grupo principal. Puede desplazarse de vuelta hacia el nivel

superior: haga clic en el icono Subir un nivel (Go up one level) (icono ) ubicado en la parte superior izquierda de la ventana.

Para hacer zoom para acercar o alejar la vista de lienzo lentamente, mueva el control deslizante del zoom en la esquina superior derecha de la ventana. El cuadro Navegador (Navigator) muestra una vista alejada del lienzo completo. Si el lienzo es muy grande y no cabe en la pantalla, aparecerá un cuadro alrededor del área que sigue viéndose, que podrá mover para cambiar la sección del lienzo que desea mostrar.

Pasos siguientes

Ahora que vimos cómo funciona la asignación entre grupos de seguridad y directivas de seguridad, puede empezar a crear directivas de seguridad para definir los servicios de seguridad que desea aplicar en sus grupos de seguridad.

Asignar grupo de seguridad a directiva de seguridadPuede asignar el grupo de seguridad seleccionado a una directiva de seguridad.

Procedimiento

1 Seleccione la directiva de seguridad que desea aplicar en el grupo de seguridad.

2 Para crear una directiva nueva, seleccione Nuevo grupo de seguridad (New Security Group).

Consulte Crear una directiva de seguridad.


Trabajar con etiquetas de seguridadPuede ver las etiquetas de seguridad aplicadas a una máquina virtual o crear una etiqueta de seguridad definida por el usuario.

Las etiquetas de seguridad son etiquetas que se pueden asociar a una máquina virtual. Se puede crear un gran número de etiquetas de seguridad para identificar una carga de trabajo específica. El criterio de coincidencia de un grupo de seguridad puede ser una etiqueta de seguridad y una carga de trabajo que esté etiquetada se puede colocar automáticamente dentro de un Grupo de seguridad.


VMware, Inc. 454

Se pueden agregar o eliminar etiquetas de seguridad en una máquina virtual de forma dinámica como respuesta a varios criterios, como los análisis de vulnerabilidad o antivirus y los sistemas de prevención de intrusiones. Los administradores también pueden agregar o eliminar las etiquetas de forma manual.


En un entorno cross-vCenter NSX, las etiquetas de seguridad universales se crean en la instancia principal de NSX Manager y se pueden marcar para la sincronización universal con instancias secundarias de NSX Manager. Las etiquetas de seguridad universales se pueden asignar a las máquinas virtuales de forma estática, en función de la selección de ID únicos.

Selección de ID únicoEl criterio de selección de ID único permite asignar etiquetas a máquinas virtuales en implementaciones en espera activas.

NSX Manager utiliza los ID únicos cuando una máquina virtual (VM) pasa de una implementación en espera a una activa. Los ID únicos se pueden basar en una instancia de UUID de máquina virtual, BIOS UUID de máquina virtual, el nombre de la máquina virtual, o bien una combinación de estas opciones. Si los criterios cambian (como un cambio de nombre de la máquina virtual) después de que las etiquetas de seguridad universales se creen y se vinculen a las máquinas virtuales, la etiqueta de seguridad se deberá desvincular y volver a vincular a las máquinas virtuales.

Procedimiento

1 En vSphere Web Client, desplácese hasta Inicio > Redes y seguridad > Instalación y actualización (Home > Networking & Security > Installation and Upgrade) y haga clic en la pestaña Administración (Management).

2 Haga clic en el NSX Manager principal, a continuación seleccione Acciones (Actions) > Criterios de selección de ID único (Unique ID Selection Criteria).

3 Seleccione una o varias de las opciones de ID único:

n Utilizar la instancia de máquina virtual UUID (recomendado): la instancia de UUID de máquina virtual es única dentro de un dominio VC, aunque existen excepciones, como en el caso de las implementaciones realizadas a través de instantáneas. Si la UUID de la instancia de máquina virtual no es única, use BIOS UUID de la máquina virtual en combinación con el nombre de la máquina virtual.

n Utilizar la máquina virtual BIOS UUID: no se garantiza que BIOS UUID sea única dentro de un dominio VC, pero siempre se preserva en caso de desastre. Use BIOS UUID en combinación con el nombre de máquina virtual.

n Utilizar el nombre de la máquina virtual: si todos los nombres de las VM en un entorno son únicos, entonces se pueden usar para identificar las máquinas virtuales en distintas instancias de vCenter. Use el nombre de máquina virtual en combinación con BIOS UUID de la máquina virtual.


VMware, Inc. 455


Pasos siguientes

A continuación, cree etiquetas de seguridad.

Ver etiquetas de seguridad aplicadasPuede ver las etiquetas de seguridad aplicadas a las máquinas virtuales del entorno.

Requisitos previos

Deberá haberse ejecutado un examen antivirus y deberá haberse aplicado una etiqueta en la máquina virtual correspondiente.

Nota Consulte la documentación de la solución de terceros para ver los detalles de las etiquetas que aplican estas soluciones.

Procedimiento


2 Haga clic en la pestaña Etiquetas de seguridad (Security Tags).

Se muestra una lista de etiquetas aplicadas al entorno, junto con los detalles de las máquinas virtuales en las que se aplicaron esas etiquetas. Anote el nombre exacto de la etiqueta si desea agregar un grupo de seguridad para incluir máquinas virtuales con una etiqueta específica.

3 Haga clic en la cantidad en la columna Recuento de máquinas virtuales (VM Count) para ver las máquinas virtuales en las que se aplicó la etiqueta de esa fila.

Crear una etiqueta de seguridadPuede crear una etiqueta de seguridad y aplicarla a una máquina virtual. En un entorno cross-vCenter, las etiquetas de seguridad se sincronizan entre las instancias primaria y secundaria de NSX Manager.

Requisitos previos

Si crea una etiqueta de seguridad universal en un escenario de implementación en espera activo, en primer lugar establezca los criterios de selección de ID único en la instancia principal de NSX Manager.

Procedimiento



3 Haga clic en Agregar (Add) o en el icono Nueva etiqueta de seguridad (New Security Tag).


VMware, Inc. 456

4 (opcional) Para crear una etiqueta de seguridad universal que pueda usar en entornos cross-vCenter NSX:

n En NSX 6.4.1 y versiones posteriores, haga clic en el botón Sincronización universal (Universal Synchronization) para activarlo.

n En NSX 6.4.0, seleccione Marcar este objeto para sincronización universal (Mark this object for Universal Synchronization).

5 Escriba un nombre y una descripción para la etiqueta, y haga clic en Aceptar (OK).

Pasos siguientes

Asigne máquinas virtuales a la etiqueta de seguridad.

Asignar una etiqueta de seguridadAdemás de crear un flujo de trabajo condicional con una etiqueta de seguridad dinámica basada en pertenencia, es posible asignar manualmente una etiqueta de seguridad a máquinas virtuales.

Las etiquetas de seguridad se pueden utilizar como el criterio de coincidencia en los grupos de seguridad. En un entorno cross-vCenter, las etiquetas de seguridad se sincronizan entre las instancias primaria y secundaria de NSX Manager.

Procedimiento



3 Para asignar la etiqueta de seguridad en la máquina virtual:

u En NSX 6.4.1 y versiones posteriores, seleccione la etiqueta de seguridad requerida y haga clic en Asignar máquinas virtuales (Assign VM).

u En NSX 6.4.0, haga clic con el botón secundario en una etiqueta de seguridad y seleccione Asignar etiqueta de seguridad (Assign Security Tag).

Se mostrará la ventana Asignar etiqueta de seguridad a máquina virtual (Assign Security Tag to Virtual Machine), rellenada con las VM disponibles.

4 Seleccione una o varias máquinas virtuales para moverlas a la columna Objetos seleccionados (Selected Objects).


Se mostrará la pestaña Etiquetas de seguridad (Security Tags) con un recuento de VM actualizado para la etiqueta de seguridad.


VMware, Inc. 457

Editar una etiqueta de seguridadEs posible editar una etiqueta de seguridad definida por el usuario. Si un grupo de seguridad se basa en la etiqueta que está editando, los cambios en la etiqueta pueden afectar la pertenencia al grupo de seguridad.

Procedimiento



3 Para editar una etiqueta de seguridad:

u En NSX 6.4.1 y versiones posteriores, seleccione la etiqueta de seguridad requerida y haga clic en Editar (Edit).

u En NSX 6.4.0, haga clic con el botón secundario en una etiqueta de seguridad y seleccione Editar etiqueta de seguridad (Edit Security Tag).


Eliminar una etiqueta de seguridadEs posible eliminar una etiqueta de seguridad definida por el usuario. Si un grupo de seguridad está basado en la etiqueta que va a eliminar, los cambios en la etiqueta pueden afectar la pertenencia al grupo de seguridad.

Procedimiento



3 Seleccione una etiqueta de seguridad y haga clic en el icono Eliminar (Delete) o Eliminar etiqueta

de seguridad (Delete Security Tag) ( ).

Ver servicios efectivosPuede ver los servicios efectivos en un objeto de una directiva de seguridad o en una máquina virtual.

Ver servicios efectivos en una directiva de seguridadPuede ver los servicios efectivos en una directiva de seguridad, incluidos los servicios heredados de una directiva primaria.

Procedimiento



VMware, Inc. 458


3 Haga clic en una directiva de seguridad en la columna Nombre (Name).

4 Aparecerá la ventana Directiva de seguridad (Security Policy):


NSX 6.4.1 y posteriores La navegación izquierda muestra Resumen (Summary), Reglas de firewall (Firewall Rules), Servicios de Guest Introspection (Guest Introspection Services), Servicios de introspección de red (Network Introspection Services) y Directivas secundarias (Child Policies).Puede editar, eliminar o aplicar directivas al grupo de seguridad.

NSX 6.4.0 Acceda a la pestaña Administrar (Manage) > Seguridad de la información (Information Security)Cada una de las tres pestañas (Servicios de Guest Introspection [Guest Introspection Services], Reglas de Firewall (Firewall Rules) y Servicios de introspección de red [Network Introspection Services]) muestra los correspondientes servicios de la directiva de seguridad.

Los servicios que no están efectivos aparecen atenuados. La columna Anulados (Overridden) muestra los servicios que en efecto se aplicaron a la directiva de seguridad y la columna Settings (Configuración) > General>Heredados de (Inherits from) muestra la directiva de seguridad de la cual se heredan los servicios.

Ver errores de servicios en una directiva de seguridadPuede ver los servicios asociados con una directiva de seguridad que no pudo aplicarse a los grupos de seguridad asignados a la directiva.

Procedimiento



3 Haga clic en una directiva de seguridad en la columna Nombre (Name).

4 (opcional) (Solo en NSX 6.4.0) Asegúrese de estar en la pestaña Supervisar (Monitor) > Errores del servicio (Service Errors).

Si hace clic en el vínculo de la columna Estado (Status), llegará a la página Implementación del servicio (Service Deployment), donde puede corregir los errores del servicio.

Ver servicios efectivos en una máquina virtualPuede ver los servicios efectivos en una máquina virtual. Si se están aplicando varias directivas de seguridad en una máquina virtual (es decir, la máquina virtual integra varios grupos de seguridad con


VMware, Inc. 459

directivas asignadas), entonces esta vista enumerará todos los servicios efectivos en estas directivas, en el orden en que se aplicaron. La columna del estado del servicio muestra el estado de cada servicio.

Procedimiento


2 Haga clic en vCenter y, a continuación, en Máquinas virtuales (Virtual Machines).

3 Haga clic en una máquina virtual de la columna Nombre (Name).

4 Asegúrese de estar en la pestaña Supervisar (Monitor) > Service Composer.

Trabajar con directivas de seguridadUna directiva de seguridad es un grupo de servicios de red y seguridad.

Los siguientes servicios de red y seguridad pueden agruparse en una directiva de seguridad:

n Servicios de endpoint: administración de vulnerabilidad y antivirtus

n Reglas de Distributed Firewall.

n Servicios de introspección de red: IPS de red y análisis forense de la red.

Administrar la prioridad de las directivas de seguridadLas directivas de seguridad se aplican según su ponderación: una directiva con ponderación más alta tiene más prioridad. Cuando mueve una directiva hacia arriba o abajo en la tabla, la ponderación se ajusta acorde al movimiento.

Se pueden aplicar varias directivas de seguridad a una máquina virtual, ya sea porque el grupo de seguridad que contiene la máquina virtual está asociado con varias directivas o porque la máquina virtual es parte de varios grupos de seguridad asociados con distintas directivas. Si hay un conflicto entre los servicios agrupados con cada directiva, la ponderación de la directiva determina los servicios que se aplicarán a la máquina virtual. Por ejemplo, supongamos que la directiva 1 bloquea el acceso a Internet y tiene un valor de ponderación de 1000, mientras que la directiva 2 permite el acceso a Internet y tiene un valor de ponderación de 2000. En este caso en particular, la directiva 2 tiene mayor ponderación y, por lo tanto, la máquina virtual podrá acceder a Internet.

Procedimiento



3 Haga clic en Administrar (Manage) o el icono Administrar prioridad (Manage Priority) ( ).

4 En el cuadro de diálogo Administrar prioridad (Manage Priority), seleccione la directiva de seguridad

a la que desea modificar la prioridad y haga clic en Mover hacia arriba (Move Up) ( ) o Mover hacia abajo (Move Down) ( ).


VMware, Inc. 460

5 Si desea mover objetos a una clasificación particular, haga clic en Mover a (Move To).

Introduzca la clasificación requerida y haga clic en la marca de verificación verde o Aceptar (OK).

La ponderación se recalcula de acuerdo a la nueva clasificación.

6 Si desea editar la ponderación de la directiva, haga clic en Editar ponderación (Edit Weight).

Introduzca la ponderación requerida y haga clic en la marca de verificación verde o Aceptar (OK).


Editar directiva de seguridadEs posible editar el nombre o la descripción de una directiva de seguridad, al igual que las reglas y los servicios asociados.

Procedimiento



3 Seleccione la directiva de seguridad que desea editar y haga clic en el icono Editar (Edit) o Editar

directiva de seguridad (Edit Security Policy) ( ).

4 En el cuadro de diálogo Editar directiva de seguridad (Edit Security Policy), realice los cambios adecuados y haga clic en Finalizar (Finish).

Eliminar una directiva de seguridadEs posible eliminar una directiva de seguridad.

Procedimiento



3 Seleccione la directiva de seguridad que desea eliminar y haga clic en el icono Eliminar (Delete) o

Eliminar directiva de seguridad (Delete Security Policy) ( ).

Importar y exportar configuraciones de directivas de seguridadPuede usar Service Composer para exportar la configuración de directivas de seguridad con un formado de archivo específico desde una instancia de NSX Manager e importar la configuración exportada a otra instancia de NSX Manager.


VMware, Inc. 461

No puede exportar directamente grupos de seguridad en Service Composer. Primero, debe asegurarse de que se haya asignado una directiva de seguridad a un grupo de seguridad y, a continuación, exportar esa directiva. Se exportará todo el contenido de la directiva de seguridad, como las reglas del DFW, las reglas de introspección del invitado y de red, así como los grupos de seguridad vinculados a la directiva de seguridad.

Cuando un grupo de seguridad contenedor incluye grupos de seguridad anidados, también se exporta la información anidada. Podrá agregar un prefijo a la directiva durante la exportación. Este prefijo se aplicará al nombre de la directiva, el nombre de las acciones de la directiva y el nombre del grupo de seguridad.

Podrá especificar un sufijo al importar la configuración a otra instancia de NSX Manager, Este sufijo se aplicará al nombre de la directiva, el nombre de las acciones de la directiva y el nombre del grupo de seguridad. Si ya existe un grupo de seguridad o una directiva de seguridad con ese nombre en la instancia de NSX Manager en la que se está llevando a cabo la importación, no se podrá completar la importación de la configuración de la directiva de seguridad.

Exportar la configuración de una directiva de seguridadPuede exportar la configuración de una directiva de seguridad y guardarla en el escritorio. La configuración guardada puede usarse como copia de seguridad para situaciones donde se puede eliminar por accidente la configuración de una directiva, o bien puede exportarse para utilizarla en otro entorno de NSX Manager.

Procedimiento



3 Seleccione la directiva de seguridad que desea exportar.

4 Haga clic en Más (More) o Acciones (Actions) y, a continuación, haga clic en Exportar configuración (Export Configuration).

5 Escriba un nombre y una descripción para la configuración que se va a exportar.

6 Si fuera necesario, introduzca el prefijo que se debe agregar a las políticas de seguridad y los grupos de seguridad que se van a exportar.

Si especifica un prefijo, este se agrega a los nombres de las directivas de seguridad de destino para garantizar que tengan nombres únicos.


8 En la página Seleccionar directivas de seguridad (Select security policies), seleccione la directiva de seguridad que desea exportar y haga clic en Siguiente (Next).


VMware, Inc. 462

9 La página Vista previa de la selección (Preview Selection) o Listo para finalizar (Ready to complete) muestra las directivas de seguridad, los servicios de endpoint, las reglas de firewall y los servicios de introspección de red que se deben exportar.

En esta página también se muestran los grupos de seguridad a los que se aplican las directivas de seguridad.


11 Seleccione el directorio de su equipo al que desea exportar el archivo del proyecto y haga clic en Guardar (Save).

El archivo de configuración de la directiva de seguridad se guardará en la ubicación especificada.

Importar la configuración de una directiva de seguridadPuede exportar la configuración de una directiva de seguridad guardada como copia de seguridad o para restablecer una configuración similar en otra instancia de NSX Manager.

Al importar la configuración, se crea un grupo de seguridad vacío. Todos los servicios, los perfiles de servicio, las aplicaciones y los grupos de aplicaciones deben estar presentes en el entorno de destino o no se podrán importar.

Procedimiento



3 Haga clic en Más (More) o Acciones (Actions) y, a continuación, haga clic en el icono Importar configuración (Import Configuration).

4 Seleccione el archivo de configuración de la directiva de seguridad que desea importar.

5 Si fuera necesario, introduzca el sufijo que se debe agregar a las políticas de seguridad y los grupos de seguridad que se van a importar.

Si especifica un sufijo, este se agrega a los nombres de las directivas de seguridad que se importan, para garantizar que tengan nombres únicos.


Service Composer comprueba que todos los servicios mencionados en la configuración estén disponibles en el entorno de destino. Si no lo están, aparecerá la página Administrar servicios faltantes (Manage Missing Services) en la que puede asignar los servicios faltantes a servicios de destino disponibles.

La página Listo para finalizar (Ready to complete) muestra las directivas de seguridad, los servicios de endpoint, las reglas de firewall y los servicios de introspección de red que se deben exportar. En esta página también se muestran los grupos de seguridad a los que se aplican las directivas de seguridad.


VMware, Inc. 463


La configuración de la directiva de seguridad importada se agrega a la parte superior de la tabla de directivas de seguridad (encima de las directivas existentes) en la instancia de destino de NSX Manager. El orden original de las reglas importadas y los servicios de seguridad se conserva en la directiva de seguridad.

Situaciones de Service ComposerEsta sección muestra algunas situaciones hipotéticas para Service Composer. Se da por sentado que al administrador de cada situación se le asignó el rol Administrador de seguridad.

Situación de máquinas infectadas en cuarentenaService Composer puede identificar si hay sistemas infectados en la red con soluciones antivirus de terceros y ponerlos en cuarentena para evitar otras infecciones.

Nuestro caso de muestra explica cómo proteger los escritorios de extremo a extremo.


VMware, Inc. 464

Figura 18-5. Configurar Service Composer

Tareas del administrador

Crear directivade seguridad para escritorios

(DesktopPolicy)

Crear directiva de seguridadpara examinar escritorios

(DesktopPolicy)

Crear directiva de seguridadpara aislar sistemas infectados

(QuarantinePolicy)

Crear directiva de seguridad paramáquinas virtuales infectadas

(QuarantinePolicy)

Asignar Cuarentena aQuarantineSecurityGroup

Ejecutar exploración desoluciones del partner

Asignar DesktopPolicy aDesktopSecurityGroup


VMware, Inc. 465

Figura 18-6. Flujo de trabajo condicional de Service Composer

Tareas del administrador

Acción automática por parte de Service Composer

Exploraciónde administración

de vulnerabilidades

VM etiquetada agregada al instante a

QuarantineSecurityGroup

VM enQuarantineSecurityGroupprotegida mediante IPS

VM vulnerableetiquetada

Requisitos previos

Estamos al tanto de que las etiquetas de Symantec infectaron las máquinas virtuales con la etiqueta AntiVirus.virusFound.

Procedimiento

1 Instale, registre e implemente la solución Symantec Antimalware.

2 Cree una directiva de seguridad para los escritorios.

a Haga clic en la pestaña Directivas de seguridad (Security Policies) y, a continuación, en el icono Agregar directiva de seguridad (Add Security Policy).

b En Nombre (Name), escriba DesktopPolicy.

c En Descripción (Description), escriba Antivirus scan for all desktops.

d Cambie el promedio a 51.000. La prioridad de la directiva se establece como alta para garantizar que se aplique antes que las demás directivas.

e Haga clic en Siguiente (Next).


VMware, Inc. 466

f En la página Agregar servicio de extremo (Add Endpoint Service), haga clic en y complete los siguientes valores.

Opción Valor

Acción (Action) No modifique el valor predeterminado

Tipo de servicio (Service Type) Antivirus

Nombre del servicio (Service Name) Symantec Antimalware

Configuración del servicio (Service Configuration)

Silver

Estado (State) No modifique el valor predeterminado

Aplicar (Enforce) No modifique el valor predeterminado

Nombre (Name) AV del escritorio

Descripción (Description) Directiva obligatoria para aplicar en todos los escritorios.

g Haga clic en Aceptar (OK).

h No agregue ningún servicio de introspección de red o firewall y haga clic en Finalizar (Finish).

3 Cree una directiva de seguridad para las máquinas virtuales infectadas.


b En Nombre (Name), escriba QuarantinePolicy.

c En Descripción (Description), escriba Policy to be applied to all infected systems.

d No cambie el promedio predeterminado.


f En la página Agregar servicio de extremo (Add Endpoint Service), no realice ninguna acción y haga clic en Siguiente (Next).

g En Firewall, agregue tres reglas: una para bloquear todo el tráfico saliente, la siguiente para bloquear todo el tráfico con los grupos y la última para permitir el tráfico entrante solo desde las herramientas de corrección.

h No agregue ningún servicio de introspección de red y haga clic en Finalizar (Finish).

4 Mueva QuarantinePolicy al principio de la tabla de directivas de seguridad para garantizar que se aplique antes que las demás directivas.

a Haga clic en el icono Administrar prioridades (Manage Priority).

b Seleccione QuarantinePolicy y haga clic en el icono Subir (Move Up).


VMware, Inc. 467

5 Cree un grupo de seguridad para todos los escritorios del entorno.


b Haga clic en Redes y seguridad (Networking & Security) y, a continuación, haga clic en Service Composer.

c Haga clic en la pestaña Grupos de seguridad (Security Groups) y, a continuación, en el icono Agregar grupo de seguridad (Add Security Group).

d En Nombre (Name), escriba DesktopSecurityGroup.

e En Descripción (Description), escriba All desktops.

f Haga clic en Siguiente (Next) en las próximas páginas.

g Revise sus selecciones en la página Listo para finalizar (Ready to Complete) y haga clic en Finalizar (Finish).

6 Cree un grupo de seguridad para cuarentena donde colocará las máquinas virtuales infectadas.

a Haga clic en la pestaña Grupos de seguridad (Security Groups) y, a continuación, en el icono Agregar grupo de seguridad (Add Security Group).

b En Nombre (Name), escriba QuarantineSecurityGroup.

c En Descripción (Description), escriba Dynamic group membership based on infected VMs identified by the antivirus

scan.

d En la página Definir criterios de pertenencia (Define membership Criteria), haga clic en y agregue los siguientes criterios.

e No realice ninguna acción en las páginas Seleccionar objetos para incluir (Select objects to include) o Seleccionar objetos para excluir (Select objects to exclude) y haga clic en Siguiente (Next).

f Revise sus selecciones en la página Listo para finalizar (Ready to Complete) y haga clic en Finalizar (Finish).


VMware, Inc. 468

7 Asigne la directiva DesktopPolicy al grupo de seguridad DesktopSecurityGroup.

a En la pestaña Directivas de seguridad (Security Policies), asegúrese de que se haya seleccionado la directiva DesktopPolicy.

b Haga clic en el icono Aplicar directiva de seguridad (Apply Security Policy) ( ) y seleccione el grupo SG_Desktops.


Esta asignación garantiza que todos los escritorios (parte de DesktopSecurityGroup) se analicen al activar un análisis antivirus.

8 Desplácese hasta la vista de lienzo para confirmar que QuarantineSecurityGroup aún no incluya ninguna máquina virtual.

a Haga clic en la pestaña Seguridad de la información (Information Security).

b Confirme que haya 0 máquinas virtuales en el grupo ( )

9 Asigne QuarantinePolicy a QuarantineSecurityGroup.

Esta asignación garantiza que no circule tráfico hacia los sistemas infectados.

10 Desde la consola de Symantec Antimalware, active una exploración en la red.

La exploración detecta las máquinas virtuales infectadas y les asigna la etiqueta de seguridad AntiVirus.virusFound. Las máquinas virtuales etiquetadas se agregan de inmediato a QuarantineSecurityGroup. La directiva QuarantinePolicy permite que no circule tráfico por los sistemas infectados.

Realizar copias de seguridad de la configuración de seguridadService Composer puede ser una herramienta útil para realizar una copia de seguridad de la configuración de seguridad y restaurarla en otro momento.

Procedimiento

1 Instale, registre e implemente la solución Rapid 7 Vulnerability Management.

2 Cree un grupo de seguridad para el primer nivel de la aplicación SharePoint, los servidores web.


b Haga clic en Redes y seguridad (Networking & Security) y, a continuación, haga clic en Service Composer.

c Haga clic en la pestaña Grupos de seguridad (Security Groups) y, a continuación, en el icono Agregar grupo de seguridad (Add Security Group).

d En Nombre (Name), escriba SG_Web.

e En Descripción (Description), escriba Security group for application tier.


VMware, Inc. 469

f No realice ningún cambio en la página Definir criterios de pertenencia (Define membership Criteria) y haga clic en Siguiente (Next).

g En la página Seleccionar objetos para incluir (Select objects to include), seleccione las máquinas virtuales del servidor web.

h No realice ningún cambio en la página Seleccionar objetos para excluir (Select objects to exclude) y haga clic en Siguiente (Next).

i Revise sus selecciones en la página Listo para finalizar (Ready to Complete) y haga clic en Finalizar (Finish).

3 Ahora, cree un grupo de seguridad para la base de datos y uno para los servidores SharePoint Server, y asígneles los nombres SG_Database y SG_Server_SharePoint, respectivamente. Incluya los objetos apropiados en cada grupo.

4 Cree un grupo de seguridad de nivel superior para los niveles de aplicación y asígnele el nombre SG_App_Group. Agregue SG_Web, SG_Database y SG_Server_SharePoint a este grupo.

5 Cree una directiva de seguridad para los servidores web.


b En Nombre (Name), escriba SP_App.

c En Descripción (Description), escriba SP for application web servers.

d Cambie el peso a 50000. La prioridad de la directiva es bastante alta para garantizar que se aplique por sobre la mayoría de las otras directivas (a excepción de la cuarentena).


f En la página Servicios Endpoint (Endpoint Services), haga clic en (Agregar) y complete los siguientes valores.

Opción Valor

Acción (Action) No modifique el valor predeterminado

Tipo de servicio (Service Type) Administración de la vulnerabilidad

Nombre del servicio (Service Name) Rapid 7

Configuración del servicio (Service Configuration)

Silver

Estado (State) No modifique el valor predeterminado

Aplicar (Enforce) No modifique el valor predeterminado

g No agregue ningún servicio de introspección de red o firewall y haga clic en Finalizar (Finish).

6 Asigne SP_App a SG_App_Group.


VMware, Inc. 470

7 Desplácese hasta la vista de lienzo para confirmar que SP_App se haya asignado a SG_App_Group.

a Haga clic en la pestaña Seguridad de la información (Information Security).

b Haga clic en el número junto al icono para ver si se asignó SP_App.

8 Exporte la directiva SP_App.

a Haga clic en la pestaña Directivas de seguridad (Security Policies) y seleccione el icono

Exportar plano técnico (Export Blueprint) .

b En Nombre (Name), escriba Template_ App_ y, en Prefijo (Prefix), escriba FromAppArchitect.

c Haga clic en Siguiente (Next).

d Seleccione la directiva SP_App y haga clic en Siguiente (Next).

e Revise las selecciones y haga clic en Finalizar (Finish).

f Seleccione el directorio de su equipo donde desea descargar el archivo exportado y haga clic en Guardar (Save).

Se exportará la directiva de seguridad junto con todos los grupos de seguridad en los que se aplicó esta directiva (en este caso, el grupo de seguridad Aplicación [Application] y los tres grupos de seguridad anidados en él).

9 Para probar el funcionamiento de la directiva exportada, elimine la directiva SP_App.

10 A continuación, restaure la directiva Template_ App_ DevTest que exportó en el paso 7.

a Haga clic en Acciones (Actions) y, a continuación, haga clic en el icono Importar configuración de servicios (Import Service Configuration).

b Seleccione el archivo FromAppArtchitect_Template_App en el escritorio (lo guardó en el paso 7).

c Haga clic en Siguiente (Next).

d La página Listo para finalizar (Ready to complete) muestra las directivas de seguridad, junto con los objetos asociados (grupos de seguridad en los que se han aplicado estas directivas, además de servicios de extremo, reglas de firewall y servicios de introspección de red) que se importarán.

e Haga clic en Finalizar (Finish).

La configuración y los objetos asociados se importarán al inventario de vCenter y se podrán ver en la vista de lienzo.


VMware, Inc. 471

Guest Introspection 19Guest Introspection descarga el procesamiento antivirus y antimalware en un dispositivo virtual protegido y exclusivo que ofrecen los partners de VMware. Dado que el dispositivo virtual protegido (a diferencia de una máquina virtual invitada) no se desconecta, puede actualizar continuamente firmas antivirus y, de este modo, ofrecer protección ininterrumpida para las máquinas virtuales del host. Asimismo, las nueva máquinas virtuales (o las existentes que se desconectaron) quedan protegidas de inmediato con las firmas antivirus más actuales al volver a conectarse.

El estado de mantenimiento de Guest Introspection se transmite mediante el uso de alarmas que aparecen en rojo en la consola de vCenter Server. Por otra parte, puede recopilarse más información del estado desde los registros de eventos.

Importante Su entorno debe estar correctamente configurado para la seguridad de Guest Introspection:

n Todos los hosts del grupo de recursos que contienen máquinas virtuales protegidas deben estar preparados para Guest Introspection, de modo que las máquinas virtuales sigan protegidas cuando se las mueva mediante vMotion desde un host ESXi a otro dentro del grupo de recursos.

n Las máquinas virtuales deben tener instalado Thin Agent de Guest Introspection para estar protegidas por la solución de seguridad de Guest Introspection. No todos los sistemas operativos invitados son compatibles. Las máquinas virtuales con sistemas operativos no compatibles no quedan protegidas por la solución de seguridad.


n Instalar Guest Introspection en los clústeres de host

n Instalar Thin Agent de Guest Introspection en máquinas virtuales de Windows

n Instalar Thin Agent de Guest Introspection en máquinas virtuales Linux

n Ver el estado de Guest Introspection

n Mensajes de auditoría de Guest Introspection

n Eventos de Guest Introspection

n Desinstalar un módulo de Guest Introspection

VMware, Inc. 472

Instalar Guest Introspection en los clústeres de hostAl instalar Guest Introspection se instalan automáticamente un nuevo VIB y una máquina virtual de servicio en cada host del clúster. Se requiere Guest Introspection para la supervisión de actividad y varias soluciones de seguridad de terceros.

Nota No es posible migrar una máquina virtual de servicios (SVM) usando vMotion/SvMotion. Para que las máquinas virtuales de servicios funcionen correctamente, se deben mantener en el host en el que se implementaron.

Requisitos previos

Las instrucciones de instalación a continuación dan por sentado que se cuenta con el siguiente sistema:

n Un centro de datos con versiones compatibles de vCenter Server y ESXi instalados en cada host del clúster.

n Los hosts del clúster donde quiere instalar Guest Introspection deben estar preparados para NSX. Consulte cómo preparar el clúster del host para NSX en Guía de instalación de NSX. Guest Introspection no puede instalarse en hosts independientes. Si implementa y administra Guest Introspection solo para la capacidad de descarga antivirus, no es necesario que prepare los hosts para NSX, acción que no permite la licencia de NSX para vShield Endpoint.

n Se instaló NSX Manager y se está ejecutando.

n Asegúrese de que NSX Manager y los hosts preparados que ejecuten los servicios de Guest Introspection estén vinculados al mismo servidor NTP y que la hora esté sincronizada. Un error al realizar esta acción puede provocar que las máquinas virtuales no estén protegidas por los servicios de antivirus, aunque el estado del clúster aparezca en verde para Guest Introspection y cualquier servicio de terceras partes.

Si se agrega un servidor NTP, VMware recomienda que se vuelva a implementar Guest Introspection y cualquier servicio de terceras partes.

Si desea asignar una dirección IP a la máquina virtual de servicio de Guest Introspection desde un grupo de IP, cree el grupo de IP antes de instalar Guest Introspection. Consulte cómo trabajar con grupos IP en Guía de administración de NSX.

vSphere Fault Tolerance no funciona con Guest Introspection.

Procedimiento

1 Desplácese a Redes y seguridad (Networking & Security) > Instalación y actualización (Installation and Upgrade) > Implementación del servicio (Service Deployment).


3 En el cuadro de diálogo Implementar servicios de red y seguridad (Deploy Network and Security Services), seleccione Guest Introspection.


VMware, Inc. 473

4 En Especificar programación (Specify schedule) (en la parte inferior del cuadro de diálogo), seleccione Implementar ahora (Deploy now) para implementar Guest Introspection después de instalarlo, o bien seleccione una fecha y una hora para la implementación.


6 Seleccione el centro de datos y los clústeres donde desea instalar Guest Introspection, y haga clic en Siguiente (Next).

7 En la página Seleccionar red de administración y almacenamiento (Select storage and Management Network), seleccione el almacén de datos donde desea agregar el almacenamiento de las máquinas virtuales de servicio, o bien seleccione Especificado en el host (Specified on host). Se recomienda utilizar las redes y los almacenes de datos compartidos en lugar de la opción "Especificado en el host" (Specified on host) de modo que los flujos de trabajo de la implementación se automaticen.

El almacén de datos seleccionado debe estar disponible en todos los hosts del clúster elegido.

Si seleccionó Especificado en el host (Specified on host), siga los siguientes subpasos para cada host del clúster.

a En la página Inicio (Home), haga clic en Hosts y clústeres (Hosts and Clusters).

b Haga clic en un host de Navegador (Navigator) y, a continuación, haga clic en Configurar (Configure).

c En el panel de navegación izquierdo, bajo Máquinas virtuales (Virtual Machines), haga clic en Máquinas virtuales de agente (Agent VMs) y, a continuación, haga clic en Editar (Edit).

d Seleccione el almacén de datos y haga clic en Aceptar (OK).

8 Si establece el almacén de datos como Especificado en el host (Specified on host), también debe establecer la red como Especificado en el host (Specified on host).

Si seleccionó Especificado en el host (Specified on host), siga los subpasos del paso 7 para seleccionar una red del host. Para agregar un host (o varios hosts) al clúster, el almacén de datos y la red deben establecerse antes de agregar cada host al clúster.

9 En la asignación de direcciones IP, seleccione una de las siguientes opciones:

Seleccionar Para

DHCP Asigne una dirección IP a la máquina virtual de servicio de Guest Introspection mediante el protocolo de configuración dinámica de host (DHCP). Seleccione esta opción si los hosts se encuentran en diferentes subredes.

Usar grupo de direcciones IP Asigne una dirección IP a la máquina virtual de servicio de Guest Introspection a partir del grupo de direcciones IP seleccionado.

10 Haga clic en Siguiente (Next) y, a continuación, en Finalizar (Finish) en la página Listo para finalizar

(Ready to complete).


VMware, Inc. 474

11 Supervise la implementación hasta que la columna Estado de instalación (Installation Status) muestre Correcto (Succeeded).

En NSX 6.4.0 y versiones posteriores, el nombre de SVM de GI en vCenter Server muestra la dirección IP del host en el que se implementó.

12 Si la columna Estado de instalación (Installation Status) muestra Con errores (Failed), haga clic en el icono junto a Con errores. Se muestran todos los errores de implementación. Haga clic en Resolver (Resolve) para solucionar los errores. A veces, al resolver errores aparecen errores nuevos. Realice la acción requerida y haga clic de nuevo en Resolver (Resolve).

Instalar Thin Agent de Guest Introspection en máquinas virtuales de WindowsPara proteger las máquinas virtuales mediante una solución de seguridad de Guest Introspection, debe instalar en ellas Thin Agent de Guest Introspection, también conocido como controladores de Guest Introspection. Los controladores de Guest Introspection se incluyen con VMware Tools para Windows, pero no forman parte de la instalación predeterminada. Para instalar Guest Introspection en una máquina virtual Windows, debe realizar una instalación personalizada y seleccionar los controladores.

n Si utiliza vSphere 6.0, consulte estas instrucciones para instalar VMware Tools: http://pubs.vmware.com/vsphere-60/index.jsp?topic=%2Fcom.vmware.vsphere.vm_admin.doc%2FGUID-391BE4BF-89A9-4DC3-85E7-3D45F5124BC7.html.

n Si utiliza vSphere 6.5, consulte estas instrucciones para instalar VMware Tools:https://www.vmware.com/support/pubs/vmware-tools-pubs.html.

Las máquinas virtuales de Windows con controladores de Guest Introspection instalados quedan automáticamente protegidas cuando se inicien en un host ESXi con la solución de seguridad instalada. Las máquinas virtuales protegidas mantienen la protección de seguridad durante los apagados y reinicios e incluso después del traslado de vMotion a otro host ESXi con la solución de seguridad instalada.

Para obtener instrucciones sobre Linux, consulte Instalar Thin Agent de Guest Introspection en máquinas virtuales Linux.

Requisitos previos

Asegúrese de que una máquina virtual invitada tenga una versión compatible de Windows instalada. Los sistemas operativos de Windows siguientes son compatibles con NSX Guest Introspection:

n Windows XP SP3 y posteriores (32 bit)

n Windows Vista (32 bit)

n Windows 7 (32/64 bit)

n Windows 8 (32/64 bits)

n Windows 8.1 (32/64) -- a partir de vSphere 6.0 y versiones posteriores

n Windows 10


VMware, Inc. 475

http://pubs.vmware.com/vsphere-60/index.jsp?topic=%2Fcom.vmware.vsphere.vm_admin.doc%2FGUID-391BE4BF-89A9-4DC3-85E7-3D45F5124BC7.html



https://www.vmware.com/support/pubs/vmware-tools-pubs.html

https://www.vmware.com/support/pubs/vmware-tools-pubs.html

n Windows 2003 SP2 y posteriores (32/64 bit)

n Windows 2003 R2 (32/64 bit)

n Windows 2008 (32/64 bit)

n Windows 2008 R2 (64 bit)

n Win2012 (64)

n Win2012 R2 (64) -- a partir de vSphere 6.0 y versiones posteriores

Procedimiento

1 Comience la instalación de VMware Tools y siga las instrucciones de su versión de vSphere. Seleccione la instalación personalizada.

2 Expanda la sección Controlador VMCI (VMCI Driver).

Las opciones disponibles varían en función de la versión de VMware Tools.

Controlador Descripción

Controladores de vShield Endpoint Instala los controladores de introspección de archivos (vsepflt) e introspección de red (vnetflt).

Controladores de Guest Introspection Instala los controladores de introspección de archivos (vsepflt) e introspección de red (vnetflt).

Controlador de introspección de archivos de NSX y controlador de introspección de red de NSX

Seleccione el controlador de introspección de archivos de NSX para instalar vsepflt.

También puede seleccionar el controlador de introspección de red de NSX para instalar vnetflt (vnetWFP en Windows 10 o versiones posteriores).

Nota Seleccione el controlador de introspección de red de NSX solo si utiliza las funciones de firewall de identidad o supervisión de endpoints.

3 En el menú desplegable situado junto a los controladores que desea agregar, seleccione Esta función se instalará en el disco duro local (This feature will be installed on the local hard drive).

4 Siga los pasos restantes del procedimiento.

Pasos siguientes

Compruebe que se esté ejecutando la instancia de Thin Agent utilizando el comando fltmc con privilegios administrativos. La columna Nombre de filtro (Filter Name) de la salida enumera la instancia de Thin Agent con una entrada vsepflt.


VMware, Inc. 476

Instalar Thin Agent de Guest Introspection en máquinas virtuales LinuxGuest Introspection es compatible con la introspección de archivos en Linux solo para antivirus. Para proteger las máquinas virtuales Linux con una solución de seguridad de Guest Introspection, debe instalar Thin Agent de Guest Introspection.

La instancia de Thin Agent de GI está disponible como parte de los paquetes específicos del sistema operativo (OSP) de VMware Tools. No es necesario instalar VMware Tools. La instalación y actualización de la instancia de Thin Agent de GI no está relacionada con la instalación y actualización de NSX. Asimismo, el Administrador de Enterprise o Seguridad (Administrador no de NSX) puede instalar el agente en las máquinas virtuales invitadas fuera de NSX.

Para instalar la instancia de Thin Agent de GI en sistemas Linux RHEL o SLES, utilice el paquete RPM. Para instalar la instancia de Thin Agent de GI en sistemas Linux Ubuntu, utilice el paquete DEB.

Para obtener instrucciones sobre Windows, consulte Instalar Thin Agent de Guest Introspection en máquinas virtuales de Windows.

Requisitos previos

n Asegúrese de que la máquina virtual invitada tenga una versión compatible de Linux instalada:

n Red Hat Enterprise Linux (RHEL) 7 GA (64 bits)

n SUSE Linux Enterprise Server (SLES) 12 GA (64 bits)

n Ubuntu 14.04 LTS (64 bits)

n Ubuntu 16.04 LTS (64 bits) (Kernel 4.6 y posteriores)

Nota A partir de NSX 6.4.6, Ubuntu 14.04 queda obsoleto y se admite Ubuntu 16.04.

n Compruebe que GLib 2.0 esté instalado en la máquina virtual Linux.

n Descargue el paquete de Thin Agent de GI (vmware-nsx-gi-file) del repositorio de paquetes de VMware en https://packages.vmware.com/packages/index.html.

Procedimiento

u Según su sistema operativo Linux, realice los siguientes pasos con privilegios de raíz:

n Para sistemas Ubuntu:

a Obtenga e importe las clave públicas de empaquetado de VMware mediante los siguientes comandos:

curl -O https://packages.vmware.com/tools/keys/VMWARE-PACKAGING-GPG-RSA-KEY.pub

apt-key add VMWARE-PACKAGING-GPG-RSA-KEY.pub

b Cree un archivo llamado vm.list en /etc/apt/sources.list.d.


VMware, Inc. 477

https://packages.vmware.com/packages/index.html

c Edite el archivo con el siguiente contenido:

vi /etc/apt/sources.list.d/vm.list

deb https://packages.vmware.com/packages/ubuntu/ trusty main

d A continuación, instale el paquete de la siguiente forma:

apt-get update

apt-get install vmware-nsx-gi-file

n Para sistemas RHEL7:



rpm --import VMWARE-PACKAGING-GPG-RSA-KEY.pub

b Cree un archivo llamado vm.repo en /etc/yum.repos.d.

c Edite el archivo con el siguiente contenido:

vi /etc/yum.repos.d/vm.repo

[vm]

name = VMware

baseurl = https://packages.vmware.com/packages/rhel7/x86_64

enabled = 1

gpgcheck = 1

metadata_expire = 86400

ui_repoid_vars = basearch

d A continuación, instale el paquete de la siguiente forma:

yum install vmware-nsx-gi-file

u Para sistemas SLES:



rpm --import VMWARE-PACKAGING-GPG-RSA-KEY.pub

b Agregue el siguiente repositorio:

zypper ar -f "https://packages.vmware.com/packages/sle12/x86_64/" VMware

c A continuación, instale el paquete de la siguiente forma:

zypper install vmware-nsx-gi-file


VMware, Inc. 478

Pasos siguientes

Compruebe que se esté ejecutando la instancia de Thin Agent utilizando el comando service vsepd status con privilegios administrativos. El estado debería ser ejecutándose.

Ver el estado de Guest IntrospectionLa supervisión de una instancia de Guest Introspection implica verificar el estado de los componentes de Guest Introspection: la máquina virtual de seguridad (SVM), el módulo de Guest Introspection que reside en el host ESXi y la instancia de Thin Agent que reside en la máquina virtual protegida.

Procedimiento

1 En vSphere Web Client, haga clic en Listas de inventario de vCenter (vCenter Inventory Lists) y, a continuación, en Centros de datos (Datacenters).

2 En la columna Nombre (Name), haga clic en un centro de datos.

3 Haga clic en Supervisar (Monitor) y, a continuación, haga clic en Guest Introspection.

La página Estado y alarmas de Guest Introspection (Guest Introspection Health and Alarms) muestra el estado de los objetos del centro de datos seleccionado, así como las alarmas activas. Los cambios en el estado de mantenimiento se ven reflejados al minuto de ocurrido el evento que activó el cambio.

Mensajes de auditoría de Guest IntrospectionLos mensajes de auditoría incluyen errores irrecuperables y otros mensajes importantes de auditoría, y se registran en vmware.log.

Las siguientes condiciones se registran como mensajes de auditoría (AUDIT):

n Inicialización correcta de Thin Agent (y número de versión).

n Inicialización de Thin Agent con errores.

n Primera comunicación establecida con la SVM.

n Error al establecer la comunicación con la SVM (cuando ocurre el primer error).

Los mensajes de registro generados tienen las siguientes subcadenas cerca del comienzo de cada mensaje de registro: vf-AUDIT, vf-ERROR, vf-WARN, vf-INFO, vf-DEBUG.

Eventos de Guest IntrospectionLos eventos se utilizan para las condiciones de registro y auditoría dentro del sistema de seguridad basado en Guest Introspection.

Los eventos pueden mostrarse sin un complemento personalizado de vSphere. Consulte la Guía de administración de vCenter Server sobre eventos y alarmas.


VMware, Inc. 479

Los eventos son la base de las alarmas que se generan. Tras registrarse como una extensión de vCenter Server, la instancia de NSX Manager define las reglas que crean y eliminan alarmas.

Algunos argumentos comunes de todos los eventos son la marca de tiempo del evento y el event_id de NSX Manager.

Código de evento

Gravedad del evento

Alarma activada Mensaje del evento Descripción

26000 Informativo

El Thin Agent de Guest Introspection que se ejecuta en una máquina virtual invitada está habilitado. Este evento se notifica cuando se agrega una máquina virtual al inventario de VC o cuando se reinicia la máquina virtual o NSX Manager.

Acción: evento únicamente informativo.

26001 Informativo

Se realizó correctamente el proceso de implementación del servicio Guest Introspection, y el servicio SVM (USVM) de GI está activo.

Acción: evento únicamente informativo.

26002 Mediano La versión de Thin Agent de la máquina virtual invitada no es compatible con la versión de la biblioteca EPsec en la SVM de partner o la USVM.

Acción: actualice la versión de Thin Agent en la máquina virtual invitada.

26003 Mediano El módulo ESX GI (MUX) no pudo establecer conexión con la USVM. Se puede notificar este evento después de que la máquina virtual invitada intentara conectarse a la USVM para enviar informes sobre los estados.

Acción: confirme que la SVM (USVM) de GI está encendida y el estado del servicio aparece como activo en la pestaña Implementación del servicio (Service Deployment).

26004 Mediano El módulo ESX GI (MUX) no pudo establecer conexión con la USVM. Se puede notificar este evento después de que la máquina virtual invitada intentara conectarse a la USVM para enviar informes sobre los estados.

Acción: confirme que la SVM (USVM) de GI está encendida y el estado del servicio aparece como activo en la pestaña Implementación del servicio (Service Deployment).

26005 Informativo

El módulo ESX GI (MUX) se instaló correctamente.

Acción: evento solo de información para todos los hosts en los que Guest Introspection está implementado.


VMware, Inc. 480

Código de evento

Gravedad del evento

Alarma activada Mensaje del evento Descripción

26006 Informativo

El módulo de ESX GI (MUX) se desinstaló.

Acción: evento solo de información para cada host en los que el módulo del host de Guest Introspection ya no se ejecute.

26007 Informativo

NSX Manager no pudo recibir el informe del estado del módulo del host durante tres minutos. La columna Estado del servicio (Service Status) de un clúster de la pestaña Implementación del servicio (Service Deployment) estará en estado de advertencia.

Acción: este evento puede ser un evento transitorio durante la implementación del servicio. Si persiste, recopile los registros de soporte técnico (vmware.log) del host y de SVM de GI y abra una solicitud de soporte técnico.

Desinstalar un módulo de Guest IntrospectionAl desinstalar Guest Introspection se extrae un VIB de los hosts del clúster y se extrae la máquina virtual de servicio de cada host del clúster. Se requiere Guest Introspection para el Firewall de identidad (Identity Firewall), la Supervisión de endpoint (Endpoint Monitoring) y varias soluciones de seguridad de terceros. La desinstalación de Guest Introspection puede traer consecuencias de amplio alcance.

Precaución Antes de desinstalar un módulo de Guest Introspection del clúster, deberá desinstalar todos los productos de terceros que están utilizando Guest Introspection en los hosts de ese clúster. Siga las instrucciones del proveedor de la solución.

Se pierde la protección de las máquinas virtuales del clúster de hosts. Debe mover las máquinas virtuales mediante vMotion fuera del clúster antes de desinstalar.

Para desinstalar Guest Introspection:


2 Seleccione una instancia de Guest Introspection y haga clic en el icono de eliminación.

3 Puede eliminarla ahora o programar la eliminación para más adelante.

Desinstalar Guest Introspection para LinuxPuede desinstalar la instancia de Thin Agent de Linux para Guest Introspection desde la máquina virtual invitada.

Requisitos previos

Guest Introspection para Linux está instalada. Tiene privilegios raíz en el sistema Linux.


VMware, Inc. 481

Procedimiento

u Para desinstalar un paquete desde el sistema Ubuntu, ejecute el comando apt-get remove vmware-nsx-gi-file.

u Para desinstalar el paquete desde el sistema RHEL7, ejecute el comando yum remove vmware-nsx-gi-file.

u Para desinstalar el paquete desde el sistema SLES, ejecute el comando zypper remove vmware-nsx-gi-file.

La instancia de Thin Agent instalada en la máquina virtual Linux se desinstala.


VMware, Inc. 482

Extensibilidad de la red 20Las redes de centros de datos suelen incluir una amplia variedad de servicios de red, incluidos la conmutación, el enrutamiento, el firewall, el equilibrio de carga, etc. En la mayoría de los casos, estos servicios son proporcionados por distintos proveedores. En el mundo físico, la conexión de estos servicios en la red es una práctica complicada de organización en bastidores y apilación de dispositivos de red físicos, establecimiento de conectividad física y administración de estos servicios por separado. NSX simplifica la experiencia de conexión de los servicios adecuados en las rutas de acceso de tráfico correctas y puede ayudar a crear redes complejas dentro de un único host ESXi o en varios hosts ESXi con fines de producción, prueba o desarrollo.

Cualquier hardware de red

Superponer transporte

vSphere

Cualquier aplicación

NSX

NSX API

Inserción deservicio Edge

Redes virtuales

Extensiones desocios de HW

Cargas de trabajo físicaso virtuales

Guest Introspectiony red

Extensiones desocios de SW

Existen varios métodos de implementación para insertar servicios de terceros en NSX.


n Inserción de servicio distribuido

VMware, Inc. 483

n Inserción de servicio basado en Edge

n Integrar servicios de terceros

n Implementar un servicio de partner

n Consumir servicios del proveedor mediante Service Composer

n Redireccionar el tráfico a la solución de un proveedor mediante el firewall lógico

n Usar el equilibrador de carga de un partner

n Eliminar integración de terceros

Inserción de servicio distribuidoEn la inserción de servicio distribuido, un host único tiene todos los módulos de servicio, los módulos de kernel y las implementaciones de máquina virtual en una única máquina física. Todos los componentes del sistema interactúan con los componentes dentro del host físico. Esto permite una comunicación módulo a módulo más veloz y modelos de implementación compactos. Se puede replicar la misma configuración en los sistemas físicos de la red a los fines de escalado, y mantener el control y el tráfico del plano de datos hacia y desde los módulos de servicio al vmkernel en el mismo sistema físico. Durante la ejecución de vMotion en las máquinas virtuales protegidas, la máquina de seguridad del partner mueve el estado de la máquina virtual del host de origen al de destino.

Las soluciones de proveedores que utilizan este tipo de inserción de servicios incluyen servicio de prevención de intrusiones (IPS)/servicio de detección de intrusiones (IDS), firewall, antivirus, supervisión de identidad de archivos (FIM) y administración de vulnerabilidad.

Inserción de servicio basado en EdgeNSX Edge se implementa como una máquina virtual en el clúster de servicios Edge junto con otros servicios de red. NSX Edge tiene la capacidad de redirigir tráfico específico a servicios de red de terceros.

Las soluciones de proveedores que utilizan este tipo de inserción de servicios incluyen dispositivos ADC o de equilibrio de carga.

Integrar servicios de tercerosEste es un flujo de trabajo de alto nivel genérico para insertar un servicio de terceros en la plataforma de NSX.

Procedimiento

1 Registre el servicio de terceros con NSX Manager en la consola del proveedor.

Necesita las credenciales de inicio de sesión de NSX para registrar el servicio. Para obtener más información, consulte la documentación del proveedor.


VMware, Inc. 484

2 Implemente el servicio en NSX. Consulte Implementar un servicio de partner.

Una vez implementado, el servicio de terceros se muestra en la ventana Definiciones de servicios de NSX (NSX Service Definitions) y está listo para utilizarse. El procedimiento para utilizar el servicio en NSX depende del tipo de servicio insertado.

Por ejemplo, puede habilitar un servicio de firewall basado en el host creando una directiva de seguridad en Service Composer o creando una regla de firewall para redirigir el tráfico al servicio. Consulte Consumir servicios del proveedor mediante Service Composer o Redireccionar el tráfico a la solución de un proveedor mediante el firewall lógico. Para obtener información sobre cómo utilizar un servicio basado en Edge, consulte Usar el equilibrador de carga de un partner.

Implementar un servicio de partnerSi la solución del partner incluye un dispositivo virtual host-residente, podrá implementar el servicio una vez que la solución esté registrada en NSX Manager.

Importante De forma temporal, las máquinas virtuales invitadas protegidas por un servicio de partners pierden la protección si se migran a otro clúster con vMotion. Para evitarlo, migre con vMotion las máquinas virtuales invitadas a los hosts dentro del mismo clúster.

Requisitos previos

Asegúrese de que:

n La solución del partner se registra en NSX Manager.

n NSX Manager puede acceder a la consola de administración de la solución del partner.

n Se asignó la edición de la licencia necesaria. Consulte https://kb.vmware.com/kb/2145269.

Procedimiento



3 En el cuadro de diálogo Implementar servicios de red y seguridad (Deploy Network and Security Services), seleccione Guest Introspection.

4 En Especificar programación (Specify schedule) (en la parte inferior del cuadro de diálogo), seleccione Implementar ahora (Deploy now) para implementar Guest Introspection después de instalarlo, o bien seleccione una fecha y una hora para la implementación.


6 Seleccione el centro de datos y los clústeres donde desea instalar Guest Introspection, y haga clic en Siguiente (Next).


VMware, Inc. 485

https://kb.vmware.com/kb/2145269

7 En la página Seleccionar red de administración y almacenamiento (Select storage and Management Network), seleccione el almacén de datos donde desea agregar el almacenamiento de las máquinas virtuales de servicio, o bien seleccione Especificado en el host (Specified on host). Se recomienda utilizar las redes y los almacenes de datos compartidos en lugar de la opción "Especificado en el host" (Specified on host) de modo que los flujos de trabajo de la implementación se automaticen.

El almacén de datos seleccionado debe estar disponible en todos los hosts del clúster elegido.

Si seleccionó Especificado en el host (Specified on host), siga los siguientes subpasos para cada host del clúster.

a En la página Inicio (Home), haga clic en Hosts y clústeres (Hosts and Clusters).

b Haga clic en un host de Navegador (Navigator) y, a continuación, haga clic en Configurar (Configure).

c En el panel de navegación izquierdo, bajo Máquinas virtuales (Virtual Machines), haga clic en Máquinas virtuales de agente (Agent VMs) y, a continuación, haga clic en Editar (Edit).

d Seleccione el almacén de datos y haga clic en Aceptar (OK).

8 Si establece el almacén de datos como Especificado en el host (Specified on host), también debe establecer la red como Especificado en el host (Specified on host).

Si seleccionó Especificado en el host (Specified on host), siga los subpasos del paso 7 para seleccionar una red del host. Para agregar un host (o varios hosts) al clúster, el almacén de datos y la red deben establecerse antes de agregar cada host al clúster.

9 En la asignación de direcciones IP, seleccione una de las siguientes opciones:

Seleccionar Para

DHCP Asigne una dirección IP a la máquina virtual de servicio de Guest Introspection mediante el protocolo de configuración dinámica de host (DHCP). Seleccione esta opción si los hosts se encuentran en diferentes subredes.

Usar grupo de direcciones IP Asigne una dirección IP a la máquina virtual de servicio de Guest Introspection a partir del grupo de direcciones IP seleccionado.

10 Haga clic en Siguiente (Next) y, a continuación, en Finalizar (Finish) en la página Listo para finalizar

(Ready to complete).

11 Supervise la implementación hasta que la columna Estado de instalación (Installation Status) muestre Correcto (Succeeded).

En NSX 6.4.0 y versiones posteriores, el nombre de SVM de GI en vCenter Server muestra la dirección IP del host en el que se implementó.

12 Si la columna Estado de instalación (Installation Status) muestra Con errores (Failed), haga clic en el icono junto a Con errores. Se muestran todos los errores de implementación. Haga clic en Resolver (Resolve) para solucionar los errores. A veces, al resolver errores aparecen errores nuevos. Realice la acción requerida y haga clic de nuevo en Resolver (Resolve).


VMware, Inc. 486

Pasos siguientes

Ahora puede consumir el servicio del partner a través de la interfaz de usuario de NSX o NSX API.

Consumir servicios del proveedor mediante Service ComposerLos servicios del proveedor externo incluyen el redireccionamiento de tráfico, el equilibrador de carga y los servicios de seguridad invitados, como prevención de pérdida de datos, antivirus, etc. Service Composer permite aplicar estos servicios a un conjunto de objetos de vCenter.

Un grupo de seguridad es un conjunto de objetos de vCenter, como clústeres, máquinas virtuales, vNIC y conmutadores lógicos. Una directiva de seguridad es un conjunto de servicios de Guest Introspection, reglas de firewall y servicios de introspección de red.

Cuando se asigna una directiva de seguridad a un grupo de seguridad, se crean las reglas de redireccionamiento en el perfil de servicios del proveedor externo correspondiente. A medida que el tráfico circula desde las máquinas virtuales pertenecientes a ese grupo de seguridad, se redirecciona a los servicios de proveedor externo registrados que determinan cómo procesar ese tráfico. Para obtener más información sobre Service Composer, consulte Utilizar Service Composer.

Redireccionar el tráfico a la solución de un proveedor mediante el firewall lógicoPuede agregar reglas de firewall para redireccionar el tráfico a soluciones de proveedores registradas. A continuación, el servicio del proveedor procesa el tráfico redireccionado.

Requisitos previos

n El servicio de terceros debe estar registrado en NSX Manager y debe estar implementado en NSX.

n Si la acción de regla de firewall predeterminada está establecida en Bloquear (Block), debe agregar una regla para permitir que se redireccione el tráfico.

Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Firewall.

2 Haga clic en la pestaña Servicios de seguridad de partners (Partner security services).

3 En la sección donde desea agregar una regla, haga clic en el icono Agregar regla (Add rule) ( ).

Se agregará una nueva regla de permiso "any any" en la parte superior de la sección.

4 Coloque el puntero sobre la celda Nombre (Name) de la nueva regla, haga clic en y escriba un nombre para la regla.

5 Especifique las categorías Origen (Source), Destino (Destination) y Servicio (Service) de la regla. Para obtener más información, consulte Agregar una regla de firewall


VMware, Inc. 487

6 Coloque el puntero sobre la celda Acción (Action) de la nueva regla y haga clic en .

a En Acción (Action), seleccione Redireccionar (Redirect).

b En Redireccionar a (Redirect To), seleccione el perfil de servicio y el conmutador lógico o el grupo de seguridad donde desea vincular el perfil de servicio.

El perfil de servicio se aplica a las máquinas virtuales que están conectadas al conmutador lógico o al grupo de seguridad seleccionado o incluidas allí.

c Indique si el tráfico redireccionado debe registrarse y escriba comentarios, si los hubiera.


El perfil de servicio seleccionado se muestra como un vínculo en la columna Acción (Action). Al hacer clic en el vínculo del perfil de servicios se muestran los enlaces del perfil.


Usar el equilibrador de carga de un partnerPuede utilizar un equilibrador de carga de terceros para equilibrar el tráfico de una instancia de NSX Edge específica.

Requisitos previos

El equilibrador de carga de terceros debe estar registrado en NSX Manager y debe estar implementado en NSX.

Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Instancias de NSX Edge (NSX Edges).


3 Haga clic en Administrar (Manage) y seleccione la pestaña Equilibrador de carga (Load Balancer).

4 Haga clic en Editar (Edit) junto a Configuración global del equilibrador de carga (Load balancer global configuration).

5 Seleccione Habilitar el equilibrador de carga (Enable Load Balancer) y Habilitar inserción del servicio (Enable Service Insertion).

6 En Definición del servicio (Service Definition) seleccione el equilibrador de carga del partner correspondiente.

7 En Configuración del servicio (Service Configuration) seleccione la configuración de servicio correspondiente.

8 Complete los campos restantes e instale el equilibrador de carga; para eso, agregue un monitor de servicio, un grupo de servidores, un perfil de aplicación, reglas de aplicación y un servidor virtual. Cuando agregue el servidor virtual, seleccione la plantilla proporcionada por el proveedor. Para obtener más información, consulte Configurar equilibrio de carga.


VMware, Inc. 488

La consola de administración del proveedor externo equilibra la carga del tráfico de la instancia Edge especificada.

Eliminar integración de tercerosEn este ejemplo se describe cómo eliminar una solución de integración de terceros de NSX.

Existe un orden correcto de software a la hora de eliminar cualquier solución de software de terceros. Si no se sigue esta secuencia y específicamente si se desinstala o elimina la solución de terceros antes de que se haya anulado su registro con NSX Manager, no se podrá realizar la operación de eliminación. Consulte https://kb.vmware.com/kb/2126678 para obtener instrucciones sobre cómo resolverlo.

Procedimiento

1 En vSphere Web Client, acceda a Redes y seguridad > Service Composer (Networking & Security > Service Composer) y elimine las reglas (o las directivas de seguridad) que redireccionan el tráfico a la solución de terceros.

2 Desplácese hasta Definiciones de servicios (Service Definitions) y haga doble clic en el nombre de la solución de terceros.

3 Haga clic en Objetos relacionados (Related Objects) y elimine los objetos relacionados.

4 Desplácese hasta Instalación y actualización > Implementaciones de servicios (Installation and Upgrade > Service Deployments) y elimine la implementación de terceros.

Esta acción desinstala las máquinas virtuales asociadas.

5 Regrese a Definiciones de servicios (Service Definitions) y elimine cualquier subcomponente de la definición.

6 En la instancia del servicio, elimine el perfil del servicio.

7 Elimine la instancia del servicio.

8 Elimine la definición del servicio.

La solución de integración de terceros se elimina de NSX.

Pasos siguientes

Tome nota de la configuración y, a continuación, quite NSX de la solución de terceros. Por ejemplo, es posible que deba eliminar reglas que hacen referencia a otros objetos y, a continuación, eliminar los objetos.


VMware, Inc. 489


Administración de usuarios 21En muchas organizaciones, las operaciones de redes y seguridad están a cargo de diferentes equipos o miembros. Estas organizaciones pueden requerir una forma de limitar ciertas operaciones a determinados usuarios. En este tema se describen las opciones que ofrece NSX para configurar este control de acceso.

NSX también admite Single Sign-On (SSO), que habilita a NSX para que autentique a los usuarios desde otros servicios de identidad, como Active Directory, NIS y LDAP.

La administración de usuarios en vSphere Web Client está separada de la administración de usuarios en la CLI de cualquier componente de NSX.


n Usuarios y permisos de NSX según la función

n Configurar Single Sign-On

n Administrar derechos de usuario

n Administrar la cuenta de usuario predeterminado

n Asignar una función a un usuario de vCenter

n Asignación de funciones según el grupo

n Crear un usuario con acceso a la interfaz web mediante la CLI

n Editar una cuenta de usuario

n Cambiar un rol de usuario

n Deshabilitar o habilitar una cuenta de usuario

n Eliminar una cuenta de usuario

Usuarios y permisos de NSX según la funciónPara implementar y administrar NSX Data Center for vSphere, se necesitan algunos permisos de vCenter. NSX Data Center for vSphere ofrece permisos amplios de lectura, así como de lectura y escritura para varios usuarios y varias funciones.

VMware, Inc. 490

Lista de funciones con funciones y permisos

Nota n Las funciones de ingeniero de seguridad y de ingeniero de redes están disponibles en NSX 6.4.2 y

versiones posteriores.

n La función de administrador de funciones y seguridad está disponible en NSX 6.4.5 y versiones posteriores.

Función Descripción Funciones

Auditor

Administrador de seguridad

Ingeniero de seguridad

Administrador de NSX

Ingeniero de red

Administrador de funciones y seguridad

Administrador de Enterprise

Administrador (Administrator)

Configuración Configuración de vCenter y SSO con NSX

L L L L, E L, E L L, E

Actualización Sin acceso

Sin acceso

Sin acceso

L, E L, E Sin acceso

L, E

Eventos del sistema

Eventos del sistema

L L, E L, E L, E L, E L, E L, E

Registros de auditoría

Registros de auditoría

L L L L L L L

Depurar Sin acceso

Sin acceso

Sin acceso

Sin acceso

Sin acceso

Sin acceso

Sin acceso

Tareas de mantenimiento


Deshabilitar la autenticación básica

L L L L L L L, E

Administración de cuentas de usuario (URM) (User Account Management —URM—)

Administración de cuenta de usuario

Administración de usuarios

L en API

Sin acceso al complemento NSX

Sin acceso

Sin acceso

L L L, E L, E


VMware, Inc. 491


Auditor




Ingeniero de red



Control de acceso a objetos

Sin acceso

Sin acceso

Sin acceso

L L L L

Control de acceso a funciones

Sin acceso

Sin acceso

Sin acceso

L L L L

Edge

Sistema Sistema hace referencia a los parámetros generales del sistema


Servicios avanzados

L L, E L, E L L L, E L, E

Dispositivo Diferentes factores de forma de NSX Edge (Compacto/Grande/Extra grande/Cuádruple)


High availability L L L L, E L, E L L, E

vNic Configuración de interfaz en NSX Edge

L L, E L L, E L, E L L, E

DNS L L, E L L L, E L L, E

SSH Configuración SSH en NSX Edge


Fontanería automática


Estadísticas L L L L L L L, E

NAT Configuración NAT en NSX Edge

L L, E L L L, E L L, E

DHCP L L, E L L L, E L L, E

Equilibrio de carga


VPN de Capa 3 VPN de Capa 3 L L, E L L L, E L L, E


VMware, Inc. 492


Auditor




Ingeniero de red



VPN VPN de Capa 2, SSL VPN


Syslog Configuración de Syslog en NSX Edge


Paquete de soporte técnico


Enrutamiento Todo enrutamiento estático y dinámico (BGP/OSPF) en NSX Edge


Firewall Configuración de firewall en NSX Edge


Puenteo L L, E L L L, E L L, E

Certificado (Certificate)


Control del sistema

El control del sistema hace referencia a los parámetros kernel del sistema, como límites máximo, reenvío de IP, redes y configuración del sistema. Por ejemplo:

ysctl.net.ipv4.conf.vNic_1.rp_filter

sysctl.net.netfilter.nf_conntrack_tcp_timeout_established


Firewall distribuido


VMware, Inc. 493


Auditor




Ingeniero de red



Configuración de firewall

n Reglas de firewall (generales) de Capa 3 a 7

n Reglas de firewall (Ethernet) de Capa 2

L L, E L, E L, E Sin acceso

L, E L, E

Flujos La supervisión de flujos permite supervisar los flujos de tráfico del sistema. También se pueden supervisar los flujos activos.

L L, E L, E Sin acceso

L, E L, E L, E

Configuración de IPFix

Habilitar/deshabilitar IPFix y asignar recopiladores


L, E L, E L, E

ForceSync ForceSync realiza la sincronización completa desde la página Instalación y actualización> Preparación de host (Installation and Upgrade > Host Preparation)

L L L, E L, E Sin acceso

L, E L, E

Instalar DFW (preparación de host)

Instalar varios VIB en clústeres



VMware, Inc. 494


Auditor




Ingeniero de red



Configuraciones guardadas (borradores)

Cada publicación guardará de forma automática la configuración de DFW en forma de borrador


Sin acceso

L, E L, E

Lista de exclusión Agregar VM a la lista de exclusión para que DFW no las proteja o eliminarlas


Sin acceso

L, E L, E

Soporte técnico de DFW

Recopilar un paquete de soporte técnico de DFW desde un host (solo shell de configuración de NSX)

Sin acceso

L, E L, E L, E Sin acceso

L, E L, E

Temporizadores de sesión de DFW

Configurar la configuración de tiempo de espera de conexión de TCP/UDP/otro protocolo


Sin acceso

L, E L, E

Detección de IP (Sondeo DHCP/ARP)

Detección de IP cuando no se están ejecutando VMware Tools en VM invitadas

L L, E L, E L Sin acceso

L, E L, E

Administrador de reglas de aplicaciones (Application Rule Manager)

Se recopilan flujos para el conjunto de aplicaciones seleccionado. Por tanto, las reglas de firewall se crean en función de los flujos recopilados.


Sin acceso

L, E L, E


VMware, Inc. 495


Auditor




Ingeniero de red



app.syslog L L Sin acceso

L, E Sin acceso

Sin acceso

L, E

Captura de paquetes


Espacio de nombres (NameSpace)

Configuración L L L L, E L, E L L, E

SpoofGuard

Configuración SpoofGuard publica en modo manual o TOFU


Sin acceso

L, E L, E

Seguridad de endpoints (EPSEC) (Endpoint Security —EPSEC—)

Informes L L L L, E L L L, E

Registro Administrar [Registrar, Eliminar del registro, Consultar soluciones registradas, Activar] soluciones

L Sin acceso

Sin acceso


L, E

Supervisión de estado

Recuperar el estado de VM, SVM para NSX Manager

Sin acceso

L L L L L L

Directiva Administrar directivas de seguridad [Crear, Leer actualización, Eliminar]

L L, E L, E L, E L L, E L, E

Programación de análisis

L Sin acceso

L, E L, E L L, E L, E

Biblioteca (Library)


VMware, Inc. 496


Auditor




Ingeniero de red



Preparación del host

Acción de preparación de host en el clúster

Sin acceso

Sin acceso

Sin acceso


L, E

Agrupar Conjunto de IP, conjunto de direcciones MAC, grupo de seguridad, servicio, grupo de servicios


Etiquetado Etiqueta de seguridad (por ejemplo, conecte o desconecte VM)


Instalar (Install)

Aplicación Sin acceso

L L L, E L, E L L, E

EPSEC Sin acceso


DLP Sin acceso


VDN

Configurar NSM Configurar el administrador de seguridad de la red


Aprovisionar L L L L, E L, E L L, E

ESX Agent Manager (EAM)

Instalar ESX Agent Manager

Sin acceso


Inserción de servicios (Service Insertion)

Servicio L L, E L, E L, E L L, E L, E

Perfil de servicio L L L, E L, E L L, E L, E

Almacén de confianza (Trust Store)


VMware, Inc. 497


Auditor




Ingeniero de red



trustentity_management

Administración de certificados de NSX


Administración de direcciones IP (IP Address Management —IPAM—)

Configuración Configuración de grupo de direcciones IP


Asignación de IP Asignación y liberación de dirección IP


Tejido de seguridad (Security Fabric)

Implementar Implementar servicio o VM de seguridad en el clúster utilizando la página Implementación de servicios (Service Deployment)

L L L L, E L L L, E

Alarmas Desde la página Implementación de servicios (Service Deployment ), administre las alarmas generadas por la VM de seguridad.


Estado de agente Administración de estado de agente mediante llamada rest, utilizada principalmente por las VM de partners.


Mensajes (Messaging)


VMware, Inc. 498


Auditor




Ingeniero de red



Mensajes Marco de trabajo de mensajes utilizado por NSX Edge y Guest Introspection para comunicarse con NSX Manager.


Replicador Configuración vCenter múltiple con la instancia secundaria de NSX Manager) (Replicator —Multi vCenter setup with secondary NSX Manager—)

Configuración Seleccione o anule la selección de la función Principal para NSX Manager y agregue o elimínela instancia secundaria de NSX Manager


blueprint_sam.featurelist

blueprint_sam.ad_config

Se usa para la configuración del dominio de Active Directory


Directiva de seguridad (Security Policy)

Configuración Configurar la directiva de seguridad para crear, actualizar, editar o eliminar.


Sin acceso

L, E L, E

Enlazado de grupo de seguridad

Asocie un grupo de seguridad a una directiva de seguridad


Sin acceso

L, E L, E


VMware, Inc. 499


Auditor




Ingeniero de red



Aplicar directiva L L, E L, E Sin acceso

Sin acceso

L, E L, E

Sincronización de directiva

Directiva de seguridad de sincronización con DFW

L Puede sincronizar

Puede sincronizar

Sin acceso

Sin acceso

Puede sincronizar

L, E

Administración de dispositivos NSX (en NSX 6.4 y versiones posteriores)

Administración del dispositivo NSX

Administración del dispositivo NSX

L L L L L L L, E

Repositorio de IP/Detección de IP

Configuración L L, E L, E L Sin acceso

L, E L, E

Panel de control

Configuración del widget

L L, E L L, E L L L, E

Configuración del sistema

L L, E L L, E L L L, E

Coordinador de actualización

Actualización Sin acceso

Sin acceso

L L, E L L L, E

Plan de actualización

L L L L, E L L L, E

Paquete de soporte técnico

Configuración Endpoint L, E L, E L, E L, E L, E L, E L, E

Autenticación basada en token

Invalidación Sin acceso

Sin acceso

Sin acceso

Sin acceso

Sin acceso

Sin acceso

L, E


VMware, Inc. 500


Auditor




Ingeniero de red



Ops

Configuración L L L L, E L L L, E

Configurar Single Sign-OnSSO hace que vSphere y NSX Data Center for vSphere sean más seguros, ya que permite que distintos componentes se comuniquen entre sí mediante un mecanismo de intercambio de token seguro, en lugar de solicitar que cada componente autentique un usuario por separado.

Puede configurar un servicio de búsqueda en NSX Manager y proporcionar las credenciales de administrador de SSO para registrar NSX Management Service como usuario de SSO. La integración del servicio Single Sign-On (SSO) con NSX Data Center for vSphere mejora la seguridad de la autenticación de usuarios en vCenter y permite que NSX Data Center for vSphere autentique usuarios de otros servicios de identidad, como AD, NIS y LDAP. Con SSO, NSX Data Center for vSphere admite la autenticación mediante tokens autenticados de lenguaje marcado para confirmaciones de seguridad (SAML) de una fuente confiable mediante llamadas de REST API. NSX Manager también puede adquirir tokens de autenticación SAML para utilizarlos con las soluciones de VMware.

NSX Data Center for vSphere almacena en la memoria caché la información grupal de los usuarios de SSO. Los cambios en los miembros de grupos tardan hasta 60 minutos en propagarse desde el proveedor de identidad (por ejemplo, Active Directory) hasta NSX Data Center for vSphere.

Requisitos previos

n Para utilizar SSO en NSX Manager, debe contar con vCenter Server 6.0 o versiones posteriores y el servicio de autenticación Single Sign-On (SSO) debe estar instalado en vCenter Server. Tenga en cuenta que esto aplica al servicio SSO integrado. En cambio, la implementación debe utilizar un servidor SSO externo centralizado.

Para obtener más información sobre los servicios de SSO que proporciona vSphere, consulte la documentación Administrar Platform Services Controller.

Importante Debe configurar el dispositivo NSX Manager para que use la misma configuración SSO que se usa en el sistema vCenter Server asociado.

n Debe especificar el servidor NTP para que la hora del servidor SSO y la hora de NSX Manager estén sincronizadas.

Por ejemplo:


VMware, Inc. 501

Procedimiento


En un navegador web, entre en la interfaz gráfica de usuario del dispositivo NSX Manager en https://<ip-nsx-manager> o https://<nombrehost-nsx-manager> e inicie sesión como administrador o con una cuenta que tenga la función administrador de Enterprise.


3 En la página de inicio, haga clic en Administrar configuración de dispositivos (Manage Appliance Settings) > Servicio de administración de NSX (NSX Management Service).

4 Haga clic en Editar (Edit) en la sección URL de servicio de búsqueda (Lookup Service URL).

5 Escriba el nombre o la dirección IP del host que tiene el servicio de búsqueda.

6 Escriba el número de puerto.

Si utiliza vSphere 6.0 o versiones posteriores, introduzca el puerto 443.

Se mostrará la URL de Lookup Service según el host y el puerto especificados.

7 Introduzca el nombre de usuario y la contraseña del Administrador SSO y haga clic en Aceptar (OK).

Se mostrará la huella digital del certificado del servidor SSO.

8 Compruebe si la huella digital del certificado coincide con el certificado del servidor SSO.

Si instaló un certificado firmado por la entidad de certificación en el servidor de la entidad de certificación, verá la huella digital del certificado firmado por la entidad de certificación. De lo contrario, verá un certificado autofirmado.

9 Confirme que el estado de Lookup Service sea Conectado (Connected).

Pasos siguientes

Consulte "Asignar una función a un usuario de vCenter" en Guía de administración de NSX.

Administrar derechos de usuarioEl rol de un usuario define las acciones que tiene permitidas realizar el usuario en un recurso dado. El rol determina las actividades autorizadas del usuario en el recurso dado, asegura que un usuario tenga


VMware, Inc. 502

acceso solo a las funciones necesarias para completar las funciones correspondientes. Esto permite el control del dominio en recursos específicos, o control en todo el sistema si su derecho no tiene restricciones.

Un usuario puede tener un solo rol. En la siguiente tabla se muestran los permisos de cada función de usuario.

Tabla 21-1. Funciones de usuarios de NSX Manager

Función Permisos

Administrador empresarial Los usuarios con esta función pueden realizar todas las tareas relacionadas con la implementación y la configuración de productos de NSX, así como la administración de esta instancia de NSX Manager.

Administrador de NSX Los usuarios con esta función pueden realizar todas las tareas relacionadas con la implementación y la administración de esta instancia de NSX Manager. Por ejemplo, instalar dispositivos virtuales o configurar grupos de puertos.

Administrador de seguridad Los usuarios con esta función pueden configurar las directivas de cumplimiento de seguridad además de ver la información de las auditorías y los informes del sistema. Por ejemplo, definir reglas de firewall distribuido, configurar los servicios del equilibrador de carga y NAT.

Auditor Los usuarios con esta función solo pueden consultar la información de los informes, los eventos, las auditorías y la configuración del sistema, y no pueden cambiar la configuración.

Ingeniería de seguridad (a partir de NSX Data Center for vSphere 6.4.2)

Los usuarios con esta función pueden realizar todas las tareas de seguridad, como configurar directivas y reglas del firewall. Los usuarios tienen acceso de solo lectura a algunas funciones de red, pero no tienen acceso a la preparación del host ni a la administración de cuenta de usuario.

Ingeniería de red (a partir de NSX Data Center for vSphere 6.4.2)

Los usuarios con esta función pueden realizar todas las tareas de red, como, por ejemplo, actividades relacionadas con puentes, DHCP y enrutamiento. Los usuarios tienen acceso de lectura a las funciones de seguridad del endpoint, pero no pueden acceder a otras funciones de seguridad.

Administrador de funciones y seguridad (a partir de NSX Data Center for vSphere 6.4.5)

Los usuarios con esta función tienen todos los permisos de los que goza un ingeniero de seguridad y también pueden realizar tareas de administración de usuarios.

Al asignar una función a un usuario de SSO, se le concede acceso a las siguientes interfaces:

n El complemento de redes y seguridad de vSphere Web Client.

n El dispositivo NSX Manager, incluida la API. Este acceso está disponible únicamente en NSX 6.4 o versiones posteriores.

La función Administrador empresarial tiene el mismo acceso al dispositivo NSX Manager y a la API que el usuario administrador de NSX Manager. El resto de funciones de NSX tienen acceso de solo lectura al dispositivo NSX Manager y a la API.

Por ejemplo:


VMware, Inc. 503

Los usuarios de SSO con cualquier rol que no sea Administrador empresarial pueden acceder a la interfaz de usuario de NSX Manager y ejecutar las solicitudes de API en modo de solo lectura. Los usuarios pueden acceder a las API de NSX con la solicitud GET API, pero no pueden ejecutar las solicitudes PUT, POST o DELETE API. Además, estos usuarios de SSO no pueden realizar acciones como detener, configurar o editar en la interfaz de usuario de NSX Manager.

Administrar la cuenta de usuario predeterminadoLa interfaz de usuario de NSX Manager incluye una cuenta de usuario que tiene derechos de acceso a todos los recursos. No puede editar los derechos de este usuario ni eliminarlo. El nombre del usuario predeterminado es admin y la contraseña predeterminada es default o la contraseña que especificó durante la instalación de NSX Manager.

Puede administrar el usuario admin del dispositivo NSX Manager solo a través de comandos de CLI.

Asignar una función a un usuario de vCenterCuando se asigna un rol a un usuario de SSO, vCenter Server autentica al usuario mediante el servicio de identidad configurado en el servidor SSO. Si el servidor SSO no se configuró o no se encuentra disponible, se autentica al usuario de forma local o mediante Active Directory según la configuración de vCenter Server.

Al asignar una función a un usuario de SSO, se le concede acceso a las siguientes interfaces:

n El complemento de redes y seguridad de vSphere Web Client.

n El dispositivo NSX Manager, incluida la API. Este acceso está disponible únicamente en NSX 6.4 o versiones posteriores.

La función Administrador empresarial tiene el mismo acceso al dispositivo NSX Manager y a la API que el usuario administrador de NSX Manager. El resto de funciones de NSX tienen acceso de solo lectura al dispositivo NSX Manager y a la API.

Se pueden asignar funciones de forma individual o mediante la membresía de grupo. Se puede asignar individualmente una función de NSX a un usuario. Este usuario también puede ser miembro de un grupo al que se le haya asignado otra función de NSX. En estos casos, la función que se le asigna individualmente se utiliza para iniciar sesión en el dispositivo de NSX Manager.

Procedimiento


2 Asegúrese de estar en la pestaña Usuarios (Users).

3 Si hay varias direcciones IP disponibles en el menú desplegable NSX Manager, seleccione una de ellas o bien mantenga la selección predeterminada.

4 Haga clic en el icono Agregar (Add).

Se abrirá la ventana Asignar función (Assign Role).


VMware, Inc. 504

5 Haga clic en Especificar un usuario de vCenter (Specify a vCenter user) o en Especificar un grupo de vCenter (Specify a vCenter group)

6 Escriba los detalles del usuario de vCenter Server y los detalles del grupo.

Por ejemplo:

Campo Valor de ejemplo

Nombre de dominio (Domain name) corp.vmware.com

Alias corp

Nombre del grupo (Group name) [email protected]

Nombre de usuario (User name) [email protected]

Alias del usuario (User alias) user1@corp

Nota Cuando a un grupo se le asigna un rol en NSX Manager, cualquier usuario de ese grupo puede iniciar sesión en la interfaz de usuario de NSX Manager.


8 Seleccione el rol para el usuario y haga clic en Siguiente (Next). Para obtener más información sobre los roles disponibles, consulte Administrar derechos de usuario.


Se mostrará la cuenta de usuario en la tabla Usuarios (Users).

Asignación de funciones según el grupoLas organizaciones crean grupos de usuarios para administrar correctamente los usuarios. Después de la integración con SSO, NSX Manager puede obtener más información sobre los grupos a los que pertenece el usuario. En lugar de asignar funciones a usuarios individuales que pueden pertenecer al mismo grupo, NSX Manager asigna funciones a los grupos. En los siguientes escenarios, se muestra la forma en que NSX Manager asigna las funciones.

Ejemplo: Situación de control de acceso basado en rolesEn este escenario se otorga a Sally Moore (ingeniera de redes de TI) acceso a los componentes de NSX en el siguiente entorno:

n Dominio de AD: corp.local

n Grupo de vCenter: [email protected]

n Nombre de usuario: [email protected]

Requisitos: vCenter Server debe estar registrado en NSX Manager y se debe configurar SSO. Tenga en cuenta que el servicio SSO es obligatorio solo para grupos.

1 Asigne un rol a Sally.



VMware, Inc. 505

b Acceda a Redes y seguridad (Networking & Security) > Sistema (System) > Usuarios y dominios (Users and Domains).

c Asegúrese de estar en la pestaña Usuarios (Users).

d Haga clic en el icono Agregar (Add).

Se abrirá la ventana Asignar función (Assign Role).

e Haga clic en Especificar un grupo de vCenter (Specify a vCenter group) y escriba [email protected] en Grupo (Group).

f Haga clic en Siguiente (Next).

g En Seleccionar roles (Select Roles), haga clic en Administrador de NSX (NSX Administrator) y seleccione Siguiente (Next).

2 Otorgue permiso a Sally para acceder al centro de datos.

a Haga clic en el icono Inicio (Home) y, a continuación en Redes (Networking).

b Seleccione un centro de datos y haga clic en Acciones (Actions) > Agregar permiso (Add Permission).

c Haga clic en Agregar (Add) y seleccione el dominio corp.local.

d En Usuarios y grupos (Users and Groups), seleccione Mostrar grupos primero (Show Groups First).

e Seleccione Ing. redes (NetEng) y haga clic en Aceptar (OK).

f En Rol asignado (Assigned Role), seleccione Solo lectura (Read-only), anule la selección de Propagar a objetos secundarios (Propagate to children) y haga clic en Aceptar (OK).

3 Cierre sesión en vSphere Web Client y vuelva a iniciarla como [email protected].

Sally solo podrá realizar operaciones de NSX. Por ejemplo, podrá instalar dispositivos virtuales, crear conmutadores lógicos y otras tareas de operaciones.

Ejemplo: Situación de herencia de permisos mediante pertenencia de grupo o de usuarioEn este escenario, John pertenece al grupo G1, al que se le ha asignado la función auditor (auditor). John hereda los permisos sobre recursos y el rol de ese grupo.

Opción de grupo Valor de ejemplo

Nombre G1

Rol asignado Auditor (solo lectura)

Recursos Raíz global


VMware, Inc. 506

Opción de usuario Valor de ejemplo

Nombre John

Pertenece al grupo G1

Rol asignado Ninguno

Ejemplo: Situación de usuario miembro de varios gruposEn este escenario, Joseph pertenece a los grupos G1 y G2, y hereda una combinación de los derechos y los permisos incluidos en las funciones auditor y administrador de seguridad. Por ejemplo, Joseph tiene los siguientes permisos:

n Lectura y escritura (función administrador de seguridad) para Centro de datos 1

n Solo lectura (función auditor) para raíz global


Nombre G1

Rol asignado Auditor (solo lectura)



Nombre G2

Rol asignado Administrador de seguridad (lectura y escritura)

Recursos Centro de datos 1


Nombre Joseph

Pertenece al grupo G1, G2

Rol asignado Ninguna

Ejemplo: Situación de usuario miembro de varios rolesEn este escenario, Bob tiene asignada la función administrador de seguridad, por lo que no hereda los permisos de la función de este grupo. Bob posee los siguientes permisos:

n Lectura y escritura (función administrador de seguridad) para Centro de datos 1 y sus recursos secundarios

n Función administrador empresarial en Centro de datos 1.


Nombre G1

Rol asignado Administrador empresarial



VMware, Inc. 507


Nombre Bob

Pertenece al grupo G1

Rol asignado Administrador de seguridad (lectura y escritura)

Recursos Centro de datos 1

Crear un usuario con acceso a la interfaz web mediante la CLIPuede crear un usuario de NSX que tenga acceso a la interfaz web mediante la CLI. Puede utilizar esta cuenta de usuario para acceder y utilizar diferentes complementos o utilizarla para auditar.

Procedimiento

1 Crear una cuenta de usuario de la CLI. Puede crear una cuenta de usuario de la CLI para cada dispositivo virtual de NSX. Para crear una cuenta de usuario de la CLI, realice los siguientes pasos:

a Inicie sesión en vSphere Web Client y seleccione un dispositivo virtual de NSX Manager.

b Haga clic en la pestaña Consola (Console) para abrir una sesión de CLI.

c Inicie sesión en la sesión de CLI con la cuenta de administrador y la contraseña que especificó al instalarNSX Manager. Por ejemplo,

nsx-mgr> enable

Password:

nsx-mgr>

d Cambie del modo básico al modo con privilegios mediante el comando enable del siguiente modo:

nsx-mgr> enable

Password:

nsx-mgr#

e Cambie del modo con privilegios al modo de configuración mediante el comando configure terminal del siguiente modo:

nsx-mgr# configure terminal

nsx-mgr(config)#

f Agregue una cuenta de usuario de la CLI mediante el comando user username password (hash | plaintext) password. Por ejemplo,

nsx-mgr(config)# user cliuser password plaintext abcd1234

Nota El nombre de usuario no puede empezar con mayúscula.


VMware, Inc. 508

g Guarde la configuración de la siguiente forma:

nsx-mgr(config)# write memory

Configuration saved

[OK]

2 Ahora, proporcione el privilegio de la interfaz web que habilitará al usuario para iniciar sesión en el dispositivo virtual de NSX Manager y permite la ejecución de las REST API de administración de dispositivos del siguiente modo:

a Compruebe que está en modo de configuración del siguiente modo:

nsx-mgr# configure terminal

nsx-mgr(config)#

b Permita que el usuario CLI creado ejecute las llamadas de REST API mediante el comando user username privilege web-interface. Por ejemplo:

nsx-mgr(config)# user userName privilege web-interface

nsx-mgr(config)# user cliuser privilege web-interface

3 (opcional) Puede comprobar la configuración de ejecución del siguiente modo:

nsx-mgr# show running-config

Building configuration...

Current configuration:

!

user cliuser

!

ntp server 192.168.110.1

!

ip name server 192.168.110.10

!

hostname nsxmgr-01a

!

interface mgmt

ip address 192.168.110.15/24

!

ip route 0.0.0.0/0 192.168.110.1

!

web-manager

4 Salga de la sesión de CLI.

nsx-mgr#(config)# exit

nsx-mgr# exit

El usuario creado no aparece en la pestaña Redes y seguridad (Networking & Security) > Sistema (System) > Usuarios y dominios (Users and Domains) > Usuarios (Users). Además, no se asigna ninguna función al usuario.


VMware, Inc. 509

5 Asigne la función necesaria al usuario mediante la REST API. Puede asignar la función de auditor (auditor), de administrador de seguridad (security_admin), o de administrador del sistema (super_user) del siguiente modo:

POST - https://<NSX-IP>/api/2.0/services/usermgmt/role/<username>?isCli=true

<accessControlEntry>

<role>auditor</role> # Enter the required role #

<resource>

<resourceId>globalroot-0</resourceId>

</resource>

</accessControlEntry>

El usuario de la CLI de NSX se creó con acceso a la interfaz web.

Pasos siguientes

Puede iniciar sesión en vSphere Web Client con las credenciales proporcionadas al crear el usuario.

Para obtener más información sobre la CLI, consulte Referencia de la interfaz de línea de comandos de NSX.

Para obtener más información sobre la API, consulte Guía de NSX API.

Editar una cuenta de usuarioEs posible editar una cuenta de usuario para cambiar el rol o el ámbito. No se puede editar la cuenta admin.

Procedimiento




4 Seleccione el usuario que desea editar.


6 Realice los cambios necesarios

7 Haga clic en Finalizar (Finish) para guardar los cambios.

Cambiar un rol de usuarioEs posible cambiar la asignación de roles de todos los usuarios, excepto el usuario admin.


VMware, Inc. 510

Procedimiento




4 Seleccione el usuario cuyo rol desea editar.


6 Realice los cambios necesarios

7 Haga clic en Finalizar (Finish) para guardar los cambios.

Deshabilitar o habilitar una cuenta de usuarioEs posible deshabilitar una cuenta de usuario para evitar que ese usuario inicie sesión en NSX Manager. No se pueden deshabilitar el usuario admin o un usuario que se encuentre conectado a NSX Manager.

Procedimiento




4 Seleccione un usuario y haga clic en el icono Enable (Habilitar) o Deshabilitar (Disable).

Eliminar una cuenta de usuarioEs posible eliminar cualquier cuenta de usuario creada. No se puede eliminar la cuenta admin. Los registros de auditoría de los usuarios eliminados se mantienen en la base de datos y se puede hacer referencia a ellos en un informe de registro de auditoría.

Procedimiento




4 Seleccione un usuario y haga clic en el icono Eliminar (Delete) ( o ).


VMware, Inc. 511

5 Para confirmar la eliminación, haga clic en Eliminar (Delete) o en Sí (Yes).

Si elimina una cuenta de usuario de vCenter, solo se eliminará la asignación de rol de NSX Manager. No se eliminará la cuenta de usuario en vCenter Server.


VMware, Inc. 512

Objetos de seguridad y red 22En esta sección se describen los contenedores de seguridad y red personalizados. Estos contenedores se pueden utilizar en un Distributed Firewall y Service Composer. En un entorno de Cross-vCenter NSX, puede crear contenedores de seguridad y red universales para utilizarlos en las reglas universales del firewall distribuido. No puede utilizar objetos de seguridad y red universales en Server Composer.

Nota Cuando se crea un grupo con ámbito universal, se permiten nombres duplicados. Puede utilizar nombres duplicados si selecciona la opción Marcar este objeto para sincronización universal (Mark this object for Universal Synchronization) al crear los siguientes grupos:

n Grupo de direcciones IP (conjunto de direcciones IP)

n Grupo de direcciones MAC (conjunto de direcciones MAC)

n Grupo de seguridad

n Servicios y grupo de servicios


n Trabajar con grupos de direcciones IP

n Trabajar con grupos de direcciones MAC

n Trabajar con grupos de direcciones IP

n Trabajar con grupos de seguridad

n Trabajar con servicios y grupos de servicios

Trabajar con grupos de direcciones IPEl grupo de direcciones IP (conjunto de direcciones IP) es una forma de agrupar una lista o un rango de direcciones IP. Puede usar grupos de direcciones IP al mismo tiempo que define reglas del firewall de Edge y del firewall distribuido.

Puede crear un grupo de direcciones IP si introduce manualmente las direcciones IP o si importa un archivo .csv o .txt que contiene una lista de direcciones IP separadas por comas. Además, puede exportar un grupo de direcciones IP a un archivo .txt que contiene una lista de direcciones IP separada por comas.

VMware, Inc. 513

Crear un grupo de direcciones IPEs posible crear un grupo de direcciones IP y, a continuación, agregar este grupo como el origen o el destino en una regla de firewall. Dicha regla puede servir de ayuda para proteger las máquinas físicas desde las virtuales o viceversa.

Requisitos previos

n Instale VMware Tools en cada máquina virtual.

n Si piensa utilizar objetos de agrupamiento en lugar de direcciones IP, habilite un método de detección de direcciones IP, como intromisión DHCP o ARP, o ambos. Para obtener más información, consulte Detección de IP para máquinas virtuales.

Procedimiento


2 Acceda a Conjuntos de direcciones IP (IP Sets):

n En NSX 6.4.1 y versiones posteriores, asegúrese de que se encuentra en la pestaña Conjuntos de direcciones IP (IP Sets).

n En NSX 6.4.0, asegúrese de que se encuentra en la pestaña Agrupar objetos (Grouping Objects) > Conjuntos de direcciones IP (IP Sets).


u Debe seleccionar la instancia de NSX Manager principal si necesita administrar grupos de direcciones IP universales.

4 Haga clic en Agregar (Add) el icono Agregar (Add) ( ).

5 Escriba un nombre para el grupo de direcciones.

6 (opcional) Escriba una descripción para el grupo de direcciones.

7 Escriba las direcciones IP o un rango de direcciones IP que desee incluir en el grupo.

Precaución Al introducir rangos de direcciones IPv6 en los conjuntos de direcciones IP, asegúrese de dividir los rangos de direcciones en /64. De lo contrario, se produciría un error al publicar las reglas del firewall.

8 (opcional) Seleccione Herencia (Inheritance) o Habilitar herencia para tener visibilidad en ámbitos subyacentes (Enable inheritance to allow visibility at underlying scopes).

Si la herencia está habilitada, se puede acceder a los objetos de agrupamiento creados en el ámbito global desde ámbitos derivados, como un centro de datos y Edge, entre otros.


VMware, Inc. 514

9 (opcional) Para crear un grupo universal de direcciones IP:

u En NSX 6.4.1 y versiones posteriores, haga clic en el botón Sincronización universal (Universal Synchronization) para activarlo.

u En NSX 6.4.0, seleccione Marcar este objeto para sincronización universal (Mark this object for Universal Synchronization).


Editar un grupo de direcciones IP

Procedimiento







4 Seleccione el grupo que desea editar y haga clic en el icono Editar (Edit) ( o ).


Eliminar un grupo de direcciones IP

Procedimiento






VMware, Inc. 515



4 Seleccione el grupo que desea eliminar y haga clic en el icono Eliminar (Delete) ( o ).

Trabajar con grupos de direcciones MAC

Crear un grupo de direcciones MACPuede crear un grupo de direcciones MAC (conjuntos de direcciones MAC) compuesto por un rango de direcciones MAC y, a continuación, agregar este grupo como origen o destino en una regla de Distributed Firewall. Dicha regla puede servir de ayuda para proteger las máquinas físicas desde las virtuales o viceversa.

Procedimiento


2 Acceda a Conjuntos de direcciones MAC (MAC Sets):

n En NSX 6.4.1 y versiones posteriores, asegúrese de que se encuentra en la pestaña Conjuntos de direcciones MAC (MAC Sets).

n En NSX 6.4.0, asegúrese de que se encuentra en la pestaña Agrupar objetos (Grouping Objects) > Conjuntos de direcciones MAC (MAC Sets).


u Para administrar los grupos de direcciones MAC, se debe seleccionar el NSX Manager principal.


5 Escriba un nombre para el grupo de direcciones.

6 (opcional) Escriba una descripción para el grupo de direcciones.

7 Escriba las direcciones MAC que se deben incluir en el grupo.



9 (opcional) Seleccione Sincronización universal (Universal Synchronization) o Marcar este objeto para sincronización universal (Mark this object for Universal Synchronization) para crear un grupo de direcciones MAC universal.


VMware, Inc. 516


Editar un grupo de direcciones MAC

Procedimiento









Eliminar un grupo de direcciones MAC

Procedimiento








Trabajar con grupos de direcciones IPPuede crear un grupo de direcciones IP para especificar un rango de direcciones IP.


VMware, Inc. 517

Crear un grupo de direcciones IPPuede agregar rangos de direcciones IP para que se incluyan en el grupo de direcciones IP. Asegúrese de que el grupo de direcciones IP no incluya el rango de direcciones IP o las direcciones IP que ya están en uso en la red.

Procedimiento


2 Acceda a Grupos de direcciones IP (IP Pools):

n En NSX 6.4.1 y versiones posteriores, asegúrese de que se encuentra en la pestaña Grupos de direcciones IP (IP Pools).

n En NSX 6.4.0, asegúrese de que se encuentra en la pestaña Agrupar objetos (Grouping Objects) > Grupos de direcciones IP (IP Pools).


4 Haga clic en Agregar (Add) o en el icono Agregar un nuevo grupo de IP (Add New IP Pool).

5 Escriba un nombre para el grupo de direcciones IP y escriba la longitud del prefijo y la puerta de enlace predeterminados.

6 (opcional) Escriba los DNS principal y secundario y el sufijo DNS.

7 Escriba los rangos de direcciones IP que se deben incluir en el grupo y haga clic en Agregar (Add) o en Aceptar (OK).

Editar un grupo de direcciones IPPuede editar el nombre y el rango de un grupo de direcciones IP. Sin embargo, no puede editar la longitud del prefijo y la puerta de enlace después de haber usado un grupo de direcciones IP.

Procedimiento






4 Seleccione un grupo de direcciones IP y haga clic en el icono Editar (Edit) ( o ).


VMware, Inc. 518


Eliminar un grupo de direcciones IPEs posible eliminar el grupo de direcciones IP.

Procedimiento






4 Seleccione el grupo de IP que desea eliminar y haga clic en el icono Eliminar (Delete) ( o ).

Trabajar con grupos de seguridadUn grupo de seguridad es una recopilación de activos u objetos agrupados del inventario de vSphere.

Los grupos de seguridad son contenedores que pueden contener varios tipos de objeto, incluidos conmutadores lógicos, vNIC, IPset y máquina virtual. Los grupos de seguridad pueden tener criterios de pertenencia dinámica basados en etiquetas de seguridad, nombre de VM o nombre de conmutador lógico. Por ejemplo, todas las VM que tengan la etiqueta de seguridad "web" se agregarán automáticamente a un grupo de seguridad específico destinado para servidores web. Tras crear un grupo de seguridad, se aplica una directiva de seguridad a ese grupo.



Los grupos de seguridad usados en el firewall de identidad solo pueden contener grupos de directorios de AD. Los grupos anidados pueden ser sin grupos de AD u otras entidades lógicas, como máquinas virtuales.

Consulte Comportamiento de las reglas de firewall en los grupos de seguridad para obtener más información.


VMware, Inc. 519

En un entorno cross-vCenter NSX, los grupos de seguridad universal se definen en la instancia principal de NSX Manager y se marcan para la sincronización universal con instancias secundarias de NSX Manager. Los grupos de seguridad universal no pueden tener definidos criterios de pertenencia dinámica salvo que estén marcados para ser utilizados en un escenario de implementación en espera activo.

En un entorno cross-vCenter NSX con un escenario de implementación en espera activo, SRM crea una máquina virtual de marcador en el sitio de recuperación para cada máquina virtual protegida en el sitio activo. Las máquinas virtuales de marcador no están activas y se encuentran en el modo de espera. Cuando la máquina virtual protegida se desactiva, las máquinas virtuales de marcador del sitio de recuperación se encienden y toman el control de las tareas de la máquina virtual protegida. Los usuarios crean reglas de firewall distribuido con grupos de seguridad universal que incluyen etiquetas de seguridad universales en el sitio activo. NSX Manager replica la regla de firewall distribuido con los grupos de seguridad universal que incluyen etiquetas de seguridad universales en las máquinas virtuales de marcador. Además, cuando estas máquinas virtuales se enciendan, las reglas de firewall replicadas con los grupos y las etiquetas de seguridad universales se aplicarán correctamente.

Nota n Los grupos de seguridad universal creados antes de la versión 6.3 no se pueden editar para su uso

en una implementación en espera activa.

Comportamiento de las reglas de firewall en los grupos de seguridadEl comportamiento de las reglas de firewall es diferente dependiendo del grupo de seguridad.

Tabla 22-1. Comportamiento de las reglas del firewall con secciones con RDSH y sin RDSH

Habilitar el grupo de seguridad de identidad del usuario (sección con RDSH)

Grupo de seguridad de identidad (sección con RDSH)

Cualquier grupo de seguridad (sección sin RDSH)

Origen: las reglas basadas en SID se publican en segundo plano en el hipervisor. El cumplimiento de reglas se encuentra en el primer paquete.

Origen: reglas basadas en IP Origen: reglas basadas en IP

Destino: reglas basadas en IP Destino: reglas basadas en IP Destino: reglas basadas en IP

Se aplica a (Applied To) con grupo de seguridad basado en identidad - Se aplica a todos los hosts


Se aplica a (Applied To) con grupo de seguridad sin identidad - Usuario según Se aplica a (Applied To)


Crear un grupo de seguridadEs posible crear un grupo de seguridad en el nivel de NSX Manager.


VMware, Inc. 520

Los grupos de seguridad universal se utilizan en dos tipos de implementación: entornos Cross-vCenter NSX activos y entornos Cross-vCenter NSX en espera activos, donde un sitio está activo en un momento determinado y el resto se encuentra en espera.

n Los grupos de seguridad universal en un entorno activo pueden contener solo los siguientes objetos incluidos: grupos de seguridad, conjuntos de direcciones IP, conjuntos de direcciones MAC. No puede configurar la pertenencia dinámica ni los objetos excluidos.

n Los grupos de seguridad universal en un entorno en espera activo pueden incluir los siguientes objetos: conjuntos de grupos de seguridad, direcciones IP, conjuntos de direcciones MAC, etiquetas de seguridad universal. También puede configurar la pertenencia dinámica solo mediante el nombre de máquina virtual. No puede configurar objetos excluidos.

Nota Las máquinas virtuales desconectadas que se basen en un criterio dinámico, como el nombre del equipo o de su sistema operativo, no se incluirán en los grupos de seguridad. NSX solo recibe una vez los criterios dinámicos cuando la máquina virtual se enciende. Después de encenderse, los detalles de los invitados se sincronizan con NSX Manager y se mantienen en NSX Manager aunque la máquina virtual se desconecte.

Nota Los grupos de seguridad universal creados antes de la versión 6.3 no se pueden editar para su uso en una implementación en espera activa.

Requisitos previos

Si crea un grupo de seguridad basado en objetos de grupos de Active Directory, asegúrese de que haya uno o varios dominios registrados en NSX Manager. NSX Manager obtiene información del grupo y del usuario, así como de la relación existente entre estos elementos, desde cada dominio con el que está registrado. Consulte Registrar un dominio de Windows con NSX Manager.

Procedimiento


2 Acceda al Grupo de seguridad (Security Group):

n En NSX 6.4.1 y versiones posteriores, asegúrese de que se encuentra en la pestaña Grupos de seguridad (Security Groups).

n En NSX 6.4.0, asegúrese de que se encuentra en la pestaña Agrupar objetos (Grouping Objects) > Grupo de seguridad (Security Group).


u Para administrar los grupos de seguridad universal, se debe seleccionar el NSX Manager principal.

4 Haga clic en Agregar (Add) o en el icono Agregar un nuevo grupo de seguridad (Add New Security Group).


VMware, Inc. 521

5 Escriba un nombre y, de manera opcional, una descripción para el grupo de seguridad.

6 (opcional) Si está creando un grupo de seguridad universal, seleccione Sincronización universal (Universal Synchronization) o Marcar este objeto para sincronización universal (Mark this object for universal synchronization).

7 (opcional) Si está creando un grupo de seguridad universal para usarlo en una implementación en espera activa, seleccione Sincronización universal/Marcar este objeto para sincronización universal (Universal Synchronization / Mark this object for universal synchronization) y Utilizar para implementaciones en espera activas (Use for active standby deployments). La pertenencia dinámica para grupos de seguridad universales con implementación en espera activa se basa en el nombre de la máquina virtual


9 En la página Pertenencia dinámica (Dynamic Membership), defina los criterios que debe cumplir un objeto para que se pueda agregar al grupo de seguridad que va a crear. Al definir un filtro de criterios con una serie de parámetros compatibles con los criterios de búsqueda, se pueden incluir máquinas virtuales.

Nota Si crea un grupo de seguridad universal, el paso Definir pertenencia dinámica (Define dynamic membership) no está disponible para las implementaciones activas activas. Está disponible en las implementaciones en espera activas, únicamente en función del nombre de la máquina virtual.

Por ejemplo, puede incluir un criterio para agregar al grupo de seguridad todas las máquinas virtuales etiquetadas con la etiqueta de seguridad específica (como AntiVirus.virusFound). Las etiquetas de seguridad distinguen entre mayúsculas y minúsculas.

O bien puede agregar al grupo de seguridad todas las máquinas virtuales que contengan el nombre W2008 y las máquinas virtuales que estén en el conmutador lógico global_wire.



VMware, Inc. 522

11 En la página Seleccionar los objetos que se van a incluir (Select objects to include), seleccione la pestaña del recurso que desea agregar y, a continuación, seleccione uno o varios recursos para agregarlos al grupo de seguridad. Puede incluir los siguientes objetos en un grupo de seguridad.

Tabla 22-2. Objetos que pueden incluirse en grupos de seguridad y grupos de seguridad universales.

Grupo de seguridad Grupo de seguridad universal

n Otros grupos de seguridad para agrupar dentro del grupo de seguridad que se va a crear.

n Clúster

n Conmutador lógico

n Red

n Aplicación virtual

n Centro de datos


n Grupos de directorios

Nota La configuración de Active Directory para los grupos de seguridad de NSX es diferente de la configuración de Active Directory para vSphere SSO. La configuración de grupos de AD de NSX es para los usuarios finales que acceden a máquinas virtuales invitadas, mientras que vSphere SSO es para los administradores que utilizan vSphere y NSX. Para utilizar estos grupos de directorio debe sincronizarse con Active Directory. Consulte Capítulo 12 Introducción al firewall de identidad.

n Conjuntos de direcciones MAC

n Etiqueta de seguridad

n vNIC

n Máquina virtual

n Grupo de recursos

n Grupo de puertos virtuales distribuidos

n Otros grupos de seguridad universales para agrupar dentro del grupo de seguridad universal que se va a crear.

n Conjuntos de direcciones IP universales

n Conjuntos de direcciones MAC universales

n Etiqueta de seguridad universal (solo para implementaciones en espera activas)

Los objetos aquí seleccionados se incluyen siempre en el grupo de seguridad, independientemente de que coincidan o no con los criterios que definió antes en la página Dynamic Membership (Membresía dinámica).

Cuando se agrega un recurso a un grupo de seguridad, todos los recursos asociados se agregan automáticamente. Por ejemplo, cuando selecciona una máquina virtual, la vNIC asociada se agrega automáticamente al grupo de seguridad.

12 Haga clic en Siguiente (Next) y seleccione los objetos que desea excluir del grupo de seguridad.

Nota Si crea un grupo de seguridad universal, el paso Seleccionar los objetos que se van a excluir (Select objects to exclude) no está disponible.

Los objetos seleccionados aquí siempre se excluyen del grupo de seguridad, más allá de si coinciden o no con los criterios dinámicos.


VMware, Inc. 523


Se muestra la ventana Listo para completar (Ready to Complete) con un resumen del grupo de seguridad.


Ejemplo

La pertenencia a un grupo de seguridad se determina de la siguiente manera:

{Resultado de la expresión [derivado de Definir pertenencia dinámica(Define dynamic membership)] + inclusión [especificado en Seleccionar objetos para incluir(Select objects to include)]} - Exclusión [especificado en Seleccionar objetos para excluir(Select objects to exclude)]

Esto significa que los elementos de inclusión se agregan primero al resultado de la expresión. A continuación, se restan los elementos de exclusión del resultado total.

Editar un grupo de seguridad

Procedimiento








Nota Los grupos de seguridad universal creados antes de la versión 6.3 no se pueden editar para su uso en una implementación en espera activa.

5 En el cuadro de diálogo Editar grupo de seguridad (Edit Security Group), realice los cambios adecuados.

6 Haga clic en Finalizar (Finish) o Aceptar (OK).

Eliminar un grupo de seguridad


VMware, Inc. 524

Procedimiento








Trabajar con servicios y grupos de serviciosUn servicio es una combinación de puerto y protocolo, mientras que un grupo de servicios es un grupo que incluye servicios u otros grupos de servicios.

Crear un servicioPuede utilizar los servicios en reglas de firewall. Puede usar servicios predefinidos o crear servicios adicionales.

Es posible que tenga que crear un servicio porque su aplicación aún no está definida o utiliza un protocolo estándar con un puerto distinto al predeterminado. Por ejemplo:

n HTTP en un puerto distinto al predeterminado: TCP:8080

n FTP en un puerto distinto al predeterminado: FTP:8021

n Puerto del servidor NoMachine: UDP:4000

Nota Edge Firewall no admite el protocolo SCTP.

Procedimiento


2 Acceda a Servicios (Services):

n En NSX 6.4.1 y versiones posteriores, asegúrese de que se encuentra en la pestaña Servicios (Services).

n En NSX 6.4.0, asegúrese de que se encuentra en la pestaña Agrupar objetos (Grouping Objects) > Servicio (Service).


VMware, Inc. 525


u Para administrar los servicios universales, se debe seleccionar el NSX Manager principal.


5 Escriba un Nombre (Name) para identificar el servicio.

6 (opcional) Escriba una Descripción (Description) para el servicio.

7 Seleccione una Capa (Layer).

Si selecciona Capa 7 (Layer 7), se le solicita que seleccione un ID de aplicación.

8 Seleccione un Protocolo (Protocol).

Por ejemplo: TCP, UDP o FTP.

Según el protocolo seleccionado, es posible que se le solicite introducir más información, como el puerto de destino. Expanda Opciones avanzadas (Advanced Options) para especificar un puerto de origen.

Nota Edge Firewall no admite el protocolo SCTP.



10 (opcional) Seleccione Sincronización universal (Universal Synchronization) o Marcar este objeto para sincronización universal (Mark this object for Universal Synchronization) para crear servicios universales.


El servicio aparece en la tabla Servicios (Services).

Crear un grupo de serviciosEs posible crear un grupo de servicios y, a continuación, definir reglas para ese grupo de servicios.

Procedimiento


2 Acceda a Grupos de servicios (Service Groups):

n En NSX 6.4.1 y versiones posteriores, asegúrese de que se encuentra en la pestaña Grupos de servicios (Service Groups).

n En NSX 6.4.0, asegúrese de que se encuentra en la pestaña Agrupar objetos (Grouping Objects) > Grupos de servicios (Service Groups).


VMware, Inc. 526




5 Escriba un Nombre (Name) para identificar el grupo de servicios.

6 (opcional) Escriba una Descripción (Description) para el grupo de servicios.

7 En Miembros (Members), seleccione los servicios o los grupos de servicios que desea agregar al grupo.

8 (opcional) Seleccione Sincronización universal (Universal Synchronization) o Marcar este objeto para sincronización universal (Mark this object for Universal Synchronization) para crear un grupo de servicios universal.




Editar un servicio o un grupo de serviciosEs posible editar servicios o grupos de servicios.

Procedimiento


2 Haga clic en la ficha Servicio (Service) o en la pestaña Grupos de servicios (Service Groups).

3 Seleccione un servicio o un grupo de servicios personalizado y haga clic en el icono Editar (Edit) (

o ).


Eliminar un servicio o un grupo de serviciosEs posible eliminar servicios o un grupo de servicios.

Procedimiento


2 Haga clic en la ficha Servicio (Service) o en la pestaña Grupos de servicios (Service Groups).


VMware, Inc. 527

3 Seleccione un servicio o un grupo de servicios personalizados y haga clic en el icono Eliminar

(Delete) ( o ).


VMware, Inc. 528

Operaciones y administración 23Este capítulo incluye los siguientes temas:

n Agregar y asignar una licencia

n Usar el panel de control

n Comprobar estado del canal de comunicación

n Administración de NSX Controller

n Modo desconectado del controlador para varios sitios

n Cambiar el puerto VXLAN

n Programa de mejora de la experiencia de cliente

n Acerca de los registros de NSX

n Registros de auditoría

n Eventos del sistema

n Configuración del sistema de administración

n Copia de seguridad y restauración de NSX

n Herramientas de diagnóstico y supervisión de NSX

Agregar y asignar una licenciaPuede agregar y asignar una licencia mediante vSphere Web Client.

A partir de NSX 6.4.0, debe ser miembro del grupo LicenseService.Administrators para administrar las licencias.

La licencia predeterminada tras la instalación es NSX para vShield Endpoint. Esta licencia habilita el uso de NSX para implementar y administrar vShield Endpoint solo para descarga de antivirus y tiene un cumplimiento forzado para restringir el uso de VXLAN, firewall y servicios Edge, bloqueando la preparación del host y la creación de instancias de NSX Edge. Para usar otras funciones, como conmutadores lógicos, enrutadores lógicos, Distributed Firewall o NSX Edge, puede adquirir una licencia para utilizar dichas funciones, o bien solicitar una licencia de evaluación para analizar estas funciones durante un breve periodo de tiempo.

n Las claves de licencia Standard, Advanced y Enterprise de NSX for vSphere son efectivas a partir de NSX 6.2.2.

VMware, Inc. 529

n Las claves de licencia Standard, Professional, Advanced, Enterprise Plus y Remote Office Branch Office de NSX Data Center son efectivas a partir NSX 6.4.1.

Para obtener más información sobre las ediciones de las licencias de NSX Data Center, NSX y NSX para vShield Endpoint y sus funciones asociadas, consulte https://kb.vmware.com/kb/2145269.

Para obtener más información sobre las licencias de los productos de NSX, consulte http://www.vmware.com/files/pdf/vmware-product-guide.pdf.

Para obtener más información sobre cómo administrar las licencias en vSphere, consulte la documentación Administrar vCenter Server y hosts correspondiente a su versión de vSphere.

Requisitos previos

Compruebe que todos los usuarios de vCenter que administran las licencias están en el grupo LicenseService.Administrators.

Si cuenta con varios sistemas vCenter Server que usan el mismo Platform Services Controller y varios NSX Manager registrados con esos vCenter Server, debe combinar las licencias de los dispositivos de NSX Manager en una sola. Consulte https://kb.vmware.com/s/article/53750 para obtener más información. Consulte https://kb.vmware.com/s/article/2006973 para obtener más información sobre cómo combinar licencias.

Procedimiento


2 Haga clic en Administración (Administration) y, a continuación, en Licencias (Licenses).

3 Haga clic en la pestaña Activos (Assets) y luego en la pestaña Soluciones (Solutions).

4 Seleccione NSX for vSphere en la lista Soluciones (Solutions). En el menú desplegable Todas las acciones (All Actions), seleccione Asignar licencia... (Assign license...).

5 Haga clic en el icono Agregar ( ) (Add). Introduzca la clave de licencia y haga clic en Siguiente (Next). Agregue un nombre para las licencias y haga clic en Siguiente (Next). Haga clic en Finalizar (Finish) para agregar la licencia.

6 Seleccione la nueva licencia.

7 (opcional) Haga clic en el icono Ver características para ver qué características están habilitadas con esta licencia.

8 Haga clic en Aceptar (OK) para asignar la nueva licencia a NSX.

Usar el panel de controlEl panel de control de NSX proporciona información sobre el estado general de los componentes en una vista centralizada. El panel de control simplifica la solución de problemas al mostrar el estado de diferentes componentes de NSX, como NSX Manager, los conmutadores lógicos, la preparación del host, la implementación del servicio, la copia de seguridad y las notificaciones de Edge.



VMware, Inc. 530


http://www.vmware.com/files/pdf/vmware-product-guide.pdf

http://www.vmware.com/files/pdf/vmware-product-guide.pdf



2 Haga clic en Redes y seguridad (Networking & Security). La página Panel de control > Descripción general (Dashboard > Overview) aparece como página de inicio predeterminada.

Puede ver los widgets definidos por el sistema y los widgets personalizados.

Widget Componente

Descripción general del sistema NSX Manager:

n Uso de CPU

n Uso del disco de NSX Manager

n Estado de servicio de base de datos, bus de mensajería y replicación. Errores de replicación en la instancia secundaria de NSX Manager

n Estado de sincronización de controladores

Nodos de controlador:

n Estado de nodo de controlador

n Estado de conectividad al mismo nivel de la controladora

n Estado de la máquina virtual de la controladora (apagada/eliminada) (powered off/deleted)

n Alertas de latencia del disco de la controladora

Componentes externos:

n Estado del servicio vSphere ESX Agent Manager (EAM)

Estado de publicación de firewall (Firewall Publish Status)

Número de hosts en los que el estado de publicación del firewall aparece con errores. El estado aparece en rojo cuando un host aplica de forma incorrecta la configuración del firewall distribuido publicado.

Estado de conmutador lógico (Logical Switch Status) Número de conmutadores lógicos en los que aparece el estado Error (Error) o Advertencia (Warning). Indica si el grupo de puertos virtuales distribuidos admitidos se elimina de vCenter Server.

Estado de implementación de servicio (Service Deployment Status)

n Estado de instalación de las implementaciones con error

n Estado de todos los servicios con error

Notificación del host Alertas de seguridad para hosts. Puede ver esta alerta cuando se suplante la dirección de hardware del cliente DHCP. Es posible que se trate de un ataque de denegación de servicio (DoS) de DHCP.

Estado del tejido Estado de preparación de host:

n Estado de la implementación, como clústeres que no se pudieron instalar, que están pendientes de actualización, que se están instalando, etc.

n Firewall:

n Número de clústeres con el firewall deshabilitado

n Estado del firewall distribuido

n VXLAN:

n Número de clústeres en los que VXLAN no se configuró

n Estado de VXLAN

Estado de mantenimiento del canal de comunicación


VMware, Inc. 531

Widget Componente

Estado de copia de seguridad (Backup Status) Estado de copia de seguridad de NSX Manager:

n Programación de copia de seguridad (Backup schedule)

n Estado de la última copia de seguridad (Last backup status): puede ser Error (Failed), Correcta (Successful) o No programada (Not scheduled), e incluye la fecha y la hora

n Último intento de copia de seguridad (Last backup attempt), con detalles de fecha y hora

n Última copia de seguridad correcta (Last successful backup), con detalles de fecha y hora

Notificaciones de Edge Destaca las alarmas activas para ciertos servicios. Supervisa una lista de eventos críticos incluidos y realiza un seguimiento de estos hasta que el problema se haya resuelto. Las alarmas se resuelven automáticamente cuando se informa del evento de recuperación, o bien Edge se actualiza, se vuelve a implementar o se fuerza su sincronización.

Herramientas n Estado de supervisión del flujo

n Estado de supervisión de Endpoint

Panel de control Escala de sistema (System Scale) Muestra un resumen de las advertencias y las alertas de la escala. Si desea consultar una lista detallada de los parámetros y los números de la escala, haga clic en Detalles (Details) para ir a Panel de control Escala de sistema (System Scale)

Widget personalizado Puede ver el widget personalizado creado mediante la API.

Widget personalizadoPuede agregar widgets personalizados al panel de control mediante la API de REST. Puede crear cinco widgets personalizados para verlos en el panel de control.

También puede compartir los widgets personalizados con otros usuarios estableciendo el parámetro shared como true en la configuración del widget. El límite máximo en widgets compartidos es 10, lo que significa que el número total de widgets compartidos por los usuarios está limitado a 10.

API de widgets personalizadosPara ver, crear, modificar y eliminar los widgets personalizados en su panel, utilice las siguientes API:

n Para ver información sobre una configuración del widgets específica: utilice la API GET /api/2.0/services/dashboard/ui-views/dashboard/widgetconfigurations/<widgetconfiguration-id>.

n Para crear un widget personalizado: utilice la API POST /api/2.0/services/dashboard/ui-views/dashboard/widgetconfigurations.

n Para modificar la configuración del widget actual: utilice la API PUT /api/2.0/services/dashboard/ui-views/dashboard/widgetconfigurations/<widgetconfiguration-id>.

n Para eliminar el widget personalizado que creó anteriormente: utilice la API DELETE /api/2.0/services/dashboard/ui-views/dashboard/widgetconfigurations/<widgetconfiguration-id>.

Para obtener más información sobre la API, consulte la Guía de NSX API.


VMware, Inc. 532

Panel de control Escala de sistema (System Scale)El panel de control Escala de sistema (System Scale) recopila información sobre la escala de sistema actual y muestra los valores de configuración máximos para los parámetros de escala admitidos. Puede configurar un límite de advertencia para las alertas cuando la escala de sistema supere el valor límite establecido. Si se supera este límite, se generará un evento del sistema que se usará para configurar notificaciones. Esta información también se registra y se incluye en el paquete de soporte.

Si el valor actual supera un porcentaje límite especificado, se mostrará un indicador de advertencia para avisar de que se está alcanzando la escala máxima admitida. Un indicador rojo indica que se alcanzó la configuración máxima. La lista se muestra en orden descendente respecto al valor porcentual de escala actual, lo que garantiza que los indicadores de advertencia aparezcan siempre en la parte superior.

Los datos se recopilan cada hora para comprobar si se superan los límites establecidos y crea un indicador cuando esto sucede. La información se registra dos veces al día en los registros de soporte técnico de NSX Manager.

Se generan eventos del sistema cuando se producen las siguientes condiciones:

n Un evento de advertencia cuando un parámetro supera el límite establecido.

n Un evento crítico cuando un parámetro supera la escala de sistema admitida.

n Un evento informativo cuando un parámetro está por debajo del límite.

Recuperar los límites de escala actuales para todos los parámetrosPuede consultar la configuración de la escala de sistema admitida y la actual mediante la API GET /api/2.0/capacity-parameters/report . Los resultados de la API muestran el resumen de la escala, el valor actual de la escala, el valor de escala de sistema admitido y el valor límite para cada parámetro.

Configurar el límite de la escala del sistemaPuede establecer el límite de la escala de su sistema.

Para configurar el límite:

1 Recupere el límite del sistema global mediante la API GET /api/2.0/capacity-parameters/thresholds. Por ejemplo, el resultado de la API muestra el límite global 80. Esto significa que el panel de control Escala de sistema (System Scale) muestra el Límite de advertencia de uso (Usage Warning Threshold) como el 80%.

Nota De forma predeterminada, se establece el valor límite global en 80.

2 Para cambiar el límite del sistema, utilice la API PUT /api/2.0/capacity-parameters/thresholds. Por ejemplo, cambie el valor límite global a 70. El panel de control Escala de sistema (System Scale) mostrará el Límite de advertencia de uso (Usage Warning Threshold) como el 70%.

Para obtener más información sobre las API, consulte la Guía de NSX API.

Para obtener más información sobre escalas del sistema, consulte Valores máximos de configuración recomendados de NSX.


VMware, Inc. 533

Comprobar estado del canal de comunicaciónNSX comprueba el estado de la comunicación entre NSX Manager y el agente de firewall, NSX Manager y el agente de plano de control, y el agente de plano de control y las controladoras.

También puede consultar el estado del canal de comunicación (Communication Channel Health) en Red y seguridad > Panel de control (Networking & Security > Dashboard) en la sección Estado del tejido (Fabric Status).

Procedimiento

1 Desplácese a Redes y seguridad (Networking & Security) > Instalación y actualización (Installation and Upgrade) > Preparación del host (Host Preparation).

2 Complete los siguientes pasos para ver el estado de los canales de comunicación.


NSX 6.4.1 y posteriores a Haga clic en un clúster del panel izquierdo. En el panel derecho, los hosts del clúster seleccionado aparecen en la tabla Hosts.

b En la columna Canales de comunicación (Communications Channels) de la tabla Hosts, haga clic en el icono de estado.

NSX 6.4.0 a Expanda el clúster que contiene el host del que quiera ver el estado del canal de comunicación.

b Haga clic en el host y, a continuación, haga clic en Acciones (Actions) > Estado del canal de comunicación (Communication Channel Health).

Una ventana emergente muestra el estado de los siguientes canales de comunicación:

n NSX Manager para el agente de firewall

n NSX Manager para el agente del plano de control

n Agente del plano de control para el controlador

Administración de NSX ControllerPuede cambiar la configuración del nodo de NSX Controller, lo que incluye el cambio de nombres, contraseñas o la configuración de NTP. También puede descargar la información de soporte técnico de los nodos de NSX Controller.

Para obtener información sobre cómo solucionar problemas del clúster de controladores, incluida la eliminación de controladores de forma segura, consulte la sección sobre NSX Controller de la Guía para solucionar problemas de NSX.

Cambiar el nombre de NSX ControllerPuede cambiar el nombre de cada nodo de NSX Controller.

A partir de NSX Data Center for vSphere 6.4.0, puede cambiar el nombre del controlador mediante la API. Consulte la Guía de NSX API para obtener más información. A partir de NSX Data Center for vSphere 6.4.2, puede cambiar el nombre del controlador mediante vSphere Web Client o vSphere Client.


VMware, Inc. 534

Al crear un nodo de controlador, se le solicita que proporcione un nombre. También se asigna un ID de controlador al nodo de controlador con el formato controller-X, por ejemplo controller-5. El ID y el nombre de controlador se usan para configurar identificadores para el controlador en algunas ubicaciones:

n El nombre que aparece en la interfaz de usuario Redes y seguridad (Networking & Security) se establece como name.

n El nombre de la máquina virtual de vSphere se establece como name-NSX-<controller_id>.

n El nombre de host de la máquina virtual se establece como nsx-controller.

Cuando actualiza el nombre del controlador, se realizan los siguientes cambios:

n El nombre que aparece en la interfaz de usuario Redes y seguridad (Networking & Security) se cambia a newName.

n El nombre de la máquina virtual de vSphere se cambia a newName-NSX-<controller_id>.

n El nombre de host de la máquina virtual se cambia a newName-NSX-<controller_id>.

Nota El nombre de host se usa en las entradas del registro del controlador. Si cambia el nombre de host del controlador, las entradas de registro muestran el nuevo nombre de host.

Procedimiento

1 Desplácese a Redes y seguridad (Networking & Security) > Instalación y actualización (Installation and Upgrade) > Administración (Management) > Nodos de NSX Controller (NSX Controller Nodes).

2 Seleccione un nodo de controlador, luego haga clic en Acciones (Actions) > Cambiar nombre de controlador (Change Controller Name).

3 Escriba el nuevo nombre y haga clic en Guardar (Save).

Cambiar la contraseña del controladorPara garantizar la seguridad, es posible cambiar las contraseñas de las instancias de NSX Controller.

Procedimiento


2 Seleccione el controlador cuya contraseña desea cambiar.

3 Haga clic en Acciones (Actions) > Cambiar contraseña del clúster del controlador (Change Controller Cluster Password).

4 Introduzca una contraseña nueva y haga clic en Aceptar (OK).

Se cambió la contraseña del controlador.


VMware, Inc. 535

Configurar syslog, NTP y DNS para el clúster de NSX ControllerPuede configurar los servidores syslog, NTP y DNS para los clústeres de NSX Controller. La misma configuración se aplica a todos los nodos de NSX Controller del clúster.

A partir de NSX Data Center for vSphere 6.4.2, puede realizar estos cambios mediante vSphere Web Client o vSphere Client. En versiones anteriores a 6.4, solo puede cambiar la configuración de syslog y NTP usando la API. Consulte la Guía de NSX API para obtener más información.

Importante Si no tiene una configuración válida (por ejemplo, servidores NTP a los que no se puede acceder) y, a continuación implementa un controlador, se produce un error en la implementación del nodo. Verifique y corrija la configuración y vuelva a implementar el nodo del controlador.

La configuración DNS del clúster NSX Controller sobrescribe las opciones DNS configuradas en el grupo IP del controlador.

Procedimiento


2 Seleccione el NSX Manager que administra los nodos de NSX Controller que desea modificar.

3 Haga clic en el vínculo EDITAR (EDIT) de los atributos comunes del controlador.

4 (opcional) Introduzca una lista separada por comas de servidores DNS y, de forma opcional, sufijos DNS.

Configuración de DNS Valores de ejemplo

Servidores DNS 192.168.110.10, 192.168.110.11

Sufijos DNS eng.example.com, corp.example.com, example.com

5 (opcional) Introduzca una lista separada por comas de servidores NTP.

Puede introducir los servidores NTP como direcciones IPv4 o como nombres de dominios completos (FQDN). Si se utiliza un FQDN, debe configurar el DNS de forma que se puedan resolver los nombres.


VMware, Inc. 536

6 (opcional) Configure uno o varios servidores syslog.

a En el panel Servidores syslog (Syslog Servers), haga clic en AGREGAR (ADD).

b Introduzca la dirección o el nombre del servidor syslog.

Puede introducir los servidores syslog como direcciones IPv4 o como nombres de dominios completos (FQDN). Si se utiliza un FQDN, debe configurar el DNS de forma que se puedan resolver los nombres.

c Seleccione el protocolo.

Si selecciona TLS, debe proporcionar un certificado X.509 con codificación PEM.

Importante Seleccionar TCP o TLS puede provocar un uso extra de memoria para almacenar en búfer que puede afectar de forma negativa al rendimiento del controlador. En casos extremos, esto puede detener el proceso hasta que las llamadas del registro de red almacenadas en búfer se vacíen.

a (opcional) Edite el puerto.

El puerto predeterminado para syslog, 6514, se introduce de forma predeterminada.

b (opcional) Seleccione el nivel de registro.

INFO está seleccionado de forma predeterminada.

Descargar registros de soporte técnico para NSX ControllerPuede descargar los registros de soporte técnico para cada instancia de NSX Controller. Estos registros específicos del producto contienen información de diagnóstico para su análisis. También puede recopilar los datos del paquete de soporte técnico de los controladores mediante la herramienta de recopilación de paquetes de soporte técnico. Para obtener más información, consulte la Guía de administración de NSX.

Para recopilar registros de NSX Controller:

Procedimiento


2 Seleccione el controlador del que quiera generar registros de soporte técnico.

Precaución Genere los registros de soporte de un controlador cada vez. Puede producirse un error si intenta generar registros de soporte para varios controladores al mismo tiempo.

3 Haga clic en Registros de soporte (Support Logs) ( o ).

NSX inicia la recopilación de registros de soporte técnico. Los archivos de registro tardan varios minutos en generarse. Puede hacer clic en Cancelar (Cancel) para anular el proceso y generar los registros de soporte en otro momento.


VMware, Inc. 537

4 Una vez generados los registros de soporte, haga clic en Descargar (Download).

Los registros de soporte se guardan en el equipo en un archivo comprimido con la extensión de archivo .tgz.

Ahora puede analizar los registros descargados.

Pasos siguientes

Si quiere actualizar la información de diagnóstico para el soporte técnico de VMware, consulte el artículo 2070100 de la Knowledge Base.

Modo desconectado del controlador para varios sitiosEl modo de operación desconectada del controlador (CDO) garantiza que, si el sitio principal pierde conectividad, esto no afecte a la conectividad del plano de datos en un entorno de varios sitios. Puede habilitar el modo CDO en el sitio secundario para evitar que se produzcan problemas temporales de conectividad relacionados con el plano de datos cuando el sitio principal está inactivo o no se puede acceder a él. También puede habilitar el modo CDO en el sitio principal para errores del plano de control.

El modo CDO evita que se produzcan problemas de conectividad durante los siguientes escenarios de error:

n Todo el sitio principal de un entorno Cross-vCenter NSX está inactivo.

n WAN está inactivo.

n Se produce un error del plano de control.

Nota A partir de NSX 6.4.0, el modo CDO es compatible con NSX Manager, pero no en la zona de transporte.

El modo CDO se encuentra deshabilitado de forma predeterminada.

Cuando se habilita el modo CDO y el host detecta un error en el plano de control, este espera el periodo de tiempo establecido y luego entra en modo CDO. Puede configurar el periodo de tiempo durante el que el host espera antes de entrar en modo CDO. De forma predeterminada, el tiempo de espera es de cinco minutos.

NSX Manager crea un conmutador lógico de CDO especial (4999) en el controlador. El identificador de red VXLAN (VNI) del conmutador lógico de CDO especial es único frente al resto de conmutadores lógicos. Si el modo CDO está habilitado, un controlador del clúster es responsable de recopilar la información de todos los VTEP generada desde todos los nodos de transporte y de replicar la información de VTEP al resto de nodos de transporte. Después de detectar el modo CDO, se envían paquetes de difusión, como ARP/GARP y RARP, a la lista global de VTEP. Esto permite mover con vMotion las máquinas virtuales en los vCenter Server sin problemas de conectividad en el plano de datos.

Si deshabilita el modo CDO, NSX Manager elimina el conmutador lógico CDO del controlador.


VMware, Inc. 538



Habilitar el modo Operación con controlador desconectado (Controller Disconnected Operation, CDO)Puede habilitar el modo Operación con controlador desconectado (Controller Disconnected Operation, CDO) para NSX Manager. El modo CDO se encuentra deshabilitado de forma predeterminada.

Requisitos previos

n Después de actualizar a NSX 6.4, NSX Manager deshabilita el modo CDO para los nodos de transporte existentes. Utilice un VNI global predefinido para configurar vSphere Distributed Switch (VDS) si NSX Manager tenía uno o más nodos de transporte con CDO habilitado antes de la actualización.

Procedimiento

1 Desplácese a Redes y seguridad (Networking & Security) > Instalación y actualización (Installation and Upgrade) > Administración (Management) > Administradores de NSX (NSX Managers).

2 Seleccione el NSX Manager requerido.

3 Haga clic en Acciones (Actions) > Habilitar modo CDO (Enable CDO mode).

Se mostrará un cuadro de diálogo de confirmación.

4 Haga clic en Sí (Yes).

El modo CDO se habilitará para la instancia de NSX Manager seleccionada.

La columna Modo CDO (CDO Mode) muestra el estado como Habilitado (Enabled) y Correcto (Successful).

NSX Manager crea un conmutador lógico de CDO en el controlador. Para consultar la información del conmutador lógico de CDO, inicie sesión en la CLI de NSX Manager como usuario administrador (admin) y ejecute el siguiente comando:

nsxmgr> show logical-switch controller controllerID host host_IP joined-vnis

Por ejemplo:

nsxmgr> show logical-switch controller controller-1 host 192.168.110.54 joined-vnis

VNI Controller BUM-Replication ARP-Proxy Connections VTEPs Active

5000 192.168.110.31 Enabled Enabled 2 2 true







Como puede comprobar, se crea el conmutador lógico de CDO con VNI 4999.


VMware, Inc. 539

Deshabilitar el modo Operación con controlador desconectado (Controller Disconnected Operation, CDO)Puede deshabilitar el modo Operación con controlador desconectado (Controller Disconnected Operation, CDO) ya habilitado cuando se resuelvan los problemas de conectividad con el sitio secundario. El modo CDO permanece deshabilitado de forma predeterminada.

Procedimiento


2 Seleccione el NSX Manager requerido.

3 Haga clic en Acciones (Actions) > Deshabilitar modo CDO (Disable CDO mode).



El modo CDO se deshabilitará para la instancia de NSX Manager seleccionada.

La columna Modo CDO (CDO Mode) muestra el estado como Deshabilitado (Disabled) y Correcto (Successful).

NSX Manager elimina el conmutador lógico de CDO desde el controlador. Para comprobar si se ha eliminado el conmutador lógico de CDO, inicie sesión en la CLI de NSX Manager como usuario administrador (admin) y ejecute el siguiente comando:

nsxmgr> show logical-switch controller controllerID host host_IP joined-vnis

Por ejemplo:

nsxmgr> show logical-switch controller controller-1 host 192.168.110.54 joined-vnis

VNI Controller BUM-Replication ARP-Proxy Connections VTEPs Active







Como puede comprobar, el conmutador lógico de CDO con VNI 4999 no está disponible en el controlador.

Volver a sincronizar la configuración de CDOSi se produce un error en la operación del modo CDO, puede ejecutar la misma operación con la función de resincronización.


VMware, Inc. 540

Por ejemplo: se elimina un vSphere Distributed Switch (VDS) de la base de datos de NSX Manager, cuando el último clúster asociado con ese VDS pierde la configuración de VXLAN. Luego, NSX Manager elimina del VDS la propiedad de opacidad relativa al CDO. Si se produce un error en la eliminación de la propiedad opaca por alguna razón, la propiedad opaca se mantiene en VDS. Ahora, si deshabilita el modo CDO y configura VXLAN en un host asociado a ese VDS, el CDO se habilita en ese host, ya que la propiedad opaca y VNI están presentes en el controlador. En este caso, use la función de resincronización para volver a aplicar el modo CDO deshabilitado. Ahora, NSX Manager intenta eliminar la propiedad opaca de VDS.

Requisitos previos

Se produjo un error en la operación para habilitar o deshabilitar en el modo CDO.

Procedimiento


2 Seleccione el NSX Manager secundario y haga clic en Acciones (Actions) > Habilitar modo CDO (Enable CDO mode) para habilitar el modo CDO.

3 Ahora, seleccione el NSX Manager requerido y haga clic en Acciones (Actions) > Volver a sincronizar el modo de configuración CDO (Resync CDO configuration mode).



El modo CDO se vuelve a sincronizar en la instancia de NSX Manager seleccionada.

Cambiar el puerto VXLANEs posible cambiar el puerto utilizado para el tráfico de VXLAN.

En NSX 6.2.3 y versiones posteriores, el puerto VXLAN predeterminado es el 4789, el puerto estándar que asigna la IANA. Antes de NSX 6.2.3, el número de puerto UDP de VXLAN predeterminado era el 8472.

Las instalaciones nuevas de NSX utilizarán el puerto UDP 4789 para VXLAN.

Si actualiza la versión NSX 6.2.2 o una versión anterior a la versión NSX 6.2.3 o a una versión posterior y en la instalación se utilizó el puerto antiguo predeterminado (8472) o un número de puerto personalizado predeterminado (por ejemplo, el 8888) antes de la actualización, dicho puerto seguirá utilizándose tras la actualización a menos que realice los pasos necesarios para cambiarlo.

Si la instalación que actualizó utiliza o utilizará puertas de enlace de VTEP de hardware (puertas de enlace ToR), debe cambiar al puerto 4789 de VXLAN.


VMware, Inc. 541

No es necesario que utilice el puerto 4789 para el puerto VXLAN en Cross-vCenter NSX; sin embargo, todos los hosts de un entorno de Cross-vCenter NSX deben estar configurados para usar el mismo puerto VXLAN. Si cambia al puerto 4789, garantiza que las nuevas instalaciones de NSX agregadas al entorno de Cross-vCenter NSX utilizan el mismo puerto que las implementaciones de NSX.

El cambio del puerto de VXLAN se realiza en un proceso de tres fases y no interrumpirá el tráfico de VXLAN.

1 NSX Manager configura todos los hosts para que escuchen el tráfico de VXLAN tanto en el puerto antiguo como en el nuevo. Los hosts seguirán enviando tráfico de VXLAN a través del antiguo puerto.

2 NSX Manager configura todos los hosts para que envíen tráfico a través del nuevo puerto.

3 NSX Manager configura todos los hosts para que dejen de escuchar en el antiguo puerto. Todo el tráfico se envía y se recibe a través del nuevo puerto.

En un entorno cross-vCenter NSX debe iniciar el cambio de puerto en la instancia principal de NSX Manager. Para cada etapa los cambios en la configuración se realizan en todos los hosts en el entorno Cross-vCenter NSX antes de pasar a la siguiente etapa.

Requisitos previos

n Compruebe que un firewall no bloquee el puerto que desea utilizar para VXLAN.

n Compruebe que la preparación del host no se esté ejecutando a la vez que cambia el puerto de VXLAN.

Procedimiento

1 Desplácese a la configuración de transporte de VXLAN.

u En NSX 6.4.1 y versiones posteriores, desplácese a Redes y seguridad (Networking & Security) > Instalación y actualización (Installation and Upgrade) > Configuración de red lógica (Logical Network Settings) > Configuración de VXLAN (VXLAN Settings).

u En NSX 6.4.0, desplácese a Configuración y redes (Networking & Security) > Instalación y actualización (Installation and Upgrade) > Preparación de red lógica (Logical Network Preparation) > Transporte de VXLAN (VXLAN Transport).

2 Junto a Puerto VXLAN (VXLAN Port), haga clic en Editar (Edit) o Cambiar (Change). Introduzca el puerto al que desee cambiar. El puerto 4789 es el que asigna la IANA para VXLAN.

El cambio de puerto tarda un breve periodo de tiempo en propagarse a todos los hosts.


VMware, Inc. 542

3 (opcional) Compruebe el progreso del cambio de puerto con la solicitud API de GET /api/2.0/vdn/config/vxlan/udp/port/taskStatus.

GET https://nsxmgr-01a/api/2.0/vdn/config/vxlan/udp/port/taskStatus

<?xml version="1.0" encoding="UTF-8"?>

<vxlanPortUpdatingStatus>

<prevPort>8472</prevPort>

<targetPort>4789</targetPort>

<taskPhase>PHASE_TWO</taskPhase>

<taskStatus>PAUSED</taskStatus>

</vxlanPortUpdatingStatus>

...

<?xml version="1.0" encoding="UTF-8"?>

<vxlanPortUpdatingStatus>

<prevPort>8472</prevPort>

<targetPort>4789</targetPort>

<taskPhase>FINISHED</taskPhase>

<taskStatus>SUCCEED</taskStatus>

</vxlanPortUpdatingStatus>

Programa de mejora de la experiencia de clienteNSX participa en el programa de mejora de la experiencia de cliente (CEIP) de VMware.

Los detalles relacionados con los datos recopilados mediante el CEIP, así como los fines para los que VMware los utiliza, se pueden encontrar en el Centro de seguridad y confianza en https://www.vmware.com/solutions/trustvmware/ceip.html.

Si desea unirse o abandonar el CEIP de NSX o editar la configuración del programa, consulte Editar la opción del programa de mejora de la experiencia de cliente.

Editar la opción del programa de mejora de la experiencia de clienteCuando se instala o actualiza NSX Manager, se puede seleccionar unirse al CEIP. Puede unirse al CEIP o bien salir posteriormente. También se puede definir la frecuencia y los días en los que la información se recopilará.

Requisitos previos

n Compruebe que NSX Manager está conectado y se puede sincronizar con vCenter Server.

n Compruebe que DNS está configurado en NSX Manager.

n Compruebe que NSX está conectado a una red pública para subir datos.


VMware, Inc. 543

https://www.vmware.com/solutions/trustvmware/ceip.html

https://www.vmware.com/solutions/trustvmware/ceip.html

Procedimiento

1 En vSphere Web Client, desplácese hasta los ajustes del programa de mejora de la experiencia de cliente.

n En NSX 6.4.6 y versiones posteriores, haga clic en Redes y seguridad (Networking & Security) > Información sobre (About NSX).

n En NSX 6.4.5 y versiones anteriores, haga clic en Redes y seguridad (Networking & Security) > Inicio de NSX (NSX Home) > Resumen (Summary).

2 En el panel Programa de mejora de la experiencia de cliente (Customer Experience Improvement Program), haga clic en Editar (Edit).

3 Únase al CEIP.

n En NSX 6.4.6 y versiones posteriores, haga clic en Unirse junto a Estado del programa (Program Status).

n En NSX 6.4.5 y versiones anteriores, haga clic en la casilla de verificación Unirse al programa de mejora de la experiencia de cliente (Join the VMware Customer Experience Improvement Program).

4 (opcional) Configure los ajustes de periodicidad.


Acerca de los registros de NSXPuede configurar el servidor syslog y ver registros de soporte técnico para cada componente de NSX. Existen registros de planos de administración disponibles en NSX Manager y registros de planos de datos disponibles en vCenter Server. Por ese motivo, se recomienda especificar el mismo servidor syslog para el componente de NSX y vCenter Server, a fin de tener un panorama completo al ver los registros en el servidor syslog.Para obtener información sobre la configuración de un servidor syslog para hosts administrados mediante un vCenter Server, consulte la versión adecuada de la documentación de vSphere en https://docs.vmware.com.

Nota Los servidores syslog o de salto que se utilizan para recopilar registros y acceder a la máquina virtual de control del enrutador lógico distribuido (DLR) de NSX no pueden estar en el conmutador lógico que está directamente conectado a las interfaces lógicas de ese DLR.

Tabla 23-1. Registros de NSX

Componente Descripción

Registros de ESXi Estos registros se recopilan como parte del paquete de soporte técnico de las máquinas virtuales que se generan desde vCenter Server.

Para obtener más información sobre los archivos de registro de ESXi, consulte la documentación de vSphere.

Registros de NSX Edge Utilice el comando show log [follow | reverse] de la CLI de NSX Edge.

Descargue el paquete de registros de soporte técnico a través de la IU de NSX Edge.


VMware, Inc. 544

https://docs.vmware.com

https://docs.vmware.com

Tabla 23-1. Registros de NSX (continuación)

Componente Descripción

Registros de NSX Manager Utilice el comando show log de la CLI de NSX Manager.

Descargue el paquete de registros de soporte técnico a través de la IU del dispositivo virtual de NSX Manager.

Registros de enrutamiento Consulte la guía Eventos del sistema y de registro de NSX.

Registros de firewall Consulte guía Eventos del sistema y de registro de NSX.

Registros de Guest Introspection Consulte guía Eventos del sistema y de registro de NSX.

NSX ManagerPara especificar un servidor syslog, consulte Configurar un servidor syslog para NSX Manager.

Para descargar registros de soporte técnico, consulte Descargar registros de soporte técnico para NSX.

NSX EdgePara especificar un servidor syslog, consulte Configure los servidores de Syslog para NSX Edge.

Para descargar registros de soporte técnico, consulte Descargar registros de soporte técnico para NSX Edge.

NSX ControllerPara especificar un servidor syslog, consulte Configurar syslog, NTP y DNS para el clúster de NSX Controller.

Para descargar registros de soporte técnico, consulte Descargar registros de soporte técnico para NSX Controller.

FirewallPara obtener más información detallada, consulte Registros de firewall.

Registros de auditoríaLos registros de auditoría de las operaciones registradas en un ticket incluyen el identificador de ticket. A través de la característica NSX Ticket Logger, con un identificador de ticket puede hacer un seguimiento de los cambios realizados.

Usar NSX Ticket LoggerNSX Ticket Logger permite hacer un seguimiento de los cambios de infraestructura realizados. Todas las operaciones están etiquetadas con el identificador de ticket especificado, y los registros de auditoría de estas operaciones incluyen el identificador de ticket. Los archivos de registro de estas operaciones están etiquetados con el mismo identificador de ticket.


VMware, Inc. 545

Procedimiento


2 Haga clic en la pestaña Administrar (Manage) y seleccione la pestaña NSX Ticket Logger.

3 Haga clic en Editar (Edit) junto a Configuración de NSX Ticket Logger (NSX Ticket Logger Settings).

4 Escriba el identificador de un ticket y haga clic en Activar (Turn On).

Aparecerá el panel Registro de tickets de NSX (NSX Ticket Logging) en el lateral derecho de la ventana de vSphere Web Client. Los registros de auditoría de las operaciones realizadas en la sesión actual de la interfaz de usuario incluyen el identificador de ticket en la columna Etiquetas de operación (Operation Tags).

Figura 23-1. Panel de NSX Ticket Logger

Si vSphere Web Client está administrando varias instancias de vCenter Server, el identificador de ticket se utiliza para conectarse a todas las instancias correspondientes de NSX Manager.

Pasos siguientes

El registro de tickets está basado en la sesión. Si el registro de tickets está activado y se cierra la sesión o si se pierde la sesión, se desactivará el registro de tickets de forma predeterminada cuando vuelva a iniciar sesión en la interfaz de usuario. Para completar las operaciones de un ticket, desactive el registro repitiendo los pasos 2 y 3, y haga clic en Desactivar (Turn Off).

Ver el registro de auditoríaLa pestaña Registros de auditoría (Audit Logs) proporciona una vista de las acciones realizadas por todos los usuarios de NSX Manager. NSX Manager conserva hasta 100.000 de registros de auditoría.

Procedimiento




VMware, Inc. 546


Los detalles del registro de auditoría se muestran en la pestaña Registros de auditoría (Audit Logs).

4 Cuando hay detalles disponibles sobre un registro de auditoría, se puede hacer clic en el texto de la columna Operación (Operation) de ese registro. Para ver los detalles de un registro de auditoría, haga clic en el texto de la columna Operación (Operation).

5 En Detalles de cambios en los registros de auditoría (Audit Log Change Details), seleccione Filas con cambios (Changed Rows) para ver solo aquellas propiedades cuyos valores cambiaron en la operación de este registro de auditoría.

Eventos del sistemaLos eventos del sistema son eventos que están relacionados con operaciones de NSX. Se elevan para dar detalles de cada evento operativo. Los eventos incluso pueden relacionarse con el funcionamiento básico (Informativo) o con un error crítico (Crítico).

Ver el informe de eventos del sistemaDesde vSphere Web Client puede ver los eventos del sistema para todos los componentes administrados por NSX Manager.

Procedimiento



3 Haga clic en la pestaña Eventos del sistema (System Events).

Puede hacer clic en las flechas de los encabezados de las columnas para ordenar eventos, o utilizar el cuadro de texto Filtrar (Filter) para filtrar eventos.

Formato de un evento del sistemaSi especifica un servidor syslog, NSX Manager envía todos los eventos del sistema al servidor syslog.

Estos mensajes tienen un formato similar al mensaje que se muestra a continuación:

Jan 8 04:35:00 NSXMGR 2017-01-08 04:35:00.422 GMT+00:00

INFO TaskFrameworkExecutor-18 SystemEventDaoImpl:133 -

[SystemEvent] Time:'Tue Nov 08 04:35:00.410 GMT+00:00 2016',

Severity:'High', Event Source:'Security Fabric', Code:'250024',

Event Message:'The backing EAM agency for this deployment could not be found.

It is possible that the VC services may still be initializing.

Please try to resolve the alarm to check existence of the agency.

In case you have deleted the agency manually, please delete the deployment

entry from NSX.', Module:'Security Fabric', Universal Object:'false


VMware, Inc. 547

El evento del sistema incluye la información siguiente.

Event ID and Time

Severity: Possible values include informational, low, medium, major, critical, high.

Event Source: Source where you should look to resolve the reported event.

Event Code: Unique identifier for the event.

Event Message: Text containing detailed information about the event.

Module: Event component. May be the same as event source.

Universal Object: Value displayed is True or False.

AlarmasLas alarmas son notificaciones que se activan en respuesta a un evento, a un conjunto de condiciones o al estado de un objeto. En el panel de control de NSX y en otras pantallas de la interfaz de usuario de vSphere Web Client se muestran alarmas así como otras alertas.

La API GET api/2.0/services/systemalarms permite ver las alarmas de los objetos de NSX.

NSX admite dos métodos para utilizar una alarma:

n La alarma corresponde a un evento del sistema y tiene una resolución asociada que intentará solucionar el problema que activa la alarma. Este enfoque está diseñado para la implementación de tejido de red y seguridad (por ejemplo, EAM, bus de mensajería, complemento de implementación) y también es compatible con Service Composer. Estas alarmas utilizan el código de evento como código de alarma. Para obtener más información detallada, consulte el documento Eventos del sistema y de registro de NSX.

n Las alarmas de notificaciones de Edge tienen la estructura de par de alarma de activación y resolución. Este método es compatible con varias funciones de Edge, entre ellas, VPN de IPsec, equilibrador de carga, alta disponibilidad, comprobación de estado, sistema de archivos de Edge y reserva de recursos. Estas alarmas utilizan un código de alarma único que no es el mismo que el código de evento. Para obtener más información detallada, consulte el documento Eventos del sistema y de registro de NSX.

Por lo general, el sistema elimina automáticamente una alarma si la condición de error se rectifica. Algunas alarmas no se borran automáticamente al actualizar la configuración. Una vez resuelto el problema, deberá borrar las alarmas de forma manual.

A continuación se muestra un ejemplo de la API que puede utilizar para borrar las alarmas.

Puede obtener alarmas para un origen específico, por ejemplo, un clúster, un host, un grupo de recursos, un grupo de seguridad o NSX Edge. Puede ver las alarmas para un origen mediante sourceId:

GET https://<<NSX-IP>>/api/2.0/services/alarms/{sourceId}

Puede resolver todas las alarmas para un origen mediante sourceId:

POST https://<<NSX-IP>>/api/2.0/services/alarms/{sourceId}?action=resolve


VMware, Inc. 548

Puede ver las alarmas de NSX, entre ellas, el bus de mensajería, el complemento de implementación, Service Composer y las alarmas de Edge:

GET https://<<NSX-IP>>/api/2.0/services/systemalarms

Puede ver una alarma específica de NSX mediante alarmId:

GET https://<<NSX-IP>>/api/2.0/services/systemalarms/<alarmId>

Puede resolver una alarma específica de NSX mediante alarmId:

POST https://<<NSX-IP>>/api/2.0/services/systemalarms/<alarmId>?action=resolve

Para obtener más información sobre la API, consulte la Guía de NSX API.

Formato de una alarmaEl formato de una alarma se puede ver a través de una API.

El formato de una alarma incluye la información siguiente.

Event ID and Time

Severity: Possible values include informational, low, medium, major, critical, high.

Event Source: Source where you should look to resolve the reported event.

Event Code: Unique identifier for the event.

Message: Text containing detailed information about the event.

Alarm ID: ID of an alarm.

Alarm Code: Event code which uniquely identifies the system alarm.

Alarm Source: Source where you should look to resolve the reported event.

Trabajar con traps SNMPNSX Manager recibe eventos del sistema que son informativos, de advertencia y críticos de, por ejemplo, NSX Edge y el hipervisor. Los agentes SNMP reenvían las traps SNMP con los OID al receptor SNMP.

Los traps SNMP deben tener la versión SNMPv2c. Los traps deben estar asociados con una base de datos de información de la administración (MIB) para que el receptor SNMP pueda procesar los traps con identificadores de objetos (OID).

De forma predeterminada, el mecanismo de traps SNMP está deshabilitado. Habilitar el trap SNMP solo activa las notificaciones críticas y de gravedad alta para que el administrador SNMP no reciba un gran volumen de notificaciones. Una dirección IP o el nombre de un host define el destino del trap. Para que el nombre del host funcione en el destino del trap, el dispositivo debe estar configurado para solicitar un servidor de Sistema de nombres de dominio (DNS).

Cuando habilita el servicio SNMP, la primera vez se envía un trap coldStart con el OID 1.3.6.1.6.3.1.1.5.1. Posteriormente se envía un trap warmStart con el OID 1.3.6.1.6.3.1.1.5.2 en cada inicio y parada de los receptores SNMP configurados.


VMware, Inc. 549

Si el servicio SNMP continúa habilitado, cada cinco minutos se envía un trap latido vmwHbHeartbeat con el OID 1.3.6.1.4.1.6876.4.190.0.401. Cuando deshabilita el servicio, se envía un trap vmwNsxMSnmpDisabled con el OID 1.3.6.1.4.1.6876.90.1.2.1.0.1. El proceso detiene la ejecución del trap vmwHbHeartbeat y deshabilita el servicio.

Cuando agrega, modifica o elimina un valor del receptor de SNMP, se envían un trap warmStart con el OID 1.3.6.1.6.3.1.1.5.2 y un trap vmwNsxMSnmpManagerConfigUpdated con el OID 1.3.6.1.4.1.6876.90.1.2.1.0.2 a las nuevas configuraciones o actualizaciones de los receptores SNMP.

Nota El polling de SNMP no es compatible.

Configurar los ajustes de SNMPPuede habilitar los ajustes de SNMP y configurar los receptores de destino para enviar traps que sean críticos, avanzados o informativos.

Requisitos previos

n Familiarícese con el mecanismo de trap de SNMP. Consulte Trabajar con traps SNMP.

n Compruebe esté configurado un receptor SNMP.

n Descargue e instale el módulo MIB para NSX Manager de forma que el receptor SNMP pueda procesar los traps con OID. Consulte http://kb.vmware.com/kb/1013445.

Procedimiento


2 Haga clic en la pestaña Administrar (Manage). Si hay disponibles varias instancias de NSX Manager, seleccione la dirección IP de una de ellas en el menú desplegable NSX Manager.

3 Asegúrese de que la pestaña Eventos de SNMP (SNMP Events) esté seleccionada.


VMware, Inc. 550


4 Haga clic en Editar (Edit) para configurar las opciones de SNMP.


Servicio (Service) Enviar trap de SNMP.

De forma predeterminada, esta opción está deshabilitada.

Notificaciones de grupo Opciones predefinidas de grupos para algunos eventos del sistema que se utilizan para agregar los eventos que puedan ocurrir. De forma predeterminada, esta opción está habilitada.

Por ejemplo, si un evento del sistema pertenece a un grupo, el trap de esos eventos agrupados está retenido. Cada cinco minutos se envía un trap detallando el número de eventos del sistema que se recibieron de NSX Manager. Si se envían menos traps, se ahorran recursos del receptor SNMP.

Receptores Puede configurar hasta cuatro receptores para que se envíen los traps.

Debe completar las siguientes secciones cuando agregue un receptor SNMP.

Dirección de receptor: dirección IP o el nombre de plenamente cualificado del host receptor.

Puerto del receptor: el puerto UDP predeterminado del receptor SNMP es 162.

Cadena de comunidad: se debe enviar la información como parte del trap de notificación.

Habilitar: indica si el receptor está enviando un trap.


El servicio SNMP está habilitado y los traps se envían a los receptores.

Pasos siguientes

Comprobar si la configuración del SNMP funciona. Consulte Comprobar la configuración del trap de SNMP.

Comprobar la configuración del trap de SNMPAntes de empezar a editar un trap del sistema, debe comprobar si el servicio SNMP recién habilitado o el SNMP actualizado funcionan correctamente.

Requisitos previos

Compruebe que el SNMP está configurado. Consulte Configurar los ajustes de SNMP.

Procedimiento

1 Compruebe la conexión del receptor y la configuración de SNMP.

a Haga clic en las pestañas Administrar > Eventos SNMP (Manage > SNMP Events).

b Haga clic en Editar (Edit) para configurar las opciones de SNMP.

No cambie las opciones del cuadro de diálogo.


Se enviará un trap warmStart con el OID 1.3.6.1.6.3.1.1.5.2 a todos los receptores SNMP.


VMware, Inc. 551

2 Depure la configuración de SNMP o solucione los problemas del receptor.

a Si el receptor SNMP no recibe los traps, compruebe que el receptor SNMP se esté ejecutando en un puerto configurado.

b Compruebe la precisión de la información del receptor en la sección Configuración de SNMP (SNMP settings).

c Si el receptor SNMP deja de recibir un trap vmwHbHeartbeat con el OID 1.3.6.1.4.1.6876.4.190.0.401 cada cinco minutos, compruebe si el dispositivo NSX Manager o el agente SNMP de NSX Manager funcionan.

d Si el trap latido se detiene, compruebe si el servicio SNMP está deshabilitado o si la conectividad de red entre NSX Manager y el receptor SNMP funciona.

Editar los traps del sistemaEs posible editar un trap del sistema para aumentar o disminuir la gravedad y la habilitación de un trap para que dichos traps se envían a los receptores o bien se retienen.

Si el valor de la columna habilitada del trap del módulo, OID o SNMP aparece como --, significa que no se asignó a dichos eventos una OID de trap. Por lo tanto, no se enviará ningún trap para dichos eventos.

Un trap del sistema tiene varias columnas en las que se muestran distintos aspectos de un evento del sistema.


Código de evento Código de evento estático asociado a un evento.

Descripción Resumen que describe el evento.

Módulo Subcomponentes que activan un evento.

Gravedad El nivel de un evento puede ser informativo, bajo, medio, principal, crítico o alto.

De forma predeterminada, cuando se habilita el servicio SNMP, se envían los traps solo para los eventos de gravedad crítica y alta para resaltar los traps que necesitan atención inmediata.

OID de SNMP Representa la OID individual que se envía cuando ocurre un evento en el sistema.

La notificación del grupo está habilitada de forma predeterminada. Cuando las notificaciones del grupo están habilitadas, el evento o los traps que estén en este grupo muestran la OID del grupo al que el evento o el trap pertenecen.

Por ejemplo, la OID de la notificación de grupo clasificada en el grupo de la configuración tiene la OID 1.3.6.1.4.1.6876.90.1.2.0.1.0.1.

Trap de SNMP habilitado

Muestra si el envío del trap para este evento está habilitado o no.

Es posible alternar el icono para activar de forma individual la habilitación de un trap o un evento. Cuando la notificación de grupo esté habilitada, no se puede alternar la habilitación del trap.

Filtrar Buscar términos para filtrar los traps del sistema.

Requisitos previos

Compruebe que la configuración de SNMP está disponible. Consulte Configurar los ajustes de SNMP.


VMware, Inc. 552

Procedimiento


2 Haga clic en la pestaña Administrar (Manage) y, a continuación, seleccione una dirección IP de NSX Manager.

3 En la sección Traps del sistema (System Traps), seleccione un evento del sistema.


No se puede editar la habilitación de un trap si la notificación de grupo está habilitada. Es posible cambiar la habilitación de traps que no pertenecen a un grupo.

5 Puede cambiar la gravedad del evento del sistema en el menú desplegable.

6 Si cambia la gravedad de informativo a crítico, active la casilla de verificación Habilitar como captura de SNMP (Enable as SNMP Trap).


8 (opcional) Haga clic en el icono Habilitar ( ) o el icono Deshabilitar ( ) en el encabezado para habilitar o deshabilitar el envío de un trap del sistema.

9 (opcional) Haga clic en el icono Copiar ( ) para copiar una o más filas de eventos en el portapapeles.

Configuración del sistema de administraciónPuede editar vCenter Server, el servidor NTP y DNS, y el servidor Lookup que especificó durante el primer inicio de sesión. NSX Manager necesita comunicación con vCenter Server y los servicios como DNS y NTP para brindar detalles sobre el inventario de VMware Infrastructure.

Iniciar sesión en el dispositivo virtual de NSX ManagerDespués de haber instalado y configurado la máquina virtual de NSX Manager, inicie sesión en el dispositivo virtual de NSX Manager para revisar la configuración especificada durante la instalación.

Procedimiento

1 Abra una ventana del explorador web y escriba la dirección IP asignada a NSX Manager. Por ejemplo, https://192.168.110.42.

Se abre la interfaz de usuario de NSX Manager en una ventana del explorador web con SSL.

2 Acepte el certificado de seguridad.

Nota Puede utilizar un certificado SSL para la autenticación.

Aparece la pantalla de inicio de sesión de NSX Manager.


VMware, Inc. 553

3 Inicie sesión en el dispositivo virtual de NSX Manager con el nombre de usuario admin y la contraseña que estableció durante la instalación.

4 Haga clic en Iniciar sesión (Log In).

Eventos del dispositivo virtual NSX Manager

Los siguientes eventos son específicos del dispositivo virtual de NSX Manager.

Tabla 23-2. Eventos del dispositivo virtual NSX Manager

Apagado Encendido Interfaz desactivada Interfaz activada

CLI local Ejecute el comando show log follow.

Ejecute el comando show log follow.



Interfaz gráfica de usuario

No corresponde No corresponde No corresponde No corresponde

Tabla 23-3. Eventos del dispositivo virtual NSX Manager

CPU Memoria Almacenamiento

CLI local Ejecute el comando show process monitor.

Ejecute el comando show system memory.

Ejecute el comando show filesystem.

Interfaz gráfica de usuario

No corresponde No corresponde No corresponde

Editar fecha y hora de NSX ManagerPuede cambiar el servidor NTP especificado durante el primer inicio de sesión.

Procedimiento


2 En Administración de dispositivos (Appliance Management), haga clic en Administrar configuración de dispositivos (Manage Appliance Settings).

3 Haga clic en Editar (Edit) junto a Configuración de hora (Time Settings).



6 Reinicie NSX Manager.


VMware, Inc. 554

Cambiar la dirección IP del dispositivo de NSX ManagerA partir de NSX 6.4.0, puede cambiar la dirección IP de un dispositivo NSX Manager. Puede cambiar la dirección IP para todos los tipos de instancia de NSX Manager: independiente, principal o secundaria.

Importante No se puede cambiar el nombre del host de NSX Manager.

Si las configuraciones de la solución de partner hace referencia a la dirección IP de NSX Manager y cambia la dirección IP de NSX Manager, deberá actualizar su solución de partner. Consulte Actualizar las soluciones de partners después de cambiar la IP de NSX Manager.

Si cambia la configuración de red de una instancia de NSX Manager secundaria en un entorno Cross-vCenter NSX, deberá actualizar la configuración del instancia de NSX Manager secundaria en la instancia de NSX Manager principal. Consulte Actualizar el NSX Manager secundario en el NSX Manager principal.

Requisitos previos

n Compruebe que la nueva dirección IP se agregue al DNS y que se pueda resolver desde todos los sistemas relacionados de vCenter Server, Platform Services Controller y ESXi.

Procedimiento



2 En la página de inicio, haga clic en Administrar configuración de dispositivos (Manage Appliance Settings) > Redes (Network).

3 Haga clic en Editar (Edit) en el panel de configuración de red General de la red y actualice las secciones de configuración de IPv4 o IPv6.

4 Reinicie el dispositivo NSX Manager. Haga clic en Acciones (Actions) ( ) y, a continuación, en Reiniciar dispositivo (Reboot Appliance).

5 Después de reiniciar el dispositivo NSX Manager, inicie sesión en la interfaz web y vaya a Inicio (Home) > Ver resumen (View Summary). Compruebe que el servicio de administración de NSX tiene el estado EN EJECUCIÓN (RUNNING). En un entorno cross-vCenter NSX, compruebe que el servicio de sincronización Universal de NSX tiene el estado EN EJECUCIÓN (RUNNING).

Si tiene problemas para conectarse a la interfaz web del dispositivo NSX Manager una vez que se está ejecutando la máquina virtual del dispositivo NSX Manager, es posible que el equipo o el navegador hayan guardado la dirección IP anterior en la memoria caché. Cierre todas las ventanas del navegador, inícielo de nuevo y borre la memoria caché. O bien, acceda al dispositivo mediante la nueva dirección IP en lugar de su nombre de host.

6 Cierre la sesión de vSphere Web Client y vuelva a iniciarla.


VMware, Inc. 555

7 Desplácese a Redes y seguridad (Networking & Security) > Instalación y actualización (Installation and Upgrade).

Pueden pasar varios minutos hasta que NSX Manager se conecte al sistema vCenter Server después de cambiar la configuración de red y reiniciar. Si ve el mensaje de error "No se encontraron instancias de NSX Manager" (No NSX Managers found), cierre sesión de vSphere Web Client, espere unos minutos y vuelva a iniciar sesión.

8 Haga clic en Preparación del Host (Host Preparation). Cada clúster de host mostrará No está listo (Not Ready). Haga clic en No está listo (Not Ready) y, a continuación, en Resolver todo (Resolve all).

El cambio de IP hace que cambie la dirección URL utilizada para acceder a VIB. Al hacer clic en Resolver todo (Resolve All), se actualizará la dirección URL.

Pasos siguientes

Si las configuraciones de la solución de partner hacen referencia a la dirección IP de NSX Manager, actualice su solución de partner. Consulte Actualizar las soluciones de partners después de cambiar la IP de NSX Manager.

Si cambia la configuración de red de una instancia de NSX Manager secundaria, actualice la configuración del instancia de NSX Manager secundaria en la instancia de NSX Manager principal. Consulte Actualizar el NSX Manager secundario en el NSX Manager principal.

Actualizar las soluciones de partners después de cambiar la IP de NSX ManagerSi las configuraciones de la solución de partner hace referencia a la dirección IP de NSX Manager y cambia la dirección IP de NSX Manager, deberá actualizar su solución de partner.

Requisitos previos

n Compruebe que cambió la dirección IP de NSX Manager. Consulte Cambiar la dirección IP del dispositivo de NSX Manager.

n Consulte la documentación de partners para obtener instrucciones sobre cómo actualizar la dirección IP de NSX Manager en la configuración de la solución de partner.

Procedimiento

1 Si la configuración de la solución de partner se refiere a la dirección IP de NSX Manager, actualice la solución de partner con la nueva dirección IP de NSX Manager.

Consulte la documentación del partner para conocer más información.


3 Acceda a Instalación y actualización (Installation and Upgrade) > Implementaciones del servicio (Service Deployments).


VMware, Inc. 556

4 Si algún servicio de partners usa Guest Introspection, en las columnas Estado de instalación (Installation status) de Guest Introspection, haga clic en No está listo (Not Ready) y, a continuación, en Resolver todo (Resolve all).

5 En las columnas Estado de instalación (Installation status) de la solución de partner, haga clic en No está listo (Not Ready) y, a continuación, en Resolver todo (Resolve all).

Actualizar el NSX Manager secundario en el NSX Manager principalSi cambia la dirección IP de un NSX Manager secundario, el NSX Manager primario muestra errores de sincronización hasta que actualice la información de la dirección IP de NSX Manager secundario.

Requisitos previos

n Compruebe que cambió la dirección IP en un NSX Manager secundario de un entorno cross-vCenter NSX. Consulte Cambiar la dirección IP del dispositivo de NSX Manager.

Procedimiento


2 Haga clic en Redes y seguridad (Networking & Security) y seleccione Instalación y actualización (Installation and Upgrade).

3 Haga clic en la pestaña Administración (Management). En el panel NSX Manager, haga clic en Acciones (Actions) > Actualizar NSX Manager secundario (Update Secondary NSX Manager). Introduzca la nueva dirección IP asignada al NSX Manager secundario.

4 Compruebe que la huella digital mostrada sea la huella digital adecuada para el NSX Manager secundario. Haga clic en Aceptar (OK).

Configurar un servidor syslog para NSX ManagerSi especifica un servidor syslog, NSX Manager envía todos los registros de auditoría y los eventos del sistema al servidor syslog. NSX Manager admite cinco servidores syslog.

Los datos de Syslog son útiles para solucionar problemas y revisar los datos registrados durante la instalación y la configuración.

Procedimiento



2 En la página de inicio, haga clic en Administrar configuración de dispositivos (Manage Appliance Settings) > General.

3 Haga clic en Editar (Edit) junto a Servidor syslog (Syslog Server).


VMware, Inc. 557

4 Especifique el nombre del host o la dirección IP, el puerto y el protocolo del servidor syslog.

Por ejemplo:


Se habilita el registro remoto en NSX Manager y los registros se almacenan en el servidor syslog. Si configuró varios servidores de Syslog, los registros se almacenan en los servidores syslog configurados.

Pasos siguientes

Para obtener más detalles sobre la API, consulte Guía de NSX API.

Cambiar la configuración de TLS y el modo FIPS en NSX ManagerAl habilitar el modo FIPS, toda comunicación segura con NSX Manager (entrante o saliente) utiliza algoritmos y protocolos criptográficos permitidos por los estándares Federal Information Processing Standards (FIPS) de los Estados Unidos.

n En un entorno Cross-vCenter NSX, debe habilitar el modo FIPS en cada NSX Manager por separado.

n Si un NSX Manager no está configurado para FIPS, aún debe asegurarse de que utiliza un método de comunicación segura que cumpla los estándares FIPS.

n Los NSX Manager principales y secundarios deben tener la misma versión TLS de sincronización universal para que funcionen correctamente.

Importante Si se cambia el modo FIPS, se reiniciará el dispositivo virtual de NSX Manager.

Requisitos previos

n Verifique que todas las soluciones de los partners tengan un certificado para el modo FIPS. Consulte la Guía de compatibilidad de VMware en http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security.

n Si actualizó desde una versión anterior de NSX, no habilite el modo FIPS hasta que se complete la actualización a NSX 6.3.0. Consulte más información sobre el modo FIPS y la actualización de NSX en la Guía de actualización de NSX.

n Verifique que NSX Manager tenga NSX 6.3.0 o una versión posterior.

n Verifique que el clúster de NSX Controller tenga NSX 6.3.0 o una versión posterior.


VMware, Inc. 558



n Verifique que todos los clústeres de host que ejecuten cargas de trabajo de NSX estén preparados con NSX 6.3.0 o una versión posterior.

n Verifique que todos los dispositivos de NSX Edge tengan la versión 6.3.0 o una posterior, y que el modo FIPS se haya habilitado en los dispositivos NSX Edge necesarios. Consulte Cambiar el modo FIPS en NSX Edge.

Procedimiento



3 En el panel Configuración (Settings), haga clic en General.

4 Haga clic en Editar (Edit), que se encuentra junto a Configuración del modo FIPS y TLS (FIPS Mode and TLS settings).

5 Para habilitar el modo FIPS, seleccione la casilla Habilitar modo FIPS (Enable FIPS Mode).

6 Para Servidor (Server) y Cliente (Client), seleccione las casillas de la versión de protocolo TLS requerida.

Nota n Si el modo FIPS está habilitado, NSX Manager deshabilita los protocolos TLS que no son

compatibles con los estándares FIPS.

n En NSX 6.4.0 o posterior, TLS 1.0 está deshabilitado de forma predeterminada.

Si actualiza a NSX 6.4.0 o posterior, la configuración de TLS anterior a la actualización sigue sin cambiar.


El dispositivo de NSX Manager se reinicia y el modo FIPS se habilita.

Editar servidores DNSPuede cambiar los servidores DNS especificados durante la instalación de Manager.


VMware, Inc. 559

Procedimiento



3 En el panel Configuración (Settings), haga clic en Red (Network).

4 Haga clic en Editar (Edit) junto a Servidores DNS (DNS Servers).



Editar detalles de Lookup ServiceEs posible cambiar los detalles de Lookup Service especificados durante el primer inicio de sesión.

Procedimiento



3 En el panel Configuración (Settings), haga clic en Servicio de administración de NSX (NSX Management Service).

4 Haga clic en Editar (Edit) junto a Lookup Service.



Editar vCenter ServerPuede cambiar la instancia de vCenter Server con la cual registró NSX Manager durante la instalación. Debe hacerlo únicamente si cambia la dirección IP de la instancia actual de vCenter Server.

Procedimiento

1 Si inició sesión en vSphere Web Client, cierre la sesión.



4 En el panel Configuración (Settings), haga clic en Servicio de administración de NSX (NSX Management Service).

5 Haga clic en Editar (Edit) junto a vCenter Server.




VMware, Inc. 560

Descargar registros de soporte técnico para NSXEs posible descargar los registros del sistema NSX Manager y de Web Manager en el escritorio. También puede recopilar los datos del paquete de soporte técnico de NSX Manager mediante la herramienta de recopilación de paquetes de soporte técnico. Para obtener más información, consulte la Guía de administración de NSX.

Procedimiento

1 Inicie sesión en el dispositivo virtual NSX Manager.


3 Haga clic en y, a continuación, en Descargar registro de soporte técnico (Download Tech Support Log).

4 Haga clic en Descargar (Download).

5 Una vez listo el registro, haga clic en Guardar (Save) para descargar el registro en el escritorio.

Se comprime el registro y tiene la extensión de archivo .gz.

Pasos siguientes

Puede abrir el registro con una utilidad de descompresión; para ello, busque Todos los archivos (All Files) en el directorio en el que guardó el archivo.

Certificación SSL de NSX ManagerNSX Manager requiere un certificado firmado para autenticar la identidad del servicio web de NSX Manager y para cifrar la información que se envía al servidor web de NSX Manager. El proceso implica generar una solicitud de firma de certificado (CSR), hacerla firmar por una entidad de certificación e importar el certificado SSL firmado en NSX Manager. La práctica recomendada de seguridad indica utilizar la opción de generación de certificados para generar una clave pública y una clave privada; esta última se guarda en NSX Manager.

Para obtener un certificado de NSX Manager, puede utilizar el generador de CSR integrado de NSX Manager u otra herramienta, como OpenSSL.

La CSR generada mediante el generador de CSR integrado de NSX Manager no puede contener atributos extendidos, como un nombre alternativo de sujeto (SAN). Si desea incluir atributos extendidos, debe utilizar otra herramienta para generar las CSR. Si utiliza otra herramienta, como OpenSSL, para generar la CSR, el proceso implicará 1) generar la CSR, 2) hacerla firmar y 3) seguir con la sección Convertir el archivo de certificado de NSX Manager a formato PKCS#12.

Utilizar el generador de CSR integradoUn método para obtener los certificados SSL en NSX Manager es utilizar el generador de CSR integrado.


VMware, Inc. 561

Este método es limitado, ya que la solicitud CSR no puede contener atributos extendidos, como un nombre alternativo de sujeto (SAN). Si desea incluir atributos extendidos, deberá utilizar otra herramienta para generar las solicitudes CSR. Si está utilizando otra herramienta para generar solicitudes CSR, omita este procedimiento.

Procedimiento


2 Haga clic en Manage Appliance Settings (Administrar configuración de dispositivo).

3 En el panel Configuración (Settings), haga clic en Certificados SSL (SSL Certificates).

4 Haga clic en Generar CSR (Generate CSR).

5 Complete el formulario llenando los siguientes campos:

Opción Acción

Tamaño de clave (Key Size) Seleccione la longitud de clave utilizada en el algoritmo seleccionado.

Nombre común (Common Name) Escriba la dirección IP o el nombre de dominio completo (Fully Qualified Domain Name, FQDN) de NSX Manager. VMware recomienda introducir el FQDN.

Unidad de organización (Organization Unit)

Introduzca el departamento de la empresa que está solicitando el certificado.

Nombre de organización (Organization Name)

Introduzca la razón social completa de la empresa.

Nombre de la ciudad (City Name) Introduzca el nombre completo de la ciudad donde está ubicada la empresa.

Nombre del estado (State Name) Introduzca el nombre completo del estado donde está ubicada la empresa.

Código de país (Country Code) Introduzca el código de dos dígitos que representa al país. Por ejemplo, para EE. UU. es US.


7 Envíe la solicitud CSR a la entidad de certificación para que la firme.

a Para descargar la solicitud generada, haga clic en Descargar CSR (Download CSR).

Mediante este método, la clave privada nunca sale de NSX Manager.

b Envíe la solicitud a la entidad de certificación.

c Obtenga el certificado firmado, así como los certificados de una entidad de certificación raíz o intermedia en formato PEM.


VMware, Inc. 562

d Para convertir los certificados con formato CER/DER en formato PEM, utilice el siguiente comando OpenSSL:

openssl x509 -inform der -in Cert.cer -out 4-nsx_signed.pem

e Concatene todos los certificados (de servidor, intermediarios y raíz) en un archivo de texto.

f En la interfaz de usuario de NSX Manager, haga clic en Importar (Import) y desplácese hasta el archivo de texto con todos los certificados.

g Una vez que la importación se haya realizado correctamente, el certificado de servidor y todos los certificados de la entidad de certificación aparecerán en la página Certificados de SSL (SSL Certificates).

Pasos siguientes

Importe el certificado SSL firmado en NSX Manager.

Convertir el archivo de certificado de NSX Manager a formato PKCS#12Si utilizó otra herramienta, como OpenSSL, para obtener el certificado de NSX Manager, asegúrese de que el certificado y la clave privada tengan el formato PKCS#12. Si el certificado y la clave privada de NSX Manager no tienen el formato PKCS#12, debe convertirlos para poder importarlos en NSX Manager.

Requisitos previos

Compruebe que OpenSSL esté instalado en el sistema. Puede descargar openssl desde http://www.openssl.org.

Procedimiento

u Después de recibir el certificado firmado por un firmante autorizado, utilice OpenSSL para generar un archivo de almacén de claves PKCS#12 (.pfx o .p12) desde el archivo de certificado y la clave privada.

Por ejemplo:

openssl pkcs12 -export -out server.p12 -inkey server.key -in server.crt -certfile CACert.crt

En este ejemplo, CACert.crt es el nombre del certificado raíz que devolvió la entidad de certificación.

Pasos siguientes

Importe el certificado SSL firmado en NSX Manager.

Importar un certificado SSLPuede importar un certificado SSL preexistente o firmado por la entidad de certificación para que lo utilice NSX Manager.


VMware, Inc. 563

http://www.openssl.org

http://www.openssl.org

Requisitos previos

Cuando instale un certificado en NSX Manager, solo se admite el formato de almacén de claves PKCS#12, y debe contener una sola clave privada y su correspondiente certificado o cadena de certificados firmados.

Procedimiento


2 Haga clic en Manage Appliance Settings (Administrar configuración de dispositivo).

3 En el panel Configuración (Settings), haga clic en Certificados SSL (SSL Certificates).

4 Haga clic en Cargar almacén de claves PKCS#12 (Upload PKCS#12 Keystore).

5 Haga clic en Elegir archivo (Choose File) para ubicar el archivo.


7 Para aplicar el certificado, reinicie el dispositivo NSX Manager.

El certificado se almacena en NSX Manager.

Copia de seguridad y restauración de NSXRealizar copias de seguridad apropiadas de todos los componentes de NSX Data Center for vSphere es crucial para restaurar el sistema al estado en el que funcionaba correctamente si se producen errores.

La copia de seguridad de NSX Manager contiene toda la configuración de NSX Data Center for vSphere, incluidas las controladoras, la conmutación lógica, las entidades en red, la seguridad, las reglas de firewall y todo lo que configure dentro de la interfaz de usuario o la API de NSX Manager. Se debe realizar una copia de seguridad por separado de la base de datos de vCenter y los elementos relacionados como por ejemplo, los conmutadores virtuales.

Recomendamos que realice copias de seguridad frecuentes de NSX Manager y vCenter. La frecuencia y la programación de las copias de seguridad pueden variar según las necesidades comerciales y los procedimientos operativos. Recomendamos realizar copias de seguridad de NSX con frecuencia en momentos de cambios de configuración continuos.

Las copias de seguridad de NSX Manager pueden realizarse a petición o programadas a una hora, diariamente o semanalmente.


VMware, Inc. 564

Recomendamos realizar copias de seguridad en las siguientes situaciones:

n Antes de una actualización de NSX Data Center for vSphere o vCenter.

n Después de una actualización de NSX Data Center for vSphere o vCenter.

n Después de una implementación desde cero y de la configuración inicial de componentes de NSX Data Center for vSphere. Por ejemplo, después de crear el clúster de NSX Controller, conmutadores lógicos, enrutadores lógicos, puertas de enlace de servicios Edge y directivas de seguridad y firewall.

n Después de cambios de infraestructura o topología.

n Después de cualquier cambio importante de día 2.

Para proporcionar el estado de todo un sistema al que se pueda revertir en un momento determinado, se recomienda sincronizar las copias de seguridad de los componentes de NSX Data Center for vSphere (por ejemplo, NSX Manager) con la programación de copias de seguridad de otros componentes con los que exista interacción, como vCenter, sistemas de administración en la nube, herramientas operativas, etc.

Copia de seguridad y restauración de NSX ManagerLa copia de seguridad y la restauración de NSX Manager pueden configurarse desde la interfaz web del dispositivo virtual de NSX Manager o a través de la API de NSX Manager Las copias de seguridad pueden programarse por hora, por día o por semana.

El archivo de copia de seguridad se guarda en una ubicación de FTP o SFTP remota a la que tenga acceso NSX Manager. Los datos de NSX Manager incluyen tablas de configuración, eventos y registros de auditoría. Las tablas de configuración se incluyen en todas las copias de seguridad.

La restauración solo se admite en la misma versión de NSX Manager que la versión de la copia de seguridad. Por este motivo, es importante crear un archivo de copia de seguridad antes y después de actualizar NSX: una para la versión anterior de la copia de seguridad y otra para la nueva.

Hacer copias de seguridad de los datos de NSX ManagerPara hacer copias de seguridad de los datos de NSX Manager, puede hacer una copia de seguridad a petición o una copia de seguridad programada.

Procedimiento


2 Haga clic en Copia de seguridad y restauración (Backup & Restore).

3 Para especificar la ubicación de la copia de seguridad, haga clic en Cambiar (Change), junto a Configuración de servidor FTP (FTP Server Settings).

a Introduzca la dirección IP o el nombre de host del sistema de copia de seguridad.

b En el menú desplegable Protocolo de transferencia (Transfer Protocol), seleccione SFTP o FTP, según lo que admita el destino.

c Si es necesario, edite el puerto predeterminado.


VMware, Inc. 565

d Introduzca el nombre de usuario y la contraseña requeridos para iniciar sesión en el sistema de copia de seguridad.

e En el cuadro de texto Directorio de copia de seguridad (Backup Directory), introduzca la ruta absoluta en la que se deben almacenar las copias de seguridad.

Nota Si no indica un directorio de copia de seguridad, esta se almacenará en el directorio predeterminado (directorio principal) del servidor FTP.

Para determinar la ruta de acceso absoluta, inicie sesión en el servidor FTP, desplácese hasta el directorio que desea utilizar y ejecute el comando del directorio actualmente en funcionamiento (pwd). Por ejemplo:

PS C:\Users\Administrator> ftp 192.168.110.60

Connected to 192.168.110.60.

220 server-nfs FTP server ready.

User (192.168.110.60:(none)): admin

331 Password required for admin.

Password:

230 User admin logged in.

ftp> ls

200 PORT command successful.

150 Opening BINARY mode data connection for 'file list'.

datastore-01

226 Transfer complete.

ftp: 22 bytes received in 0.00Seconds 22000.00Kbytes/sec.

ftp> cd datastore-01

250 CWD command successful.

ftp> pwd

257 "/datastore-01" is current directory.

f Introduzca una cadena de texto en Prefijo del nombre de archivo (Filename Prefix).

Este texto se antepondrá a cada nombre de archivo de copia de seguridad para que pueda identificar fácilmente el archivo en el sistema de copia de seguridad. Por ejemplo, si introduce ppdb, la copia de seguridad resultante se denominará ppdbHH_MM_SS_AAAA_Mes_Día.

Nota Los archivos del Directorio de copia de seguridad (Backup Directory) se deben limitar a 100. Si el número de archivos del directorio supera este límite, se mostrará un mensaje de advertencia.

g Introduzca una frase de contraseña para proteger la copia de seguridad.

Se necesita esta información para restaurar la copia de seguridad.

h Haga clic en Aceptar (OK).

Por ejemplo:


VMware, Inc. 566

Opción Ejemplo

Nombre de host/IP 192.168.110.60

Protocolo de transferencia FTP

Puerto 21

Nombre de usuario (User name) administrador

Contraseña (Password) *****

Directorio de copia de seguridad (Backup Directory) /datastore-01

Prefijo de nombre de archivo (Filename Prefix) nsxmgr-copiadeseguridad

Frase de contraseña (Pass Phrase) *****

4 En el caso de una copia de seguridad a petición, haga clic en Copia de seguridad (Backup).

Se agrega un archivo nuevo en Historial de copias de seguridad (Backup History).

5 (Requerido) En el caso de una copia de seguridad programada, haga clic en Cambiar (Change), junto a Programación (Scheduling).

a En el menú desplegable Frecuencia de copia de seguridad (Backup Frequency), seleccione Por hora (Hourly), Por día (Daily) o Por semana (Weekly). Los menús desplegables Día de la semana (Day of Week), Hora del día (Hour of Day) y Minuto (Minute) se deshabilitan según la frecuencia seleccionada. Por ejemplo, si selecciona Por día (Daily), se deshabilitará el menú desplegable Día de la semana (Day of Week), ya que este menú desplegable no se puede aplicar a una frecuencia diaria.

b Para las copias de seguridad por semana, seleccione el día de la semana en que debe realizarse una copia de seguridad de los datos.

c Para las copias de seguridad por semana o por día, seleccione la hora en que debe iniciarse la copia de seguridad.

d Seleccione el minuto en que desea comenzar y haga clic en Programar (Schedule).

Opción Ejemplo

Frecuencia de copia de seguridad (Backup Frequency) Por semana (Weekly)

Día de la semana (Day of week) Viernes (Friday)

Hora del día (Hour of day) 15

Minutos (Minute) 45

6 Para excluir datos de registros y flujos de la copia de seguridad, haga clic en Cambiar (Change), junto a Excluir (Exclude).

a Seleccione los elementos que desea excluir de la copia de seguridad.

b Haga clic en Aceptar (OK).

7 Guarde la dirección IP o el nombre del host, las credenciales, los detalles de directorio y la frase de contraseña del servidor FTP. Se necesita esta información para restaurar la copia de seguridad.


VMware, Inc. 567

Restaurar una copia de seguridad de NSX ManagerLa restauración de NSX Manager provoca que se cargue un archivo de copia de seguridad en un dispositivo NSX Manager. El archivo de copia de seguridad debe guardarse en una ubicación de FTP o SFTP remota a la que tenga acceso NSX Manager. Los datos de NSX Manager incluyen tablas de configuración, de eventos y de registros de auditoría.

Importante Haga una copia de seguridad de los datos actuales antes de restaurar un archivo de copia de seguridad.

Requisitos previos

Antes de restaurar los datos de NSX Manager, se recomienda volver a instalar el dispositivo NSX Manager. Ejecutar la operación de restauración en un dispositivo NSX Manager existente también podría ser efectivo, pero no se admite. Se da por sentado que el dispositivo NSX Manager existente posee errores y, en consecuencia, se implementa un nuevo dispositivo NSX Manager.

La práctica recomendada consiste en anotar la configuración actual del dispositivo NSX Manager antiguo para utilizarla en el momento de especificar la información relativa a la dirección IP y a la ubicación de las copias de seguridad del dispositivo NSX Manager recientemente implementado.

Procedimiento

1 Anote toda la configuración del dispositivo NSX Manager existente. Asimismo, anote la configuración del servidor FTP.

2 Implemente un nuevo dispositivo NSX Manager.

La versión debe ser igual a la del dispositivo NSX Manager de la copia de seguridad.

3 Inicie sesión en el dispositivo NSX Manager nuevo.

4 En Administración de dispositivos (Appliance Management), haga clic en Copias de seguridad y restauración (Backups & Restore).

5 En Configuración del servidor FTP (FTP Server Settings), haga clic en Cambiar (Change) y agregue la configuración del servidor FTP.

En los campos Dirección IP de host (Host IP Address), Nombre de usuario (User Name), Contraseña (Password), Directorio de copia de seguridad (Backup Directory), Prefijo de nombre de archivo (Filename Prefix) y Frase de contraseña (Pass Phrase) en la pantalla Ubicación de copia de seguridad (Backup Location) se debe poder identificar la ubicación de la copia de seguridad que se desea restaurar.

La sección Historial de copias de seguridad (Backup History) muestra la carpeta para las copias de seguridad.

Nota Si la carpeta de copias de seguridad no aparece en la sección Historial de copias de seguridad, compruebe la configuración del servidor FTP. Compruebe si puede conectarse al servidor FTP y ver la carpeta de copias de seguridad.


VMware, Inc. 568

6 En la sección Historial de copias de seguridad, seleccione la carpeta de copias de seguridad requerida que desea restaurar y haga clic en Restaurar (Restore).

Comienza el proceso de restauración de los datos de NSX Manager.

La configuración de NSX se restaura a NSX Manager.

Precaución Después de restaurar una copia de seguridad de NSX Manager, es posible que tenga que tomar medidas adicionales para garantizar el funcionamiento correcto de los dispositivos NSX Edge y de los conmutadores lógicos. Consulte Restaurar los NSX Edge y Solucionar errores de sincronización en conmutadores lógicos.

Restaurar los NSX EdgeSe hacen copias de seguridad de todas las configuraciones de NSX Edge (enrutadores lógicos y puertas de enlace de servicios Edge) como parte de las copias de seguridad de datos de NSX Manager.

No se admite la realización de copias de seguridad individuales de NSX Edge.


VMware, Inc. 569

Si tiene una configuración de NSX Manager intacta, puede volver a crear una máquina virtual de dispositivo Edge con errores o inaccesible si vuelve a implementar NSX Edge. Para volver a implementar NSX Edge, seleccione NSX Edge y haga clic en Acciones (Actions) > Volver a implementar (Redeploy). Consulte "Volver a implementar NSX Edge" en la Guía de administración de NSX.


VMware, Inc. 570

Precaución Después de restaurar una copia de seguridad de NSX Manager, es posible que tenga que tomar medidas adicionales para garantizar el funcionamiento correcto de los dispositivos NSX Edge.

n Los dispositivos de Edge que se crearon después de la última copia de seguridad no se eliminan durante la restauración. Debe eliminar la máquina virtual manualmente.

n Los dispositivos de Edge que se eliminaron después de la última copia de seguridad no se restauran a menos que se vuelvan a implementar.

n Si no existen ni las ubicaciones configuradas ni las actuales de un dispositivo NSX Edge almacenadas en la copia de seguridad cuando se restaura la copia de seguridad, se producirán errores en operaciones como la reimplementación, la migración, la habilitación o la deshabilitación de HA. Debe editar la configuración del dispositivo y proporcionar información de ubicación válida. Utilice PUT /api/4.0/edges/{edgeId}/appliances para editar la configuración de ubicación del dispositivo (resourcePoolId, datastoreId, hostId y vmFolderId según sea necesario). Consulte "Trabajar con la configuración del dispositivo NSX Edge" en la Guía de NSX API.

Si se produjo alguno de los siguientes cambios desde la última copia de seguridad de NSX Manager, la configuración restaurada de NSX Manager y la configuración presente en el dispositivo NSX Edge serán diferentes. Debe Forzar sincronización (Force Sync) de NSX Edge para revertir estos cambios en el dispositivo y asegurar que NSX Edge funcione correctamente. Consulte "Forzar sincronización de NSX Edge con NSX Manager" en la Guía de administración de NSX.

n Cambios realizados a través de Distributed Firewall en preRules del firewall de NSX Edge.

n Cambios en la pertenencia de los objetos de grupo.

Si se produjo alguno de los siguientes cambios desde la última copia de seguridad de NSX Manager, la configuración restaurada de NSX Manager y la configuración presente en el dispositivo NSX Edge serán diferentes. Debe Volver a implementar (Redeploy) NSX Edge para revertir estos cambios en el dispositivo y garantizar que NSX Edge funcione correctamente. Consulte "Volver a implementar NSX Edge" en la Guía de administración de NSX.

n Cambios en la configuración del dispositivo de Edge:

n HA habilitado o deshabilitado

n dispositivo que pasó de estado implementado a sin implementar

n dispositivo que pasó de estado sin implementar a implementado

n configuración de reserva de recursos cambiada

n Cambios en la configuración de vNic del dispositivo de Edge:

n agregar, quitar o desconectar vNic

n grupos de puertos

n puertos troncales

n parámetros de contención

n directiva de catalogación


VMware, Inc. 571

Solucionar errores de sincronización en conmutadores lógicosSi se producen cambios en los conmutadores lógicos entre la realización de una copia de seguridad de NSX Manager y la restauración de la misma, es posible que estos conmutadores no se sincronicen correctamente.

Procedimiento


2 Vaya a Redes y seguridad > Conmutadores lógicos (Networking & Security > Logical Switches).

3 Si esto es así, haga clic en el vínculo No sincronizado (Out of sync) de la columna Estado (Status) para mostrar información detallada de los errores.

4 Haga clic en Resolver (Resolve) para volver a crear los grupos de puertos de respaldo que faltan para el conmutador lógico.

Hacer copias de seguridad de conmutadores distribuidos de vSpherePuede exportar la configuración de un conmutador distribuido de vSphere y de un grupo de puertos distribuidos a un archivo.

Exporte la configuración de vSphere Distributed Switch para crear una copia de seguridad antes de preparar el clúster para VXLAN. Para obtener información detallada sobre cómo exportar la configuración de vSphere Distributed Switch, consulte http://kb.vmware.com/kb/2034602.

Hacer una copia de seguridad de vCenterPara proteger la implementación de NSX, es importante hacer una copia de seguridad de la base de datos de vCenter y crear instantáneas de las máquinas virtuales.

Consulte la documentación de su versión de vCenter para conocer los procedimientos y las prácticas recomendadas de copias de seguridad y restauraciones de vCenter.

Para las copias de seguridad de vCenter, consulte lo siguiente:

n La documentación Instalar y configurar vSphere correspondiente a su versión

n http://kb.vmware.com/kb/2110294

Para las instantáneas de máquinas virtuales, consulte http://kb.vmware.com/kb/1015180.

Herramientas de diagnóstico y supervisión de NSXNSX proporciona diferentes herramientas que le pueden ayudar a supervisar y recopilar datos para diagnosticar cualquier problema de su sistema.

Flow MonitoringFlow monitoring es una herramienta de análisis de tráfico que proporciona una vista detallada del tráfico hacia y desde las máquinas virtuales protegidas.


VMware, Inc. 572




Cuando la opción Flow monitoring está habilitada, el resultado define qué máquinas están intercambiando datos y por medio de qué aplicación. Estos datos incluyen la cantidad de sesiones y los paquetes que se transmiten por sesión. Los detalles de la sesión incluyen los orígenes, los destinos, las aplicaciones y los puertos que se están utilizando. Los detalles de la sesión pueden utilizarse para crear un firewall para permitir o bloquear reglas. Puede ver los datos de flujo de varios tipos de protocolo diferentes, incluidos TCP, UDP, ARP, ICMP, etc. Se pueden excluir flujos especificando filtros. Puede supervisar en tiempo real las conexiones TCP y UDP desde y hacia una vNIC seleccionada. La supervisión del flujo directo ofrece la visualización de los flujos conforme pasa por una vNIC específica, utilizando una solución rápida de problemas. El contexto de la aplicación también se captura en la supervisión de flujo directo para flujos que coinciden con una regla de firewall de Capa 7.

Ver datos de Flow MonitoringPuede ver las sesiones de tráfico de las máquinas virtuales en un período determinado. De forma predeterminada, se muestran los datos de las últimas 24 horas; el período mínimo es 1 hora y el máximo es 2 semanas.

Precaución n Cuando se habilita la supervisión de flujo, en el Panel de control (Dashboard) aparece un pequeño

icono amarillo para indicar que la función está activada. La supervisión de flujo afecta al rendimiento; le recomendamos que la desactive después de supervisar los datos del flujo.

n Se muestra una alarma crítica cuando el recuento de supervisión de flujo supera una cifra máxima predefinida (valor del umbral). Esta alarma crítica no afecta al entorno, por lo que puede ignorarla de forma segura. En NSX 6.4.4 y versiones anteriores, el recuento máximo de supervisión de flujo es de 2 millones. Desde la versión 6.4.5 de NSX, el recuento máximo de supervisión de flujo es de 5 millones.

Requisitos previos

Los datos de Flow Monitoring solo están disponibles en las máquinas virtuales de clústeres que tienen instalados componentes de virtualización de red y un firewall habilitado. Consulte la Guía de instalación de NSX Data Center for vSphere.

Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Herramientas (Tools) > Flow Monitoring.

2 Asegúrese de estar en la pestaña Panel (Dashboard).


VMware, Inc. 573

3 Haga clic en Flow Monitoring.

La página puede tardar varios segundos en cargarse. La parte superior de la página muestra el porcentaje de tráfico permitido, el tráfico bloqueado por reglas de firewall y el tráfico bloqueado por SpoofGuard. El gráfico de varias líneas muestra el flujo de datos de cada servicio del entorno. Cuando se señala un servicio en el área de leyendas, el trazado de ese servicio aparece resaltado.

Las estadísticas de tráfico se muestran en tres pestañas:

n Flujos principales (Top Flows) muestra el tráfico total entrante y saliente por cada servicio en el período especificado, en función del valor total de bytes (y no de sesiones/paquetes). Se muestran los principales cinco servicios. Los flujos bloqueados no se tienen en cuenta para calcular los flujos principales.

n Destinos principales (Top Destinations) muestra el tráfico entrante por cada destino en el período especificado. Se muestran los principales cinco destinos.

n Orígenes principales (Top Sources) muestra el tráfico saliente por cada origen en el período especificado. Se muestran los principales cinco orígenes.

4 Haga clic en la pestaña Detalles por servicio (Details by Service).

Se muestran los detalles de todo el tráfico relacionado con el servicio seleccionado. La pestaña Flujos permitidos (Allowed Flows) muestra las sesiones de tráfico permitido y la pestaña Flujos bloqueados (Blocked Flows) muestra el tráfico bloqueado.


VMware, Inc. 574

Puede buscar por los nombres del servicio.

5 Haga clic en un elemento de la tabla para ver las reglas que permitieron o bloquearon el flujo de tráfico.

6 Haga clic en Identificador de regla (Rule Id) para mostrar los detalles de la regla.

Cambiar el intervalo de fechas de los gráficos de Flow MonitoringEs posible cambiar el intervalo de fechas de los datos de Flow Monitoring en las pestañas Panel (Dashboard) y Detalles (Details).

Procedimiento


2 Haga clic en junto a Intervalo de tiempo (Time interval).

3 Seleccione un período o introduzca fechas de inicio y de finalización nuevas.

El alcance máximo de la vista con los datos de Flow Monitoring es dos semanas atrás.


Agregar o editar una regla de firewall desde el informe de Flow MonitoringAl explorar en profundidad los datos de tráfico, es posible evaluar el uso de los recursos y enviar información sobre la sesión a Distributed Firewall con el fin de crear una nueva regla de permiso o bloqueo en cualquier nivel.


VMware, Inc. 575

Procedimiento


2 Haga clic en la pestaña Detalles por servicio (Details by Service).

3 Haga clic en un servicio para ver el flujo de tráfico para ese servicio.

Según la pestaña seleccionada, se mostrarán las reglas por las que se permitió o se denegó el tráfico en este servicio.

4 Haga clic en el identificador de una regla para ver los detalles de la regla.


n Para editar una regla:

1 Haga clic en Editar regla (Edit Rule) en la columna Acciones (Actions).

2 Cambie el nombre, la acción o los comentarios para la regla.


n Para agregar una regla:

1 Haga clic en Agregar regla (Add Rule) en la columna Acciones (Actions).

2 Complete el formulario para agregar una regla. Para obtener información sobre la manera de completar el formulario de reglas de firewall, consulte Agregar una regla de firewall.


La regla se agregará a la parte superior de la sección de reglas de firewall.

Ver flujo en tiempo realPuede ver las conexiones de UDP y TCP con una vNIC seleccionada. Para ver el tráfico que circula entre dos máquinas virtuales, puede ver el tráfico directo de una máquina virtual en un equipo y la otra máquina en un segundo equipo. Puede ver el tráfico de dos vNIC por host y de cinco vNIC por infraestructura, como máximo.

La visualización de flujos directos puede afectar el rendimiento de NSX Manager y de la correspondiente máquina virtual.

Procedimiento


2 Haga clic en la pestaña Flujo directo (Live Flow).

3 Seleccione la vNIC requerida.

4 Haga clic en Inicio (Start) para empezar a ver el flujo directo.

La página se actualizará cada cinco segundos. Puede seleccionar otra frecuencia desde el menú desplegable Velocidad de actualización (Refresh Rate).


VMware, Inc. 576

5 Haga clic en Detener (Stop) cuando termine la depuración o la solución de problemas, a fin de evitar que se afecte el rendimiento de NSX Manager o de la máquina virtual seleccionada.

Configurar recopilación de datos de Flow MonitoringDespués de ver y filtrar los datos de Flow Monitoring que se desean recopilar, es posible configurar la recopilación de datos.

Para filtrar los datos que se muestran, se puede especificar un criterio de exclusión. Por ejemplo, es posible que se desee excluir un servidor proxy para evitar ver flujos duplicados. O bien al ejecutar una exploración Nessus en las máquinas virtuales de un inventario, es posible evitar que se recopilen los flujos de exploración. Se puede configurar IPFix de modo que la información de flujos específicos se exporte directamente de un firewall a un recopilador de flujos. Los gráficos de Flow Monitoring no incluyen los flujos de IPFix. Esos flujos se muestran en la interfaz del recopilador de IPFix.

Procedimiento


2 Seleccione la pestaña Configuración (Configuration).

3 Asegúrese de que la opción Estado de la recopilación global de flujos (Global Flow Collection Status) se encuentre Habilitada (Enabled).

Se recopilarán todos los flujos relacionados con el firewall en el inventario, excepto los objetos especificados en Configuración de exclusión (Exclusion Settings).


VMware, Inc. 577

4 Para especificar criterios de filtrado, haga clic en Exclusión de flujos (Flow Exclusion) y siga los pasos a continuación.

a Haga clic en la pestaña correspondiente a los flujos que desea excluir.

b Especifique la información obligatoria.

Si seleccionó Especifique esta información

Recopilar flujos bloqueados (Collect Blocked Flows)

Seleccione No para excluir los flujos bloqueados.

Recopilar flujos de Capa 2 (Collect Layer2 Flows)

Seleccione No para excluir los flujos de la Capa 2.

Origen (Source) No se recopilarán los flujos para los orígenes especificados.


2 En Ver (View), seleccione el contenedor apropiado.

3 Seleccione los objetos que desea excluir.

Destino (Destination) No se recopilarán los flujos para los destinos especificados.


2 En Ver (View), seleccione el contenedor apropiado.

3 Seleccione los objetos que desea excluir.

Puertos de destino (Destination ports)

Se excluirán los flujos a los puertos especificados.

Escriba los números de los puertos que desea excluir.

Servicio (Service) Se excluirán los flujos para los servicios y los grupos de servicios especificados.


2 Seleccione los servicios o los grupos de servicios apropiados.

c Haga clic en Guardar (Save).


VMware, Inc. 578

5 Para configurar la recopilación de flujos, haga clic en IPFix y siga los pasos descritos en IPFIX para Distributed Firewall.


Configurar IPFIXIPFIX (Internet Protocol Flow Information Export) es un protocolo IETF que define el estándar de la exportación de información de flujos desde un dispositivo final hasta un sistema de supervisión. NSX admite IPFIX para exportar la información de flujos IP a un recopilador.

Puede habilitar IPFIX en:

n vSphere Distributed Switch (VDS)

n Distributed Firewall (DFW)

En el entorno de vSphere, vSphere Distributed Switch es el exportador, mientras que el recopilador es cualquier herramienta de supervisión disponible de cualquier proveedor de red.

El estándar IPFIX especifica cómo se presenta y se transfiere la información de flujos IP desde un exportador hasta un recopilador.

Después de habilitar IPFIX en vSphere Distributed Switch, este enviará periódicamente los mensajes a la herramienta de recopilación. El contenido de estos mensajes se define mediante las plantillas. Para obtener más información sobre las plantillas, consulte Plantillas IPFIX.

IPFIX para Distributed FirewallPuede habilitar IPFIX en un firewall distribuido. Distributed Firewall implementa un seguimiento de los flujos mediante su estado, es decir, que los flujos pasan por una serie de cambios de estado. IPFIX se puede usar para exportar datos sobre el estado de un flujo. Se indican los siguientes eventos de los flujos: creación, denegación, actualización y anulación.


VMware, Inc. 579

Conmutador lógico (Logical Switch)

Virtual (superposición)

Físico (subyacente)

Recopilador de flujos

RedTOR1

IPFIX (DFW)Túnel superpuesto

TOR4TOR2 TOR3

HV1/vSwitch HV2/vSwitch

Para habilitar una exportación de flujo para IPFIX en un firewall distribuido, siga estos pasos:


2 Haga clic en la pestaña Configuración (Configuration).

3 Asegúrese de que la opción Estado de la recopilación global de flujos (Global Flow Collection Status) se encuentre Habilitada (Enabled).

4 Para configurar la recopilación de flujos, acceda a IPFIX:

n En NSX 6.4.1 y versiones posteriores, acceda a Redes y seguridad (Networking & Security) > Herramientas (Tools) > IPFIX.

n En NSX 6.4.0, acceda a Redes y seguridad (Networking & Security) > Herramientas (Tools) > Flow Monitoring > Configuración (Configuration) > IPFix.

5 Haga clic en la opción Editar (Edit) junto a Configuración de IPFIX (IPFIX Configuration) y seleccione Habilitar configuración de IPFIX (Enable IPFIX Configuration).

6 En Identificador de dominio de observación (Observation DomainID), introduzca un identificador de 32 bits con el cual el recopilador de flujos identifique al exportador del firewall. El intervalo válido es de 0 a 65535.


VMware, Inc. 580

7 En Tiempo de espera de exportación de flujos activos (Active Flow Export Timeout), introduzca el tiempo (en minutos) después del cual se exportarán los flujos activos al recopilador de flujos. El valor predeterminado es cinco. Por ejemplo, si el flujo permanece activo por 30 minutos y el tiempo de espera de exportación es cinco minutos, el flujo se exportará siete veces durante su vida útil. Una para cada creación y eliminación y cinco veces durante el periodo activo.


9 En IP de recopilador (Collector IPs), haga clic en Agregar (Add) e introduzca la dirección IP y el puerto UDP del recopilador de flujos. Consulte la documentación del recopilador de NetFlow para determinar el número de puerto.



Plantillas IPFIX

Distributed Firewall implementa un seguimiento de los flujos mediante su estado, es decir, que los flujos pasan por una serie de cambios de estado. Puede usar el protocolo IPFIX para exportar datos sobre el estado de un flujo. Se indican los siguientes eventos de flujos: creación, denegación, actualización y anulación.

Como IPFIX se basa en una plantilla, los exportadores deben definir el formato de los datos antes de exportar cualquier flujo, de forma que el recopilador sepa cómo analizar el flujo entrante. Se define el formato en las plantillas, que son conjuntos de <tipo,longitud> que definen el significado y la longitud de cada campo del registro, uno tras otro.

En la siguiente tabla se describen los elementos de información que se utilizan en las plantillas IPFIX del firewall distribuido.

Tabla 23-4. Elementos de la información de IPFIX

Nombre Tipo de datos Tamaño (octetos) Descripción

sourceMacAddress macAddress 6 El campo de dirección MAC del origen de IEEE 802.

destinationMacAddress macAddress 6 El campo de la dirección MAC del destino de IEEE 802.

ethernetType unsigned16 2 El campo de tipo de Ethernet de un marco de Ethernet que identifica el protocolo del cliente MAC utilizado en la carga útil.

sourceIPv4Address ipv4Address 4 La dirección IPv4 de origen en el encabezado del paquete IP.

destinationIPv4Address ipv4Address 4 La dirección IPv4 de destino en el encabezado del paquete IP.




VMware, Inc. 581

Tabla 23-4. Elementos de la información de IPFIX (continuación)


sourceTransportPort unsigned16 2 El identificador de puerto de origen en el encabezado de transporte.

destinationTransportPort unsigned16 2 El identificador de puerto de destino en el encabezado de transporte.

octetDeltaCount unsigned64 8 El número de octetos desde el informe anterior (si hay alguno) en los paquetes entrantes del flujo en el punto de observación. El número de octetos incluye los encabezados IP y la carga útil IP.

packetDeltaCount unsigned64 8 El número de paquetes entrantes desde el informe anterior (si hay alguno) del flujo en el punto de observación.

flowId unsigned64 8 Un identificador de flujo único dentro de un dominio de observación. Este elemento de información ayuda a distinguir entre diferentes flujos cuando no se especifican las claves de flujo, como las direcciones IP y los números de puerto, o se incluyen en registros separados.

flowStartSeconds dateTimeSeconds 4 La marca de tiempo absoluta del primer paquete del flujo.

flowEndSeconds dateTimeSeconds 4 La marca de tiempo absoluta del último paquete del flujo.

protocolIdentifier unsigned8 1 El valor del número de protocolo en el encabezado del paquete IP.

firewallEvent unsigned8 1 Estos son los valores válidos:

n 1: flujo creado

n 2: flujo eliminado

n 3: flujo denegado

n 4: alerta de flujo (no utilizado en esta implementación)

n 5: actualización del flujo

direction unsigned8 1 Estos son los valores válidos según se aplican al filtro en el punto de observación:

n 0x00: flujo de entrada a la máquina virtual

n 0x01: flujo de salida de la máquina virtual

icmpTypeIPv4 unsigned8 1 Tipo de mensaje IPv4 ICMP.

icmpCodeIPv4 unsigned8 1 Código de mensaje IPv4 ICMP.

icmpTypeIPv6 unsigned8 1 Tipo de mensaje de IPv6 ICMP.

icmpCodeIPv6 unsigned8 1 Código del mensaje IPv6 ICMP.

ruleId unsigned32 4 ID de regla de firewall: EI específico de la empresa.


VMware, Inc. 582



vmUuid string 16 UUID de máquina virtual: EI específico de la empresa.

Solo identifica la máquina virtual (matriz de octetos de 16).

vnicIndex unsigned32 4 Índice de VNIC: EI específico de la empresa

Índice de la VNIC de la máquina virtual especificada.

sessionFlags unsigned8 1 Marcas de sesión: EI específico de la empresa. Estos son los valores válidos:

n 0: desconocido

n 0x1: establecido

flowDirection unsigned8 1 Dirección de flujo: EI específico de la empresa. Estos son los valores válidos:

n 0: desconocido

n 1: directo

n 2: inverso

algControlFlowId unsigned64 8 ID de flujo de control ALG: EI específico de la empresa. Estos son los valores válidos:

n 0

n flowId del flujo de control ALG

algType unsigned8 1 ID de flujo de control ALG: EI específico de la empresa. Estos son los valores válidos:

n 0: ninguno

n 1: FTP

n 2: Oracle

n 3: SUNRPC

n 4: DCERPC

n 5: TFTP

algFlowType unsigned8 1 ID de flujo de control ALG: EI específico de la empresa. Estos son los valores válidos:

n 0: ninguno

n 1: flujo de control

n 2: flujo de datos

averageLatency unsigned32 4 Latencia promedio de TCP: EI específico de la empresa

La unidad aparece en microsegundos.

vifUuid octetArray 16 UUID de VIF: EI específico de la empresa.

Solo identifica el VIF (matriz de octetos de 16).

Las siguientes plantillas de IPFIX para el firewall distribuido solo se admiten para cargas útiles de UDP.


VMware, Inc. 583

Plantilla de IPv4 de UDP

Los campos que se envían a esta plantilla son los siguientes:

IPFIX_TEMPLATE_FIELD(sourceMacAddress,6)

IPFIX_TEMPLATE_FIELD(destinationMacAddress,6)

IPFIX_TEMPLATE_FIELD(sourceIPv4Address,4)

IPFIX_TEMPLATE_FIELD(destinationIPv4Address,4)

IPFIX_TEMPLATE_FIELD(sourceTransportPort,2)

IPFIX_TEMPLATE_FIELD(destinationTransportPort,2)

IPFIX_TEMPLATE_FIELD(protocolIdentifier,1)

IPFIX_TEMPLATE_FIELD(icmpTypeIPv4,1)

IPFIX_TEMPLATE_FIELD(icmpCodeIPv4,1)

IPFIX_TEMPLATE_FIELD(ethernetType,2)

IPFIX_TEMPLATE_FIELD(flowStartSeconds,4)

IPFIX_TEMPLATE_FIELD(flowEndSeconds,4)

IPFIX_TEMPLATE_FIELD(octetDeltaCount,8)

IPFIX_TEMPLATE_FIELD(packetDeltaCount,8)

IPFIX_TEMPLATE_FIELD(firewallEvent,1)

IPFIX_TEMPLATE_FIELD(direction,1)

IPFIX_TEMPLATE_FIELD(ruleId,4)

IPFIX_TEMPLATE_FIELD(vmUUId,16)

IPFIX_TEMPLATE_FIELD(vnicIndex,4)

IPFIX_TEMPLATE_FIELD(sessionFlags,1) /* Introduced in 6.4.2 */

IPFIX_TEMPLATE_FIELD(flowDirection,1) /* Introduced in 6.4.2 */

IPFIX_TEMPLATE_FIELD(flowId,8) /* Introduced in 6.4.4 */

IPFIX_TEMPLATE_FIELD(algControlFlowId,8) /* Introduced in 6.4.4 */

IPFIX_TEMPLATE_FIELD(algType,1) /* Introduced in 6.4.4 */

IPFIX_TEMPLATE_FIELD(algFlowType,1) /* Introduced in 6.4.4 */

IPFIX_TEMPLATE_FIELD(averageLatency,4) /* Introduced in 6.4.4 */

Plantilla de IPv6 de UDP

Los campos que se envían a esta plantilla son los siguientes:

IPFIX_TEMPLATE_FIELD(sourceMacAddress,6)

IPFIX_TEMPLATE_FIELD(destinationMacAddress,6)

IPFIX_TEMPLATE_FIELD(sourceIPv6Address,16)

IPFIX_TEMPLATE_FIELD(destinationIPv6Address,16)

IPFIX_TEMPLATE_FIELD(sourceTransportPort,2)

IPFIX_TEMPLATE_FIELD(destinationTransportPort,2)

IPFIX_TEMPLATE_FIELD(protocolIdentifier,1)

IPFIX_TEMPLATE_FIELD(icmpTypeIPv6,1)

IPFIX_TEMPLATE_FIELD(icmpCodeIPv6,1)

IPFIX_TEMPLATE_FIELD(ethernetType,2)

IPFIX_TEMPLATE_FIELD(flowStartSeconds,4)

IPFIX_TEMPLATE_FIELD(flowEndSeconds,4)

IPFIX_TEMPLATE_FIELD(octetDeltaCount,8)

IPFIX_TEMPLATE_FIELD(packetDeltaCount,8)

IPFIX_TEMPLATE_FIELD(firewallEvent,1)

IPFIX_TEMPLATE_FIELD(direction,1)

IPFIX_TEMPLATE_FIELD(ruleId,4)

IPFIX_TEMPLATE_FIELD(vmUUId,16)

IPFIX_TEMPLATE_FIELD(vnicIndex,4)

IPFIX_TEMPLATE_FIELD(sessionFlags,1) /* Introduced in 6.4.2 */

IPFIX_TEMPLATE_FIELD(flowDirection,1) /* Introduced in 6.4.2 */


VMware, Inc. 584

IPFIX_TEMPLATE_FIELD(flowId,8) /* Introduced in 6.4.4 */

IPFIX_TEMPLATE_FIELD(algControlFlowId,8) /* Introduced in 6.4.4 */

IPFIX_TEMPLATE_FIELD(algType,1) /* Introduced in 6.4.4 */

IPFIX_TEMPLATE_FIELD(algFlowType,1) /* Introduced in 6.4.4 */

IPFIX_TEMPLATE_FIELD(averageLatency,4) /* Introduced in 6.4.4 */

IPFIX de conmutador lógicoPuede habilitar IPFIX en vSphere Distributed Switch.

Conmutador lógico (Logical Switch)

Virtual (superposición)

Físico (subyacente)

Recopilador de flujos

RedTOR1

IPFIX (vNic)

Túnel superpuesto

TOR4TOR2 TOR3

HV1/vSwitch HV2/vSwitch

IPFIX (pNic)

Para habilitar IPFIX en un conmutador lógico, siga estos pasos:

1 Configure el recopilador de NetFlow en vSphere Distributed Switch indicando la zona de transporte de NSX (conmutador lógico). Para obtener más información sobre cómo configurar el recopilador de NetFlow, consulte el tema "Configurar opciones de NetFlow para vSphere Distributed Switch" de la Guía de redes de vSphere.

2 Puede habilitar la supervisión de NetFlow en el grupo de puertos distribuidos correspondiente al conmutador lógico. Si la zona de transporte de NSX abarca varios vSphere Distributed Switch (VDS), repita estos pasos para cada grupo de puertos distribuidos/de VDS. Para obtener más información sobre cómo habilitar la supervisión de NetFlow, consulte el tema "Habilitar o deshabilitar la supervisión de NetFlow en un puerto distribuido o en un grupo de puertos distribuidos" en la documentación de vSphere.


VMware, Inc. 585

En entornos NSX, el tráfico de datos de las máquinas virtuales en un conmutador lógico que atraviesan el vínculo superior de NSX se encapsula en VXLAN. Si NetFlow está habilitado en el vínculo superior del host, los registros del flujo IP se exportan mediante una plantilla de registro de flujos IPFIX personalizada. La plantilla incluye la información del encabezado IP/UDP de VXLAN externo y la información del paquete de IP encapsulado interno. Como resultado, este registro de flujos proporciona visibilidad en el VTEP que encapsula el paquete (encabezado externo) y los detalles de la máquina virtual que generó tráfico entre hosts (encabezado interno) en un conmutador lógico de NSX (VXLAN).

Para obtener más información sobre las plantillas IPFIX de vSphere Distributed Switch, consulte Plantillas IPFIX.

Plantillas IPFIX

Las plantillas IPFIX proporcionan la visibilidad a flujos VXLAN y de otro tipo. Las plantillas tienen parámetros adicionales que proporcionan más información sobre el tráfico encapsulado.

vSphere Distributed Switch (exportador) admite estas plantillas. El soporte de vSphere Distributed Switch para IPFIX proporciona la visibilidad necesaria en los flujos de máquinas virtuales y los flujos VXLAN. Si utiliza cualquier herramienta de recopilación de terceros, puede utilizar la información adicional disponible en las plantillas para proporcionar una correlación entre los flujos internos y externos y las conexiones del puerto.

En la siguiente tabla se describen los elementos de información que se utilizan en las plantillas del conmutador lógico.

Tabla 23-5. Elementos de la información de IPFIX

Nombre (Name) Tipo de datos Tamaño (octetos) Descripción




destinationIPv6Address ipv^Address 16 La dirección IPv6 de destino en el encabezado del paquete IP.

octetDeltaCount unsigned64 8 El número de octetos desde el informe anterior (si hay alguno) en los paquetes entrantes del flujo en el punto de observación. El número de octetos incluye los encabezados IP y la carga útil IP.

packetDeltaCount unsigned64 8 El número de paquetes entrantes desde el informe anterior (si hay alguno) del flujo en el punto de observación.

flowStartSysUpTime unsigned32 8 La marca de tiempo relativa del primer paquete del flujo. Indica el número de milisegundos desde la última reinicialización del dispositivo IPFIX (sysUpTime).


VMware, Inc. 586



flowEndSysUpTime unsigned32 8 La marca de tiempo relativa del último paquete del flujo. Indica el número de milisegundos desde la última reinicialización del dispositivo IPFIX (sysUpTime).

sourceTransportPort unsigned16 2 El identificador de puerto de origen en el encabezado de transporte

destinationTransportPort unsigned16 2 El identificador de puerto de destino en el encabezado de transporte.

ingressInterface unsigned32 4 El índice de la interfaz de IP donde se reciben los paquetes del flujo

egressInterface unsigned32 4 El índice de la interfaz de IP donde se envían los paquetes del flujo.

vxlanId unsigned64 8 Identificador de un segmento de red de capa 2 en una red superpuesta. El byte más significante identifica el tipo de encapsulación de red superpuesta de la red de capa 2:

n 0x00: reservado

n 0x01: VxLAN

n 0x02: NVGRE

Los tres bytes más importantes y más bajos tienen el valor del identificador de segmentos de red superpuesta de capa 2.

Por ejemplo:

n Identificador de red VXLAN (VNI) del ID del segmento de 24 bits

n Identificador de red del arrendatario (TNI) de 24 bits para NVGRE

protocolIdentifier unsigned8 1 El valor del número de protocolo en el encabezado del paquete IP.

flowEndReason unsigned8 1 El motivo de la finalización del flujo. Estos son los valores válidos:

n 0x01: tiempo de espera inactivo

n 0x02: activar tiempo de espera

n 0x03: se detectó el fin del flujo

n 0x04: cierre forzado

n 0x05: falta de recursos

tcpFlags unsigned8 1 Bits de control de TCP detectados para los paquetes del flujo.

Esta información se codifica como un campo de bits. Hay un bit de control de TCP para cada bit de control TCP. El bit se establece en 1 si algún paquete detectado del flujo tiene el bit de control TCP correspondiente establecido en 1. De lo contrario, el bit se establece en 0.


VMware, Inc. 587



IPv4TOS unsigned8 1 El valor del campo TOS en el encabezado de los paquetes IPv4.

IPv6TOS unsigned8 1 El valor del campo Clase de tráfico (Traffic Class) en el encabezado de los paquetes IPv6.

maxTTL unsigned8 1 Valor TTL máximo detectado para cualquier paquete del flujo.

flowDir unsigned8 1 La dirección del flujo detectado en el punto de observación. Estos son los valores válidos:

n 0x00: flujo de entrada

n 0x01: flujo de salida

ingressInterfaceAttr unsigned16 2 Los atributos de interfaz de entrada pueden utilizar los siguientes valores en función del tipo de puerto:

n IPFIX_UPLINK_PORT 0X01

n IPFIX_ACCESS_PORT 0X02

n IPFIX_VXLAN_TUNNEL_PORT 0X03

egressInterfaceAttr unsigned16 2 Los atributos de interfaz de salida pueden utilizar los siguientes valores en función del tipo de puerto:

n IPFIX_UPLINK_PORT 0X01

n IPFIX_ACCESS_PORT 0X02

n IPFIX_VXLAN_TUNNEL_PORT 0X03

vxlanExportRole unsigned8 1 Define si el exportador es un host ESXi o cualquier otro dispositivo de red.

IPFIX_END_POINT 0X01 significa que el host está exportando los datos.

Si otros dispositivos exportan las plantillas IPFIX, este campo podría tener un valor diferente (no definido todavía).

paddingOctets OctetArray 1 Una secuencia de valores 0x00.

tenantSourceIPv4 ipv4Address 4 La dirección IPv4 de origen del encabezado IP del paquete del arrendatario que está dentro del paquete de IP.

tenantDestIPv4 ipv4Address 4 La dirección IPv4 de destino del encabezado IP del paquete arrendatario que está dentro del paquete de IP.

tenantSourceIPv6 ipv6Address 16 La dirección IPv6 de origen del encabezado IP del paquete arrendatario que está dentro del paquete de IP.

tenantDestIPv6 ipv6Address 16 La dirección IPv6 de destino del encabezado IP del paquete arrendatario que está dentro del paquete de IP.


VMware, Inc. 588



tenantSourcePort unsigned16 2 El identificador de puerto de origen en el encabezado de transporte del paquete arrendatario que está dentro del paquete de IP.

tenantDestPort unsigned16 2 El identificador de puerto de destino en el encabezado de transporte del paquete arrendatario que está dentro del paquete de IP.

tenantProtocol unsigned8 1 El valor del número de protocolo del encabezado IP del paquete arrendatario que está dentro del paquete de IP.

Plantilla IPv4

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv4)

IPFIX_TEMPLATE_FIELD(sourceIPv4Address, 4)

IPFIX_TEMPLATE_FIELD(destinationIPv4Address, 4)

IPFIX_TEMPLATE_FIELD(octetDeltaCount, 8)

IPFIX_TEMPLATE_FIELD(packetDeltaCount, 8)

IPFIX_TEMPLATE_FIELD(flowStartSysUpTime, 8)

IPFIX_TEMPLATE_FIELD(flowEndSysUpTime, 8)

IPFIX_TEMPLATE_FIELD(sourceTransportPort, 2)

IPFIX_TEMPLATE_FIELD(destinationTransportPort, 2)

IPFIX_TEMPLATE_FIELD(ingressInterface, 4)

IPFIX_TEMPLATE_FIELD(egressInterface, 4)

IPFIX_TEMPLATE_FIELD(vxlanId, 8)

IPFIX_TEMPLATE_FIELD(protocolIdentifier, 1)

IPFIX_TEMPLATE_FIELD(flowEndReason, 1)

IPFIX_TEMPLATE_FIELD(tcpFlags, 1)

IPFIX_TEMPLATE_FIELD(IPv4TOS, 1)

IPFIX_TEMPLATE_FIELD(maxTTL, 1)

IPFIX_TEMPLATE_FIELD(flowDir, 1)

// Specify the Interface port- Uplink Port, Access port,N.A

IPFIX_VMW_TEMPLATE_FIELD(ingressInterfaceAttr, 2)

IPFIX_VMW_TEMPLATE_FIELD(egressInterfaceAttr, 2)

IPFIX_VMW_TEMPLATE_FIELD(vxlanExportRole, 1)

IPFIX_TEMPLATE_PADDING(paddingOctets, 1)

IPFIX_TEMPLATE_END()

Plantilla IPv4 VXLAN

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv4_VXLAN)









VMware, Inc. 589











IPFIX_VMW_TEMPLATE_FIELD(tenantSourceIPv4, 4)

IPFIX_VMW_TEMPLATE_FIELD(tenantDestIPv4, 4)

IPFIX_VMW_TEMPLATE_FIELD(tenantSourcePort, 2)

IPFIX_VMW_TEMPLATE_FIELD(tenantDestPort, 2)

IPFIX_VMW_TEMPLATE_FIELD(tenantProtocol, 1)




// TUNNEL-GW or no.



Plantilla IPv4 ICMP VXLAN

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv4_ICMP_VXLAN)























// TUNNEL-GW or no.





VMware, Inc. 590

Plantilla IPv4 ICMP

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv4_ICMP)















// Specify the Interface port- Uplink Port, Access Port,or NA.






Plantilla IPv6 ICMP VXLAN

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv6_ICMP_VXLAN)







IPFIX_VMW_TEMPLATE_FIELD(sourceTransportPort, 2)

IPFIX_VMW_TEMPLATE_FIELD(destinationTransportPort, 2)








//VXLAN Specific





// Specify the Interface port- Uplink Port, Access Port, or NA.



// TUNNEL-GW or no.





VMware, Inc. 591

Plantilla IPv6 ICMP

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv6_ICMP)





















Plantilla IPv6

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv6)















IPFIX_TEMPLATE_FIELD(IPv6TOS,1)



// Specify the Interface port- Uplink Port, Access Port, or NA.







VMware, Inc. 592

Plantilla IPv6 VXLAN

















//VXLAN specific




IPFIX_VMW_TEMPLATE_FIELD(tenantSourcePort, 2)

IPFIX_VMW_TEMPLATE_FIELD(tenantDestPort, 2)





// TUNNEL-GW or no.



Flujos supervisados por el IPFIX para vSphere Distributed Switch

Los diagramas anteriores muestran la comunicación entre dos máquinas virtuales que se ejecutan en dos hosts diferentes y los flujos supervisados por la función IPFIX para vSphere Distributed Switch.


VMware, Inc. 593

Figura 23-2. Flujo en el host 1

vSphere

tenantProtocol: TCP

tenantSourceIPv4:IP1

tenantDestIPv4:IP2

tenantSourcePort:10000

tenantDestPort:80

IngressInterfaceAttr:0x03 - Management port

EgressIngerfaceAttr:0x01 - dvuplink

vxlanExportRole:01

VTEP1 VTEP2

Flujo 1: Plantilla IPv4

Elementos estándar...

IngressInterfaceAttr:0x02 - port1

EgressIngerfaceAttr:0x03 - Management port

vxlanExportRole:01

Flujo 2: Plantilla IPv4 VXLAN


vxlanID:5003

Conmutador físico

VDS

1312

2

IP2

VDS

1110

1

IP1

Host 2Host 1

vSphere

La Figura 23-2. Flujo en el host 1 muestra los flujos que se recopilan del host 1. La plantilla de IPv4 contiene información adicional sobre el ingreso y el egreso, así como de los elementos estándar.

El cuadro de texto ingressInterfaceAttr0x02 indica que es un puerto de acceso al que está conectada la máquina virtual. El número de puerto de acceso se asigna al parámetro ingressInterface en la plantilla.

El valor de egressInterfaceAttr0x03 indica que es un puerto de túnel VXLAN y que el número de puerto asociado a él es un puerto VMKNic de administración. Este número de puerto se asigna al parámetro egressInterface en la plantilla.


VMware, Inc. 594

Por otro lado, la plantilla de IPv4 VXLAN contiene información adicional sobre el identificador VXLAN, el origen interno, el protocolo, la IP y el puerto de destino. Las interfaces de ingreso y egreso son puertos de túnel VXLAN y dvuplink, respectivamente.

Figura 23-3. Flujo en el host 2

tenantProtocol: TCP

tenantSourceIPv4:IP1

tenantDestIPv4:IP2

tenantSourcePort:10000

tenantDestPort:80

IngressInterfaceAttr:0x01 - dvuplink

EgressIngerfaceAttr:0x03 - Management port

vxlanExportRole:01

VTEP1 VTEP2

Conmutador físico

Flujo 4: Plantilla IPv4


IngressInterfaceAttr:0x03 - Management port

EgressIngerfaceAttr:0x02 – port3

vxlanExportRole:01

Flujo 3: Plantilla IPv4 VXLAN


vxlanID:5003

Host 2

VDS

1312

3

IP2

vSphere

Host 1

VDS

1110

1

IP1

vSphere

La Figura 23-2. Flujo en el host 1 muestra los flujos en el host 2.

Las plantillas de la Figura 23-2. Flujo en el host 1 solo se diferencian de la Figura 23-2. Flujo en el host 1 en los atributos de ingreso y egreso y en los números de puerto.

La información adicional proporcionada a través de esta plantilla ayuda a los proveedores de la herramienta de recopilación a correlacionar los flujos VXLAN externos y los flujos de máquinas virtuales internos.


VMware, Inc. 595

Información relevante para el proveedor de la herramienta de recopilación

El soporte de vSphere Distributed Switch para IPFIX proporciona la visibilidad necesaria en los flujos de máquinas virtuales y los flujos VXLAN. Si utiliza cualquier proveedor de la herramienta de recopilación, puede utilizar la información adicional disponible en las plantillas para proporcionar una correlación entre los flujos internos y externos y las conexiones del puerto.

En la siguiente sección se explica cómo descodificar los nuevos parámetros que se agreguen a las plantillas VXLAN. IANA define los elementos de información de IPFIX y los identificadores de sus elementos. Puede consultar la lista de identificadores de elemento estándar en http://www.iana.org/assignments/ipfix/ipfix.xml.

Todos los elementos nuevos definidos como parte de la plantilla VXLAN tienen sus identificadores de nuevo elemento.

Estos elementos o parámetros personalizados proporcionan información adicional sobre la VXLAN y los flujos internos. A continuación se indican los elementos y sus identificadores:

Tabla 23-6. Parámetros personalizados

ID de elemento Nombre del parámetro Tipo de datos Unidad

880 tenantProtocol unsigned8 1 byte

881 tenantSourceIPv4 ipv4Address 4 bytes

882 tenantDestIPv4 ipv4Address 4 bytes

883 tenantSourceIPv6 ipv6Address 16 bytes

884 tenantDestIPv6 ipv6Address 16 bytes

886 tenantSourcePort unsigned16 2 bytes

887 tenantDestPort unsigned16 2 bytes

888 egressInterfaceAttr unsigned16 2 bytes

889 vxlanExportRole unsigned8 1 byte

890 ingressInterfaceAttr unsigned16 2 bytes

Nota El identificador de empresa se agrega a todos los elementos personalizados definidos anteriormente. El identificador de empresa de VMware es el 6876.

En la siguiente tabla se muestra un ejemplo de una lista completa de identificadores de elementos. Puede consultar el tipo de datos y la unidad de los identificadores de elementos estándar en http://www.iana.org/assignments/ipfix/ipfix.xml.

ID de elemento Nombre del parámetro

1 octetDeltaCount

2 packetDeltaCount

4 protocolIdentifier

5 IPv4TOS

5 IPv6TOS


VMware, Inc. 596

http://www.iana.org/assignments/ipfix/ipfix.xml




ID de elemento Nombre del parámetro

6 tcpFlags

7 sourceTransportPort

8 sourceIPv4Address

10 ingressInterface

11 destinationTransportPort

12 destinationIPv4Address

14 egressInterface

15 nextHopIPv4

27 sourceIPv6Address

28 destinationIPv6Address

53 maxTTL

61 flowDir

136 flowEndReason

152 flowStartSysUpTime

153 flowEndSysUpTime

210 paddingOctets

351 vxlanId

880 tenantProtocol

881 tenantSourceIPv4

882 tenantDestIPv4

883 tenantSourceIPv6

884 tenantDestIPv6

886 tenantSourcePort

887 tenantDestPort

888 egressInterfaceAttr

889 vxlanExportRole

890 ingressInterfaceAttr

Administrador de reglas de aplicaciones (Application Rule Manager)La herramienta Administrador de reglas de aplicaciones (ARM) simplifica el proceso de microsegmentar una aplicación mediante la creación de grupos de seguridad y reglas de firewall para aplicaciones existentes.


VMware, Inc. 597

La supervisión de flujo se utiliza para la recopilación de datos a largo plazo en todo el sistema, mientras que el administrador de reglas de aplicaciones se utiliza para el modelado específico de una aplicación. Durante una fase de supervisión de flujos, ARM conoce los flujos entrantes y salientes de la aplicación que generan perfiles, así como los flujos entre los niveles de la aplicación. También conoce cualquier identidad de aplicación de Capa 7 para los flujos que se descubren

Hay tres pasos en el flujo de trabajo del administrador de reglas de aplicación:

1 Seleccione las máquinas virtuales (VM) que forman la aplicación y deben supervisarse. Una vez que se realice su configuración, se supervisan todos los flujos entrantes y salientes para un conjunto definido de VNIC (Tarjetas de interfaz de red virtualizada) en las VM. Puede haber hasta cinco sesiones recopilando flujos al mismo tiempo.

2 Detenga la supervisión para generar las tablas de flujo. Los flujos se analizan para revelar la interacción entre las VM. Los flujos se pueden filtrar para llevar los registros de flujo a un espacio de trabajo limitado. Tras el análisis de flujo, ARM recomienda automáticamente:

n Grupos de seguridad y recomendaciones de conjuntos de direcciones IP de las cargas de trabajo basadas en los servicios y el patrón de flujo

n Directiva de firewall basada de los flujos analizados de una sesión específica de ARM

n Identidad de la aplicación de Capa 7 del flujo

3 Una vez que un flujo se analiza con las recomendaciones de directivas y de grupos de seguridad, la directiva de la aplicación especificada puede publicarse como una sección en la tabla de reglas de firewall. La regla de firewall recomendada también limita el alcance de la aplicación (a la que se aplica) a las máquinas virtuales asociadas a la aplicación. Los usuarios también pueden modificar las reglas, especialmente los nombres de los grupos y las reglas para que sean más intuitivos y fáciles de leer.

Crear una sesión de supervisiónUna sesión de supervisión recopila todos los flujos entrantes y salientes de hasta 30 vNIC en una sesión determinada.

Requisitos previos

Antes de iniciar una sesión de supervisión, debe definir las VM y las vNIC que se deben supervisar.

VMware Tools debe estar actualizado y en ejecución en las máquinas virtuales de escritorio de Windows.

Las VM seleccionadas deben estar en un clúster que tenga habilitado el firewall (no pueden estar en la lista de exclusión).

Se debe crear una regla de firewall predeterminada "any allow" que se aplique a las vNIC seleccionadas mientras dure la sesión de supervisión, de forma que los flujos que llegan a las vNIC y que salen de ellas no se dejen fuera debido a otra regla de firewall.


VMware, Inc. 598

Procedimiento

1 Inicie sesión en vSphere Web Client y acceda a Application Rule Manager.

n En NSX 6.4.1 y versiones posteriores, acceda a Redes y seguridad (Networking & Security) > Seguridad (Security) > Application Rule Manager.

n En NSX 6.4.0, acceda a Redes y seguridad (Networking & Security) > Herramientas (Tools) > Flow Monitoring > Application Rule Manager.

2 Haga clic en Iniciar nueva sesión (Start New Session).

3 En el cuadro de diálogo Iniciar nueva sesión (Start New Session), escriba un nombre para la sesión.

4 Como tipo de objetivo, seleccione vNIC o VM.

La columna Objetos disponibles (Available Objects) se rellena con los objetos disponibles.

5 Seleccione las vNIC o las máquinas virtuales que quiera someter a supervisión. Las vNIC o VM seleccionadas se moverán a la columna Objetos seleccionados (Selected Objects).

6 Haga clic en Aceptar (OK) para comenzar a recopilar flujos.

El estado pasará a Recopilando datos (Collecting Data). El último conjunto de flujos recopilado se muestra en la tabla de flujo.

7 Haga clic en Detener (Stop) para dejar de recopilar flujos.

Se creó una sesión de supervisión de flujos para las vNIC y VM seleccionadas.

Pasos siguientes

Tras recopilar los flujos, analícelos.

Análisis de flujos y recomendaciones automáticasUna vez que se ha recopilado una sesión de supervisión de flujos, los resultados se analizan y se pueden filtrar para utilizarlos en objetos de grupos y reglas de firewall. ARM recomienda automáticamente las reglas de firewall y los grupos de seguridad en función de los flujos analizados.

Se puede aplicar filtros a los flujos analizados para limitar el número de flujos en un espacio de trabajo. El icono de la opción de filtro se encuentra junto al menú desplegable Vista procesada (Processed View) a la derecha.

Requisitos previos

Antes del análisis, se debe haber recopilado una sesión de supervisión de flujos a partir de las vNIC o VM seleccionadas.

Procedimiento

1 Una vez que se hayan recopilado los flujos, haga clic en Analizar (Analyze).

Los servicios definidos se resuelven, comienza la traducción de la dirección IP a la VM y se eliminan los duplicados.


VMware, Inc. 599

2 Una vez que se ha completado el análisis, se proporcionan los siguientes datos a los flujos:

Campo Opciones

Dirección DENTRO (IN) - el flujo entra en una de las VM y VNIC seleccionadas como parte de la inicialización de entrada.

FUERA (OUT) - el flujo se genera a partir de una de las VM y VNIC seleccionadas como parte de la inicialización de entrada.

INTERNO (INTRA): el flujo se produce entre la VM y la VNIC seleccionada como parte de la inicialización de entrada.

Origen Nombre de VM (VM Name), si la dirección I de origen del registro de flujos se resuelve en una VM en el inventario de NSX. Tenga en cuenta que la dirección IP se puede resolver en VM únicamente si las herramientas de VM se han habilitado en dichas VM.

IP sin formato (Raw IP), si no se ha encontrado ninguna VM para esta dirección I de origen en el inventario de NSX. Tenga en cuenta que las direcciones IP de multidifusión y difusión no se resolverán en VM.

Número de VM (Number of VMs) (p. ej., 2 máquinas virtuales) si la dirección IP es una dirección IP superpuesta asignada a varias VM en redes diferentes, el usuario debe resolver las máquinas virtuales en la máquina virtual correcta relacionada con este registro de flujos.

Destino (Destination)

Mismo valor que el campo Origen (Source).

Servicio (Service)

Servicio definido por NSX para el protocolo/puerto.

Protocolo/puerto sin formato, si no se ha definido ningún servicio en NSX Manager.

Número de servicios. Si hay más de un servicio asignado al mismo protocolo/puerto y el usuario debe resolverlo en un servicio aplicable al registro de flujos.

3 Seleccione la pestaña Reglas de firewall (Firewall Rules) para ver la creación de directivas y flujos de trabajo agrupados de ARM recomendados automáticamente, así como las reglas de firewall creadas en función de los flujos seleccionados. Los usuarios pueden modificar las reglas recomendadas, especialmente la nomenclatura de los grupos y las reglas para hacerla más intuitiva.

Tras el análisis de flujo, ARM recomienda automáticamente:

n Agrupamiento y recomendaciones de conjuntos de direcciones IP de los flujos de trabajo basados en los servicios y el patrón de flujo. Por ejemplo, con una aplicación de 3 niveles, el resultado sería que cuatro grupos de seguridad recomendados, uno para cada uno de los niveles de aplicación y uno para agrupar todas las máquinas virtuales de dicha aplicación. ARM también recomienda conjuntos de direcciones IP para el destino en función de los servicios utilizados por las máquinas virtuales de aplicación, como servidores DNS/NTP, si la direcciones IP de destino se encuentran fuera del dominio de vCenter.

n Recomendación de grupo de seguridad basada en los datos de flujo analizados. Un resultado de una aplicación de 3 niveles podría ser cuatro reglas con LB a Web en https, WEB a APP en http, APP a DB en MYSQL y una regla común para infraservicios como DNS.

n Identifique el contexto de la aplicación (Capa 7) para el flujo entre los niveles de la aplicación. Por ejemplo, una aplicación de Capa 7 que se ejecute sin importar si se utilizan los puertos TCP/UDP y la versión de TLS usada para https.


VMware, Inc. 600

4 Haga clic en Publicar (Publicar) para publicar la directiva de la aplicación como una sección de la tabla de reglas de firewall. O bien, modifique las reglas según sea necesario. Tenga en cuenta que la regla de firewall recomendada limita el alcance de la aplicación (a la que se aplica) a las máquinas virtuales asociadas a la aplicación. Introduzca el nombre de la sección de reglas de firewall y haga clic en la casilla de verificación para habilitar los siguientes parámetros opcionales:




Consolidación y personalización de flujos

Una vez que se ha completado el análisis del sistema, la tabla de flujos analizados se muestra disponible en Vista procesada (Processed View). Los usuarios puede consolidar aún más los flujos cambiando los campos de Origen (Source), Destino (Destination) y Servicio (Service). Consulte Personalizar servicios en registros de flujos y Personalizar el origen y el destino en registros de flujos .

Vista procesada (Processed View)

Los flujos recopilados se muestran en una tabla con las siguientes columnas:

Campo Opciones

Dirección (Direction)

DENTRO (IN): el flujo entra en una de las VM o vNIC seleccionadas como parte de la inicialización de entrada.

FUERA (OUT): el flujo se genera a partir de una de las VM o vNIC seleccionadas como parte de la inicialización de entrada.

INTERNO (INTRA): el flujo se produce entre la VM o la vNIC seleccionada como parte de la inicialización de entrada.

Origen (Source)

Nombre de VM (VM Name), si la dirección I de origen del registro de flujos se resuelve en una VM en el inventario de NSX.

IP sin formato (Raw IP), si no se ha encontrado ninguna VM para esta dirección I de origen en el inventario de NSX. Tenga en cuenta que las IP de multidifusión y difusión no se resolverán en VM.

Número de VM si la dirección IP es una dirección IP superpuesta asignada a varias VM en distintas redes. El usuario debe resolver varias VM en una VM relacionada con este registro de flujos.

Destino (Destination)

Mismo valor que el campo Origen (Source).

Servicio (Service)

Servicio definido por NSX para el protocolo/puerto.

Protocolo/puerto sin formato, si no se ha definido ningún servicio en NSX Manager.

Número de servicios. Si hay más de un servicio asignado al mismo protocolo/puerto y el usuario debe resolverlo en un servicio aplicable al registro de flujos.

Se pueden editar las tablas de flujos y consolidar los flujos para facilitar la creación de reglas. Por ejemplo, el campo origen (source) se puede reemplazar por CUALQUIERA (ANY). Varias VM que reciban flujos con HTTP y HTTPs se pueden reemplazar por el grupo de servicio "Servicio web" (WEB-Service), que incluye los servicios HTTP y HTTPs. Al hacerlo, puede que varios flujos tengan aspecto similar y que emerjan patrones de flujo que se puedan traducir fácilmente en una regla de firewall.


VMware, Inc. 601

Tenga en cuenta que aunque se puede modificar cada una de las celdas de la tabla de flujos, estas no se rellenan automáticamente. Por ejemplo, si se agrega la dirección 196.1.1.1 al conjunto de IP de servidor DHCP, las posteriores instancias de dicha IP no se rellenan automáticamente para mostrar el grupo Servidor DHCP (DHCP-Server). Se muestra un mensaje que le pregunta si desea reemplazar todas las instancias de la dirección IP por el conjunto de IP. Esto ofrece la flexibilidad necesaria para hacer que esa IP forme parte de varios grupos de conjuntos de IP.

Vista consolidada (Consolidated View)

Desde la lista desplegable que se muestra en la esquina derecha, se puede acceder a la Vista consolidada (Consolidated View). La vista consolidada elimina los flujos duplicados y muestra el número mínimo de flujos. Esta vista se puede utilizar para crear reglas de firewall.

Al hacer clic en la flecha situada a la izquierda de la columna Dirección (Direction), se muestra la información de flujo sin formato correspondiente:

n para flujos internos, se muestran los datos sin formato correspondientes a los flujos IN y OUT

n los valores originales de la IP de origen, la IP de destino, el puerto y el protocolo en todos los flujos sin formato que se consolidaron en el registro

n para los flujos ALG, se muestran los flujos de datos correspondientes al flujo de control

Personalizar servicios en registros de flujosEl usuario puede modificar de forma individual las celdas de flujos de servicios.

Tras el análisis de los flujos, los usuarios pueden asociar cualquier combinación de protocolo/puerto no definido y crear un servicio. Se pueden crear grupos de servicios para cualquiera de los servicios enumerados en los flujos recopilados. Para obtener más información sobre la modificación de registros de flujos, consulte Consolidación y personalización de flujos.

Requisitos previos

Los datos de flujo deben recopilarse desde un conjunto de vNIC y VM. Consulte Crear una sesión de supervisión.


VMware, Inc. 602

Procedimiento

u Después de que el estado de flujo sea Análisis completado (Analysis Completed), la tabla de flujos se rellena de datos en la Vista procesada (Processed View). Para personalizar los datos de una celda, pase el cursor sobre ella. Se mostrará un icono de engranaje en la esquina derecha de la celda. Haga clic en el icono de engranaje en la columna Servicio (Service) y seleccione una de las siguientes opciones:


Resolver servicios (Resolve Services) Si se han traducido el puerto y el protocolo a varios servicios, utilice esta opción para seleccionar el servicio adecuado.

Crear servicios y reemplazar (Create Services and Replace)

Para agregar un servicio:

a Introduzca un nombre (name) para el servicio.

b Seleccione el protocolo en la lista desplegable.

c Introduzca los puertos de destino para el servicio.

d Haga clic en Opciones avanzadas (Advanced options) para acceder a los puertos de origen del servicio. El puerto de origen se utiliza para realizar el seguimiento de nuevas conexiones entrantes y flujos de datos.

e Opcional: seleccione la casilla Habilitar herencia para tener visibilidad en ámbitos subyacentes (Enable inheritance to allow visibility at underlying scopes) para crear un criterio o grupo comunes que se puedan volver a usar en edges individuales.

f Haga clic en Aceptar (OK) y un nuevo servicio se creará y rellenará en la columna Service (Servicio). Tenga en cuenta que si hay otros registros de flujos con la misma combinación de puertos y protocolos no definidos, se le pedirá que confirme que se reemplazarán todos por el servicio que se acaba de crear. Esto solo sucede en el caso de los flujos con servicios no definidos en la fase de Análisis.

Crear grupo de servicios y reemplazar (Create Services Group and Replace)

Puede crear un nuevo grupo de servicios con el servicio a partir del flujo incluido en él. A continuación, el nuevo grupo de servicios sustituirá al servicio. Para agregar un grupo de servicios:

a Introduzca un nombre (name) para el grupo de servicios.

b Opcional: introduzca una descripción del grupo de servicios.

c Seleccione el Tipo de objeto (Object type).

d Seleccione los objetos disponibles que quiera que se agreguen al grupo de servicios y haga clic en la flecha para mover el objeto a la columna Objetos seleccionados (Selected Objects).

e Se creará un nuevo grupo de servicios y se rellenará en la columna Servicio (Service).

Reemplazar servicio por cualquiera (Replace Service with Any)

Reemplaza el servicio especifico por otro servicio cualquiera.

Reemplazar servicio por grupo de servicios (Replace Service with Service Group)

Si el servicio seleccionado es miembro de varios grupos de servicios, seleccione el grupo de servicios específico que quiera aplicar.

a Haga clic en el grupo de servicios que desee en la lista de objetos disponibles.


Revertir protocolo y puerto (Revert Protocol and Port)

Revierte cualquier modificación de celda a los datos originales.


VMware, Inc. 603

El registro del flujo modificado tiene una barra rosa en el lateral. Al pasar el cursor sobre cualquier celda modificada, se mostrará una marca de verificación verde. Al hacer clic en esta marca de verificación, se mostrará una ventana emergente con el valor anterior y el nuevo valor de la celda. El registro de flujos modificado es más fácil de traducir a reglas de firewall.

Pasos siguientes

A continuación, se puede utilizar el registro de flujos para crear reglas de firewall.

Una vez que se hayan modificado los flujos, se pueden agrupar aún más para obtener el espacio de trabajo distinto más pequeño. La opción Vista procesada (Processed View) permite crear grupos de servicios y conjuntos de IP, así como modificar los flujos. La opción Vista consolidada (Consolidated view) comprime estos flujos modificados para facilitar la creación de reglas de firewall.

Personalizar el origen y el destino en registros de flujosEl usuario puede modificar de forma individual las celda de flujos de origen y destino.

El usuario puede personalizar las celdas de flujos una vez que se haya completado el análisis de flujos.

Requisitos previos

Los datos de flujo deben recopilarse desde un conjunto de vNIC y VM. Consulte Crear una sesión de supervisión

Procedimiento

u Después de que el estado de flujo muestre Análisis completado (Analysis Completed), la tabla de flujos se rellena de datos. Para personalizar los datos de una celda, pase el cursor sobre ella. Se mostrará un icono de engranaje en la esquina derecha de la celda. Haga clic en el icono de engranaje en la columnaOrigen (Source) o Destino (Destination) y seleccione una de las siguientes opciones:


Resolver VM (Resolve VMs) Esta opción está disponible si varias VM tienen la misma dirección IP. Esta opción se utiliza para elegir el nombre de la VM aplicable para el registro de flujos.

Reemplazar por cualquiera (Replace with any)

Si todos deben poder acceder al origen, cualquier dirección IP de origen es la opción adecuada. En el resto de casos, debe especificar la dirección de origen. No se recomienda configurar un valor de destino cualquiera para la dirección IP de destino.

Reemplazar por pertenencia (Replace with Membership)

Si la VM forma parte de Grupos de seguridad (Security Groups), se mostrarán aquí y pueden reemplazar al nombre de la VM.


VMware, Inc. 604


Crear grupo de seguridad (Create Security Group)

a Introduzca un nombre y una descripción (opcional) para el grupo de seguridad.

b Haga clic en Siguiente (Next).

c Defina los criterios que debe cumplir un objeto para que se agregue al grupo de seguridad que va a crear. Al definir un filtro de criterios con una serie de parámetros compatibles con los criterios de búsqueda, se pueden incluir máquinas virtuales.

d Seleccione uno o varios recursos para agregar al grupo de seguridad. Tenga en cuenta que al agregar un recurso a un grupo de seguridad, todos los recursos asociados se agregan automáticamente. Por ejemplo, cuando selecciona una máquina virtual, la vNIC asociada se agrega automáticamente al grupo de seguridad. Puede incluir los siguientes objetos en un grupo de seguridad:

Clúster

Conmutador lógico

Grupo de puertos heredados

vApp

Centro de datos


f Seleccione los objetos que excluir del grupo de seguridad. Los objetos seleccionados aquí siempre se excluyen del grupo de seguridad, independientemente de si coinciden o no con los criterios dinámicos.

g Haga clic en Siguiente (Next).

h Revise los detalles del Grupo de seguridad en la ventana Listo para completar (Ready to complete). Haga clic en Finalizar (Finish).

Agregar al Grupo de seguridad existente y reemplazar (Add to existing Security Group and Replace)

Para las VM, si la VM seleccionada es miembro de varios grupos de seguridad, seleccione el grupo de seguridad específico que quiera aplicar. Esta opción no está disponible si la dirección IP está presente en los campos de origen o de destino. Para direcciones IP sin formato, use la opción Agregar a conjunto de IP existente y reemplazar (Add to existing IPset and Replace).

a Haga clic en el grupo de servicios que desee en la lista de objetos disponibles.


Crear conjunto de IP y reemplazar (Create IPSet and Replace)

Un conjunto de IP le permite aplicar una regla de firewall a todo un conjunto de direcciones IP a la vez.

a Introduzca un nombre para el conjunto de IP.

b Opcional: introduzca una descripción.

c Introduzca una dirección IP de rango de direcciones en el nuevo conjunto de IP.


Agregar a conjunto de IP existente y reemplazar (Add to existing IPset and Replace)

Una dirección IP puede formar parte de varios conjuntos de IP. Utilice esta opción para reemplazar la dirección IP que se muestra y reemplazarla por otro.

a Seleccione el conjunto de IP que desee en la lista Objetos disponibles (Available Objects).


Revertir a datos iniciales (Revert to initial data)

Revierte cualquier modificación de celda a los datos originales.


VMware, Inc. 605

Pasos siguientes

Cree una regla de firewall basada en la supervisión de flujos.

Crear reglas de firewall desde el Administrador de reglas de aplicaciones (Application Rule Manager)Las reglas de firewall se pueden editar, eliminar y mover hacia arriba y hacia abajo como parte del Administrador de reglas de aplicaciones (Application Rule Manager).

Requisitos previos

Después de analizar el registro de flujos, ARM recomienda automáticamente las reglas de firewall. Puede modificar las reglas recomendadas o crear reglas nuevas.

Procedimiento

1 Abra una sesión de flujos. Si está en la Vista procesada (Processed View). Si desea seleccionar una sola celda, haga clic en ella. Si desea seleccionar varias, deje pulsada la tecla Shift y haga clic en la primera y la última celda del rango de celdas que desee seleccionar. A continuación, haga clic con el botón secundario. Si está en la Vista consolidada (Consolidated View), seleccione una celda de flujo y haga clic en el icono Acción (Action). Seleccione Crear regla de firewall (Create Firewall rule).

La ventana emergente Nueva regla de firewall (New Firewall Rule ) aparece con todas las celdas rellenadas basándose en los datos de las filas seleccionadas. Si se seleccionaron varias celdas, todos los objetos de origen, destino y servicio se agregan a los campos correspondientes de la regla.

2 Escriba un nombre para la nueva regla.

3 (opcional) Para seleccionar un origen o destino diferente, haga clic en Seleccionar (Select) junto al cuadro Origen (Source) o Destino (Destination). Especifique un nuevo origen o destino a partir de los objetos disponibles y haga clic en Aceptar (OK).

4 (opcional) Para seleccionar otro servicio, haga clic en Seleccionar (Select) en el cuadro Servicio (Service). Distributed Firewall admite ALG (Application Level Gateway) para los siguientes protocolos: FTP, CIFS, ORACLE TNS, MS-RPC y SUN-RPC. Edge admite solo ALG para FTP. Especifique un nuevo servicio de los objetos disponibles y haga clic en Aceptar (OK).


VMware, Inc. 606

5 (opcional) Para aplicar la regla a otro ámbito, haga clic en Seleccionar (Select) junto al cuadro Se aplica a (Applied To). Realice las selecciones correspondientes según se describe en la siguiente tabla y haga clic en Aceptar (OK). De forma predeterminada, la regla se aplica a las vNIC en las que originalmente hizo clic con el botón secundario.

Para aplicar una regla a Hacer lo siguiente

Todos los clústeres preparados en el entorno Seleccione Aplicar esta regla en todos los clústeres donde está habilitado el Distributed Firewall (Apply this rule on all clusters on which Distributed Firewall is enabled). Después de hacer clic en Aceptar (OK), la columna Se aplica a (Applied To) para esta regla muestra Distributed Firewall (Distributed Firewall).

Uno o varios clústeres, centros de datos, grupos de puertos virtuales distribuidos, instancias de NSX Edge, redes, máquinas virtuales, vNIC o conmutadores lógicos

1 En Tipo de contenedor (Container type), seleccione el objeto apropiado.

2 En la lista Disponibles (Available), seleccione uno o varios

objetos y haga clic en (add).

Si la regla contiene máquinas virtuales y vNIC en los campos de origen y destino, debe agregar las máquinas virtuales y vNIC de origen y destino a Se aplica a (Applied To) para que la regla funcione correctamente.

6 Seleccione la Acción (Action) descrita en la siguiente tabla.

Acción Resultado

Permitir (Allow) Permite tráfico desde o hacia los orígenes, los destinos y los servicios especificados.

Bloquear (Block) Bloquea el tráfico desde o hacia los orígenes, los destinos y los servicios especificados.


Se envían paquetes RST para conexiones TCP.

Se envían mensajes ICMP con código prohibido de forma administrativa para conexiones UDP, ICMP y otras conexiones IP.

7 Especifique la Dirección (Direction) de la regla haciendo clic en la flecha desplegable.


Pasos siguientes

Publique las reglas de firewall. Consulte Publicar y administrar reglas de firewall desde el Administrador de reglas de aplicaciones (Application Rule Manager).

Publicar y administrar reglas de firewall desde el Administrador de reglas de aplicaciones (Application Rule Manager)Las reglas de firewall se pueden editar y publicar desde el Administrador de reglas de aplicaciones (Application Rule Manager).


VMware, Inc. 607

Una vez que se hayan creado las reglas de firewall, se pueden administrar en la pestaña Reglas de firewall (Firewall Rules) del Administrador de reglas de aplicaciones (Application Rule Manager).

Requisitos previos

Analice un flujo de sesión para crear automáticamente reglas de firewall recomendadas o para crear sus propias reglas de firewall desde una sesión de supervisión de flujo.

Procedimiento

u Las reglas de firewall aparecen en la pestaña Reglas de firewall (Firewall Rules). Seleccione una de las siguientes opciones:


Publicar (Publish) a Haga clic en Publicar (Publish) para publicar las reglas de firewall creadas. Las reglas se publican como una nueva sección.

b Introduzca el Nombre de la sección (Section Name) para la regla de firewall y haga clic en la casilla para habilitar los siguientes parámetros opcionales:


Habilitar TCP estricto (Enable TCP Strict)

Permite establecer TCP estricto en cada sección de firewall.

Habilitar firewall sin estado (Enable Stateless Firewall)

Habilita el firewall sin estado en cada sección de firewall.

c Seleccione el lugar en el que se insertará la nueva sección de firewall en la configuración de firewall existente.


Editar (Edit) Seleccione el icono del lápiz para editar las reglas de firewall.

Eliminar (Delete) Seleccione el icono X de color rojo para eliminar la regla de firewall.

Flecha hacia abajo Seleccione el icono de la flecha hacia abajo para mover la regla hacia abajo.

Flecha hacia arriba Seleccione el icono de la flecha hacia arriba para mover la regla hacia arriba.

Nota Cuando se publican reglas de firewall desde el Administrador de reglas de aplicaciones (Application Rule Manager), el nombre de sección se agrega al botón Publicar (Publish). Cualquier publicación posterior que se realice desde el Administrador de reglas de aplicaciones (Application Rule Manager) invalidará la sección existente en la Configuración de Firewall con las reglas que estén disponibles en ese momento en el Administrador de reglas de aplicaciones (Application Rule Manager).

Supervisión de la latencia de redLos administradores de red necesitan poder supervisar la latencia de una red virtualizada para detectar y solucionar problemas de cuellos de botella de rendimiento en la red.


VMware, Inc. 608

Por ejemplo, cuando NSX se instala y se implementan redes basadas en VXLAN en la red, se producen los siguientes tipos de latencia:

n De vNIC a pNIC (en el hipervisor de origen)

n De pNIC a vNIC (en el hipervisor de destino)

n De vNIC a vNIC

n Latencia de túnel (de VTEP a VTEP)

n Latencia de extremo a extremo de la ruta de datos

El agente de operaciones de red (Network Operations Agent, netopa) del host ESXi recopila la información sobre latencia de red de diversos orígenes, como vSphere, NSX, etc. Los administradores pueden configurar recopiladores externos, como vRealize Network Insight (vRNI), para exportar la información sobre latencia a estos recopiladores. Por último, pueden ejecutar análisis con la información sobre latencia para solucionar problemas específicos de la red.

Nota El agente netopa solo puede exportar la información sobre latencia de red a vRNI. Actualmente, no se pueden utilizar otros recopiladores.

Debe usar las REST API de NSX para configurar NSX con el objetivo de que calcula las métricas de latencia. Para que NSX pueda calcular correctamente las métricas de latencia, compruebe que los relojes de los diferentes hosts estén sincronizados. Para ello, utilice el protocolo de tiempo de red (Network Time Protocol, NTP).

Latencia de túnelPara calcular la latencia de túnel o la latencia de VTEP a VTEP entre hosts ESXi, NSX transmite paquetes de detección de flujo bidireccional (Bidirectional Flow Detection, BFD) de forma periódica en cada túnel. Para configurar los parámetros de configuración global de BFD, ejecute la PUT /api/2.0/vdn/bfd/configuration/global API.

Para obtener información sobre cómo configurar los parámetros de configuración global de BFD, consulte la Guía de NSX API.

Latencia de extremo a extremoA partir de NSX 6.4.5, NSX puede calcular la latencia de extremo a extremo de una ruta de datos cuando el tráfico fluye entre las máquinas virtuales que están en el mismo host ESXi o en hosts ESXi diferentes. Sin embargo, ambas máquinas virtuales deben estar conectadas al mismo conmutador lógico (subred).

Nota NSX no puede calcular la información de latencia de extremo a extremo cuando el tráfico de datos se enruta entre máquinas virtuales a través de un enrutador lógico distribuido. Esto se produce cuando las máquinas virtuales se conectan a conmutadores lógicos o subredes diferentes.

Para calcular la latencia de extremo a extremo de la ruta de datos, NSX utiliza el atributo de marca de tiempo de un paquete de ruta de datos dentro del hipervisor. La latencia de extremo a extremo de la ruta de datos se calcula según la latencia de los diferentes segmentos de la ruta de datos: de vNIC a pNIC y de pNIC a vNIC.


VMware, Inc. 609

Por ejemplo, cuando el tráfico fluje entre máquinas virtuales del mismo host, se calcula la latencia de vNIC a vNIC. Cuando el tráfico fluye entre máquinas virtuales de diferentes hosts ESXi, se calcula la latencia de vNIC a pNIC en el hipervisor de origen y la latencia de pNIC a vNIC en el hipervisor de destino. En el caso del tráfico que fluye en los hosts ESXi, NSX solo calcula la latencia de túnel si se configuran los parámetros de configuración global de BFD.

Para obtener más información sobre cómo configurar los parámetros de latencia en un vSphere Distributed Switch específico y en un host determinado, consulte las siguientes secciones de la Guía de NSX API:

n Utilizar la configuración de latencia de un vSphere Distributed Switch específico

n Utilizar la configuración de latencia de un host específico

Recopilación de datos de supervisión de endpointsLa supervisión de endpoints permite a los usuarios asignar procesos específicos incluidos en el sistema operativo invitado a las conexiones de red que los procesos están utilizando.

Una vez recopilados los datos, se eliminan diariamente a las 2:00 de la mañana. Durante la eliminación de datos, se comprueba el número de registros de flujo de todas las sesiones juntas y los registros que sobrepasen los 20 millones (o ~ 4 GB) se eliminan. La eliminación comienza por la sesión más antigua y continúa hasta que la cantidad de registros de flujo de la base de datos esté por debajo de los 15 millones de registros. Si hay alguna sesión en curso durante la eliminación de datos, es posible que algunos registros se pierdan.

Advertencia Cuando se habilita la supervisión de endpoints, en el Panel de control (Dashboard) aparece un pequeño icono amarillo de advertencia para indicar que la función está activada. La supervisión de endpoints afecta al rendimiento y le recomendamos que lo desactive después de recopilar los datos.

Requisitos previos

n La supervisión de endpoints es compatible con los siguientes sistemas operativos de Windows:

Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows 2008, Windows 2008 R2, Windows 2012, Windows 10 y Windows 2016. No es compatible con Linux.

n Guest Introspection debe estar instalada en máquinas virtuales (VM).

n VMware Tools debe estar actualizado y en ejecución en las máquinas virtuales de escritorio de Windows.

n Se necesitan grupos de seguridad con 20 o menos VM para recopilar datos antes de que pueda empezar la supervisión de endpoints. Consulte Crear un grupo de seguridad para obtener más información.

n La recopilación de datos debe habilitarse para una o varias máquinas virtuales en un vCenter Server antes de ejecutar un informe de supervisión de endpoints. Antes de ejecutar un informe, compruebe que las máquinas virtuales habilitadas estén activas y generen tráfico de red.


VMware, Inc. 610

Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Herramientas (Tools) > Supervisión del endpoint (Endpoint Monitoring).

2 En la pestaña Resumen (Summary), haga clic en Comenzar a recopilar datos (Start Collecting Data).

3 En la ventana emergente Comenzar a recopilar datos para grupos de seguridad (Start Data Collection for Security Groups), seleccione los grupos de seguridad para los que desea recopilar los datos. Haga clic en Aceptar (OK).

Las VM se enumeran en el cuadro de campo.

4 Active la recopilación de datos (ON).


Se muestra la pantalla principal Supervisión de endpoints (Endpoint Monitoring). En la esquina inferior izquierda el estado es Recopilando datos (Collecting Data).

6 Haga clic en Detener recopilación de datos (Stop Collecting Data) para finalizar la recopilación de datos.

Se muestra la pantalla Supervisión de endpoints (EndPoint Monitoring) con la pestaña Resumen (Summary) rellenada de datos.

Supervisión de endpointsLa supervisión de endpoints permite la visibilidad de los procesos de aplicación específicos y sus conexiones de red asociadas.

Pestaña Resumen (Summary)

Una vez que se haya completado la recopilación d datos, la pantalla de resumen mostrará los detalles de NSX Manager, el grupo de seguridad y el intervalo de tiempo de los datos recopilados. El número de máquinas virtuales (VM) en funcionamiento y el número total de procesos que generan tráfico se muestra en el primer cuadro. Si hace clic en el número de máquinas virtuales en funcionamiento, se abrirá la pestaña Flujos de VM (VM Flows), que se describe debajo. Si hace clic en el número de procesos que generan tráfico, accederá a la pestaña Flujos de procesos (Process Flows), que se describe debajo.

El segundo cuadro muestra un anillo con el número total de flujos. Un flujo es un flujo único de tráfico de red identificado por su tipo de paquetes, IP de origen y destino y puerto. Pase el cursor por encima de cada sección y se mostrará el número de flujos dentro o fuera del grupo de seguridad.

Pestaña Flujos de VM (VM Flows Tab)

Esta pantalla muestra los detalles de los flujos dentro de las VM, incluyendo:

n Nombre de VM (VM name): nombre de la VM que se está supervisando.

n Flujos dentro del grupo de seguridad (Flows within security group): tráfico que fluye entre las VM, donde el origen o destino se encuentra dentro del grupo de seguridad supervisado.


VMware, Inc. 611

n Flujos fuera del grupo de seguridad (Flows outside security group): tráfico que fluye entre las VM, donde el origen o destino se encuentra fuera del grupo de seguridad supervisado.

n Flujos de servicios compartidos fuera del grupo (Shared service flows outside group): flujos de servicios compartidos, como DHCP, LDAP, DNS o NTP, fuera del grupo de seguridad supervisado.

n Flujos de servicios compartidos dentro del grupo de seguridad (Shared service flows inside security group): flujos de servicios compartidos, como DHCP, LDAP, DNS o NTP, dentro del grupo de seguridad supervisado.

Si se hace clic en el nombre de una VM determinada en la tabla, se muestra una gráfica de burbujas que indica lo siguiente:

n flujos entre VM en el mismo grupo de seguridad

n flujos que contienen servicios compartidos

n flujos entre diferentes grupos de seguridad

Haga clic en una burbuja para ver los detalles de la VM. La vista detallada de flujos incluye el nombre del proceso, la versión y el número de flujos que genera cada proceso. Si contiene servicios compartidos, se mostrará un icono especial. Si se hace clic en una línea entre dos burbujas de VM, se muestran los detalles de los flujos de procesos de los flujos que hay entre esas dos VM, incluyendo:

n Proceso de origen (Source process): nombre de la aplicación/archivo .exe que genera el tráfico e inicia el flujo.

n Versión de origen (Source version): versión del archivo de origen.

n Protocolo (Protocol): TCP.

n Proceso de destino (Destination process): nombre de la aplicación de servidor/archivo .exe del proceso que es el destino del flujo.

n Puerto de destino (Destination port): número de puerto de destino.

Pestaña Flujos de proceso (Process Flows Tab)

En esta pantalla se muestra una lista de las aplicaciones que generan flujos. La tabla muestra lo siguiente:

n Nombre del proceso (Process Name): nombre de la aplicación que genera el tráfico.

n Nombre de máquina virtual

n Flujos dentro del grupo de seguridad (Flows within security group): tráfico que fluye entre las VM, donde el origen o destino se encuentra dentro del grupo de seguridad supervisado.

n Flujos fuera del grupo de seguridad (Flows outside security group): tráfico que fluye entre las VM, donde el origen o destino se encuentra fuera del grupo de seguridad supervisado.

n Flujos compartidos dentro del grupo de seguridad (Shared flows within security group): Flujos compartidos dentro del grupo de seguridad supervisado.

n Flujos compartidos fuera del grupo de seguridad (Shared flows within security group): Flujos compartidos fuera del grupo de seguridad supervisado.


VMware, Inc. 612

La gráfica de burbujas representa los flujos que se producen con el proceso o la aplicación en la VM seleccionada como el anclaje. Haga clic en cualquiera de las burbujas para ver la versión y el nombre del proceso. Haga clic en cualquier línea para que se muestre lo siguiente:

n Máquina virtual de origen (Source VM): nombre de la VM de cliente que aloja el proceso de cliente.

n IP de origen (Source IP): dirección IP del flujo.

n Protocolo (Protocol): TCP.

n VM de destino (Destination VM): nombre de la VM de servidor que aloja el proceso de servidor.

n IP de destino (Destination IP): dirección IP de destino.

n Puerto de destino (Destination port): número de puerto de destino.

Pestaña Flujos de usuarios de AD (AD User Flows)

Esta pantalla muestra los flujos de todos los usuarios de AD en máquinas virtuales conectadas con AD que son parte de un grupo de seguridad. Hay tres tablas:

n Tabla Usuario de AD (AD User): muestra todos los usuarios que iniciaron flujos de red desde o hacia máquinas virtuales que formaban parte del grupo de seguridad seleccionado.

n Tabla Sesiones de AD (AD Sessions): muestra todas las sesiones que creó un usuario seleccionado en la tabla Usuario de AD (AD User). Existen tantas sesiones como números de pares únicos de IP de máquinas virtuales de origen o de usuarios.

n Tabla Flujos de usuarios de AD (AD User Flows): cuando un usuario hace clic en una sesión, aparece esta página y ofrece información adicional de los flujos.

TraceflowTraceflow es una herramienta de solución de problemas que proporciona la capacidad de inyectar un paquete y observar dónde se lo ve a medida que circula por la red física y lógica. Las observaciones permiten determinar información sobre la red, como la identificación de un nodo que está fuera de servicio o una regla de firewall que está impidiendo que un paquete sea recibido en su destino.

Acerca de TraceflowTraceflow inyecta paquetes en el puerto de una instancia de vSphere Distributed Switch (VDS) y ofrece varios puntos de observación en toda la ruta que sigue el paquete en las entidades físicas y lógicas (como hosts ESXi, conmutadores lógicos y enrutadores lógicos) en las redes superpuestas y subordinadas. Esto permite identificar qué ruta (o rutas) toma un paquete para llegar a su destino o, de manera inversa, en qué parte del trayecto se descarta un paquete. Cada entidad informa sobre la entrega del paquete en la entrada y la salida, por lo que es posible determinar si se producen problemas al recibir un paquete o al reenviarlo.


VMware, Inc. 613

Tenga en cuenta que una instancia de Traceflow no es lo mismo que la respuesta o la solicitud de ping que va de una pila de la máquina virtual invitada a otra. Lo que Traceflow hace es observar un paquete marcado mientras atraviesa la red superpuesta. Cada paquete se supervisa mientras atraviesa la red superpuesta hasta que llega a la máquina virtual invitada de destino y se pueda entregar en esta. Sin embargo, el paquete inyectado de Traceflow nunca se entrega a la máquina virtual invitada de destino. Esto significa que una instancia de Traceflow se puede entregar correctamente cuando la máquina virtual invitada esté apagada.

Traceflow admite los siguientes tipos de tráfico:

n Unidifusión de Capa 2

n Unidifusión de Capa 3

n Difusión de Capa 2

n Multidifusión de Capa 2

Puede construir paquetes con campos de encabezado y tamaños de paquete personalizados. El origen de Traceflow siempre es una NIC de máquina virtual (vNIC). El extremo de destino puede ser cualquier dispositivo de la red superpuesta o subordinada de NSX. Sin embargo, no puede seleccionar un destino que esté por encima de una puerta de enlace de servicios de NSX Edge (ESG). El destino debe estar en la misma subred o debe ser accesible mediante enrutadores lógicos distribuidos de NSX.

La operación de Traceflow se considera de Capa 2 si las vNIC de origen y destino están en el mismo dominio de Capa 2. En NSX, esto significa que están en el mismo identificador de red de VXLAN (identificador de segmento o VNI). Esto sucede, por ejemplo, cuando hay dos máquinas virtuales conectadas al mismo conmutador lógico.

Si el puente de NSX se configura, los paquetes de Capa 2 desconocidos se envían siempre al puente. Normalmente, el puente reenvía estos paquetes a una VLAN e informa de que el paquete de Traceflow se ha entregado. El hecho de que un paquete se marque como entregado no implica necesariamente que el paquete de seguimiento se haya entregado al destino especificado.

Para el tráfico de unidifusión de Traceflow de Capa 3, los dos extremos están en conmutadores lógicos diferentes y tienen VNI diferentes conectadas a un enrutador lógico distribuido (Distributed Logical Router, DLR).

Para el tráfico de multidifusión, el origen es una vNIC de máquina virtual y el destino es una dirección de grupo de multidifusión.

Las observaciones de Traceflow pueden incluir las observaciones de los paquetes difundidos de Traceflow. El host ESXi difunde un paquete de Traceflow si no conoce las direcciones MAC del host de destino. Para el tráfico de difusión, el origen es una vNIC de máquina virtual. La dirección MAC de destino de Capa 2 para el tráfico de difusión es FF:FF:FF:FF:FF:FF. Si desea crear un paquete válido para la inspección de firewall, la operación de Traceflow de difusión requiere una longitud de prefijo de subred. La máscara de subred permite que NSX calcule una dirección de red IP para el paquete.

Precaución Según la cantidad de puertos lógicos en la implementación, las operaciones de difusión y multidifusión de Traceflow generan un alto volumen de tráfico.


VMware, Inc. 614

Hay dos maneras de utilizar Traceflow: mediante la API y con la interfaz gráfica de usuario. La API es la misma que utiliza la interfaz gráfica de usuario, salvo que la API permite especificar la configuración exacta dentro del paquete, mientras que la interfaz gráfica de usuario tiene una configuración más limitada.

La interfaz gráfica de usuario permite establecer los siguientes valores:

n Protocolo: TCP, UDP, ICMP.

n Tiempo de vida (TTL). El valor predeterminado es 64 saltos.

n Números de puerto de origen y destino TCP y UDP. El valor predeterminado es 0.

n Marcas TCP.

n Número de secuencia e identificador ICMP. De forma predeterminada, ambos valores son 0.

n Un tiempo de espera de expiración, en milisegundos (ms), para la operación de Traceflow. El valor predeterminado es 10.000 milisegundos.

n Tamaño de la trama Ethernet. El valor predeterminado es 128 bytes por trama. El tamaño de trama máximo es 1.000 bytes por trama.

n Codificación de carga útil. El valor predeterminado es Base64.

n Valor de carga útil.

Utilizar Traceflow para la solución de problemasHay varias situaciones donde Traceflow resulta útil.

Traceflow resulta útil en las siguientes situaciones:

n Solución de problemas y errores de redes para ver la ruta de acceso exacta del tráfico.

n Supervisión de rendimiento para ver la utilización de vínculos.

n Planificación de redes para ver cómo se comporta una red cuando está en producción.

Requisitos previos

n Las operaciones de Traceflow requieren la comunicación entre vCenter, NSX Manager, el clúster de NSX Controller y los agentes del ámbito del usuario netcpa de los hosts.

n Para que Traceflow trabaje correctamente, asegúrese de que el clúster del controlador está conectado y en buen estado.

Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Herramientas (Tools) > Traceflow.

2 Seleccione el tipo de tráfico: unidifusión, multidifusión o difusión de Capa 2.


VMware, Inc. 615

3 Seleccione la vNIC de la máquina virtual de origen.

Si la máquina virtual se administra en la misma instancia de vCenter Server donde se está ejecutando Traceflow, puede seleccionar la máquina virtual y la vNIC de una lista.

Nota Cuando un conmutador lógico está en modo de replicación multidifusión, las máquinas virtuales conectadas a este conmutador lógico no aparecerán y no se podrán seleccionar como el origen o el destino de Traceflow.

4 Para el tipo de Traceflow con unidifusión, introduzca la información de la vNIC de destino.

El destino puede ser la vNIC de cualquier dispositivo en la superposición o subordinación de NSX, como un host, una máquina virtual, un enrutador lógico o una puerta de enlace de servicios Edge. Si el destino es una máquina virtual que está ejecutando VMware Tools y se administra en la misma instancia de vCenter Server donde se está ejecutando Traceflow, puede seleccionar la máquina virtual y la vNIC de la lista.

De lo contrario, deberá introducir la dirección IP de destino (y la dirección MAC de una instancia de Traceflow de Capa 2 y unidifusión). Puede recopilar esta información desde el propio dispositivo en la consola de dispositivos o desde una sesión de SSH. Por ejemplo, en una máquina virtual Linux, puede obtener la dirección IP o MAC si ejecuta el comando ifconfig en el terminal Linux. En un enrutador lógico o puerta de enlace de servicios de Edge, puede recopilar la información con el comando de la CLI show interface.

5 En una instancia de Traceflow y multidifusión, introduzca la dirección del grupo de multidifusión.

El paquete se cambia únicamente en función de la dirección MAC.

Se requieren tanto la dirección IP de origen como la de destino para que el paquete de IP sea válido. En el caso de una instancia de multidifusión, la dirección MAC se deduce de la dirección IP.

6 En una instancia de Traceflow de Capa 2 y difusión, introduzca la longitud del prefijo de subred.

El paquete se cambia únicamente en función de la dirección MAC. La dirección MAC de destino es FF:FF:FF:FF:FF:FF.

Se requieren tanto la dirección IP de origen como la de destino para que el paquete de IP sea válido para la inspección de firewall.

7 Configure otros parámetros opcionales y obligatorios.

8 Haga clic en Rastrear (Trace).

Captura de paquetesPuede crear una sesión de captura de paquetes para los hosts requeridos en NSX Manager con la herramienta de captura de paquetes. Después de capturar los paquetes, el archivo se puede descargar. Si su panel de control indica que un host no tiene un estado adecuado, puede capturar paquetes de ese host en concreto para solucionar problemas.


VMware, Inc. 616

Existe un máximo de 16 sesiones y archivos de 400 MB para su descarga. Las sesiones se mantendrán activas durante 10 minutos o hasta que el archivo de captura alcance 20 MB o 20.000 paquetes, lo que ocurra primero. Cuando se alcance el límite, no se podrá crear la nueva sesión de captura, pero podrá descargar los archivos capturados anteriormente. Si desea iniciar una nueva sesión después de alcanzar el máximo de sesiones, debe borrar las más antiguas. Su sesión seguirá activa durante 10 minutos y la sesión existente se borrará una hora después de la creación de la sesión. Si reinicia NSX, se borran todas las sesiones existentes.

No se pueden capturar interfaces de máquinas virtuales de NSX.

Puede realizar las siguientes tareas:

Opciones Descripción

NSX Manager Seleccione el NSX Manager para el que quiera crear una sesión de captura de paquetes.

CREAR SESIÓN (CREATE SESSION) Para iniciar una nueva sesión de captura de paquetes, haga clic en CREAR SESIÓN (CREATE SESSION). Para obtener más información, consulte Crear una sesión de captura de paquetes

DETENER (STOP) Seleccione la sesión iniciada y haga clic en DETENER (STOP). Se mostrará un cuadro de diálogo de confirmación. Haga clic en SÍ (YES) para detener la sesión que está en curso.

REINICIAR (RESTART) Seleccione la sesión requerida y haga clic en REINICIAR (RESTART). Se mostrará un cuadro de diálogo de confirmación. Haga clic en SÍ (YES) para reiniciar la misma sesión.

Al reiniciar, se elimina la sesión actual, se borran los archivos capturados y se inicia una nueva sesión utilizando los mismos parámetros de configuración.

BORRAR (CLEAR) Seleccione la sesión requerida y haga clic en BORRAR (CLEAR). Se mostrará un cuadro de diálogo de confirmación. Haga clic en SÍ (YES) para borrar la sesión.

BORRAR TODO (CLEAR ALL) Si desea borrar todas las sesiones, haga clic en BORRAR TODO (CLEAR ALL). Se mostrará un cuadro de diálogo de confirmación. Haga clic en SÍ (YES) para borrar todas las sesiones.

DESCARGAR (DOWNLOAD) Seleccione la sesión requerida y haga clic en DESCARGAR (DOWNLOAD). También puede hacer clic en el icono de descarga. Se mostrará un cuadro de diálogo de confirmación. Haga clic en SÍ (YES) para descargar la sesión capturada.

Puede ver el número de sesiones activas y el tamaño total de los archivos. El estado de la sesión puede aparecer de las siguientes maneras:

n Iniciado (Started): espere a que la sesión finalice.

n Error: haga clic en este vínculo para ver los detalles del error.

n Finalizado (Finished): después de que la sesión finalice, puede descargar la sesión. También puede reiniciar y borrar la sesión.

n Detenido (Stopped): la sesión cuya detención se forzó. Puede reiniciar o borrar la sesión.


VMware, Inc. 617

Crear una sesión de captura de paquetesSi su panel de control indica que un host no tiene un estado adecuado, puede capturar paquetes de ese host en concreto para solucionar problemas.

Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Herramientas (Tools) > Captura de paquetes (Packet Capture).

2 Para crear una nueva sesión de captura de paquetes, haga clic en CREAR SESIÓN (CREATE SESSION).

Aparecerá la ventana Crear sesión (Create Session). Introduzca la información requerida como se explica a continuación.

Parámetro Descripción

Pestaña General La pestaña General es la pestaña predeterminada. Introduzca la información requerida como se explica a continuación.

Nombre de sesión Escriba el nombre de la sesión.

Host Seleccione los hosts necesarios de la lista.

Adaptador Puede seleccionar Adaptador (Adapter) o Filtro (Filter).

Si selecciona el tipo de adaptador, dependiendo del tipo seleccionado, seleccione el nombre del adaptador. Si selecciona el tipo de adaptador, no debe seleccionar Tipo de filtro (Filter Type) ni Modo de filtro (Filter Mode).

dvPort es específico del VdrPort en el host seleccionado. No se admite otro puerto.

Tipo de filtro Seleccione el tipo de filtro de la lista en la que se basa el host seleccionado. La lista depende de las reglas configuradas del firewall.

Modo de filtro Seleccione el modo de filtro como:

n Pre: si desea capturar paquetes antes de aplicar el filtro.

n Post: si desea capturar paquetes después de aplicar el filtro.

Tipo de tráfico Seleccione el tipo de tráfico Entrante (Incoming) o Saliente (Outgoing).

Los paquetes se capturan según la dirección del flujo respecto al conmutador virtual.

Pestaña Avanzado (Advanced) Si desea proporcionar opciones adicionales para filtrar el paquete de captura, haga clic en la pestaña Avanzado (Advanced) y escriba los detalles necesarios.

3 Para crear una sesión, haga clic en GUARDAR (SAVE).

Comienza la sesión de captura de paquetes.

Puede ver el estado de la sesión.


VMware, Inc. 618

Pasos siguientes

n Puede descargar la sesión capturada después de que acabe y ver el archivo con herramientas como Wireshark.

n Puede borrar el archivo después de descargarlo.

n Puede detener la sesión que está en curso, si es necesario.

Herramienta de recopilación de paquetes de soporte técnicoPuede recopilar los datos del paquete de soporte técnico para componentes de NSX, como NSX Manager, hosts, instancias de Edge y controladores. Estos paquetes de soporte técnico son necesarios para solucionar cualquier problema de NSX. Puede descargar este paquete de soporte técnico agregado o puede cargar el paquete a un servidor remoto. Puede ver el estado general de la recopilación de datos y el estado de cada componente.

También puede usar la API para generar, descargar, eliminar o cancelar la recopilación de paquetes.

Si se alcanza el límite de tamaños en NSX antes de que se generen los registros solicitados, la operación omite la generación de los registros restantes. El paquete se genera con registros parciales y está disponible para la descarga local, o bien para cargarlo al FTP. Aparece el estado de los registros que se omiten.

Cuando solicita una nueva recopilación de registros, el paquete anterior se elimina. El paquete también se elimina después de cargarlo a un servidor remoto o después de que se cancele la operación de registros.

Nota En un paquete de soporte agregado, el número máximo de nodos (incluidos NSX Manager, NSX Edge, host y NSX Controller) no debe ser superior a 200.

Componente y tipos de registros

Componente Tipo de registro Registrar (Log)

NSX Manager N/C Registros de NSX Manager

Host N/C n Registros de vmkernel

n Registros de vsfwd

n Registros de netcpa

n syslog

n Información general del sistema

Host Guest Introspection n Módulo de host de Guest Introspection (MUX)

n SVM de Guest Introspection

Host Firewall n Registros de vsfwd

n Registros de netcpa


VMware, Inc. 619

Componente Tipo de registro Registrar (Log)

NSX Edge N/C Registros de Edge de las instancias seleccionadas

NSX Controller N/C Registros de controlador para los controladores seleccionados

No se recopilan los siguientes registros:

n Registros vSphere ESX Agent Manager (EAM)

n Registros de máquinas virtuales invitadas

Nota El paquete de soporte no contiene todos los archivos de registro de los hosts que podría necesitar para solucionar los problemas de hosts. Para recopilar los registros completos de los hosts, utilice vCenter Server. Para obtener información sobre cómo recopilar los archivos de registro de vSphere, consulte la documentación sobre la supervisión y el rendimiento de vSphere.

Función de usuario y permisos

Función de usuario Operación permitida

Administrador de NSX (NSX Administrator) Todo

Administrador de seguridad (Security Administrator) Todo

Administrador empresarial Todo

Auditor Ver estado y descargar paquete

Crear un paquete de servicio técnicoPuede recopilar datos de los componentes de NSX en forma de paquete. Puede enviar el paquete al equipo de soporte técnico de VMware para solucionar cualquier problema con NSX. Puede ver el estado de la recopilación de datos y descargar el paquete o recopilarlo desde el servidor remoto configurado.

Requisitos previos

Debe usar NSX 6.4.0 o una versión posterior para usar esta función.

Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Herramientas (Tools) > Paquete de soporte técnico (Support Bundle).

2 Seleccione el NSX Manager requerido de la lista.

3 Seleccione los componentes que se incluirán en el registro de soporte, como se indica a continuación:

a Para incluir los registros de NSX Manager, seleccione la casilla de verificación Incluir registros de NSX Manager (Include NSX Manager logs).

b Seleccione el tipo de objeto necesario de la lista. Puede seleccionar Hosts, Edgey Controladores (Controllers).


VMware, Inc. 620

c En función del tipo de objeto seleccionado, los componentes disponibles aparecen en la columna Objetos disponibles (Available Objects).

n Seleccione la casilla de verificación que aparece junto al componente que quiere incluir en

los registros y, a continuación, haga clic en la flecha ( ) para mover el componente a la lista Objetos seleccionados (Selected Objects).

n Para eliminar los objetos seleccionados, marque la casilla de verificación que aparece junto

al componente que quiere eliminar y, a continuación, haga clic en la flecha ( ) para mover el componente a la lista Objetos seleccionados (Selected Objects).

d En Hosts, puede seleccionar opciones de registro adicionales, como Guest Introspection y Firewall.

4 Establezca el tiempo de espera predeterminado (en minutos) para el proceso de recopilación de paquetes por objeto seleccionado de la lista.

5 Haga clic en RESTABLECER (RESET) para borrar todas las selecciones y volver a empezar.

Nota Puede descargar el paquete de soporte técnico o cargarlo a un servidor remoto. Si no desea cargar el paquete a un servidor remoto, este estará disponible para su descarga después de que se generó.

6 Para cargar el paquete a un servidor remoto, realice los siguientes pasos:

a Seleccione la casilla de verificación Cargar el paquete de soporte técnico al servidor remoto de archivos (Upload support bundle to remote file server).

b Seleccione el protocolo de transferencia como el servidor FTP o SFTP.

c Introduzca la información del servidor como aparece a continuación:

n Nombre de host/IP (Hostname/IP): introduzca el nombre de host o la dirección IP del servidor remoto.

n Nombre de usuario (Username) y Contraseña (Password): introduzca el nombre de usuario y la contraseña del servidor remoto.

n Puerto (Port): el número de puerto se agrega de forma predeterminada. Puede cambiar el número de puerto si es necesario. Para aumentar o disminuir el número, haga clic en la flecha.

n Directorio de copia de seguridad (Backup Directory): introduzca el nombre del directorio de la copia de seguridad.

7 Haga clic en Iniciar recopilación de paquetes (Start Bundle Collection).

Para ver los detalles del paquete, haga clic en el vínculo Ver detalles del paquete (View Bundle Details).


VMware, Inc. 621

Puede ver el estado de finalización general (en porcentaje) y el estado de cada componente. Puede ver el estado de finalización del paquete (en porcentaje) que se está cargando en el servidor remoto. El estado puede aparecer de las siguientes maneras:

n Pendiente (Pending): espere a que el proceso se inicie.

n En curso (In Progress): espere a que el proceso se complete.

n Omitido (Skipped): este estado puede aparecer debido a un espacio de disco limitado. El paquete se genera con registros parciales y está disponible para una descarga local, o bien se carga a un servidor remoto. Aparece el estado de los registros que se omiten.

n Error: se produce un error debido a varias razones, como problemas de conectividad o un error de tiempo de espera. Haga clic en INICIAR NUEVA (START NEW) para volver a iniciar la recopilación de datos.

n Completado (Completed): ahora puede descargar el paquete o verlo en el servidor remoto.

n Anulado (Aborted): se anula el proceso para generar el paquete.

n Parcialmente completado (Partially Completed): los registros se recopilaron parcialmente.

El paquete se elimina después de una de las siguientes tareas:

n Se carga el paquete a un servidor remoto.

n Inicia una nueva solicitud de recopilación de registros.

Pasos siguientes

n Puede Descargar un paquete de soporte técnico después de generarlo, o bien puede ver el nombre de archivo que se cargó al servidor remoto configurado.

n Haga clic en INICIAR NUEVA (START NEW) para volver a iniciar la recopilación de datos. Aparecerá una casilla de confirmación. Haga clic en Sí (Yes) para iniciar una nueva solicitud de generación de datos.

Descargar un paquete de soporte técnicoPuede descargar un paquete de soporte técnico después de que se complete el proceso de recopilación de datos.

Requisitos previos

El proceso de recopilación se completó totalmente.

Procedimiento

1 Acceda a la página Paquete de soporte técnico (Support Bundle).

2 Haga clic en DESCARGAR (DOWNLOAD).


VMware, Inc. 622

3 En su carpeta Descargas (Downloads) predeterminada, se descarga el paquete de soporte técnico cuyo nombre finaliza por tar.gz. Es posible que algunos exploradores alteren la extensión del archivo.

Por ejemplo, el nombre del archivo del paquete de soporte técnico tiene un formato similar a VMware-NSX-TechSupport-Bundle-AAAA-MM-DD_HH-MM-SS.tar.gz.

4 Haga clic en el vínculo ELIMINAR PAQUETE DE SOPORTE TÉCNICO (DELETE SUPPORT BUNDLE).

Aparecerá una casilla de confirmación.

5 Haga clic en Sí (Yes). Se eliminan los archivos de registro generados en esta solicitud en particular.

Pasos siguientes

Puede enviar el paquete de soporte técnico a VMware.

Anular el proceso de generación del paquete de soporte técnicoPuede anular el proceso de recopilación de datos del paquete de soporte técnico que está en curso o pendiente. Debe eliminar el paquete de soporte técnico después de anular el proceso.

Requisitos previos

La generación del paquete de soporte técnico debe estar en curso.

Procedimiento

1 Acceda a la página Paquete de soporte técnico (Support Bundle).

2 Si la generación del registro está en curso, puede cancelar el proceso. Haga clic en ANULAR GENERACIÓN (ABORT GENERATION).


3 Haga clic en Aceptar (OK) para anular el proceso.

En la página Paquete de soporte técnico (Support Bundle), aparece el proceso de recopilación de datos como Anulado (Aborted).

4 Haga clic en el vínculo ELIMINAR PAQUETE DE SOPORTE TÉCNICO (DELETE SUPPORT BUNDLE).


5 Haga clic en Sí (Yes). Se eliminan los archivos de registro generados en esta solicitud en particular.

Se anula o se cancela el proceso de recopilación de datos del paquete de soporte técnico.

Pasos siguientes

Haga clic en INICIAR NUEVA (START NEW) para volver a iniciar la recopilación de datos. Aparecerá una casilla de confirmación. Haga clic en Sí (Yes) para iniciar una nueva solicitud de generación de datos.


VMware, Inc. 623

Guía de administración de NSX - VMware NSX Data Center for ... · Combinar secciones de regla de...

Documents

Transcript of Guía de administración de NSX - VMware NSX Data Center for ... · Combinar secciones de regla de...