Guía de administración de NSX - VMware NSX Data Center for ...€¦ · Ver el identificador de...

Guía de administración de NSXActualización 11Modificado el 21 de febrero de 2020VMware NSX Data Center for vSphere 6.3

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware:

https://docs.vmware.com/es/

Si tiene comentarios relacionados con esta documentación, envíelos a:

[email protected]

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Spain, S.L.Calle Rafael Boti 262.ª plantaMadrid 28023Tel.: +34 914125000www.vmware.com/es

Copyright © 2010 - 2020 VMware, Inc. Todos los derechos reservados. Información sobre el copyright y la marca comercial.

Guía de administración de NSX

VMware, Inc. 2

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

http://pubs.vmware.com/copyright-trademark.html

Contenido

Guía de administración de NSX 12

1 Requisitos del sistema para NSX 13

2 Puertos y protocolos requeridos por NSX 16

3 Descripción general de NSX 20Componentes de NSX 22

Plano de datos 22

Plano de control 23

Plano de administración 24

Plataforma de consumo 25

NSX Edge 25

NSX Services 28

4 Descripción general de Cross-vCenter Networking and Security 30Beneficios de Cross-vCenter NSX 30

Cómo funciona Cross-vCenter NSX 31

Matriz de compatibilidad de NSX Services en Cross-vCenter NSX 33

Clúster de controladoras universal 34

Zona de transporte universal 34

Conmutadores lógicos universales 34

Enrutadores lógicos (distribuidos) universales 35

Reglas de firewall universal 35

Objetos de seguridad y red universal 36

Topologías de Cross-vCenter NSX 37

Cross-vCenter NSX de varios sitios y de un solo sitio 37

Salida local 39

Modificar los roles de NSX Manager 40

5 Zonas de transporte 42Agregar una zona de transporte 44

Ver y editar una zona de transporte 46

Expandir una zona de transporte 46

Contraer una zona de transporte 47

Modo Operación con controlador desconectado (Controller Disconnected Operation, CDO) 47

Habilitar el modo Operación con controlador desconectado (Controller Disconnected Operation, CDO) 48

VMware, Inc. 3

Deshabilitar el modo Operación con controlador desconectado (Controller Disconnected Operation, CDO) 49

6 Conmutadores lógicos 50Agregar un conmutador lógico 52

Agregar un conmutador lógico 53

Conectar un conmutador lógico a NSX Edge 55

Implementar servicios en un conmutador lógico 56

Conectar máquinas virtuales a un conmutador lógico 56

Probar la conectividad del conmutador lógico 57

Evitar la suplantación en un conmutador lógico 57

Editar un conmutador lógico 58

Escenario del conmutador lógico 58

John Admin asigna el grupo de identificadores de segmentos y el rango de direcciones de multidifusión a NSX Manager 61

John Admin configura los parámetros de transporte de la VXLAN 62

John Admin agrega una zona de transporte 63

John Admin crea un conmutador lógico 63

7 Configurar una puerta de enlace de hardware 65Escenario: configuración de ejemplo de puerta de enlace de hardware 66

Configurar el clúster de replicación 68

Conectar la puerta de enlace de hardware a las instancias de NSX Controller 69

Agregar certificado de puerta de enlace de hardware 70

Enlazar el conmutador lógico al conmutador físico 71

8 Puentes L2 73Agregar puente de Capa 2 74

Agregar un puente de Capa 2 a un entorno con enrutamiento lógico 75

9 Enrutamiento 77Agregar un enrutador lógico (distribuido) 77

Agregar una puerta de enlace de servicios Edge 91

Especificar una configuración global 102

Configuración de NSX Edge 104

Trabajar con certificados 104

Modo FIPS 109

Administración de dispositivos 112

Administrar reservas de recursos de dispositivos NSX Edge 113

Trabajar con interfaces 116

Agregar una subinterfaz 119

Cambiar configuración de reglas automáticas 122


VMware, Inc. 4

Cambiar credenciales de CLI 123

Acerca de High Availability 123

Forzar sincronización de NSX Edge con NSX Manager 126

Configure los servidores de Syslog para NSX Edge 126

Ver el estado de una instancia de NSX Edge 127

Volver a implementar NSX Edge 127

Descargar registros de soporte técnico para NSX Edge 130

Agregar una ruta estática 130

Configurar OSPF en un enrutador lógico (distribuido) 131

Configurar el protocolo OSPF en una puerta de enlace de servicios Edge 137

Configurar BGP 143

Configurar la redistribución de rutas 148

Ver el identificador de configuración local de NSX Manager 149

Configurar el identificador de configuración regional en un enrutador lógico universal (distribuido) 150

Configurar el identificador de configuración regional en un host o un clúster 151

10 Firewall lógico 152Distributed Firewall 152

Temporizadores de sesión 155

Detección de IP para máquinas virtuales 158

Excluir las máquinas virtuales de la protección de firewall 159

Ver eventos de umbral de memoria y CPU del firewall 160

Uso del recurso Distributed Firewall 160

Firewall de Edge 161

Trabajar con reglas de firewall de NSX Edge 162

Trabajar con secciones de reglas de firewall 172

Agregar una sección de regla de firewall 173

Combinar secciones de regla de firewall 174

Eliminar una sección de reglas de firewall 174

Trabajar con reglas de firewall 175

Editar la regla de Distributed Firewall predeterminada 175

Agregar una regla de firewall distribuido 176

Forzar sincronización de las reglas de Distributed Firewall 182

Agregar una regla de firewall universal 182

Reglas de firewall con un protocolo personalizado de Capa 3 187

Guardar una configuración sin publicar 188

Cargar una configuración de firewall guardada 189

Filtrar reglas de firewall 189

Cambiar el orden de una regla de firewall 190

Eliminar una regla de firewall 190

Registros de firewall 191


VMware, Inc. 5

11 Introducción al firewall de identidad 196Flujo de trabajo del firewall de identidad 197

12 Trabajar con dominios de Active Directory 199Registrar un dominio de Windows con NSX Manager 199

Sincronizar un dominio de Windows con Active Directory 201

Editar un dominio de Windows 202

Habilitar el acceso al registro de seguridad de solo lectura en Windows 2008 202

Comprobar los privilegios de Directory 203

13 Utilizar SpoofGuard 205Crear una directiva SpoofGuard 206

Aprobar direcciones IP 207

Editar una dirección IP 208

Borrar una dirección IP 209

14 Redes privadas virtuales (VPN) 210Descripción general de SSL VPN-Plus 210

Configurar el acceso de red de SSL VPN-Plus 211

Instalar el cliente SSL VPN-Plus 224

Configurar los ajustes del servidor proxy en un cliente SSL VPN-Plus 227

Registros de SSL VPN-Plus 228

Editar la configuración de cliente 229

Editar configuración general 229

Editar diseño del portal web 230

Trabajar con grupos de direcciones IP para SSL VPN 231

Trabajar con redes privadas 232

Trabajar con paquetes de instalación 234

Trabajar con usuarios 235

Trabajar con scripts de inicio y cierre de sesión 236

Descripción general de IPsec VPN 237

Configurar el servicio de IPsec VPN 239

Editar un servicio IPsec VPN 243

Deshabilitar sitios VPN IPSec 244

Eliminar el sitio VPN IPSec 244

Ejemplos de configuración de IPSec VPN 245

Descripción general de VPN de Capa 2 256

Configurar VPN de Capa 2 258

Configurar un servidor VPN de Capa 2 263

Agregar sitios del mismo nivel 264

Habilitar el servicio VPN de Capa 2 en el servidor 265


VMware, Inc. 6

Configurar el cliente VPN de Capa 2 266

Habilitar el servicio VPN de Capa 2 en el cliente 267

Configurar un dispositivo Edge independiente como cliente VPN de Capa 2 268

Ver estadísticas de la VPN de Capa 2 270

Eliminar una VLAN ampliada 271

15 Equilibrador de carga lógico 272Configurar equilibrio de carga 276

Configurar el servicio de equilibrador de carga 278

Crear un monitor de servicio 279

Agregar un grupo de servidores 285

Crear un perfil de aplicación 288

Agregar una regla de aplicación 291

Agregar servidores virtuales 299

Administrar perfiles de aplicaciones 300

Editar un perfil de aplicación 300

Configurar la terminación SSL para un equilibrador de carga 301

Eliminar un perfil de aplicación 302

Administrar monitores de servicio 302

Editar un monitor de servicio 303

Eliminar un monitor de servicio 303

Administrar grupos de servidores 303

Editar un grupo de servidores 303

Configurar un equilibrador de carga para utilizar el modo transparente 304

Eliminar un grupo de servidores 305

Mostrar estadísticas de grupo 305

Administrar servidores virtuales 306

Editar un servidor virtual 306

Eliminar un servidor virtual 307

Administrar reglas de aplicaciones 307

Editar una regla de aplicación 307

Eliminar una regla de aplicación 308

Servidores web de equilibrio de carga que utilizan autenticación NTLM 308

Modos de conexión HTTP del equilibrador de carga 308

Escenarios de configuración del equilibrador de carga de NSX 311

Configurar un equilibrador de carga one-armed 311

Escenario: configurar el equilibrador de carga de NSX para Plaftorm Services Controller 317

Escenario: descarga de SSL 321

Escenario: Importar un certificado SSL 327

Escenario: Passthrough SSL 329

Escenario: Autenticación SSL de cliente y servidor 331


VMware, Inc. 7

16 Otros servicios Edge 334Administrar servicio DHCP 334

Agregar un grupo de direcciones IP de DHCP 334

Habilitar el servicio DHCP 336

Editar un grupo de direcciones IP de DHCP 337

Agregar un enlace DHCP estático 337

Editar enlace DHCP 338

Configurar retransmisión de DHCP 339

Agregar servidor de relé DHCP 340

Agregar agentes de relé 341

Configurar servidores DNS 341

17 Service Composer 343Utilizar Service Composer 345

Crear un grupo de seguridad en Service Composer 347

Crear una directiva de seguridad 348

Aplicar una directiva de seguridad a un grupo de seguridad 354

Service Composer Canvas 354

Trabajar con etiquetas de seguridad 357

Selección de ID único 358

Ver etiquetas de seguridad aplicadas 358

Crear una etiqueta de seguridad 359

Asignar una etiqueta de seguridad 360

Editar una etiqueta de seguridad 360

Eliminar una etiqueta de seguridad 361

Ver servicios efectivos 361

Ver servicios efectivos en una directiva de seguridad 361

Ver errores de servicios en una directiva de seguridad 362

Ver servicios efectivos en una máquina virtual 362

Trabajar con directivas de seguridad 362

Administrar la prioridad de las directivas de seguridad 362

Editar directiva de seguridad 363

Eliminar una directiva de seguridad 363

Situaciones de Service Composer 364

Situación de máquinas infectadas en cuarentena 364

Realizar copias de seguridad de la configuración de seguridad 369

Importar y exportar configuraciones de directivas de seguridad 371

Exportar la configuración de una directiva de seguridad 372

Importar la configuración de una directiva de seguridad 373

18 Guest Introspection 375


VMware, Inc. 8

Instalar Guest Introspection en los clústeres de host 376

Instalar Thin Agent de Guest Introspection en máquinas virtuales de Windows 378

Instalar Thin Agent de Guest Introspection en máquinas virtuales Linux 379

Ver el estado de Guest Introspection 382

Mensajes de auditoría de Guest Introspection 382

Recopilar información para solucionar problemas de Guest Introspection 382

Desinstalar un módulo de Guest Introspection 383

Desinstalar Guest Introspection para Linux 383

19 Extensibilidad de la red 385Inserción de servicio distribuido 386

Inserción de servicio basado en Edge 386

Integrar servicios de terceros 386

Implementar un servicio de partner 387

Consumir servicios del proveedor mediante Service Composer 388

Redireccionar el tráfico a la solución de un proveedor mediante el firewall lógico 389

Usar el equilibrador de carga de un partner 390

Eliminar integración de terceros 391

20 Administración de usuarios 392Usuarios y permisos de NSX según la función 392

Configurar inicio de sesión único 397

Administrar derechos de usuario 399

Administrar la cuenta de usuario predeterminado 399

Asignar una función a un usuario de vCenter 400

Crear un usuario con acceso a la interfaz web mediante la CLI 403

Editar una cuenta de usuario 406

Cambiar un rol de usuario 406

Deshabilitar o habilitar una cuenta de usuario 407

Eliminar una cuenta de usuario 407

21 Objetos de seguridad y red 408Trabajar con grupos de direcciones IP 408

Crear un grupo de direcciones IP 408

Editar un grupo de direcciones IP 409

Eliminar un grupo de direcciones IP 410

Trabajar con grupos de direcciones MAC 410

Crear un grupo de direcciones MAC 410

Editar un grupo de direcciones MAC 411

Eliminar un grupo de direcciones MAC 411

Trabajar con grupos de direcciones IP 412


VMware, Inc. 9

Crear un grupo de direcciones IP 412

Editar un grupo de direcciones IP 412

Eliminar grupo de direcciones IP 413

Trabajar con grupos de seguridad 413

Crear un grupo de seguridad 414

Editar un grupo de seguridad 417

Eliminar un grupo de seguridad 417

Trabajar con servicios y grupos de servicios 418

Crear un servicio 418

Crear un grupo de servicios 419

Editar un servicio o un grupo de servicios 419

Eliminar un servicio o un grupo de servicios 420

22 Operaciones y administración 421Utilizar el panel de control de NSX 421

Comprobar estado del canal de comunicación 425

NSX Controller 426

Cambiar la contraseña del controlador 426

Descargar registros de soporte técnico para NSX Controller 427

Configurar un servidor syslog para NSX Controller 427

Cambiar el puerto de VXLAN 428

Programa de mejora de la experiencia de cliente 430

Editar la opción del programa de mejora de la experiencia de cliente 430

Acerca de los registros de NSX 431

Registros de auditoría 432

Usar NSX Ticket Logger 432

Ver el registro de auditoría 433

Eventos del sistema 434

Ver el informe de eventos del sistema 434

Formato de un evento del sistema 434

Alarmas 435

Formato de una alarma 436

Trabajar con traps SNMP 436

Configuración del sistema de administración 440

Iniciar sesión en el dispositivo virtual de NSX Manager 440

Editar fecha y hora de NSX Manager 441

Configurar un servidor syslog para NSX Manager 442

Cambiar la configuración de TLS y el modo FIPS en NSX Manager 443

Editar servidores DNS 444

Editar detalles de Lookup Service 444

Editar vCenter Server 445


VMware, Inc. 10

Descargar registros de soporte técnico para NSX 445

Certificación SSL de NSX Manager 446

Copia de seguridad y restauración de NSX 449

Copia de seguridad y restauración de NSX Manager 450

Hacer copias de seguridad de conmutadores distribuidos de vSphere 457

Hacer una copia de seguridad de vCenter 457

Flow Monitoring 458

Ver datos de Flow Monitoring 458

Cambiar el intervalo de fechas de los gráficos de Flow Monitoring 460

Agregar o editar una regla de firewall desde el informe de Flow Monitoring 461

Ver flujo en tiempo real 461

Configurar recopilación de datos de Flow Monitoring 462

Configurar IPFIX 464

Administrador de reglas de aplicaciones (Application Rule Manager) 476

Crear una sesión de supervisión 477

Analizar flujos 478

Consolidación y personalización de flujos 479

Personalizar servicios en registros de flujos 480

Personalizar el origen y el destino en registros de flujos 482

Crear reglas de firewall desde el Administrador de reglas de aplicaciones (Application Rule Manager) 484

Publicar y administrar reglas de firewall desde el Administrador de reglas de aplicaciones (Application Rule Manager) 485

Supervisión de actividad 486

Configurar la supervisión de actividad 487

Situaciones de supervisión de actividad 492

Habilitar recopilación de datos 495

Ver informe de actividad de la máquina virtual 496

Ver actividad entrante 497

Ver actividad saliente 498

Ver interacción entre contenedores de inventario 500

Ver actividad de grupo de AD saliente 502

Anular recopilación de datos 503

Recopilación de datos de supervisión de endpoints 503

Supervisión de endpoints 504

Traceflow 506

Acerca de Traceflow 506

Utilizar Traceflow para la solución de problemas 508


VMware, Inc. 11


En la Guía de administración de NSX se describe cómo configurar, supervisar y mantener el sistema VMware NSX® for vSphere® mediante la interfaz de usuario de NSX Manager y vSphere Web Client. La información incluye instrucciones de configuración paso a paso y prácticas recomendadas.

Público objetivoEste manual está destinado a quienes deseen instalar o utilizar NSX en un entorno de VMware vCenter. La información de este manual está escrita para administradores de sistemas con experiencia que estén familiarizados con la tecnología de máquinas virtuales y las operaciones de centros de datos. En este manual se da por sentado que está familiarizado con VMware vSphere, incluidos VMware ESXi, vCenter Server y vSphere Web Client.

Glosario de publicaciones técnicas de VMwarePublicaciones técnicas de VMware proporciona un glosario de términos que podrían resultarle desconocidos. Si desea ver las definiciones de los términos que se utilizan en la documentación técnica de VMware, acceda a la página http://www.vmware.com/support/pubs.

VMware, Inc. 12

http://www.vmware.com/support/pubs

Requisitos del sistema para NSX 1Antes de instalar o actualizar NSX, tenga en cuenta los recursos y la configuración de red. Puede instalar un NSX Manager por cada vCenter Server, una instancia de Guest Introspection por cada host ESXi™ y varias instancias de NSX Edge por cada centro de datos.

HardwareEsta tabla muestra los requisitos de hardware para los dispositivos de NSX.

Tabla 1-1. Requisitos de hardware para dispositivos

Dispositivo Memoria vCPU Espacio de disco

NSX Manager 16 GB (24 GB para implementaciones de NSX de mayor tamaño)

4 (8 para implementaciones de NSX de mayor tamaño)

60 GB

NSX Controller 4 GB 4 28 GB

NSX Edge Compacto: 512 MB

Grande: 1 GB

Cuádruple: 2 GB

Extra grande: 8 GB

Compacto: 1

Grande: 2

Tamaño cuádruple: 4

Extra grande: 6

Compacto, grande: 1 disco de 584 MB + 1 disco de 512 MB

Cuádruple, grande: 1 disco de 584 MB + 2 discos de 512 MB

Extra grande: 1 disco de 584 MB + 1 disco de 2 GB + 1 disco de 512 MB

Guest Introspection

2 GB 2 5 GB (el espacio aprovisionado es 6,26 GB)

Como regla general, aumente los recursos de NSX Manager a 8 vCPU y 24 GB de RAM si el entorno administrado de NSX contiene más de 256 hipervisores o más de 2.000 máquinas virtuales.

Para conocer los detalles de tamaño específicos, póngase en contacto con el servicio de soporte técnico de VMware.

Para obtener información sobre aumentar la asignación de memoria y vCPU para sus dispositivos virtuales, consulte Asignar recursos de memoria y Cambiar el número de CPU virtuales en Administración de máquinas virtuales de vSphere.

VMware, Inc. 13

El espacio aprovisionado para un dispositivo de Guest Introspection aparece como 6,26 GB para Guest Introspection. Esto ocurre porque vSphere ESX Agent Manager crea una instantánea de la máquina virtual de servicio para crear clones más rápidos si varios hosts de un clúster comparten el almacenamiento. Para obtener más información sobre cómo deshabilitar esta opción mediante ESX Agent Manager, consulte la documentación de ESX Agent Manager.

Latencia de redDebe asegurarse de que la latencia de red entre los componentes sea igual o inferior a la máxima latencia descrita.

Tabla 1-2. Máxima latencia de red entre los componentes

Componentes Máxima latencia

Instancias de NSX Controller y NSX Manager 150 ms RTT

NSX Manager y hosts ESXi 150 ms RTT

Sistema vCenter Server y NSX Manager 150 ms RTT

NSX Manager y NSX Manager en un entorno cross-vCenter NSX

150 ms RTT

NSX Controller y hosts ESXi 150 ms RTT

SoftwarePara ver la información de interoperabilidad más reciente, consulte la sección sobre matrices de interoperabilidad del producto en http://partnerweb.vmware.com/comp_guide/sim/interop_matrix.php.

Para las versiones recomendadas de NSX, de vCenter Server y de ESXi, consulte las notas de la versión de NSX a la que va a actualizar. Las notas de la versión están disponibles en el sitio web de documentación de NSX for vSphere: https://docs.vmware.com/es/VMware-NSX-for-vSphere/index.html.

Para que una instancia de NSX Manager participe en una implementación de Cross-vCenter NSX, se deben dar las condiciones siguientes:

Componente Versión

NSX Manager 6.2 o posterior

NSX Controller 6.2 o posterior

vCenter Server 6.0 o posterior

ESXi n ESXi 6.0 o versiones posteriores

n Clústeres de host que cuentan con NSX 6.2 o VIB posteriores

Para administrar todas las instancias de NSX Manager en una implementación de Cross-vCenter NSX desde una sola instancia de vSphere Web Client, debe conectar vCenter Server en Enhanced Linked Mode. Consulte Usar Modo vinculado mejorado (Enhanced Linked Mode) en Administración de vCenter Server y hosts .


VMware, Inc. 14

http://partnerweb.vmware.com/comp_guide/sim/interop_matrix.php

https://docs.vmware.com/es/VMware-NSX-for-vSphere/index.html

Para verificar la compatibilidad de las soluciones de partners con NSX, consulte la Guía de compatibilidad de VMware para Networking and Security en http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security.

Acceso de clientes y usuariosLos siguientes elementos son necesarios para administrar el entorno de NSX:

n Resolución de nombres directa e inversa. Esta opción es necesaria si se agregaron hosts ESXi por nombre al inventario de vSphere; en caso contrario, NSX Manager no podrá resolver las direcciones IP.

n Permisos para agregar y encender máquinas virtuales.

n Acceda al almacén de datos en el que almacena archivos de máquina virtual y a los permisos de cuenta para copiar los archivos en ese almacén de datos.

n Las cookies deben estar habilitadas en el explorador web para acceder a la interfaz de usuario de NSX Manager.

n El puerto 443 debe estar abierto entre NSX Manager y el host ESXi, vCenter Server y los dispositivos de NSX que se implementarán. Este puerto debe descargar el archivo OVF en el host ESXi para la implementación.

n Un navegador web que sea compatible con la versión de vSphere Web Client que está utilizando. Consulte Usar vSphere Web Client en la documentación de Administración de vCenter Server y hosts para obtener información detallada.


VMware, Inc. 15

http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security


Puertos y protocolos requeridos por NSX 2Los puertos siguientes deben estar abiertos para que NSX funcione correctamente.

Nota Si cuenta con un entorno cross-vCenter NSX y sus sistemas vCenter Server están en Modo vinculado mejorado (Enhanced Linked Mode), cada dispositivo NSX Manager debe tener la conectividad necesaria con cada sistema vCenter Server del entorno para gestionar cualquier NSX Manager desde cualquier sistema vCenter Server.

Tabla 2-1. Puertos y protocolos requeridos por NSX for vSphere

Origen Destino PuertoProtocolo (Protocol) Propósito Sensible TLS Autenticación

PC cliente NSX Manager 443 TCP Interfaz administrativa de NSX Manager

No Sí Autenticación PAM

PC cliente NSX Manager 443 TCP Acceso a VIB de NSX Manager

No No Autenticación PAM

Host ESXi vCenter Server 443 TCP Preparación del host ESXi

No No

vCenter Server Host ESXi 443 TCP Preparación del host ESXi

No No

Host ESXi NSX Manager 5671 TCP RabbitMQ No Sí Usuario y contraseña de RabbitMQ

Host ESXi NSX Controller 1234 TCP Conexión del agente del ámbito del usuario

No Sí

NSX Controller NSX Controller 2878, 2888, 3888

TCP Clúster de controladores, sincronización de estado

No Sí IPsec

NSX Controller NSX Controller 7777 TCP Puerto RPC entre controladores

No Sí IPsec

NSX Controller NSX Controller 30865 TCP Clúster de controladores, sincronización de estado

No Sí IPsec

VMware, Inc. 16

Tabla 2-1. Puertos y protocolos requeridos por NSX for vSphere (continuación)


NSX Manager NSX Controller 443 TCP Comunicación de controlador a Manager

No Sí Usuario/contraseña

NSX Manager vCenter Server 443 TCP vSphere Web Access

No Sí

NSX Manager vCenter Server 902 TCP vSphere Web Access

No Sí

NSX Manager Host ESXi 443 TCP Conexión de aprovisionamiento y administración

No Sí

NSX Manager Host ESXi 902 TCP Conexión de aprovisionamiento y administración

No Sí

NSX Manager Servidor DNS 53 TCP Conexión de cliente DNS

No No

NSX Manager Servidor DNS 53 UDP Conexión de cliente DNS

No No

NSX Manager Servidor syslog 514 TCP Conexión de Syslog No No

NSX Manager Servidor syslog 514 UDP Conexión de Syslog No No

NSX Manager Servidor horario NTP

123 TCP Conexión de cliente NTP

No Sí

NSX Manager Servidor horario NTP

123 UDP Conexión de cliente NTP

No Sí

vCenter Server NSX Manager 80 TCP Preparación del host

No Sí

Cliente REST NSX Manager 443 TCP API de REST de NSX Manager



VMware, Inc. 17



Terminal de túnel de VXLAN (VTEP)

Terminal de túnel de VXLAN (VTEP)

8472 (valor predeterminado antes de NSX 6.2.3) o 4789 (valor predeterminado en las instalaciones nuevas de NSX 6.2.3 y versiones posteriores)

UDP Encapsulación de red de transporte entre VTEP

No Sí

Host ESXi Host ESXi 6999 UDP ARP en LIF de VLAN

No Sí

Host ESXi NSX Manager 8301, 8302

UDP Sincronización de DVS

No Sí

NSX Manager Host ESXi 8301, 8302

UDP Sincronización de DVS

No Sí

Máquina virtual de Guest Introspection

NSX Manager 5671 TCP RabbitMQ No Sí Usuario y contraseña de RabbitMQ

NSX Manager principal

NSX Manager secundario

443 TCP Servicio de sincronización Universal de Cross-vCenter NSX

No Sí


vCenter Server 443 TCP vSphere API No Sí


vCenter Server 443 TCP vSphere API No Sí


Clúster de controladores universal de NSX

443 TCP API de REST de NSX Controller



VMware, Inc. 18




Clúster de controladores universal de NSX

443 TCP API de REST de NSX Controller


Host ESXi Clúster de controladores universal de NSX

1234 TCP Protocolo del plano de control de NSX

No Sí

Host ESXi NSX Manager principal

5671 TCP RabbitMQ No Sí Usuario y contraseña de RabbitMQ

Host ESXi NSX Manager secundario

5671 TCP RabbitMQ No Sí Usuario y contraseña de RabbitMQ


VMware, Inc. 19

Descripción general de NSX 3Las organizaciones de TI han obtenido beneficios importantes como resultado directo de la virtualización de servidores. La consolidación de servidores redujo la complejidad física, aumentó la eficiencia operativa y la capacidad de reasignar dinámicamente los recursos subyacentes para cumplir, de forma rápida y óptima, con las necesidades de las aplicaciones empresariales cada vez más dinámicas.

La arquitectura del centro de datos definido por software (SDDC) de VMware ahora extiende las tecnologías de virtualización a toda la infraestructura del centro de datos físico. VMware NSX®, la plataforma de virtualización de red, es un producto clave de la arquitectura de SDDC. Con NSX, la virtualización aporta a las redes lo que ya se ofrece en términos de capacidad informática y almacenamiento. De modo muy similar en que la virtualización del servidor crea, elimina, restaura de forma programática y crea instantáneas de máquinas virtuales basadas en software, la virtualización de red de NSX crea, elimina, restaura y crea instantáneas de redes virtuales basadas en software. El resultado es un enfoque de redes completamente transformador que no solo permite que los administradores del centro de datos alcancen muchísima mayor agilidad y mejor economía, sino que también permite la implementación de un modelo operativo muy simplificado para la red física subyacente. Gracias a que se puede implementar en cualquier red IP, incluidos los modelos de redes tradicionales existentes y las arquitecturas de tejido de última generación de cualquier proveedor, NSX es una solución que no provoca interrupciones. En efecto, con NSX, la infraestructura de red física existente es todo lo que se necesita para implementar un centro de datos definido por software.

VMware, Inc. 20

Memoria y recursos informáticos físicos

Aplicación

Entorno x86

Hipervisor del servidor

Aplicación Aplicación

Máquinavirtual

Máquinavirtual

Requisito: x86

Desacoplado

Máquinavirtual

Red física

Carga de trabajo

Servicio de red de Capa 2, Capa 3, Capas 4-7

Plataforma de virtualización de red

Carga de trabajo Carga de trabajo

Redvirtual

Redvirtual

Requisito: transporte de IP

Redvirtual

La imagen de arriba establece una analogía entre la virtualización informática y de red. Con la virtualización del servidor, una capa de abstracción de software (hipervisor de servidor) reproduce los atributos conocidos de un servidor físico x86 (por ejemplo, CPU, RAM, disco, NIC) en el software; de este modo, esos atributos pueden ensamblarse programáticamente en cualquier combinación arbitraria para producir una única máquina virtual en cuestión de segundos.

Con la virtualización de red, el equivalente funcional de un hipervisor de red reproduce en el software el conjunto completo de servicios de red de Capa 2 a Capa 7 (por ejemplo, conmutación, enrutamiento, control de acceso, protección de firewall, calidad de servicio [QoS] y equilibrio de carga). Como consecuencia, estos servicios pueden ensamblarse mediante programación en cualquier combinación arbitraria para producir redes virtuales únicas y aisladas en cuestión de segundos.

Con la virtualización de red se obtienen beneficios similares a los que ofrece la virtualización del servidor. Por ejemplo, así como las máquinas virtuales son independientes de la plataforma x86 subyacente y permiten que TI trate los hosts físicos como un grupo con capacidad informática, las redes virtuales son independientes del hardware de red IP subyacente y permiten que TI trate la red física como un grupo con capacidad de transporte que puede consumirse y reasignarse a petición. A diferencia de las arquitecturas heredadas, las redes virtuales pueden aprovisionarse, cambiarse, almacenarse, eliminarse y restaurarse de forma programática sin volver a configurar la topología o el hardware físico subyacente. Al combinar las capacidades y los beneficios que ofrecen las soluciones conocidas de virtualización de almacenamiento y del servidor, este enfoque de redes transformador despliega todo el potencial del centro de datos definido por software.

NSX puede configurarse mediante vSphere Web Client, una interfaz de línea de comandos (CLI) y una API de REST.

Este capítulo incluye los siguientes temas:

n Componentes de NSX

n NSX Edge


VMware, Inc. 21

n NSX Services

Componentes de NSXEn esta sección se describen los componentes de la solución NSX.

CMP

NSXController

NSXManager

Plataforma de consumo

NSXEdge

Plano de datos

FirewallDLRVXLANVDSNSX

vSwitch

Módulos de extensión del hipervisor

+

Plano de administración

Plano de control estado de tiempo de ejecución

Tenga en cuenta que Cloud Management Platform (CMP) no es un componente de NSX, pero NSX proporciona la integración con casi cualquier CMP a través de la API de REST y la integración inmediata con las CMP de VMware.

Plano de datosEl plano de datos de NSX consiste en NSX vSwitch, que se basa en vSphere Distributed Switch (VDS) con otros componentes que permiten habilitar servicios. Los módulos de kernel de NSX, los agentes de espacio de usuarios, los archivos de configuración y los scripts de instalación están empaquetados en VIB y se ejecutan dentro del kernel del hipervisor a fin de proveer servicios, como el enrutamiento distribuido y el firewall lógico, y habilitar capacidades de puente con VXLAN.


VMware, Inc. 22

NSX vSwitch (basado en VDS) abstrae la red física y proporciona conmutación en el hipervisor en el nivel de acceso. Es fundamental para la virtualización de red, ya que habilita redes lógicas que son independientes de las construcciones físicas, como las VLAN. Algunos de los beneficios de vSwitch son los siguientes:

n Compatibilidad con redes de superposición con protocolos (como VXLAN) y configuración de red centralizada Las redes de superposición habilitan las siguientes capacidades:

n Uso reducido de identificadores de VLAN en la red física

n Creación de una superposición de Capa 2 (L2) lógica flexible en las redes IP existentes de la infraestructura física existente sin que sea necesario volver a establecer la arquitectura de las redes del centro de datos

n Aprovisionamiento de comunicación (Este-Oeste y Norte-Sur) a la vez que se mantiene el aislamiento entre las empresas

n Cargas de trabajo y máquinas virtuales de aplicaciones que son independientes de la red de superposición y funcionan como si estuvieran conectadas a una red física de Capa 2

n Escala masiva facilitada de hipervisores

n Varias características, como la creación de reflejo del puerto, NetFlow/IPFIX, la restauración y la copia de seguridad de la configuración, la comprobación del estado de red y la calidad de servicio (QoS) y LACP, proporcionan un kit de herramientas integral para la administración del tráfico, la supervisión y la solución de problemas de una red virtual

Los enrutadores lógicos pueden proporcionar un puente de Capa 2 desde el espacio de red lógica (VXLAN) hasta la red física (VLAN).

El dispositivo de puerta de enlace generalmente es un dispositivo virtual NSX Edge. NSX Edge ofrece servicios de Capa 2 y Capa 3, firewall perimetral, equilibrio de carga y otros, como SSL VPN y DHCP.

Plano de controlEl plano de control de NSX se ejecuta en el clúster de NSX Controller. NSX Controller es un sistema de administración de estado avanzado que proporciona funciones en el plano de control para el enrutamiento y la conmutación lógica de NSX. Es el punto de control central para todos los conmutadores lógicos de una red, además de que conserva la información de todos los hosts, conmutadores lógicos (VXLAN) y enrutadores lógicos distribuidos.

El clúster de controladoras se encarga de administrar los módulos de conmutación y enrutamiento distribuido de los hipervisores. Por la controladora no pasa ningún tráfico del plano de datos. Los nodos de controladora se implementan en un clúster de tres miembros para habilitar la escala y la alta disponibilidad. Cualquier error en los nodos no afecta el tráfico del plano de datos.

NSX Controller funciona distribuyendo la información de red a los hosts. A fin de alcanzar un alto nivel de resiliencia, NSX Controller se integra en un clúster para ofrecer escalabilidad horizontal y HA. NSX Controller debe implementarse en un clúster de tres nodos. Los tres dispositivos virtuales proporcionan, mantienen y actualizan el estado de funcionamiento de las redes del dominio NSX. Se utiliza NSX Manager para implementar los nodos de NSX Controller.


VMware, Inc. 23

Los tres nodos de NSX Controller forman un clúster de control. El clúster de controladoras requiere cuórum (también llamado mayoría) para poder evitar una situación de "cerebro dividido". En ese tipo de situaciones, las incoherencias de datos surgen del mantenimiento de dos conjuntos de datos distintos que se superponen. Las inconsistencias pueden deberse a condiciones de error y a problemas con la sincronización de datos. Al tener tres nodos de controladora se garantiza la redundancia de datos en caso de que ocurra un error en un nodo de NSX Controller.

Un clúster de controladoras tiene varias funciones, entre ellas:

n Proveedor de API

n Servidor de persistencia

n Administrador de conmutadores

n Administrador lógico

n Servidor de directorio

A cada función le corresponde un nodo de controladora maestro. Si se producen errores en un nodo de controladora maestro para un rol, el clúster elige un nuevo nodo maestro para ese rol entre los nodos disponibles de NSX Controller. El nuevo nodo maestro de NSX Controller para ese rol vuelve a asignar las porciones perdidas de trabajo entre los nodos de NSX Controller restantes.

NSX admite tres modos para el plano de control de conmutadores lógicos: multidifusión, unidifusión e híbrido. Al utilizar un clúster de controladoras para administrar los conmutadores lógicos basados en VXLAN deja de ser necesaria la compatibilidad de multidifusión de la infraestructura de red física. No es necesario proporcionar direcciones IP para un grupo de multidifusión ni habilitar las características de enrutamiento de PMI o de intromisión de IGMP en los enrutadores o los conmutadores físicos. Por lo tanto, los modos híbrido y de unidifusión desacoplan a NSX de la red física. Las VXLAN que están en el modo de unidifusión del plano de control no requieren que la red física admita la multidifusión para poder administrar el tráfico de difusión, de unidifusión desconocida y de multidifusión (BUM) dentro de un conmutador lógico. El modo de unidifusión replica todo el tráfico BUM localmente en el host y no requiere la configuración de la red física. En el modo híbrido, parte de la replicación del tráfico BUM se descarga en el conmutador físico del primer salto para lograr un mejor rendimiento. El modo híbrido requiere la intromisión de IGMP en el conmutador del primer salto y el acceso a un solicitante de IGMP en cada subred de VTEP.

Plano de administraciónLa creación del plano de administración de NSX se realiza mediante NSX Manager, el componente de administración de red centralizada de NSX. Proporciona el único punto de configuración y los puntos de entrada de la API de REST.

NSX Manager se instala como dispositivo virtual en cualquier host ESX™ del entorno de vCenter Server. NSX Manager y vCenter tienen una relación uno a uno. Para cada instancia de NSX Manager, hay una de vCenter Server. Esto es cierto incluso en un entorno de Cross-vCenter NSX.


VMware, Inc. 24

En un entorno de Cross-vCenter NSX, hay una instancia principal de NSX Manager y una o más instancias secundarias de NSX Manager. La instancia principal de NSX Manager permite crear y administrar conmutadores lógicos universales, enrutadores lógicos (distribuidos) universales y reglas de firewall universales. Las instancias secundarias de NSX Manager se utilizan para administrar servicios de red que corresponden localmente a la instancia específica de NSX Manager. Puede haber hasta siete instancias secundarias de NSX Manager asociadas con la instancia principal en un entorno de Cross-vCenter NSX.

Plataforma de consumoEl consumo de NSX puede impulsarse directamente desde la interfaz de usuario de NSX Manager, disponible en vSphere Web Client. En general, los usuarios finales unen la virtualización de red con Cloud Management Platform (CMP) para implementar aplicaciones. NSX proporciona una integración completa en prácticamente cualquier CMP a través de las API de REST. La integración inmediata también está disponible mediante VMware vCloud Automation Center, vCloud Director y OpenStack con el complemento Neutron para NSX.

NSX EdgePuede instalar NSX Edge como una puerta de enlace de servicios Edge (ESG) o un enrutador lógico distribuido (DLR).

Puerta de enlace de servicios EdgeLa ESG brinda acceso a todos los servicios de NSX Edge, como firewall, NAT, DHCP, VPN, equilibrio de carga y alta disponibilidad. Puede instalar varios dispositivos virtuales de ESG en un centro de datos. Cada dispositivo virtual de ESG puede tener un total de diez interfaces de red interna y vínculo superior. Con un tronco, una ESG puede tener hasta 200 subinterfaces. Las interfaces internas se conectan a grupos de puertos protegidos y actúan como puerta de enlace para todas las máquinas virtuales protegidas del grupo de puertos. La subred asignada a la interfaz interna puede ser un espacio de IP enrutado públicamente o un espacio de direcciones privado (RFC 1918) con uso de NAT. Las reglas de firewall y otros servicios NSX Edge se aplican en el tráfico entre las interfaces de red.

Las interfaces de vínculo superior de las ESG se conectan a grupos de puertos de vínculo superior que tienen acceso a una red compartida de la empresa o a un servicio que proporciona redes de capa de acceso. Se pueden configurar varias direcciones IP externas para los servicios de NAT, VPN de sitio a sitio y equilibrador de carga.

Enrutador lógico distribuidoEl DLR proporciona enrutamiento distribuido de Este a Oeste con espacio de dirección IP de empresa y aislamiento de ruta de acceso de datos. Las máquinas virtuales o cargas de trabajo que residen en el mismo host, en diferentes subredes, pueden comunicarse entre sí sin necesidad de atravesar una interfaz de enrutamiento tradicional.


VMware, Inc. 25

Un enrutador lógico puede tener ocho interfaces de vínculo superior y hasta mil interfaces internas. Una interfaz de vínculo superior de un DLR generalmente se empareja con una ESG, con un conmutador de tránsito lógico de Capa 2 interviniente entre el DLR y la ESG. Una interfaz interna de un DLR se empareja con una máquina virtual alojada en un hipervisor ESXi, mediante un conmutador lógico interviniente entre la máquina virtual y el DLR.

El DLR tiene dos componentes principales:

n El plano de control del DLR es un elemento que proporciona el dispositivo virtual del DLR (también denominado máquina virtual de control). Está máquina virtual es compatible con los protocolos de enrutamiento dinámico (BGP y OSPF), intercambia actualizaciones de enrutamiento con el dispositivo de salto de Capa 3 siguiente (generalmente, la puerta de enlace de servicios Edge) y se comunica con NSX Manager y el clúster de NSX Controller. La alta disponibilidad para el dispositivo virtual del DLR se admite mediante la configuración activo-en espera: se proporciona un par de máquinas virtuales que funcionan en los modos activo/en espera cuando se crea el DLR con la característica HA habilitada.

n En el nivel del plano de datos, hay módulos de kernel del DLR (VIB) que se instalan en los hosts ESXi que son parte del dominio NSX. Los módulos de kernel son similares a las tarjetas de línea de un chasis modular que admite el enrutamiento de Capa 3. Los módulos de kernel tienen una base de información de enrutamiento (RIB) (también conocida como tabla de enrutamiento) que se inserta desde el clúster de controladoras. Las funciones del plano de datos de búsqueda de rutas y búsqueda de entradas de ARP se ejecutan mediante los módulos de kernel. Los módulos de kernel están equipados con interfaces lógicas (denominadas LIF) que se conectan a diferentes conmutadores lógicos y a cualquier grupo de puertos respaldado por VLAN. Cada LIF tiene asignada una dirección IP que representa la puerta de enlace IP predeterminada del segmento de Capa 2 lógico al que se conecta y una dirección vMAC. La dirección IP es única para cada LIF, mientras que la misma vMAC se asigna a todas las LIF definidas.


VMware, Inc. 26

Figura 3-1. Componentes de enrutamiento lógico

VPN VP

NSXManager1

25

3

4

6

NSX Edge (actúa como el enrutador del siguiente salto)

192.168.100.0/24

Redexterna

Clúster delcontrolador

Dispositivode enrutador

lógico

vSphere Distributed Switch

OSPF, BGP

Control

Emparejamiento

Máquina virtual web

172.16.10.11

172.16.10.1

Máquina virtual de aplicaciones172.16.20.11

172.16.20.1

Enrutadorlógico

Control192.168.10.1

192.168.10.2

Ruta de datos192.168.10.3

1 Una instancia de DLR se crea a partir de la interfaz de usuario de NSX Manager (o con llamadas API) usando el enrutamiento, con lo cual se aprovechan OSPF o BGP.

2 NSX Controller usa el plano de control con los hosts ESXi para insertar la nueva configuración del DLR, incluidas las LIF y sus direcciones IP y vMAC asociadas.

3 Si asumimos que el protocolo de enrutamiento también está habilitado en el dispositivo de salto siguiente (NSX Edge [ESG] en este ejemplo), el emparejamiento OSPF o BGP se establece entre la ESG y la máquina virtual de control del DLR. Posteriormente, la ESG y el DLR pueden intercambiar información de enrutamiento:

n La máquina virtual de control del DLR se puede configurar para redistribuir en OSPF los prefijos IP de todas las redes lógicas conectadas (172.16.10.0/24 y 172.16.20.0/24 en este ejemplo). Como consecuencia, esta máquina virtual inserta esos anuncios de ruta en NSX Edge. Observe que el salto siguiente de esos prefijos no es la dirección IP asignada a la máquina virtual de control (192.168.10.3), sino la dirección IP que identifica el componente del plano de datos del DLR (192.168.10.2). La primera se conoce como la "dirección del protocolo" del DLR, mientras que la segunda es la "dirección de reenvío".


VMware, Inc. 27

n NSX Edge inserta en la máquina virtual de control los prefijos para comunicarse con las redes IP de la red externa. En la mayoría de los casos, es posible que NSX Edge envíe una sola ruta predeterminada, porque representa el único punto de salida hacia la infraestructura de red física.

4 La máquina virtual de control del DLR inserta las rutas IP conocidas por NSX Edge en el clúster de controladoras.

5 El clúster de controladoras es el responsable de distribuir las rutas conocidas de la máquina virtual de control del DLR a los hipervisores. Cada nodo de controladora del clúster es responsable de distribuir la información de una instancia de enrutador lógico en particular. En una implementación con varias instancias de enrutador lógico implementadas, la carga se distribuye entre los nodos de controladora. Una instancia de enrutador lógico distinta generalmente se asocia con cada empresa implementada.

6 Los módulos de kernel de enrutamiento del DLR de los hosts controlan el tráfico de la ruta de acceso de datos para la comunicación con la red externa mediante NSX Edge.

NSX ServicesLos componentes de NSX trabajan juntos para brindar los servicios funcionales siguientes.

Conmutadores lógicosUna implementación de nube o un centro de datos virtual tiene una variedad de aplicaciones en varias empresas. Estas aplicaciones y empresas requieren un aislamiento entre sí por motivos de seguridad, aislamiento de errores y direcciones IP que no se superpongan. NSX permite la creación de varios conmutadores lógicos, cada uno de los cuales es un dominio de difusión lógico único. Una máquina virtual de aplicaciones o empresa se puede conectar de forma lógica a un conmutador lógico. Esto permite flexibilidad y velocidad de implementación, al mismo tiempo que brinda todas las características de los dominios de difusión de una red física (VLAN) sin los problemas físicos de árbol de expansión o dispersión en la Capa 2.

Un conmutador lógico se distribuye a todos los hosts de vCenter (o todos los hosts de un entorno de Cross-vCenter NSX) y puede abarcar todos estos hosts. Esto permite la movilidad de la máquina virtual (vMotion) dentro del centro de datos sin las restricciones del límite de la Capa 2 física (VLAN). La infraestructura física no está limitada por los límites de la tabla de MAC/FIB, dado que el conmutador lógico contiene el dominio de difusión en software.

Enrutadores lógicosEl enrutamiento proporciona la información de reenvío necesaria entre los dominios de difusión de Capa 2 y permite disminuir el tamaño de los dominios de difusión de Capa 2, así como mejorar la eficiencia y la escala de la red. NSX amplía esta inteligencia hasta donde residen las cargas de trabajo para el enrutamiento de Este a Oeste. Esto permite una comunicación más directa de una máquina virtual a otra sin la costosa necesidad en cuanto a tiempo y dinero de ampliar los saltos. Al mismo tiempo, los enrutadores lógicos de NSX proporcionan conectividad de Norte a Sur y permiten que las empresas accedan a redes públicas.


VMware, Inc. 28

Firewall lógicoEl firewall lógico proporciona mecanismos de seguridad para los centros de datos virtuales dinámicos. El componente firewall distribuido del firewall lógico permite segmentar entidades del centro de datos virtual, como máquinas virtuales basadas en nombres y atributos de máquinas virtuales, identidad del usuario, objetos de vCenter (por ejemplo, centros de datos) y hosts, así como atributos de redes tradicionales (direcciones IP, VLAN, etc.). El componente firewall de Edge ayuda a cumplir con los requisitos clave de seguridad de perímetro, como la creación de DMZ según las construcciones de IP/VLAN, y permite el aislamiento de empresa a empresa en los centros de datos virtuales de varias empresas.

La característica de supervisión de flujo muestra la actividad de red entre las máquinas virtuales en el nivel del protocolo de aplicaciones. Puede utilizar esta información para auditar el tráfico de red, definir y refinar las directivas de firewall, e identificar amenazas a la red.

Redes privadas virtuales (VPN) lógicasSSL VPN-Plus permite a los usuarios remotos acceder a aplicaciones privadas de la empresa. La VPN IPsec ofrece conectividad de sitio a sitio entre una instancia de NSX Edge y sitios remotos con NSX o con enrutadores de hardware/puertas de enlace VPN de terceros. La VPN de Capa 2 permite ampliar el centro de datos permitiendo que las máquinas virtuales mantengan la conectividad de red al mismo tiempo que mantienen la misma dirección IP en los límites geográficos.

Equilibrador de carga lógicoEl equilibrador de carga de NSX Edge distribuye las conexiones de cliente dirigidas a una sola dirección IP virtual (VIP) en varios destinos configurados como miembros de un grupo de equilibrio de carga. Distribuye las solicitudes de servicio entrante de manera uniforme entre varios servidores de forma tal que la distribución de carga sea transparente para los usuarios. Así, el equilibrio de carga ayuda a lograr una utilización de recursos óptima, maximizar la capacidad de proceso, minimizar el tiempo de respuesta y evitar la sobrecarga.

Service ComposerService Composer permite aprovisionar y asignar los servicios de red y seguridad a las aplicaciones en una infraestructura virtual. Estos servicios se asignan a un grupo de seguridad y los servicios se aplican a las máquinas virtuales del grupo de seguridad por medio de una directiva de seguridad.

Extensibilidad de NSXLos proveedores de soluciones de terceros pueden integrar sus soluciones con la plataforma de NSX para permitir que los clientes tengan una experiencia integrada en todos los productos de VMware y las soluciones de partners. Los operadores del centro de datos pueden aprovisionar redes virtuales complejas de varios niveles en cuestión de segundos, independientemente de los componentes o la topología de red subyacente.


VMware, Inc. 29

Descripción general de Cross-vCenter Networking and Security 4NSX 6.2 y las versiones posteriores permiten administrar varios entornos de vCenter NSX desde un único NSX Manager principal.


n Beneficios de Cross-vCenter NSX

n Cómo funciona Cross-vCenter NSX

n Matriz de compatibilidad de NSX Services en Cross-vCenter NSX

n Clúster de controladoras universal

n Zona de transporte universal

n Conmutadores lógicos universales

n Enrutadores lógicos (distribuidos) universales

n Reglas de firewall universal

n Objetos de seguridad y red universal

n Topologías de Cross-vCenter NSX

n Modificar los roles de NSX Manager

Beneficios de Cross-vCenter NSXLos entornos de NSX que contienen más de un sistema vCenter Server pueden administrarse de manera centralizada.

Hay varios motivos por los que pueden requerirse varios sistemas vCenter Server. Por ejemplo:

n Para superar límites de escala de vCenter Server

n Para admitir productos que requieren varios sistemas vCenter Server o sistemas vCenter Server dedicados, como Horizon View o Site Recovery Manager

n Para separar entornos, por ejemplo, por unidad de negocios, arrendatario, organización o tipo de entorno

VMware, Inc. 30

En NSX 6.1 y anteriores, si se implementan varios entornos de vCenter NSX, estos deben administrarse por separado. En NSX 6.2 y versiones posteriores, puede crear objetos universales en el NSX Manager primario, que se sincronizan en todos los sistemas vCenter Server del entorno.

Cross-vCenter NSX incluye estas características:

n Mayor expansión de las redes lógicas de NSX. Las mismas redes lógicas están disponibles en el entorno de vCenter NSX, por lo que es posible que las máquinas virtuales en cualquier clúster de cualquier sistema vCenter Server se conecten con la misma red lógica.

n Administración centralizada de directivas de seguridad. Las reglas de firewall se administran desde una ubicación centralizada y se aplican a la máquina virtual independientemente de la ubicación o del sistema vCenter Server.

n Compatibilidad con los nuevos límites de movilidad en vSphere 6, incluidos Cross vCenter y vMotion de larga distancia en todos los conmutadores lógicos.

n Mayor compatibilidad con entornos de varios sitios, desde distancia de metros hasta 150 ms RTT. Esto incluye centros de datos activo-activo y activo-pasivo.

Los entornos de Cross-vCenter NSX ofrecen varios beneficios:

n Administración centralizada de objetos universales, lo que reduce el esfuerzo de administración.

n Mayor movilidad de las cargas de trabajo. Las máquinas virtuales pueden migrarse mediante vMotion en todas las instancias de vCenter Server sin necesidad de volver a configurar la máquina virtual o cambiar las reglas de firewall.

n Capacidades mejoradas de NSX de varios sitios y recuperación de desastres.

Nota Se admite la funcionalidad Cross-vCenter NSX en vSphere 6.0 y versiones posteriores.

Cómo funciona Cross-vCenter NSXEn un entorno de Cross-vCenter NSX, puede haber varias instancias de vCenter Server, cada una emparejado con su propia instancia de NSX Manager. A una instancia de NSX Manager se le asigna el rol de instancia principal y a las otras se les asigna el rol de instancias secundarias.

La instancia principal de NSX Manager se utiliza para implementar un clúster de controladoras universales que proporciona el plano de control al entorno de Cross-vCenter NSX. Las instancias secundarias de NSX Manager no tienen su propio clúster de controladoras.

La instancia principal de NSX Manager puede crear objetos universales, como conmutadores lógicos universales. Estos objetos se sincronizan con las instancias secundarias de NSX Manager mediante el servicio de sincronización universal de NSX. Puede ver los objetos desde las instancias secundarias de NSX Manager, pero no puede editarlos. Debe utilizar la instancia principal de NSX Manager para administrar objetos universales. La instancia principal de NSX Manager puede utilizarse para configurar cualquiera de las instancias secundarias de NSX Manager en el entorno.


VMware, Inc. 31

En las instancias principales y secundarias de NSX Manager, se pueden crear objetos locales para el entorno específico de vCenter NSX, como los conmutadores lógicos y los enrutadores lógicos (distribuidos). Existirán solo en el entorno de vCenter NSX en el que se crearon. No estarán visibles en otras instancias de NSX Manager del entorno de Cross-vCenter NSX.

A las instancias de NSX Manager se les puede asignar el rol independiente. Esto equivale a los entornos previos a NSX 6.2 con una única instancia de NSX Manager y vCenter. Una instancia de NSX Manager independiente no puede crear objetos universales.

Nota Si cambia el rol de una instancia principal de NSX Manager a una independiente y existen objetos universales en el entorno de NSX, se asignará el rol de tránsito a NSX Manager. Los objetos universales se mantienen, pero no pueden cambiarse, así como tampoco pueden crearse otros objetos universales. Se pueden eliminar objetos universales del rol de tránsito. El rol de tránsito solo debe utilizarse de forma temporal, por ejemplo, cuando la instancia de NSX Manager que se cambia es la principal.

Enrutador lógico distribuido universal

Firewalldistribuidouniversal

Configuración de objetos universales(vSphere Web Client y API)

Sincronización de objetos universales

vCenter con NSXManager (principal)

Clúster decontroladoresuniversales

Sitio B

Zona de transporte universal

Conmutadores lógicos universales

Sitio A

vCenter con NSXManager (secundario)

Sitio H


Inventario local de vCenter Inventario local de vCenterInventario local de vCenter


VMware, Inc. 32

Matriz de compatibilidad de NSX Services en Cross-vCenter NSXHay un subconjunto de servicios NSX Services disponibles para la sincronización universal en Cross-vCenter NSX Los servicios que no están disponibles para la sincronización universal pueden configurarse para su uso local con NSX Manager.

Tabla 4-1. Matriz de compatibilidad de NSX Services en Cross-vCenter NSX

NSX Service Detalles¿Admite la sincronización de Cross-vCenter NSX ?

Conmutador lógico Zona de transporte Sí

Conmutador lógico Sí

Puentes de Capa 2 No

Enrutamiento Enrutador lógico (distribuido) Sí

Dispositivo enrutador lógico (distribuido) No por diseño. Se deben crear dispositivos en cada instancia de NSX Manager si se necesitan varios dispositivos por enrutador lógico universal. Esto permite distintas configuraciones por dispositivo, lo que puede ser necesario en un entorno con salida local configurada.

Puerta de enlace de servicios NSX Edge No

Firewall lógico Firewall distribuido Sí

Lista de exclusiones No

SpoofGuard No

Supervisión de flujo para flujos agregados

No

Inserción de servicios de red No

Firewall de Edge No

VPN No

Equilibrador de carga lógico No

Otros servicios Edge No

Service Composer No

Extensibilidad de la red No

Objetos de seguridad y red Grupos de dirección IP (conjuntos IP) Sí

Grupos de dirección MAC (conjuntos MAC)

Sí

Grupos de direcciones IP No


VMware, Inc. 33

Tabla 4-1. Matriz de compatibilidad de NSX Services en Cross-vCenter NSX (continuación)

NSX Service Detalles¿Admite la sincronización de Cross-vCenter NSX ?

Grupos de seguridad Sí, pero la configuración de pertenencia a grupos varía de los grupos de seguridad universal a los de seguridad no universal. Consulte "Crear un grupo de seguridad" (Create a Security Group) en la Guía de administración de NSX para obtener más detalles.

Servicios Sí

Grupos de servicio Sí

Etiquetas de seguridad Sí

Puerta de enlace de hardware (también conocida como el VTEP de hardware)

No. Consulte "Configurar una puerta de enlace de hardware" (Hardware Gateway Sample Configuration) en la Guía de administración de NSX para obtener más detalles.

Clúster de controladoras universalCada entorno de Cross-vCenter NSX tiene un clúster de controladoras universal asociado con la instancia de NSX Manager principal. Las instancias de NSX Manager secundarias no tienen clúster de controladoras.

Dado que el clúster de controladoras universal es el único clúster de controladoras para el entorno de Cross-vCenter NSX, mantiene información sobre los conmutadores lógicos universales y los enrutadores lógicos universales al igual que sobre los conmutadores lógicos y los enrutadores lógicos que son locales en un par de NSX de vCenter.

Para evitar cualquier superposición de los identificadores de objetos, se mantienen grupos de identificadores distintos para los objetos universales y los objetos locales.

Zona de transporte universalEn un entorno de Cross-vCenter NSX, puede haber solo una zona de transporte universal.

La zona de transporte universal se crea en la instancia de NSX Manager principal y se sincroniza en las instancias de NSX Manager secundarias. Los clústeres que deben participar en redes lógicas universales deben agregarse a la zona de transporte universal desde las instancias de NSX Manager correspondientes.

Conmutadores lógicos universalesLos conmutadores lógicos universales permiten que las redes de Capa 2 abarquen varios sitios.


VMware, Inc. 34

Al crear un conmutador lógico en una zona de transporte universal, se crea un conmutador lógico universal. Este conmutador está disponible en todos los clústeres de la zona de transporte universal. La zona de transporte universal puede incluir clústeres en cualquier instancia de vCenter del entorno de Cross-vCenter NSX.

El grupo de identificadores de segmentos se utiliza para asignar VNI a los conmutadores lógicos y el grupo de identificadores de segmentos universales se utiliza para asignar VNI a los conmutadores lógicos universales. Estos grupos no deben superponerse.

Debe utilizar un enrutador lógico universal para efectuar el enrutamiento entre los conmutadores lógicos universales. Si necesita realizar un enrutamiento entre un conmutador lógico universal y un conmutador lógico, debe utilizar una puerta de enlace de servicios Edge.

Enrutadores lógicos (distribuidos) universalesLos enrutadores lógicos (distribuidos) universales ofrecen administración centralizada y una configuración de enrutamiento que se puede personalizar en el nivel del enrutador lógico universal, el clúster o el host.

Cuando crea un enrutador lógico universal, debe elegir si desea habilitar la salida local, dado que esto no se puede modificar después de la creación. La salida local permite controlar las rutas que se proporcionan a los hosts ESXi según un identificador, el identificador de región.

A cada instancia de NSX Manager se le asigna un identificador de región, que está establecido en el UUID de NSX Manager de forma predeterminada. Puede anular el identificador de región en los niveles siguientes:

n Enrutador lógico universal

n Clúster

n Host ESXi

Si no habilita la salida local, el identificador de región se omite y todos los hosts ESXi conectados al enrutador lógico universal reciben las mismas rutas. Habilitar o no la salida local en un entorno de Cross-vCenter NSX es una decisión de diseño, pero no es necesaria para todas las configuraciones de Cross-vCenter NSX.

Reglas de firewall universalEl firewall distribuido en un entorno de Cross-vCenter NSX permite la administración centralizada de las reglas que aplican a todas las instancias de vCenter Server del entorno. Es compatible con Cross-vCenter vMotion, lo que permite mover cargas de trabajo o máquinas virtuales de una instancia de vCenter Server a otra y extender sin problemas la seguridad del centro de datos definido por software.

A medida que el centro de datos necesita escalar horizontalmente, es posible que la instancia de vCenter Server existente no escale en el mismo nivel. Esto puede requerir que se mueva un conjunto de aplicaciones a hosts más nuevos administrados por otra instancia de vCenter Server. O quizás se deban mover las aplicaciones de la etapa de copias intermedias a producción en un entorno donde los


VMware, Inc. 35

servidores de copias intermedias sean administrados por una instancia de vCenter Server y los servidores de producción, por otra instancia de vCenter Server. El firewall distribuido es compatible con estas situaciones de Cross-vCenter vMotion, dado que replica las directivas de firewall que se definen para la instancia de NSX Manager principal en hasta siete instancias de NSX Manager secundarias.

Desde la instancia principal de NSX Manager, puede crear secciones de reglas de firewall distribuido marcadas para la sincronización universal. Puede crear más de una sección universal de reglas de Capa 2 y más de una sección universal de reglas de Capa 3. Las secciones universales siempre se muestran en la parte superior de las instancias principal y secundarias de NSX Manager. Estas secciones y sus reglas se sincronizan en todas las instancias de NSX Manager secundarias del entorno. Las reglas en otras secciones siguen siendo locales en la instancia de NSX Manager adecuada.

Las características de firewall distribuido siguientes no son compatibles en un entorno de Cross-vCenter NSX.

n Lista de exclusiones

n SpoofGuard

n Supervisión de flujo para flujos agregados

n Inserción de servicios de red

n Firewall de Edge

Service Composer no es compatible con la sincronización universal, por lo que no es posible utilizarlo para crear reglas de firewall distribuido en la sección universal.

Objetos de seguridad y red universalPuede crear objetos de seguridad y red personalizados para utilizarlos en las reglas de firewall distribuido en la sección universal.

Los grupos de seguridad universal (Universal Security Groups, USG) pueden tener los elementos siguientes:

n Conjuntos de direcciones IP universales

n Conjuntos de direcciones MAC universales

n Grupos de seguridad universales

n Etiquetas de seguridad universales

n Criterios dinámicos

Los objetos de seguridad y redes universales se crean, eliminan y actualizan únicamente en la instancia principal de NSX Manager, pero se pueden leer en la instancia secundaria de NSX Manager. El servicio de sincronización universal sincroniza los objetos universales en distintas instancias de vCenter de forma inmediata y bajo petición mediante el uso de la sincronización forzada.


VMware, Inc. 36

Los grupos de seguridad universal se utilizan en dos tipos de implementación: múltiples entornos cross-vCenter NSX activos e implementaciones en espera activas de cross-vCenter NSX, donde un sitio está activo en un momento determinado y el resto se encuentra en espera. Solo las implementaciones en espera activas pueden tener grupos de seguridad universales con pertenencia dinámica basada en la pertenencia estática del nombre de la máquina virtual en función de la etiqueta de seguridad universal. Una vez que se crea un grupo de seguridad universal, este ya no se puede editar para habilitar o deshabilitar la funcionalidad de escenario en espera activo. La pertenencia se define mediante los objetos incluidos, no se pueden utilizar los objetos excluidos.

Los grupos de seguridad universales no se pueden crear desde Service Composer. Los grupos de seguridad creados desde Service Composer son locales para esa instancia de NSX Manager.

Topologías de Cross-vCenter NSXSe puede implementar Cross-vCenter NSX en un solo sitio físico o en varios sitios.

Cross-vCenter NSX de varios sitios y de un solo sitioUn entorno de Cross-vCenter NSX permite utilizar los mismos conmutadores lógicos y otros objetos de red en varias instalaciones de vCenter NSX. Los sistemas vCenter Server pueden encontrarse en el mismo sitio o en sitios diferentes.

Independientemente de que el entorno de Cross-vCenter NSX se encuentre en un solo sitio o atraviese varios sitios, se puede utilizar una configuración similar. Estas dos topologías de ejemplo consisten en lo siguiente:

n Una zona de transporte universal que incluye todos los clústeres del sitio o de los sitios.

n Conmutadores lógicos universales asociados a la zona de transporte universal. Se utilizan dos conmutadores lógicos universales para conectar las máquinas virtuales y se utiliza uno como red de tránsito para el vínculo superior del enrutador.

n Se agregan máquinas virtuales a los conmutadores lógicos universales.

n Un enrutador lógico universal con un dispositivo NSX Edge para permitir el enrutamiento dinámico. El dispositivo de enrutamiento lógico universal tiene interfaces internas en los conmutadores lógicos universales de la máquina virtual y una interfaz de vínculo superior en el conmutador lógico universal de la red de tránsito.

n Puertas de enlace de servicios Edge (ESG) conectadas a la red de tránsito y la red física del enrutador de salida.

Para obtener más información sobre las topologías de cross-vCenter NSX, consulte la guía de diseño de Cross-vCenter NSX en https://communities.vmware.com/docs/DOC-32552.


VMware, Inc. 37

https://communities.vmware.com/docs/DOC-32552

Figura 4-1. Cross-vCenter NSX en un solo sitio

VPN VP

VPN VP


Puerta deenlace de servicios NSX Edge



OSPF, BGP

Sitio A

E1 E8

Dispositivo delenrutador lógicouniversal



Emparejamiento x8


Conmutadorlógico universalRed de tránsito

Enrutadores físicos


VMware, Inc. 38

Figura 4-2. Cross-vCenter NSX que abarca dos sitios

VPN VP

VPN VP



Puerta de enlace de servicios

NSX Edge


OSPF, BGP

Sitio B

E1 E8

Dispositivo delenrutador lógicouniversal



Emparejamiento

Sitio A

Enrutadores físicos


Conmutadorlógico universalRed de tránsito

Salida localTodos los sitios de un entorno de Cross-vCenter NSX de varios sitios pueden utilizar los mismos enrutadores físicos para el tráfico de salida. No obstante, si es necesario personalizar las rutas de salida, debe habilitarse la característica de salida local al crear el enrutador lógico universal.

La salida local le permite personalizar las rutas en el nivel del enrutador lógico universal, del clúster o del host. Este ejemplo de un entorno de Cross-vCenter NSX en varios sitios tiene la salida local habilitada. Las puertas de enlace de servicios Edge (ESG) en cada sitio tienen una ruta predeterminada que envía tráfico saliente a través de los enrutadores físicos del sitio. El enrutador lógico universal está configurado con dos dispositivos, uno en cada sitio. Los dispositivos conocen las rutas de las ESG de su sitio. Las rutas conocidas se envían al clúster universal de controladoras. Dado que la salida local está habilitada,


VMware, Inc. 39

el identificador de configuración regional del sitio se asocia con esas rutas. El clúster universal de controladoras envía a los hosts rutas con identificadores de configuración regional coincidentes. Las rutas conocidas del dispositivo del sitio A se envían a los hosts del sitio A y las rutas conocidas del dispositivo del sitio B se envían a los hosts del sitio B.

Para obtener más información sobre la salida local, consulte la guía de diseño de Cross-vCenter NSX en https://communities.vmware.com/docs/DOC-32552.


VPN VP

VPN VP

VPN VP

VPN VP


Puerta de enlacede serviciosNSX Edge


OSPF, BGP

Sitio B

Sitio AEnrutadores

físicos

Conmutadorlógico universal

Red de tránsito A

E1 E8

Enrutadorlógico universalDispositivoprincipal



Emparejamiento

Sitio A

Sitio AEnrutadores

físicos

Puerta de enlacede serviciosNSX Edge

OSPF, BGP

Sitio BEnrutadores

físicos

E1 E8

Sitio BEnrutadores

físicos

Emparejamiento


Conmutadorlógico universalRed de tránsito B Enrutador

lógico universalDispositivosecundario

Id. de configuración regional: Sitio A Id. de configuración regional: Sitio B

Modificar los roles de NSX ManagerUna instancia de NSX Manager puede tener roles, como primario, secundario, independiente o de tránsito. El software de sincronización especial se ejecuta en la instancia de NSX Manager principal y sincroniza todos los objetos universales con las instancias de NSX Manager secundarias.


VMware, Inc. 40


Es importante comprender qué sucede cuando se cambia el rol de NSX Manager.

Establecer como principal (Set as primary)

Esta operación establece el rol de una instancia de NSX Manager como principal e inicia el software de sincronización. Se produce un error en esta operación si NSX Manager ya es una instancia principal o una secundaria.

Establecer como independiente (desde secundaria) (Set as standalone [from secondary])

Esta operación establece el rol de NSX Manager en modo de tránsito o independiente. Es posible que se produzca un error en esta operación si NSX Manager ya tiene el rol independiente.

Establecer como independiente (desde principal) (Set as standalone [from primary])

Esta operación restablece la instancia de NSX Manager principal al modo de tránsito o independiente, detiene el software de sincronización y cancela el registro de todas las instancias de NSX Manager secundarias. Es posible que se produzca un error en esta operación si NSX Manager ya es una instancia independiente o si no es posible comunicarse con las instancias de NSX Manager secundarias.

Desconectar de principal (Disconnect from primary)

Cuando se ejecuta esta operación en una instancia de NSX Manager secundaria, esta instancia se desconecta de forma unilateral de la instancia de NSX Manager principal. Se debe utilizar esta operación si la instancia de NSX Manager principal tuvo un error irrecuperable y si se desea registrar la instancia de NSX Manager secundaria en una nueva instancia principal. Si vuelve a aparecer la instancia NSX Manager principal original, su base de datos sigue mostrando la instancia de NSX Manager secundaria como registrada. Para solucionar este problema, incluya la opción forzar (force) cuando desconecte o cancele el registro de la instancia secundaria de la instancia principal original. La opción forzar (force) quita la instancia de NSX Manager secundaria de la base de datos de la instancia de NSX Manager principal original.


VMware, Inc. 41

Zonas de transporte 5Una zona de transporte controla con qué hosts puede comunicarse un conmutador lógico. Puede expandirse a uno o más clústeres vSphere. Las zonas de transporte establecen qué clústeres y, por lo tanto, qué máquinas virtuales pueden participar en la utilización de una red en particular. En un entorno de Cross-vCenter NSX, se puede crear una zona de transporte universal, que incluya clústeres de cualquier instancia de vCenter del entorno. Se puede crear una sola zona de transporte universal.

Un entorno de NSX puede contener una o más zonas de transporte según los requisitos del usuario. Un clúster de hosts puede corresponder a varias zonas de transporte. Un conmutador lógico puede corresponder a una sola zona de transporte.

NSX no permite conectar máquinas virtuales que se encuentran en diferentes zonas de transporte. La expansión de un conmutador lógico se limita a una zona de transporte, de modo que las máquinas virtuales de diferentes zonas de transporte no pueden estar en la misma red de Capa 2. Los enrutadores lógicos distribuidos no pueden conectarse a conmutadores lógicos que están en diferentes zonas de transporte. Después de desconectar el primer conmutador lógico, la selección de otros conmutadores lógicos se limita a los de la misma zona de transporte.

Las siguientes directrices ayudan a diseñar las zonas de transporte:

n Si un clúster requiere conectividad de Capa 3, debe estar en una zona de transporte que también incluya un clúster Edge, es decir, un clúster con dispositivos Edge de Capa 3 (enrutadores lógicos distribuidos y puertas de enlace de servicios Edge).

n Supongamos que hay dos clústeres: uno para servicios web y otro para servicios de aplicaciones. Para que haya conectividad VXLAN entre las máquinas virtuales de estos dos clústeres, ambos deben estar incluidos en la zona de transporte.

n Tenga en cuenta que todos los conmutadores lógicos incluidos en la zona de transporte estarán disponibles y serán visibles para todas las máquinas virtuales de los clústeres incluidos en la zona de transporte. Si un clúster incluye entornos protegidos, quizás no sea conveniente que este clúster esté disponible para las máquinas virtuales de otros clústeres. En cambio, puede colocar el clúster protegido en una zona de transporte más aislada.

VMware, Inc. 42

n La expansión del conmutador distribuido de vSphere (VDS o DVS) debe coincidir con la de la zona de transporte. Al crear zonas de transporte en configuraciones de VDS de varios clústeres, asegúrese de que todos los clústeres del VDS seleccionado estén incluidos en la zona de transporte. Así se garantiza que el DLR esté disponible en todos los clústeres donde hay dvPortgroups de VDS disponibles.

El siguiente diagrama muestra una zona de transporte que está correctamente alineada con el límite de VDS.

[ Clúster: Comp A ]

VTEP:192.168.250.51

esxcomp-01a

VTEP:192.168.250.52

esxcomp-02a

VTEP:192.168.250.53

esxcomp-01b

VTEP:192.168.250.54

esxcomp-02b

VTEP:192.168150.52

esx-01a

VTEP:192.168.150.51

esx-02a

5001

5002

5003

[ DVS: Compute_DVS ]

[ Clúster: Comp B ]

[ Zona de transporte: zona de transporte global ]

[ Clúster: Mgmt/Edge ]

[ DVS: Mgmt_Edge_DVS ]

web1 app1 web2 LB

db1

Si no cumple con esta práctica recomendada, tenga en cuenta que si un VDS se expande en más de un clúster de hosts y la zona de transporte incluye solo uno (o un subconjunto) de estos clústeres, cualquier conmutador lógico de esa zona de transporte podrá acceder a las máquinas virtuales de todos los clústeres abarcados por el VDS. En otras palabras, la zona de transporte no podrá limitar la expansión del conmutador lógico a un subconjunto de clústeres. Si posteriormente conecta este conmutador lógico a un DLR, debe asegurarse de que las instancias del enrutador se creen únicamente en el clúster incluido en la zona de transporte, a fin de evitar problemas en la Capa 3.

Por ejemplo, cuando una zona de transporte no está alineada con el límite del VDS, el alcance de los conmutadores lógicos (5001, 5002 y 5003) y las instancias del DLR a las que están conectados quedan desasociados; esto provoca que las máquinas virtuales del clúster Comp A no puedan acceder a las interfaces lógicas (LIF) del DLR.


VMware, Inc. 43

¡Falta DLR!

¡Falta DLR!

[ Clúster: Comp A ]

[TZ/DVS no alineado]

VTEP:192.168.250.51

esxcomp-01a

VTEP:192.168.250.52

esxcomp-02a

VTEP:192.168.250.53

esxcomp-01b

VTEP:192.168.250.54

esxcomp-02b

VTEP:192.168150.52

esx-01a

VTEP:192.168.150.51

esx-02a

5001

5002

5003

[ DVS: Compute_DVS ]

[ Clúster: Comp B ]

[ Zona de transporte: zona de transporte global ]

[ Clúster: Mgmt/Edge ]

[ DVS: Mgmt_Edge_DVS ]

web1 app1 web2 LB

db1


n Agregar una zona de transporte

n Ver y editar una zona de transporte

n Expandir una zona de transporte

n Contraer una zona de transporte

n Modo Operación con controlador desconectado (Controller Disconnected Operation, CDO)

Agregar una zona de transporteUna zona de transporte controla con qué hosts puede comunicarse un conmutador lógico y puede abarcar uno o más clústeres de vSphere. Las zonas de transporte establecen qué clústeres y, por lo tanto, qué máquinas virtuales pueden participar en la utilización de una red en particular. Las zonas de transporte universales pueden expandir un clúster de vSphere en un entorno de Cross-vCenter NSX.

Puede tener una sola zona de transporte universal en un entorno de Cross-vCenter NSX.

Requisitos previos

Determine la instancia de NSX Manager adecuada en la cual desea realizar los cambios.

n En un entorno de vCenter NSX independiente o individual, hay una sola instancia de NSX Manager. Por lo tanto, no hace falta seleccionarla.

n Los objetos universales deben administrarse desde la instancia NSX Manager principal.


VMware, Inc. 44

n Los objetos locales a una instancia de NSX Manager deben administrarse desde esa instancia de NSX Manager.

n En un entorno de Cross-vCenter NSX donde no se habilitó Modo vinculado mejorado (Enhanced Linked Mode), es necesario realizar los cambios en la configuración desde el elemento vCenter vinculado a la instancia de NSX Manager que se desea modificar.

n En un entorno de Cross-vCenter NSX con el Modo vinculado mejorado (Enhanced Linked Mode), es posible realizar cambios en la configuración de cualquier instancia de NSX Manager desde cualquier vCenter vinculado. Seleccione la instancia de NSX Manager apropiada desde el menú desplegable NSX Manager.

Procedimiento

1 Diríjase a Inicio > Redes y seguridad > Instalación (Home > Networking & Security > Installation) y seleccione la pestaña Preparación de redes lógicas (Logical Network Preparation).

2 Haga clic en Zonas de transporte (Transport Zones) y en el icono Nueva zona de transporte ( ) (New Transport Zone).

3 (opcional) Para agregar una zona de transporte universal, seleccione Marcar este objeto para sincronización universal (Mark this object for universal synchronization).

4 Seleccione el modo de replicación:

n Multidifusión (Multicast): para el plano de control se utilizan las direcciones IP de multidifusión de la red física. Este modo se recomienda únicamente para actualizar a partir de implementaciones de VXLAN anteriores. Se requiere PIM/IGMP en la red física.

n Unidifusión (Unicast): el plano de control es operado por NSX Controller. El tráfico de unidifusión aprovecha la replicación de cabecera optimizada. No se requieren direcciones IP de multidifusión ni ninguna configuración de red especial.

n Híbrido (Hybrid): descarga la replicación de tráfico local en la red física (multidifusión de Capa 2). Para esto se requiere la intromisión de IGMP en el conmutador del primer salto y el acceso a un solicitante de IGMP en cada subred de VTEP, pero no se requiere tecnología PIM. El conmutador del primer salto administra la replicación de tráfico de la subred.

Importante Si crea una zona de transporte universal y selecciona el modo de replicación híbrido, debe asegurarse de que la dirección de multidifusión utilizada no tenga conflictos con ninguna otra dirección de multidifusión asignada a otra instancia de NSX Manager del entorno.

5 Seleccione los clústeres que desea agregar a la zona de transporte.

Resultados

Transport-Zone es una zona de transporte local a la instancia de NSX Manager donde se creó.

Universal-Transport-Zone es una zona de transporte universal que está disponible en todas las instancias de NSX Manager en un entorno de Cross-vCenter NSX.


VMware, Inc. 45

Pasos siguientes

Si agregó una zona de transporte, puede agregar conmutadores lógicos.

Si agregó una zona de transporte universal, puede agregar conmutadores lógicos universales.

Si agregó una zona de transporte universal, puede seleccionar las instancias de NSX Manager secundarias y agregar sus clústeres a la zona de transporte universal.

Ver y editar una zona de transportePuede ver las redes lógicas en una zona de transporte elegida, así como los clústeres y el modo de plano de control de esa zona de transporte.

Procedimiento

1 En Zonas de transporte (Transport Zones), haga doble clic en una zona de transporte.

La pestaña Resumen (Summary) muestra el nombre y la descripción de la zona de transporte, así como la cantidad de conmutadores lógicos asociados con ella. La pestaña Detalles de la zona de transporte (Transport Zone Details) muestra los clústeres de la zona de transporte.

2 Haga clic en el icono Editar configuración (Edit Settings) de la sección Detalles de la zona de transporte (Transport Zone Details) para editar el nombre, la descripción o el modo de plano de control de la zona de transporte.

Si cambia el modo de plano de control de la zona de transporte, seleccione Migrar los conmutadores lógicos existentes al nuevo modo de plano de control (Migrate existing Logical Switches to the new control plane mode) a fin de cambiar este modo para los conmutadores lógicos existentes que están vinculados a esa zona de transporte. Si no activa esta casilla, el nuevo modo de plano de control figurará solo en los conmutadores lógicos que se vincularon a esta zona de transporte después de la edición.

3 Haga clic en Aceptar (OK).

Expandir una zona de transporteEs posible agregar clústeres a una zona de transporte. Todas las zonas de transporte existentes estarán disponibles en los clústeres agregados recientemente.

Requisitos previos

Los clústeres que agrega a una zona de transporte tienen la infraestructura de red instalada y están configurados para VXLAN. Consulte la Guía de instalación de NSX.

Procedimiento

1 En Zonas de transporte (Transport Zones), haga clic en una zona de transporte.


VMware, Inc. 46

2 Haga clic en el icono Agregar clúster (Add Cluster) ( ).

3 Seleccione los clústeres que desea agregar a la zona de transporte y haga clic en Aceptar (OK).

Contraer una zona de transporteEs posible quitar clústeres de una zona de transporte. El tamaño de las zonas de transporte existentes se reduce para alojar el ámbito contraído.

Procedimiento

1 En Zonas de transporte (Transport Zones), haga doble clic en una zona de transporte.

2 En Detalles de zona de transporte (Transport Zone Details), haga clic en el icono Quitar clústeres

(Remove Clusters) ( ).

3 Seleccione los clústeres que desea quitar.


Modo Operación con controlador desconectado (Controller Disconnected Operation, CDO)

El modo Operación con controlador desconectado (Controller Disconnected Operation, CDO) garantiza que la conectividad del plano de datos no se vea afectada cuando los hosts pierden conectividad con el controlador. Puede habilitar el modo CDO para evitar problemas de conectividad temporal con el controlador.

Puede habilitar el modo CDO para cada clúster de hosts que esté conectado a la zona de transporte. El modo CDO se encuentra deshabilitado de forma predeterminada.

Nota Para habilitar el modo CDO, todos los hosts preparados del sistema deben estar actualizados a NSX 6.3.2 o una versión posterior.

Si el modo CDO está habilitado, NSX Manager crea un conmutador lógico CDO especial, uno para cada zona de transporte. El identificador de red VXLAN (VNI) del conmutador lógico de CDO especial es único frente al resto de conmutadores lógicos. Si el modo CDO está habilitado, un controlador del clúster es responsable de recopilar la información de todos los VTEP generada desde todos los nodos de transporte y de replicar la información de VTEP al resto de nodos de transporte. Si falla un controlador, se elige un nuevo controlador como el nuevo controlador maestro encargado de dicha recopilación y se migran al nuevo controlador maestro todos los nodos de transporte conectados al controlador maestro original. Además, se sincronizan los datos entre los nodos de transporte y los controladores.

Si agrega un nuevo clúster a una zona de transporte, NSX Manager inserta la configuración del modo CDO y el VNI a los hosts recién agregados. Si elimina el clúster, NSX Manager elimina los datos de VNI de los hosts.


VMware, Inc. 47

Si deshabilita el modo CDO en una zona de transporte, NSX Manager elimina el conmutador lógico CDO del controlador.

En un entorno Cross-vCenter NSX, puede habilitar el modo CDO únicamente en las zonas de transporte locales o en una topología en la que no tenga ninguna zona de transporte local y tenga una única zona de transporte universal para el NSX Manager principal. El modo CDO se replica en la zona de transporte universal para todos los NSX Manager secundarios.

Puede habilitar el modo CDO en la zona de transporte local para un NSX Manager secundario.

Habilitar el modo Operación con controlador desconectado (Controller Disconnected Operation, CDO)Puede habilitar el modo Operación con controlador desconectado (CDO) para cada clúster de hosts que pase por la zona de transporte. El modo CDO se encuentra deshabilitado de forma predeterminada.

Requisitos previos

n Compruebe que todos los hosts preparados en el sistema estén actualizados a NSX 6.3.2 o una versión posterior.

Procedimiento

1 Inicie sesión en vSphere Web Client.

2 Haga clic en Redes y seguridad (Networking & Security) > Preparación de red lógica (Logical Network Preparation) y, a continuación, haga clic en Zonas de transporte (Transport Zones).

3 Seleccione la zona de transporte requerida y haga clic en el icono Acciones (Actions). También puede hacer clic con el botón secundario en la zona de transporte.

4 Haga clic en Habilitar modo CDO (Enable CDO mode).

Se mostrará un cuadro de diálogo de confirmación.

Nota Si recibe un mensaje de error en un entorno Cross-vCenter NSX, compruebe las siguientes condiciones:

n Instancia principal de NSX Manager: solo puede habilitar el modo CDO en zonas de transporte que no compartan el mismo conmutador virtual distribuido. Si la zona de transporte universal y las zonas de transporte local comparten el mismo conmutador virtual distribuido, el modo CDO solo puede habilitarse en la zona de transporte universal.

n NSX Manager secundario: el modo CDO se replica en la zona de transporte universal para todos los NSX Manager secundarios. Puede habilitar el modo CDO en zonas de transporte local si no comparten el mismo conmutador virtual distribuido.

5 Haga clic en Sí (Yes).

El modo CDO se habilita para la zona de transporte seleccionada.


VMware, Inc. 48

Resultados

La columna Modo CDO (CDO Mode) muestra el estado como Habilitado (Enabled).

NSX Manager crea un conmutador lógico de CDO en el controlador.

Deshabilitar el modo Operación con controlador desconectado (Controller Disconnected Operation, CDO)Puede deshabilitar el modo Operación con controlador desconectado (CDO) ya habilitado a través de la zona de transporte cuando se resuelvan los problemas de conectividad con el controlador. El modo CDO permanece deshabilitado de forma predeterminada.

Procedimiento


2 Haga clic en Redes y seguridad (Networking & Security) > Preparación de red lógica (Logical Network Preparation) y, a continuación, haga clic en Zonas de transporte (Transport Zones).

3 Seleccione la zona de transporte en la que quiere deshabilitar el modo CDO y haga clic en el icono Acciones (Actions). También puede hacer clic con el botón secundario en la zona de transporte.

4 Haga clic en Deshabilitar modo CDO (Disable CDO mode).

Se mostrará un cuadro de diálogo de confirmación.


El modo CDO se deshabilitará para la zona de transporte seleccionada.

Resultados

La columna Modo CDO (CDO Mode) muestra el estado como Deshabilitado (Disabled).

NSX Manager elimina el conmutador lógico de CDO desde el controlador.


VMware, Inc. 49

Conmutadores lógicos 6Una implementación de nube o un centro de datos virtual tiene una variedad de aplicaciones en varias empresas. Estas aplicaciones y empresas requieren estar aisladas entre sí por motivos de seguridad y de aislamiento de errores, y para evitar problemas de superposición de direccionamiento IP. El conmutador lógico de NSX crea segmentos o dominios de transmisión lógicos a los que se pueden cablear de forma lógica una aplicación o una máquina virtual de empresa. Esto permite flexibilidad y velocidad de implementación, al mismo tiempo que brinda todas las características de los dominios de difusión de una red física (VLAN) sin los problemas físicos de árbol de expansión o dispersión en la Capa 2.

Se distribuye un conmutador lógico y puede abarcar clústeres informáticos arbitrariamente grandes. Esto permite la movilidad de máquinas virtuales (vMotion) dentro del centro de datos sin las limitaciones del límite (VLAN) de la Capa 2 física. La infraestructura física no necesita lidiar con los límites de la tabla de MAC/FIB dado que el conmutador lógico contiene el dominio de transmisión en software.

Un conmutador lógico se asigna a una VXLAN única, que encapsula el tráfico de la máquina virtual y lo lleva por la red IP física.

VMware, Inc. 50

vSphere Distributed Switch

Conmutador lógico 1

NSXManager

Clústerdel controlador

Conmutador lógico 2

NSX Controller es el punto de control central de todos los conmutadores lógicos dentro de una red y mantiene la información de todas las máquinas virtuales, los hosts, los conmutadores lógicos y las VXLAN. La controladora admite dos modos nuevos de plano de control del conmutador lógico, Unidifusión (Unicast) e Híbrido (Hybrid). Estos modos independizan NSX de la red física. Las VXLAN ya no requieren que la red física admita la multidifusión para controlar el tráfico de difusión, unidifusión desconocida y multidifusión (BUM) dentro de un conmutador lógico. El modo de unidifusión replica todo el tráfico BUM localmente en el host y no requiere la configuración de la red física. En el modo híbrido, parte de la replicación del tráfico BUM se descarga en el conmutador físico del primer salto para lograr un mejor rendimiento. Este modo requiere la activación de la intromisión IGMP en el primer conmutador físico de saltos. Las máquinas virtuales dentro de un conmutador lógico pueden utilizar y enviar cualquier tipo de tráfico, incluidos el IPv6 y de multidifusión.

Es posible ampliar un conmutador lógico a un dispositivo físico agregando un puente de Capa 2. Consulte Capítulo 8 Puentes L2.

Debe tener los permisos de rol de Súperadministrador (Super Administrator) o Administrador empresarial (Enterprise Administrator) para administrar conmutadores lógicos.


n Agregar un conmutador lógico


VMware, Inc. 51

n Conectar máquinas virtuales a un conmutador lógico

n Probar la conectividad del conmutador lógico

n Evitar la suplantación en un conmutador lógico

n Editar un conmutador lógico

n Escenario del conmutador lógico

Agregar un conmutador lógico

Requisitos previos

n Tener permisos de rol de superadministrador o administrador Enterprise para configurar y administrar conmutadores locales.

n El puerto UDP de VXLAN debe estar abierto en las reglas de firewall (si corresponde). El puerto UDP de VXLAN puede configurarse mediante la API.

n La MTU de la infraestructura física debe tener al menos 50 bytes más que la MTU de la vNIC de la máquina virtual.

n La dirección IP administrada debe estar establecida para cada instancia de vCenter Server en la configuración de tiempo de ejecución de vCenter Server. Consulte Administración de vCenter Server y de host.

n DHCP debe estar disponible en las VLAN de transporte de VXLAN si se utiliza DHCP para la asignación de direcciones IP para VMKNics.

n El tipo de conmutador virtual distribuido (proveedor, etc.) y la versión que se utilizan deben ser coherentes en una zona de transporte determinada. Los tipos no coherentes pueden generar un comportamiento indefinido en el conmutador lógico.

n Se debe configurar una directiva de formación de equipos de LACP adecuada y se deben conectar NIC físicas a los puertos. Para obtener más información sobre los modos de formación de equipos, consulte la documentación de VMware vSphere.

n La distribución de hash 5-tuple debe estar habilitada para el protocolo Protocolo de control de adición de enlaces (Link Aggregation Control Protocol, LACP).

n Compruebe que en cada host en el que desea utilizar LACP exista un canal de puerto LACP separado en el conmutador virtual distribuido.

n En el modo de multidifusión, el enrutamiento de multidifusión debe estar habilitado si el tráfico de VXLAN pasa por enrutadores. El usuario debe disponer de un rango de direcciones de multidifusión proporcionado por el administrador de red.

n El puerto 1234 (el puerto de escucha predeterminado del controlador) debe estar abierto en el firewall para que el host ESXi se comunique con los controladores.


VMware, Inc. 52

n (Recomendado) Para los modos de multidifusión e híbrido, debe estar habilitada la intromisión de IGMP en los conmutadores de Capa 2 a los que se conectan hosts participantes en VXLAN. Si la intromisión de IGMP está habilitada para la Capa 2, el solicitante de IGMP debe estar habilitado en el enrutador o el conmutador de Capa 3 con conectividad a redes compatibles con multidifusión.

Agregar un conmutador lógicoLos conmutadores lógicos NSX reproducen la funcionalidad de conmutación (unidifusión, multidifusión, difusión) en un entorno virtual completamente desacoplado del hardware subyacente. Los conmutadores lógicos son similares a las VLAN en cuanto a que proporcionan conexiones de red a las que se pueden conectar máquinas virtuales. Los conmutadores lógicos son locales a una implementación de vCenter NSX individual. En una implementación de Cross-vCenter NSX, puede crear conmutadores lógicos universales, que pueden abarcar todas las instancias de vCenter. El tipo de zona de transporte determina si el conmutador nuevo es un conmutador lógico o un conmutador lógico universal.

Cuando cree un conmutador lógico, además de seleccionar una zona de transporte y un modo de réplica, configure dos opciones: detección de IP y detección de MAC.

La detección de IP minimiza la saturación de tráfico ARP dentro de segmentos individuales de la VXLAN; en otras palabras, entre máquinas virtuales conectadas al mismo conmutador lógico. La detección de direcciones IP está habilitada de manera predeterminada.

Nota No puede deshabilitar la detección de IP cuando cree un conmutador lógico universal. Puede deshabilitar la detección de IP a través de la API después de crear el conmutador lógico universal. Esta opción se administra de forma independiente en cada NSX Manager. Consulte la Guía de NSX API.

La detección de MAC crea una tabla de emparejamiento de VLAN/MAC en cada vNIC. Esta tabla se almacena como parte de los datos de dvfilter. Durante la ejecución de vMotion, dvfilter guarda y restaura la tabla en la nueva ubicación. A continuación, el conmutador emite RARP para todas las entradas de VLAN/MAC de la tabla. Es posible que desee habilitar la detección de MAC si las máquinas virtuales tienen varias direcciones MAC o van a utilizar NIC virtuales que son VLAN de enlace troncal.


VMware, Inc. 53

Requisitos previos

Tabla 6-1. Requisitos previos para crear un conmutador lógico o un conmutador lógico universal

Conmutador lógico (Logical Switch) Conmutador lógico universal

n Los conmutadores distribuidos de vSphere deben estar configurados.

n NSX Manager debe estar instalado.

n Los controladeras deben estar implementados.

n Los clústeres de hosts deben estar preparados para NSX.

n VXLAN debe estar configurada.

n Debe haber un grupo de identificadores de segmentos configurado.

n Debe haber una zona de transporte configurada.

n Los conmutadores distribuidos de vSphere deben estar configurados.

n NSX Manager debe estar instalado.

n Los controladeras deben estar implementados.

n Los clústeres de hosts deben estar preparados para NSX.

n VXLAN debe estar configurada.

n Se debe asignar un NSX Manager principal.

n Se debe configurar un grupo de identificadores de segmentos universales.

n Se debe crear una zona de transporte universal.







Procedimiento

1 Vaya a Inicio > Redes y seguridad > Conmutadores lógicos (Home > Networking & Security > Logical Switches).

2 Seleccione la instancia de NSX Manager en la que desea crear un conmutador lógico. Para crear un conmutador lógico universal, debe seleccionar la instancia de NSX Manager principal.

3 Haga clic en Nuevo conmutador lógico ( ) (New Logical Switch).

4 Escriba un nombre y una descripción opcional para el conmutador lógico.


VMware, Inc. 54

5 Seleccione la zona de transporte en la que desea crear el conmutador lógico. Al seleccionar una zona de transporte universal, se creará un conmutador lógico universal.

De forma predeterminada, el conmutador lógico hereda el modo de replicación del plano de control de la zona de transporte. Puede cambiarlo a uno de los otros modos disponibles. Los modos disponibles son unidifusión, híbrido y multidifusión.

Si crea un conmutador lógico universal y selecciona el modo de replicación híbrido, debe asegurarse de que la dirección de multidifusión utilizada no tenga conflictos con otras direcciones de multidifusión asignadas a cualquier instancia de NSX Manager en el entorno Cross-vCenter NSX.

6 (Opcional) Haga clic en Habilitar detección de direcciones IP (Enable IP Discovery) para habilitar la supresión de ARP.

7 (Opcional) Haga clic en Habilitar detección de MAC (Enable MAC learning).

Ejemplo: Conmutador lógico y conmutador lógico universalApp es un conmutador lógico conectado a una zona de transporte. Solo está disponible en la instancia de NSX Manager en la que se creó.

Universal-App es un conmutador lógico universal conectado a una zona de transporte universal. Está disponible en cualquiera de las instancias de NSX Manager del entorno de Cross-vCenter NSX.

El conmutador lógico y el conmutador lógico universal tienen identificadores de segmentos de distintos grupos de identificadores de segmentos.

Pasos siguientes

Agregue máquinas virtuales a un conmutador lógico o un conmutador lógico universal.

Cree un enrutador lógico y asócielo a sus conmutadores lógicos para habilitar la conectividad entre las máquinas virtuales que están conectadas a diferentes conmutadores lógicos.

Cree un enrutador lógico universal y asócielo a conmutadores lógicos universales para habilitar la conectividad entre las máquinas virtuales que están conectadas a diferentes conmutadores lógicos universales.

Conectar un conmutador lógico a NSX EdgeSi se conecta un conmutador lógico a una puerta de enlace de servicio de NSX Edge o a un enrutador lógico de NSX Edge se proporciona enrutamiento de tráfico de Este a Oeste (entre los conmutadores lógicos) o de Norte a Sur hacia el mundo exterior o para proporcionar servicios avanzados.

Procedimiento


VMware, Inc. 55

Procedimiento

1 En Conmutadores lógicos (Logical Switches), seleccione el conmutador lógico al que desea conectar una instancia de NSX Edge.

2 Haga clic en el icono Conectar una instancia de Edge (Connect an Edge) ( ).

3 Seleccione la instancia de NSX Edge a la que desea conectar el conmutador lógico y haga clic en Siguiente (Next).

4 Seleccione la interfaz que desea conectar al conmutador lógico y haga clic en Siguiente (Next).

Generalmente, las redes lógicas se conectan a interfaces internas.

5 En la página Editar interfaz de NSX Edge (Edit NSX Edge interface), escriba un nombre para la interfaz de NSX Edge-

6 Haga clic en Interna (Internal) o Vínculo superior (Uplink) para indicar si esta interfaz es interna o de vínculo superior.

7 Seleccione el estado de conectividad de la interfaz.

8 Si la instancia de NSX Edge a la que va a conectar el conmutador lógico tiene seleccionada la opción Configuración de HA manual (Manual HA Configuration), especifique dos direcciones IP de administración en formato CIDR.

9 Edite el valor de MTU predeterminado, si es necesario.

10 Haga clic en Siguiente (Next).

11 Revise los detalles de conexión de NSX Edge y haga clic en Finalizar (Finish).

Implementar servicios en un conmutador lógicoPuede implementar servicios externos en un conmutador lógico.

Requisitos previos

Debe haber uno o más dispositivos virtuales de terceros instalados en la infraestructura.

Procedimiento

1 En Conmutadores lógicos (Logical Switches), seleccione el conmutador lógico en el que desea implementar servicios.

2 Haga clic en el icono Agregar perfil de servicios (Add Service Profile) ( ).

3 Seleccione el servicio y el perfil de servicios que desea aplicar.


Conectar máquinas virtuales a un conmutador lógicoPuede conectar máquinas virtuales a un conmutador lógico o a un conmutador lógico universal.


VMware, Inc. 56

Procedimiento

1 En Conmutadores lógicos (Logical Switches), seleccione el conmutador lógico al que desee agregar máquinas virtuales.

2 Haga clic en el icono Agregar máquina virtual (Add Virtual Machine) ( ).

3 Seleccione las máquinas virtuales que desea agregar al conmutador lógico.

4 Seleccione las vNIC que desea conectar.


6 Revise las vNIC que seleccionó.

7 Haga clic en Finalizar (Finish).

Probar la conectividad del conmutador lógicoUna prueba de ping verifica si dos hosts de una red de transporte por VXLAN pueden alcanzarse mutuamente.

1 En Conmutadores lógicos (Logical Switches), haga doble clic en el conmutador lógico que desea probar en la columna Nombre (Name).

2 Haga clic en la pestaña Supervisar (Monitor).

3 Haga clic en la pestaña Hosts.

4 Haga clic en Examinar (Browse) en la sección Host de origen (Source Host). En el cuadro de diálogo Seleccionar host (Select Host), seleccione el host de destino.

5 Seleccione el tamaño del paquete de prueba.

El tamaño estándar de VXLAN es de 1550 bytes (debe coincidir con la MTU de infraestructura física) sin fragmentación. Esto permite que NSX verifique la conectividad y compruebe que la infraestructura está preparada para recibir el tráfico de VXLAN.

Un tamaño de paquete mínimo permite la fragmentación. Por lo tanto, con el tamaño de paquete minimizado, NSX puede comprobar la conectividad pero no puede verificar si la infraestructura está lista para un tamaño de trama más grande.

6 Haga clic en Examinar (Browse) en la sección Host de destino (Destination Host). En el cuadro de diálogo Seleccionar host (Select Host), seleccione el host de destino.

7 Haga clic en Iniciar prueba (Start Test).

Se mostrarán los resultados de la prueba de ping de host a host.

Evitar la suplantación en un conmutador lógicoTras la sincronización con vCenter Server, NSX Manager recopila las direcciones IP de todas las máquinas virtuales invitadas de vCenter desde la instancia de VMware Tools en cada máquina virtual, o bien desde la detección de direcciones IP si está habilitada. NSX no confía en todas las direcciones IP


VMware, Inc. 57

aprovisionadas por VMware Tools o la detección de direcciones IP. Si hay una máquina virtual comprometida, la dirección IP puede suplantarse y las transmisiones maliciosas pueden omitir las directivas de firewall.

SpoofGuard permite autorizar las direcciones IP informadas por VMware Tools o por la detección de direcciones IP, y alterarlas si fuera necesario para evitar la suplantación. SpoofGuard confía de forma intrínseca en las direcciones MAC de las máquinas virtuales recopiladas a partir de archivos VMX y vSphere SDK. Dado que opera de forma separada de las reglas de firewall, SpoofGuard se puede utilizar para bloquear el tráfico identificado como suplantado.

Para obtener más información, consulte Capítulo 13 Utilizar SpoofGuard.

Editar un conmutador lógicoEs posible editar el nombre, la descripción y el modo del plano de control de un conmutador lógico.

Procedimiento

1 En Conmutadores lógicos (Logical Switches), seleccione el conmutador lógico que desea editar.

2 Haga clic en el icono Editar (Edit).

3 Realice los cambios deseados.


Escenario del conmutador lógicoEste escenario presenta un caso donde la empresa ACME Enterprise tiene varios hosts ESXi en dos clústeres de un centro de datos, ACME_Datacenter. Los departamentos de Ingeniería (en el grupo de puertos PG-Engineering) y de Finanzas (en el grupo de puertos PG-Finance) se encuentran en el Cluster1. El departamento de Marketing (grupo de puertos PG-Marketing) se encuentra en el Cluster2. Ambos clústeres se administran desde una única instancia de vCenter Server.


VMware, Inc. 58

Figura 6-1. La red de ACME Enterprise antes de implementar conmutadores lógicos

PG de ingeniería

vDS1

Clúster 1

Ingeniería: VLAN10:10.10.1.0/24Finanzas: VLAN 20:10.20.1.0/24Marketing: VLAN 30:10.30.1.0/24

PG de finanzas

Conmutadorfísico

PG de marketing

vDS2

Clúster 2

Conmutadorfísico

ACME se está quedando sin espacio de proceso en el Cluster1, mientras que el Cluster2 no se está utilizando lo suficiente. El supervisor de red de ACME le pide a John Admin (el administrador de virtualización de ACME) que encuentre una forma de extender el departamento de Ingeniería al Cluster2 de modo que las máquinas virtuales de Ingeniería de ambos clústeres puedan comunicarse entre ellas. De este modo, ACME podría utilizar la capacidad de proceso de ambos clústeres al ampliar su Capa 2.

Si John Admin siguiera un enfoque tradicional, debería conectar las VLAN por separado de un modo especial para que los dos clústeres pertenezcan al mismo dominio de Capa 2. ACME debería comprar un nuevo dispositivo físico para separar el tráfico, lo cual ocasionaría problemas como desbordes de las VLAN, bucles de red y sobrecarga de administración.

Pero John Admin recuerda haber visto una demostración de red lógica en VMworld y decide evaluar NSX. Llega a la conclusión de que conectar un conmutador lógico en dvSwitch1 y en dvSwitch2 le permitirá ampliar la Capa 2 de ACME. Dado que John puede aprovechar NSX Controller, no será necesario que toque la infraestructura física de ACME, ya que NSX trabaja arriba de las redes IP existentes.


VMware, Inc. 59

Figura 6-2. ACME Enterprise implementa un conmutador lógico

PG de ingeniería

PG de ingeniería

vDS1

Clúster 1

El conmutador lógico abarca varias VLAN/subredes

Ingeniería: VXLAN5000:10.10.1.0/24Finanzas: VLAN 20:10.20.1.0/24Marketing: VLAN 30:10.30.1.0/24

PG de finanzas

Conmutadorfísico

PG de marketing

vDS2

Clúster 2

Conmutadorfísico

Una vez que John Admin cree un conmutador lógico en los dos clústeres, podrá mover máquinas virtuales vMotion de un clúster a otro manteniéndolas vinculadas al mismo conmutador lógico.


VMware, Inc. 60

Figura 6-3. vMotion en una red lógica

PG de ingeniería

PG de ingeniería

vDS1

rango de vMotion rango de vMotion

Ingeniería: VXLAN5000:10.10.1.0/24Finanzas: VLAN 20:10.20.1.0/24Marketing: VLAN 30:10.30.1.0/24

PG de finanzas

Conmutadorfísico

PG de marketing

vDS2

Conmutadorfísico

Repasemos los pasos que siguió John Admin para crear una red lógica en ACME Enterprise.

John Admin asigna el grupo de identificadores de segmentos y el rango de direcciones de multidifusión a NSX ManagerJohn Admin debe especificar el grupo de identificadores de segmentos que recibió para aislar el tráfico de red de la empresa ABC.

Requisitos previos

1 John Admin verifica que dvSwitch1 y dvSwitch2 sean conmutadores distribuidos VMware de la versión 5.5.

2 John Admin establece la dirección IP administrada de vCenter Server.

a Seleccione Administración (Administration) > Configuración de vCenter Server (vCenter Server Settings) > Configuración del tiempo de ejecución (Runtime Settings).

b En IP administrada de vCenter Server (vCenter Server Managed IP), escriba 10.115.198.165.

c Haga clic en Aceptar (OK).

3 John Admin instala los componentes de virtualización de red en Cluster1 y Cluster2. Consulte Guía de instalación de NSX.


VMware, Inc. 61

4 John Admin obtiene un grupo de identificadores de segmentos (5000 a 5250) del administrador de NSX Manager de ACME. Dado que está aprovechando NSX Controller, no requiere multidifusión en su red física.

5 John Admin crea un grupo de direcciones IP para poder asignar una dirección IP estática a los VTEP de la VXLAN desde el grupo de direcciones IP. Consulte Agregar un grupo de direcciones IP.

Procedimiento

1 En vSphere Web Client, haga clic en Redes y seguridad (Networking & Security) > Instalación (Installation).

2 Haga clic en la pestaña Preparación de red lógica (Logical Network Preparation) y, a continuación, en Identificador de segmento (Segment ID).

3 Haga clic en Editar (Edit).

4 En Grupo de identificadores de segmento (Segment ID pool), escriba 5000 - 5250.

5 No seleccione Habilitar direccionamiento de multidifusión (Enable multicast addressing).


John Admin configura los parámetros de transporte de la VXLANJohn Admin configura la VXLAN en el Clúster 1 (Cluster 1) y el Clúster 2 (Cluster 2), donde asigna cada clúster a una instancia de vDS. Cuando asigna un clúster a un conmutador, cada host de ese clúster se habilita para los conmutadores lógicos.

Procedimiento

1 Haga clic en la pestaña Preparación de host (Host Preparation).

2 En el Cluster1, seleccione Configurar (Configure) en la columna VXLAN.

3 En el cuadro de diálogo Configurar redes VXLAN (Configuring VXLAN networking), seleccione dvSwitch1 como el conmutador distribuido virtual del clúster.

4 Escriba 10 para que dvSwitch1 utilice como VLAN de transporte de ACME.

5 En Especificar atributos de transporte (Specify Transport Attributes), deje 1600 como Unidades de transmisión máximas (Maximum Transmission Units) (MTU) para dvSwitch1.

MTU es la cantidad máxima de datos que se pueden transmitir en un paquete antes de que se divida en paquetes más pequeños. John Admin sabe que las tramas de tráfico del conmutador lógico de la VXLAN son ligeramente más grandes debido a la encapsulación, por lo que las MTU de cada conmutador deben establecerse en 1550 o más.

6 En Direccionamiento IP de VMKNic (VMKNic IP Addressing), seleccione Utilizar grupo de direcciones IP (Use IP Pool) y seleccione un grupo de direcciones IP.


VMware, Inc. 62

7 En Directiva de formación de equipos de VMKNic (VMKNic Teaming Policy), seleccione Conmutación por error (Failover).

John Admin desea sostener la calidad de servicio en su red manteniendo el rendimiento de los conmutadores lógicos igual en condiciones normales y con errores. Por lo tanto, elige Conmutación por error (Failover) como directiva de formación de equipos.

8 Haga clic en Agregar (Add).

9 Repita los pasos 4 a 8 para configurar la VXLAN en Cluster2.

Resultados

Después de que John Admin asigna Cluster1 y Cluster2 al conmutador adecuado, los hosts en esos clústeres están preparados para los conmutadores lógicos:

1 Se agregan una vmknic y un módulo de kernel de VXLAN a cada host en el Clúster 1 (Cluster 1) y el Clúster 2 (Cluster 2).

2 Se crea un dvPortGroup especial en la instancia de vSwitch asociada con el conmutador lógico y se conecta la VMKNic a él.

John Admin agrega una zona de transporteLa red física que respalda una red lógica se denomina transport zone. Una zona de transporte es el diámetro informático que abarca una red virtualizada.

Procedimiento

1 Haga clic en Preparación de red lógica (Logical Network Preparation) y, a continuación, haga clic en Zonas de transporte (Transport Zones).

2 Haga clic en el icono Nueva zona de transporte (New Transport Zone).

3 En Nombre (Name), escriba ACME Zone.

4 En Descripción (Description), escriba Zone containing ACME's clusters.

5 Seleccione Clúster 1 (Cluster 1) y Clúster 2 (Cluster 2) para agregar a la zona de transporte.

6 En Modo de plano de control (Control Plane Mode), seleccione Unidifusión (Unicast).


John Admin crea un conmutador lógicoUna vez que John Admin haya configurado los parámetros de transporte de la VXLAN, estará listo para crear un conmutador lógico.

Procedimiento

1 Haga clic en Conmutadores lógicos (Logical Switches) y, a continuación, haga clic en el icono Nueva red lógica (New Logical Network).

2 En Nombre (Name), escriba ACME logical network.


VMware, Inc. 63

3 En Descripción (Description), escriba Logical Network for extending ACME Engineering network to Cluster2.

4 En Zona de transporte (Transport Zone), seleccione Zona ACME (ACME Zone).


NSX crea un conmutador lógico que proporciona conectividad L2 entre dvSwitch1 y dvSwitch2.

Pasos siguientes

John Admin ahora puede conectar las máquinas virtuales de producción de ACME al conmutador lógico y el conmutador lógico a un enrutador lógico o una puerta de enlace de servicios de NSX Edge.


VMware, Inc. 64

Configurar una puerta de enlace de hardware 7La configuración de una puerta de enlace de hardware asigna redes físicas a redes virtuales. Asignar esta configuración permite a NSX aprovechar la base de datos de vSwitch abierto (OVSDB).

La base de datos de OVSDB contiene información sobre el hardware físico y la red virtual. El hardware del proveedor aloja al servidor de la base de datos.

Los conmutadores de la puerta de enlace de hardware en las redes lógicas de NSX terminan en túneles VXLAN. En la red virtual, los conmutadores de la puerta de enlace de hardware se conocen como VTEP de hardware. Para obtener más información sobre VTEP, consulte la Guía de instalación NSX y la Guía de diseño de virtualización de redes de NSX.

Una topología mínima con una puerta de enlace de hardware incluye los siguientes componentes:

n Servidor físico

n Conmutador de la puerta de enlace de hardware (puerto de Capa 2)

n Red IP

n Un mínimo de cuatro hipervisores, que incluyen dos clústeres de replicación con máquinas virtuales

n Clúster del controlador con tres nodos como mínimo

La topología de ejemplo con una puerta de enlace de hardware muestra los dos hipervisores HV1 y HV2. La máquina virtual VM1 está en el hipervisor HV1. El VTEP1 está en el HV1, el VTEP2 está en el HV2 y el VTEP3 está en la puerta de enlace de hardware. La puerta de enlace de hardware está ubicada en una subred 211 diferente, comparada con los dos hipervisores que están ubicados en la misma subred 221.

VMware, Inc. 65

VM 1

Servidor VLAN

VLAN 160

Ethernet18

HV1VTEP1

VTEP2

VTEP3

10.114.221.196HV2

WebService LSVNI 5000

10.114.221.199

NSX Controllers10.114.221.132-134

Puerta de enlace de hardware10.114.211.204

La configuración subyacente de la puerta de enlace de hardware puede contar con cualquiera de los siguientes componentes:

n Conmutador único

n Varios conmutador físicos en bus con distintas direcciones IP

n Controlador del conmutador de hardware con varios conmutadores

NSX Controller se comunica con la puerta de enlace de hardware utilizando su dirección IP en el puerto 6640. Esta conexión se utiliza para enviar y recibir transacciones de OVSDB desde las puertas de enlace de hardware.


n Escenario: configuración de ejemplo de puerta de enlace de hardware

Escenario: configuración de ejemplo de puerta de enlace de hardwareEste escenario describe las tareas utilizadas para configurar un conmutador de puerta de enlace de hardware con una implementación de NSX. La secuencia de tareas muestra cómo conectar la máquina virtual VM1 al servidor físico y cómo conectar el conmutador lógico de WebService al servidor VLAN 160 utilizando la puerta de enlace de hardware.

La topología de ejemplo muestra que la máquina virtual VM1 y el servidor VLAN están configurados con una dirección IP en la subred 10. La máquina virtual VM1 está conectada al conmutador lógico de WebService. El servidor VLAN está conectado a VLAN 160 en el servidor físico.


VMware, Inc. 66

VM

10.0.0.1/8 10.0.0.2/8

Servidor VLAN

VLAN 160Conmutador lógico de servicio web

VM 1

Importante En un entorno cross-vCenter NSX, las configuraciones de un conmutador de puerta de enlace de hardware solo son compatibles con la instancia principal de NSX Manager. Los conmutadores de puerta de enlace de hardware deben estar vinculados a conmutadores lógicos que no sean universales. Las configuraciones de puerta de enlace de hardware no son compatibles con instancias secundarias de NSX Manager.

Requisitos previos

n Lea la documentación del proveedor para comprobar si cumple los requisitos de la red física.

n Compruebe que cumple los requisitos de hardware y del sistema de NSX para la configuración de la puerta de enlace de hardware. Consulte Capítulo 1 Requisitos del sistema para NSX.

n Compruebe que el conmutador lógico se configuró correctamente. Consulte la Guía de instalación de NSX.

n Compruebe que las asignaciones de parámetros de transporte en VXLAN son precisas. Consulte la Guía de instalación de NSX.

n Recupere el certificado del proveedor de la puerta de enlace de hardware.

n Compruebe que el valor del puerto de VXLAN es 4789. Consulte Cambiar el puerto de VXLAN .

Procedimiento

1 Configurar el clúster de replicación

Un clúster de replicación está compuesto por hipervisores responsables de reenviar el tráfico enviado desde la puerta de enlace de hardware. El tráfico puede ser de tres tipos: difusión, desconocido-unidifusión o multidifusión.

2 Conectar la puerta de enlace de hardware a las instancias de NSX Controller

Es necesario configurar la tabla de administración de OVSDB en el conmutador físico ToR para conectar la puerta de enlace de hardware a NSX Controller.

3 Agregar certificado de puerta de enlace de hardware

Para que la configuración funcione se debe agregar el certificado de puerta de enlace de hardware al dispositivo.

4 Enlazar el conmutador lógico al conmutador físico

El conmutador lógico de WebService conectado a la máquina virtual VM1 debe estar comunicado con la puerta de enlace de hardware de la misma subred.


VMware, Inc. 67

Configurar el clúster de replicaciónUn clúster de replicación está compuesto por hipervisores responsables de reenviar el tráfico enviado desde la puerta de enlace de hardware. El tráfico puede ser de tres tipos: difusión, desconocido-unidifusión o multidifusión.

Nota Los hipervisores, incluidos los nodos de replicación y los conmutadores de la puerta de enlace de hardware, no pueden estar en la misma subred IP. Esta restricción se debe a la limitación del conjunto de chips utilizado en la mayoría de las puertas de enlace de hardware. La mayoría de las puertas de enlace de hardware, si no todas, utilizan el conjunto de chips Broadcom Trident II, que tiene la limitación de que requiere una red subyacente de capa 3 entre la puerta de enlace de hardware y los hipervisores.

Requisitos previos

Compruebe que cuenta con hipervisores disponibles para que actúen como nodos de replicación.

Procedimiento


2 Seleccione Redes y seguridad > Definiciones de servicio (Networking & Security > Service Definitions).

3 Haga clic en la pestaña Dispositivos de hardware (Hardware Devices).

4 Haga clic en Editar (Edit) en la sección Clúster de replicación (Replication Cluster) para seleccionar los hipervisores que actúen como nodos de replicación en dicho clúster.

5 Seleccione los hipervisores y haga clic en la flecha azul.

Los hipervisores que haya seleccionado se mueven a la columna de objetos seleccionados.



VMware, Inc. 68

Resultados

Los nodos de replicación se agregan al clúster de replicación. Debe existir al menos un host en el clúster de replicación.

Conectar la puerta de enlace de hardware a las instancias de NSX ControllerEs necesario configurar la tabla de administración de OVSDB en el conmutador físico ToR para conectar la puerta de enlace de hardware a NSX Controller.

La controladora escucha de forma pasiva el intento de conexión de ToR. Por lo tanto, la puerta de enlace de hardware debe usar la tabla de administración de OVSDB para iniciar la conexión.

Requisitos previos

Antes de configurar cualquier instancia de ToR, se deben implementar los controladores. Si no se implementan los controladores en primer lugar, se mostrará el mensaje "Error al realizar la operación en el controlador" (Failed to do the Operation on the Controller).

Procedimiento

1 Utilice los comandos que se apliquen en su entorno para conectar la puerta de enlace de hardware a la instancia de NSX Controller.

Ejemplos de comandos para conectar la puerta de enlace de hardware y NSX Controller.

prmh-nsx-tor-7050sx-3#enable

prmh-nsx-tor-7050sx-3#configure terminal

prmh-nsx-tor-7050sx-3(config)#cvx

prmh-nsx-tor-7050sx-3(config-cvx)#service hsc

prmh-nsx-tor-7050sx-3(config-cvx-hsc)#manager 172.16.2.95 6640

prmh-nsx-tor-7050sx-3(config-cvx-hsc)#no shutdown

prmh-nsx-tor-7050sx-3(config-cvx-hsc)#end

2 Configure la tabla de administración de OVSDB en la puerta de enlace de hardware.

3 Configure el valor del número de puerto de OVSDB como 6640.

4 (opcional) Compruebe que la puerta de enlace de hardware está conectada a NSX Controller a través del canal de OVSDB.

n Compruebe que el estado de la conexión es ACTIVO (UP).

n Haga ping en la máquina virtual VM1 y en VLAN 160 para comprobar que la conexión se estableció correctamente.

5 (opcional) Compruebe que la puerta de enlace de hardware está conectada a NSX Controller.

a Inicie sesión en vSphere Web Client.

b Seleccione Redes y seguridad > > Instalación > nodos de NSX Controller (Networking & Security > Installation > NSX Controller nodes).


VMware, Inc. 69

Agregar certificado de puerta de enlace de hardwarePara que la configuración funcione se debe agregar el certificado de puerta de enlace de hardware al dispositivo.

Requisitos previos

Compruebe que el certificado de la puerta de enlace de hardware de su entorno está disponible.

Procedimiento


2 Seleccione Redes y seguridad > Definiciones de servicio (Networking & Security > Service Definitions).

3 Haga clic en la pestaña Dispositivos de hardware (Hardware Devices).

4 Haga clic en el icono Agregar (Add) ( ) para establecer los detalles del perfil de la puerta de enlace de hardware.

Opción Descripción

Nombre y descripción Especifique un nombre de puerta de enlace de hardware.

Puede agregar detalles del perfil en la sección de descripción.

Certificado (Certificate) Pegue el certificado que extrajo del entorno.

Habilite BFD El protocolo de detección de envío bidireccional (BFD) (Bidirectional Forwarding Detection) está activado de forma predeterminada.

Este protocolo se utiliza para sincronizar la información de la configuración de la puerta de enlace de hardware.


Se crea un perfil que representa la puerta de enlace de hardware.

6 Actualice la pantalla para comprobar que la puerta de enlace está disponible y se está ejecutando.

La conectividad debe estar ACTIVA (UP).


VMware, Inc. 70

7 (opcional) Haga clic en el perfil de la puerta de enlace de hardware y, a continuación, haga clic con el botón derecho para seleccionar Ver el estado del túnel BFD (View the BFD Tunnel Status) en el menú desplegable.

El cuadro de diálogo muestra el diagnóstico detallado del estado del túnel para solucionar problemas.

Enlazar el conmutador lógico al conmutador físicoEl conmutador lógico de WebService conectado a la máquina virtual VM1 debe estar comunicado con la puerta de enlace de hardware de la misma subred.

Nota Si enlaza varios conmutadores lógicos a puertos de hardware, debe realizar los siguientes pasos en cada conmutador lógico.

Requisitos previos

n Compruebe que el conmutador lógico de WebService está disponible. Consulte Agregar un conmutador lógico.

n Compruebe que hay un conmutador físico disponible.

Procedimiento


2 Seleccione Redes y seguridad > Conmutadores lógicos (Networking & Security > Logical Switches).

3 Localice el conmutador lógico de WebService y haga clic con el botón derecho para seleccionar Administrar enlaces de Hardware (Manage Harware Bindings) en el menú desplegable.

4 Seleccione el perfil de la puerta de enlace de hardware.

5 Haga clic en Agregar (Add) ( ) y en el menú desplegable seleccione el conmutador físico.

Por ejemplo, AristaGW.


VMware, Inc. 71

6 Haga clic en Seleccionar (Select) para elegir un puerto físico en la lista Objetos disponibles (Available Objects).

Por ejemplo, Ethernet 18.


8 Especifique el nombre de la VLAN.

Por ejemplo, 160.


Resultados

El enlace se completó.

NSX Controller sincroniza la información de la configuración lógica y física con la puerta de enlace de hardware.


VMware, Inc. 72

Puentes L2 8Puede crear un puente L2 entre un conmutador lógico y una VLAN, que le permite migrar las cargas de trabajo virtuales a dispositivos físicos sin tener impacto en las direcciones IP.

El puente de Capa 2 permite la conectividad entre la red física y la virtual al habilitar máquinas virtuales (VM) que se conectarán a un servidor físico o una red. Los usos típicos pueden ser:

n Migración física a virtual o virtual a virtual. El puente de Capa 2 permite mantener la conectividad entre las cargas de trabajo dentro y fuera de NSX, sin necesidad de volver a asignar direcciones IP.

n Inserción en NSX de un dispositivo que no se puede virtualizar y que requiere conectividad de Capa 2 con sus clientes. Esto coincide en algunos servidores de bases de datos físicas.

n Inserción de servicios (Service Insertion). Los puentes de Capa 2 permiten integrar de formar transparente en NSX cualquier dispositivo físico como un enrutador, un equilibrador de carga o un firewall

Una red lógica puede aprovechar una puerta de enlace L3 física y acceder a las redes físicas y los recursos de seguridad existentes por medio de la conexión mediante un puente del dominio de transmisión del conmutador lógico y el dominio de transmisión de la VLAN. El puente L2 se ejecuta en el host que tiene la máquina virtual del enrutador lógico de NSX Edge. Una instancia de puente L2 se asigna a una sola VLAN, pero puede haber varias instancias de puente. El enrutador lógico no puede utilizarse como una puerta de enlace en dispositivos conectados a un puente.El grupo de puertos VLAN y el conmutador lógico VXLAN que está conectado mediante puente deben estar en el mismo vSphere Distributed Switch (VDS) y ambos deben compartir los mismos NIC físicos.

Los grupos de redes VXLAN (VNI) y puertos respaldados por VLAN deben estar en el mismo conmutador virtual distribuido (VDS).

VMware, Inc. 73

V

Bastidor de cálculo

Carga de trabajofísica

Puerta de enlacefísica

Máquina virtualde enrutador lógico

de NSX Edge

Tenga en cuenta que no debe utilizar un puente L2 para conectar un conmutador lógico a otro conmutador lógico, una red VLAN a otra red VLAN o interconectar centros de datos. Además, no puede utilizar un enrutador lógico universal para configurar la conexión con puentes y no puede agregar un puente a un conmutador lógico universal.


n Agregar puente de Capa 2

n Agregar un puente de Capa 2 a un entorno con enrutamiento lógico

Agregar puente de Capa 2Puede agregar un puente desde un conmutador lógico a un grupo de puertos virtuales distribuidos.


VMware, Inc. 74

Requisitos previos

Un conmutador lógico configurado y un grupo de puertos virtuales distribuidos respaldados por VLAN.

El conmutador lógico y el grupo de puertos virtuales distribuidos respaldados por VLAN que se conectarán mediante puente deben estar en el mismo conmutador virtual distribuido (VDS).

En su entorno se debe implementar una máquina virtual de control de DLR en un hipervisor que tenga creada una instancia del VDS con el conmutador lógico y el grupo de puertos virtuales distribuidos respaldados por VLAN.

No se puede utilizar un enrutador lógico universal para configurar el puente, ni tampoco agregar un puente a un conmutador lógico universal.

Precaución El tráfico conectado en puente entra en un host ESXi y sale de él a través del puerto de vínculo superior del conmutador dvSwitch que utilice para el tráfico VXLAN. No se utiliza la directiva de conmutación por error ni de formación de equipos de VDS para el tráfico conectado en puente.

Procedimiento


2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSX Edge (NSX Edges).

3 Haga doble clic en un enrutador lógico.

4 Haga clic en Administrar (Manage) y, a continuación, haga clic en Puente (Bridging).

5 Haga clic en el icono Agregar ( ) (Add).

6 Introduzca un nombre para la conexión mediante puente.

Precaución El nombre de puente no debe superar los 40 caracteres. Se produce un error en la configuración del puente cuando el nombre supera los 40 caracteres.

7 Seleccione el conmutador lógico para el que desea crear un puente.

8 Seleccione el grupo de puertos virtuales distribuidos con el que desea conectar mediante puente el conmutador lógico.


Agregar un puente de Capa 2 a un entorno con enrutamiento lógicoPuede conectar un conmutador lógico determinado y una única VLAN con una instancia de puente activo. Aunque un enrutador lógico puede tener varias instancias de puentes, no se pueden conectar las mismas VXLAN y VLAN a más de una instancia de puente.


VMware, Inc. 75

Puede utilizar un conmutador lógico para participar en el enrutamiento lógico distribuido y el puente de Capa 2. Por lo tanto, el flujo de tráfico del conmutador lógico conectado en puente no tiene porque atravesar la máquina virtual Edge centralizada. El flujo de tráfico del conmutador lógico conectado en puente puede dirigirse a la VLAN física a través de la instancia de puente de Capa 2. La instancia de puente se habilita en el host ESXi en la que se ejecuta la máquina virtual de control de DLR.

Para obtener más información sobre puentes de Capa 2 en NSX, consulte la sección "Integración de los puentes de Capa 2 y el enrutamiento distribuido de NSX" de la Guía sobre diseño de virtualización de redes NSX en https://communities.vmware.com/docs/DOC-27683.

Requisitos previos

n Debe implementarse un enrutador lógico NSX en el entorno.

n No se puede utilizar un enrutador lógico universal para configurar el puente, ni tampoco agregar un puente a un conmutador lógico universal.

Procedimiento



3 Haga doble clic en el enrutador lógico que quiera utilizar para realizar el puente.

Nota La instancia de puente debe crearse en la misma instancia de enrutamiento a la que está conectada la VXLAN. Una instancia de puente puede tener una VXLAN y una VLAN, pero estas redes no se pueden superponer. No se puede conectar la misma VXLAN y VLAN a más de una instancia de puente.

4 Haga clic en Administrar (Manage) y, a continuación, haga clic en Puente (Bridging).

El conmutador lógico que se utiliza como enrutador mostrará el mensaje Enrutamiento habilitado (Routing Enabled).

5 Haga clic en el icono Agregar ( ) (Add).

6 Introduzca un nombre para el puente.

7 Seleccione el conmutador lógico para el que desea crear un puente.

8 Seleccione el grupo de puertos virtuales distribuidos con el que desea conectar mediante puente el conmutador lógico.


10 Haga clic nuevamente en Aceptar (OK) en la ventana Agregar puente (Add Bridge).

11 Haga clic en Publicar (Publish) para que se apliquen los cambios en la configuración del puente.

El conmutador lógico que se utiliza para el puente aparecerá con la opción Enrutamiento habilitado (Routing Enabled) especificada. Para obtener más información, consulte Agregar un conmutador lógico y Conectar máquinas virtuales a un conmutador lógico.


VMware, Inc. 76


Enrutamiento 9Es posible especificar el enrutamiento estático y dinámico de cada instancia de NSX Edge.

El enrutamiento dinámico proporciona la información de reenvío necesaria entre los dominios de difusión de Capa 2, por lo cual permite reducir los dominios de difusión de Capa 2, además de mejorar la escala y la eficiencia de la red. NSX extiende su inteligencia al lugar donde residen las cargas de trabajo para realizar el enrutamiento de Este a Oeste. De este modo, hay más comunicación directa entre las máquinas virtuales sin el tiempo o el costo adicionales que requiere extender saltos. Al mismo tiempo, NSX proporciona conectividad de Norte a Sur, por lo cual permite que las empresas accedan a las redes públicas.


n Agregar un enrutador lógico (distribuido)

n Agregar una puerta de enlace de servicios Edge

n Especificar una configuración global

n Configuración de NSX Edge

n Agregar una ruta estática

n Configurar OSPF en un enrutador lógico (distribuido)

n Configurar el protocolo OSPF en una puerta de enlace de servicios Edge

n Configurar BGP

n Configurar la redistribución de rutas

n Ver el identificador de configuración local de NSX Manager

n Configurar el identificador de configuración regional en un enrutador lógico universal (distribuido)

n Configurar el identificador de configuración regional en un host o un clúster

Agregar un enrutador lógico (distribuido)Los módulos de kernel del enrutador lógico del host realizan el enrutamiento entre la redes VXLAN y entre las redes virtual y física. Un dispositivo NSX Edge proporciona la capacidad de enrutamiento dinámico, cuando es necesario. Los enrutadores lógicos pueden crearse tanto en instancias principales

VMware, Inc. 77

como secundarias de NSX Manager, en un entorno de Cross-vCenter NSX, pero los enrutadores lógicos universales solo pueden crearse en la instancia principal de NSX Manager.

Al implementar un nuevo enrutador lógico, considere lo siguiente:

n La versión 6.2 de NSX y las versiones posteriores permiten conectar interfaces lógicas (logical interfaces, LIF) enrutadas mediante enrutadores lógicos a una VXLAN conectada en puente con una VLAN.

n Las interfaces del enrutador lógico y las interfaces puente no pueden conectarse a un dvPortgroup si el identificador de la VLAN está establecido en 0.

n Una instancia de enrutador lógico determinada no puede conectarse a los conmutadores lógicos que existen en zonas de transporte diferentes. El objetivo de esto es garantizar que todas las instancias de conmutadores lógicos y enrutadores lógicos estén alineadas.

n No se puede conectar un enrutador lógico a grupos de puertos respaldados por VLAN si ese enrutador lógico se conecta a conmutadores lógicos que abarcan más de un vSphere Distributed Switch (VDS). Esto garantiza la correcta alineación entre instancias del enrutador lógico con dvPortgroups de conmutadores lógicos en los hosts.

n No deben crearse interfaces de enrutadores lógicos en dos grupos de puertos distribuidos (dvPortgroups) diferentes con el mismo identificador de VLAN si las dos redes están en el mismo conmutador distribuido de vSphere.

n No deben crearse interfaces de enrutadores lógicos en dos dvPortgroups diferentes con el mismo identificador de VLAN si las dos redes están en conmutadores distribuidos de vSphere diferentes, pero los dos conmutadores distribuidos de vSphere comparten los mismos hosts. En otras palabras, pueden crearse interfaces de enrutadores lógicos en dos redes diferentes con el mismo identificador de VLAN si los dos dvPortgroups están en dos conmutadores distribuidos de vSphere diferentes, siempre que los conmutadores distribuidos de vSphere no compartan un host.

n Si se configura VXLAN, las interfaces del enrutador lógico se deben conectar a grupos de puertos distribuidos en el vSphere Distributed Switch donde VXLAN esté configurado. No conecte interfaces de enrutadores lógicos a grupos de puertos en otros vSphere Distributed Switches.

En la siguiente lista se describen las características admitidas por tipo de interfaz (interna y de vínculo superior) en el enrutador lógico:

n Se admiten protocolos de enrutamiento dinámico (BGP y OSPF) solo en las interfaces de vínculo superior.

n Las reglas de firewall son aplicables solo en las interfaces de enlace ascendente, y están limitadas al tráfico de control y de administración destinado al dispositivo Edge virtual.


VMware, Inc. 78

n Para obtener más información sobre la interfaz de administración DLR, consulte el artículo de la base de conocimiento http://kb.vmware.com/kb/2122060 con la guía de interfaz de administración de máquinas virtuales de control DLR para NSX.

Importante Si habilita High Availability en NSX Edge en un entorno de Cross-vCenter NSX, los dispositivos NSX Edge activos y en espera deben residir en el mismo vCenter Server. Si migra uno de los miembros de un par HA de NSX Edge a un sistema de vCenter Server diferente, los dos dispositivos de HA dejarán de funcionar como un par HA, y es posible que se interrumpa el tráfico.

Requisitos previos

n Se le debe asignar la función de administrador de Enterprise o administrador de NSX.

n Se debe crear un grupo de identificadores de segmentos local aunque no esté previsto crear conmutadores lógicos NSX.

n Asegúrese de que el clúster de controladores esté en funcionamiento y disponible antes de crear o modificar la configuración del enrutador lógico. Los enrutadores lógicos no pueden distribuir información de enrutamiento a hosts sin la ayuda de los controladores NSX Controller. Los enrutadores lógicos dependen de los controladores NSX Controller para funcionar, mientras que las puertas de enlace de servicios Edge (Edge Services Gateways, ESG) no.

n Si se desea conectar un enrutador lógico a los dvPortgroups de VLAN, asegúrese de que todos los hosts del hipervisor con un dispositivo de enrutador lógico instalado puedan comunicarse entre sí en el puerto UDP 6999. Es necesaria la comunicación en este puerto para que funcione el proxy ARP basado en VLAN del enrutador lógico.

n Determine dónde implementar el dispositivo de enrutador lógico.

n El host de destino debe formar parte de la misma zona de transporte que los conmutadores lógico conectados a las interfaces del nuevo enrutador lógico.

n Evite colocarlo en el mismo host que uno o varios de sus ESG ascendentes si utiliza ESG en una configuración ECMP. Puede utilizar reglas de antiafinidad de DRS para aplicar esto, lo que reducirá el impacto de los errores del host en el reenvío de enrutadores lógicos. Estas instrucciones no se aplican si tiene un ESG ascendente individual o en modo de alta disponibilidad. Para obtener más información, consulte la Guía de diseño de virtualización de redes de VMware NSX for vSphere en https://communities.vmware.com/docs/DOC-27683.

n Compruebe que el clúster del host en el que instala el dispositivo del enrutador lógico está preparado para NSX. Consulte cómo preparar el clúster del host para NSX en Guía de instalación de NSX.

n Determine la instancia de NSX Manager adecuada en la cual desea realizar los cambios.





VMware, Inc. 79

https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2122060




n Determine qué tipo de enrutador lógico debe agregar:

n Si necesita conectar un conmutador lógico, debe agregar un enrutador lógico.

n Si necesita conectar un conmutador lógico universal, debe agregar un enrutador lógico universal.

n Si va a agregar un enrutador lógico universal, determine si necesita habilitar la salida local. La salida local permite enviar rutas a hosts de manera selectiva. Quizás sea conveniente utilizar esta opción si la implementación de NSX se expande a varios sitios. Consulte Topologías de Cross-vCenter NSX para obtener más información. No puede habilitar la salida local después de crear el enrutador lógico universal.

Procedimiento

1 En vSphere Web Client, desplácese hasta Inicio > Redes y seguridad > NSX Edge (Home > Networking & Security > NSX Edges).

2 Seleccione la instancia de NSX Manager apropiada en la que desea realizar cambios. Si va a crear un enrutador lógico universal, debe seleccionar la instancia principal de NSX Manager.

3 Haga clic en el icono Agregar (Add) ( ).

4 Seleccione el tipo de enrutador lógico que desea agregar:

n Seleccione Enrutador lógico (distribuido) (Logical [Distributed] Router) para agregar un enrutador lógico a la instancia de NSX Manager seleccionada.

n Seleccione Enrutador lógico universal (distribuido) (Universal Logical [Distributed] Router) para agregar un enrutador lógico que pueda expandir el entorno de Cross-vCenter NSX. Esta opción estará disponible solo si tiene una instancia de NSX Manager principal asignada y si realiza cambios desde ella.

a Si seleccionó Enrutador lógico universal (distribuido) (Universal Logical [Distributed] Router), además debe seleccionar si desea habilitar la salida local.

5 Introduzca un nombre para el dispositivo.

Este nombre aparece en el inventario de vCenter. El nombre debe ser único en todos los enrutadores lógicos de un solo arrendatario.

De manera opcional, también puede introducir un nombre de host. Este nombre aparece en la interfaz de línea de comandos. Si no especifica un nombre de host, la interfaz de línea de comandos muestra el identificador de Edge, que se crea automáticamente.

De manera opcional, puede introducir una descripción y un arrendatario.


VMware, Inc. 80

6 Implemente un dispositivo Edge.

La opción Implementar dispositivo Edge (Deploy Edge Appliance) está seleccionada de forma predeterminada. Se requiere un dispositivo Edge (también denominado dispositivo virtual de enrutador lógico) para el enrutamiento dinámico y para el firewall del dispositivo de enrutador lógico, que se aplica a los ping del enrutador, al acceso de SSH y al tráfico de enrutamiento dinámico.

Puede desactivar la opción de dispositivo Edge si necesita solo rutas estáticas y no desea implementar un dispositivo Edge. No puede agregar un dispositivo Edge al enrutador lógico una vez que este enrutador ya está creado.

7 (opcional) Habilite High Availability.

La opción Habilitar High Availability (Enable High Availability) no está seleccionada de forma predeterminada. Seleccione la casilla Habilitar High Availability (Enable High Availability) para habilitar y configurar High Availability. Se requiere High Availability si su intención es utilizar un enrutamiento dinámico.

8 Escriba y vuelva a escribir una contraseña para el enrutador lógico.

La contraseña debe tener entre 12 y 255 caracteres, y debe contener lo siguiente:

n Al menos una letra en mayúscula

n Al menos una letra en minúscula

n Al menos un número

n Al menos un carácter especial

9 (opcional) Habilite SSH.

De forma predeterminada, SSH no está habilitado. Si no habilita SSH, puede abrir la consola del dispositivo virtual para seguir accediendo al enrutador lógico. Habilitar SSH provoca que el proceso SSH se ejecute en el dispositivo virtual del enrutador. Deberá ajustar la configuración del firewall del enrutador lógico manualmente para permitir el acceso de SSH a la dirección del protocolo del enrutador lógico. La dirección del protocolo se establece cuando se configura el enrutamiento dinámico en el enrutador lógico.

10 (opcional) Habilite el modo FIPS y establezca el nivel de registro.

De forma predeterminada, el modo FIPS está deshabilitado. Seleccione la casilla Habilitar modo FIPS (Enable FIPS mode) para habilitar el modo FIPS. Al habilitar el modo FIPS, cualquier comunicación segura que vaya a o desde NSX Edge utiliza algoritmos o protocolos criptográficos permitidos por FIPS.

De forma predeterminada, el registro está en nivel de emergencia.

Por ejemplo:


VMware, Inc. 81

11 Configure la implementación.

u Si no seleccionó Implementar dispositivo Edge (Deploy Edge Appliance), el icono Agregar

( ) (Add) está atenuado. Haga clic en Siguiente (Next) para continuar con la configuración.u Si seleccionó Implementar dispositivo Edge (Deploy Edge Appliance), introduzca la

configuración del dispositivo virtual del enrutador lógico.

Por ejemplo:


VMware, Inc. 82

12 Configure las interfaces. En los enrutadores lógicos, solo se admiten las direcciones IPv4.

a Configure la conexión de la interfaz de HA y, de forma opcional, una dirección IP.

Si seleccionó Implementar dispositivo Edge (Deploy Edge Appliance), debe conectar la interfaz de HA a un grupo de puertos distribuidos o un conmutador lógico. Si está utilizando esta interfaz solo como una interfaz de HA, utilice un conmutador lógico. Se asigna una subred /30 desde el rango local del vínculo 169.254.0.0/16 y se utiliza para proporcionar una dirección IP para cada uno de los dos dispositivos NSX Edge.

De manera opcional, si desea utilizar esta interfaz para conectarse a NSX Edge, puede especificar una dirección IP adicional y el prefijo de la interfaz de HA.

Nota Antes de NSX 6.2, la interfaz de HA se denominaba interfaz de administración. No es posible habilitar SSH para acceder a la interfaz de HA desde ningún lugar que no se encuentre en la misma subred IP que la interfaz de HA. No se pueden configurar rutas estáticas que apunten hacia afuera de la interfaz de HA, lo que significa que RPF descartará el tráfico entrante. En teoría, se puede deshabilitar RPF, pero esto es contraproducente para la alta disponibilidad. Para el acceso SSH, también puede utilizar la dirección de protocolo del enrutador lógico, que se establece posteriormente cuando se configura el enrutamiento dinámico.

En NSX 6.2 y versiones posteriores, la interfaz de HA de un enrutador lógico se excluye automáticamente de la redistribución de rutas.

b Configure las interfaces de esta instancia de NSX Edge.

En la sección Configurar interfaces de esta instancia de NSX Edge (Configure interfaces of this NSX Edge), las interfaces internas están diseñadas para conexiones a conmutadores que permiten la comunicación entre máquinas virtuales (a la que a veces se denomina comunicación este-oeste). Las interfaces internas se crean como pseudo vNIC en el dispositivo virtual del enrutador lógico. Las interfaces de vínculo superior se utilizan en la comunicación de Norte a Sur. Una interfaz de vínculo superior del enrutador lógico podría conectarse a una puerta de enlace de servicios Edge o a una máquina virtual del enrutador de terceros. Se debe tener al menos una interfaz de vínculo superior para que el enrutamiento dinámico funcione. Las interfaces de vínculo superior se crean como vNIC en el dispositivo virtual del enrutador lógico.

La configuración de la interfaz especificada en este punto se puede modificar más adelante. Es posible agregar, eliminar y modificar interfaces después de implementar un enrutador lógico.

El siguiente ejemplo muestra una interfaz de HA conectada al grupo de puertos distribuidos de administración. El ejemplo también muestra dos interfaces internas (aplicación y web) y una interfaz de vínculo superior (a ESG).


VMware, Inc. 83


VMware, Inc. 84

13 Configure una puerta de enlace predeterminada.

Por ejemplo:

14 Asegúrese de que todas las máquinas virtuales asociadas a los conmutadores lógicos tengan sus puertas de enlace predeterminadas establecidas adecuadamente en las direcciones IP de la interfaz del enrutador lógico.

Resultados

En el siguiente ejemplo de topología, la puerta de enlace predeterminada de la máquina virtual de la aplicación es 172.16.20.1. La puerta de enlace predeterminada de la máquina virtual web es 172.16.10.1. Compruebe que las máquinas virtuales puedan hacer ping en sus puertas de enlace predeterminadas y entre sí.


VMware, Inc. 85

172.16.20.10 172.16.10.10

172.16.20.1 172.16.10.1

Enrutador lógico

Conmutadorlógico

de aplicaciones

Conmutadorlógicoweb

Máquina virtualde aplicaciones

Máquina virtualweb

Conéctese a NSX Manager con SSH o la consola y ejecute los siguientes comandos:

n Vea un listado con toda la información de la instancia del enrutador lógico.

nsxmgr-l-01a> show logical-router list all

Edge-id Vdr Name Vdr id #Lifs

edge-1 default+edge-1 0x00001388 3

n Vea un listado de los hosts que recibieron información de enrutamiento para el enrutador lógico del clúster de controladores.

nsxmgr-l-01a> show logical-router list dlr edge-1 host

ID HostName

host-25 192.168.210.52

host-26 192.168.210.53

host-24 192.168.110.53

En el resultado se incluyen todos los hosts de todos los clústeres de hosts configurados como miembros de la zona de transporte a la que pertenece el conmutador lógico que está conectado al enrutador lógico especificado (en este ejemplo, edge-1).

n Vea un listado con la información de la tabla de enrutamiento que se comunica a los hosts mediante el enrutador lógico. Las entradas de la tabla de enrutamiento deben ser coherentes en todos los hosts.

nsx-mgr-l-01a> show logical-router host host-25 dlr edge-1 route

VDR default+edge-1 Route Table

Legend: [U: Up], [G: Gateway], [C: Connected], [I: Interface]

Legend: [H: Host], [F: Soft Flush] [!: Reject] [E: ECMP]

Destination GenMask Gateway Flags Ref Origin UpTime Interface

----------- ------- ------- ----- --- ------ ------ ---------

0.0.0.0 0.0.0.0 192.168.10.1 UG 1 AUTO 4101 138800000002


VMware, Inc. 86

172.16.10.0 255.255.255.0 0.0.0.0 UCI 1 MANUAL 10195 13880000000b

172.16.20.0 255.255.255.0 0.0.0.0 UCI 1 MANUAL 10196 13880000000a

192.168.10.0 255.255.255.248 0.0.0.0 UCI 1 MANUAL 10196 138800000002

192.168.100.0 255.255.255.0 192.168.10.1 UG 1 AUTO 3802 138800000002

n Vea un listado con información adicional sobre el enrutador desde el punto de vista de uno de los hosts. Este resultado es útil para saber qué controlador se está comunicando con el host.

nsx-mgr-l-01a> show logical-router host host-25 dlr edge-1 verbose

VDR Instance Information :

---------------------------

Vdr Name: default+edge-1

Vdr Id: 0x00001388

Number of Lifs: 3

Number of Routes: 5

State: Enabled

Controller IP: 192.168.110.203

Control Plane IP: 192.168.210.52

Control Plane Active: Yes

Num unique nexthops: 1

Generation Number: 0

Edge Active: No

Compruebe el campo Dirección IP de controlador (Controller IP) en el resultado del comando show logical-router host host-25 dlr edge-1 verbose.

Acceda a un controlador mediante SSH y ejecute los siguientes comandos para mostrar la información de estado adquirida de las tablas de VNI, VTEP, MAC y ARP del controlador.

n 192.168.110.202 # show control-cluster logical-switches vni 5000

VNI Controller BUM-Replication ARP-Proxy Connections

5000 192.168.110.201 Enabled Enabled 0

La salida para VNI 5000 muestra cero conexiones y el controlador 192.168.110.201 como propietaria de VNI 5000. Inicie sesión en ese controlador para recopilar más información de VNI 5000.

192.168.110.201 # show control-cluster logical-switches vni 5000


5000 192.168.110.201 Enabled Enabled 3

El resultado en 192.168.110.201 muestra tres conexiones. Compruebe las VNI adicionales.



5001 192.168.110.201 Enabled Enabled 3



5002 192.168.110.201 Enabled Enabled 3


VMware, Inc. 87

Debido a que 192.168.110.201 es propietaria de las tres conexiones de VNI, se espera ver cero conexiones en el otro controlador 192.168.110.203.



5000 192.168.110.201 Enabled Enabled 0

n Antes de comprobar las tablas de MAC y ARP, haga ping de una máquina virtual a la otra.

Desde la máquina virtual de la aplicación a la máquina virtual web:

vmware@app-vm$ ping 172.16.10.10

PING 172.16.10.10 (172.16.10.10) 56(84) bytes of data.

64 bytes from 172.16.10.10: icmp_req=1 ttl=64 time=2.605 ms



Revise las tablas de MAC.

192.168.110.201 # show control-cluster logical-switches mac-table 5000

VNI MAC VTEP-IP Connection-ID

5000 00:50:56:a6:23:ae 192.168.250.52 7

192.168.110.201 # show control-cluster logical-switches mac-table 5001

VNI MAC VTEP-IP Connection-ID

5001 00:50:56:a6:8d:72 192.168.250.51 23

Revise las tablas de ARP.

192.168.110.201 # show control-cluster logical-switches arp-table 5000

VNI IP MAC Connection-ID

5000 172.16.20.10 00:50:56:a6:23:ae 7

192.168.110.201 # show control-cluster logical-switches arp-table 5001

VNI IP MAC Connection-ID

5001 172.16.10.10 00:50:56:a6:8d:72 23

Revise la información del enrutador lógico. Cada instancia del enrutador lógico se procesa en uno de los nodos del controlador.

El subcomando instance del comando show control-cluster logical-routers muestra un listado de los enrutadores lógicos que están conectados a este controlador.

El subcomando interface-summary muestra un listado de las LIF que el controlador adquirió de NSX Manager. Esta información se envía a los hosts que están en los clústeres de hosts administrados en la zona de transporte.


VMware, Inc. 88

El subcomando routes muestra la tabla de enrutamiento que se envía a este controlador mediante el dispositivo virtual del enrutador lógico (también se conoce como máquina virtual de control). A diferencia de los hosts ESXi, esta tabla de enrutamiento no incluye subredes conectadas directamente, ya que la configuración de LIF proporciona esta información. La información de ruta de los hosts ESXi incluye subredes conectadas directamente porque, en ese caso, se trata de una tabla de reenvío utilizada por la ruta de datos del host ESXi.

n Vea un listado con todos los enrutadores lógicos conectados a este controlador.

controller # show control-cluster logical-routers instance all

LR-Id LR-Name Universal Service-Controller Egress-Locale

0x1388 default+edge-1 false 192.168.110.201 local

Anote el identificador de LR y utilícelo en el siguiente comando.

n controller # show control-cluster logical-routers interface-summary 0x1388

Interface Type Id IP[]

13880000000b vxlan 0x1389 172.16.10.1/24

13880000000a vxlan 0x1388 172.16.20.1/24

138800000002 vxlan 0x138a 192.168.10.2/29

n controller # show control-cluster logical-routers routes 0x1388

Destination Next-Hop[] Preference Locale-Id Source

192.168.100.0/24 192.168.10.1 110 00000000-0000-0000-0000-000000000000 CONTROL_VM

0.0.0.0/0 192.168.10.1 0 00000000-0000-0000-0000-000000000000 CONTROL_VM

[root@comp02a:~] esxcfg-route -l

VMkernel Routes:

Network Netmask Gateway Interface

10.20.20.0 255.255.255.0 Local Subnet vmk1

192.168.210.0 255.255.255.0 Local Subnet vmk0

default 0.0.0.0 192.168.210.1 vmk0

n Muestre las conexiones del controlador a la VNI específica.

192.168.110.203 # show control-cluster logical-switches connection-table 5000

Host-IP Port ID

192.168.110.53 26167 4

192.168.210.52 27645 5

192.168.210.53 40895 6

192.168.110.202 # show control-cluster logical-switches connection-table 5001

Host-IP Port ID

192.168.110.53 26167 4

192.168.210.52 27645 5

192.168.210.53 40895 6

Estas direcciones IP de hosts son interfaces vmk0, no VTEP. Las conexiones entre hosts y controladores ESXi se crean en la red de administración. Aquí los números de puerto son puertos TCP efímeros que asigna la pila de direcciones IP del host ESXi cuando el host establece una conexión con el controlador.


VMware, Inc. 89

n En el host, puede ver la conexión de red del controlador vinculado al número de puerto.

[[email protected]:~] #esxcli network ip connection list | grep 26167

tcp 0 0 192.168.110.53:26167 192.168.110.101:1234 ESTABLISHED

96416 newreno netcpa-worker

n Muestre las VNI activas en el host. Observe que el resultado es diferente entre los hosts. No todas las VNI están activas en todos los hosts. Una VNI está activa en un host si ese host posee una máquina virtual conectada al conmutador lógico.

[[email protected]:~] # esxcli network vswitch dvs vmware vxlan network list --vds-name

Compute_VDS

VXLAN ID Multicast IP Control Plane Controller Connection

Port Count MAC Entry Count ARP Entry Count VTEP Count

-------- ------------------------- ----------------------------------- ---------------------

---------- --------------- --------------- ----------

5000 N/A (headend replication) Enabled (multicast proxy,ARP proxy) 192.168.110.203

(up) 1 0 0 0

5001 N/A (headend replication) Enabled (multicast proxy,ARP proxy) 192.168.110.202

(up) 1 0 0 0

Nota Para habilitar el espacio de nombres vxlan en vSphere 6,0 y versiones posteriores, ejecute el comando /etc/init.d/hostd restart.

En el caso de conmutadores lógicos en modo híbrido o de unidifusión, el comando esxcli network vswitch dvs vmware vxlan network list --vds-name <vds-name> contiene el siguiente resultado:

n El plano de control está habilitado.

n El proxy de multidifusión y el proxy ARP aparecen en el listado. El proxy AARP aparece en el listado aunque se haya deshabilitado la detección de direcciones IP.

n Una dirección IP de controlador válida aparece en el listado y la conexión está activa.

n Si un enrutador lógico está conectado al host ESXi, el recuento de puertos es al menos 1, incluso si no hay máquinas virtuales en el host conectado al conmutador lógico. Este puerto es vdrPort, que es un puerto dvPort especial conectado al módulo del kernel del enrutador lógico en el host ESXi.


VMware, Inc. 90

n En primer lugar, haga ping de una máquina virtual a otra en una subred diferente y, a continuación, muestre la tabla de MAC. Tenga en cuenta que la MAC interna es la entrada de la máquina virtual, mientras que la MAC externa y la dirección IP externa se refieren a la VTEP.

~ # esxcli network vswitch dvs vmware vxlan network mac list --vds-name=Compute_VDS --vxlan-

id=5000

Inner MAC Outer MAC Outer IP Flags

----------------- ----------------- -------------- --------

00:50:56:a6:23:ae 00:50:56:6a:65:c2 192.168.250.52 00000111

~ # esxcli network vswitch dvs vmware vxlan network mac list --vds-name=Compute_VDS --vxlan-

id=5001

Inner MAC Outer MAC Outer IP Flags

----------------- ----------------- -------------- --------

02:50:56:56:44:52 00:50:56:6a:65:c2 192.168.250.52 00000101

00:50:56:f0:d7:e4 00:50:56:6a:65:c2 192.168.250.52 00000111

Pasos siguientes

Cuando instale un dispositivo NSX Edge, NSX habilita el encendido/apagado automático de la máquina virtual en el host si vSphere HA está deshabilitado en el clúster. Si posteriormente las máquinas virtuales del dispositivo se migran a otros hosts en el clúster, es posible que los hosts nuevos no tengan habilitada la opción de encendido/apagado automático de la máquina virtual. Por este motivo, VMware recomienda que cuando instale dispositivos NSX Edge en clústeres que tienen vSphere deshabilitado, debe comprobar todos los hosts del clúster para asegurarse de que la opción de encendido/apagado automático esté habilitada. Consulte la sección sobre cómo editar la configuración de encendido y apagado de la máquina Virtual en Administrar máquinas virtuales de vSphere.

Después de implementar el enrutador lógico, haga doble clic en el identificador del enrutador lógico para configurar opciones adicionales, como interfaces, enrutamiento, firewall, puentes y relé DHCP.

Agregar una puerta de enlace de servicios EdgePuede instalar varios dispositivos virtuales de puertas de enlace de servicios NSX Edge en un centro de datos. Cada dispositivo virtual NSX Edge puede tener un total de diez interfaces de red de internas y de vínculo superior. Las interfaces internas se conectan a grupos de puertos protegidos y actúan como puerta de enlace para todas las máquinas virtuales protegidas del grupo de puertos. La subred asignada a la interfaz interna puede ser una dirección IP enrutada públicamente o un espacio de direcciones privado (RFC 1918) con uso de NAT. Las reglas de firewall y otros servicios NSX Edge se aplican sobre el tráfico entre interfaces.

Las interfaces de vínculo superior de una ESG se conectan a grupos de puertos de vínculo superior que tienen acceso a una red compartida de la empresa o a un servicio que ofrece redes de capa de acceso.

En la siguiente lista se describen las características admitidas por tipo de interfaz (interna y de vínculo superior) en la ESG:

n DHCP: no se admite en la interfaz de vínculo superior.


VMware, Inc. 91

n Reenviador de DNS: no se admite en la interfaz de vínculo superior.

n HA: no se admite en la interfaz de vínculo superior, requiere al menos una interfaz interna.

n VPN SSL: la dirección IP del agente de escucha debe pertenecer a la interfaz de vínculo superior.

n VPN IPsec: la dirección IP del sitio local debe pertenecer a la interfaz de vínculo superior.

n VPN de capa 2: solo las redes internas pueden ampliarse.

En la siguiente imagen se muestra una topología de ejemplo con una interfaz de vínculo superior de ESG conectada a la infraestructura física mediante el conmutador distribuido de vSphere, y la interfaz interna de ESG conectada a un enrutador lógico de NSX mediante un conmutador de tránsito lógico de NSX.

Arquitecturafísica

172.16.20.10 172.16.10.10

172.16.20.1Tipo de vínculo: interno


Enrutadorlógico

Conmutadorlógico

de aplicaciones



Máquina virtualweb

192.168.10.2Tipo de vínculo: vínculo superiorDirección del protocolo:192.168.10.3

Conmutadorlógico

de tránsito


192.168.100.3Tipo de vínculo: vínculo superior 192.168.100.1

vSphereDistributed

Switch

Puerta de enlace de

servicios Edge


VMware, Inc. 92

Pueden configurarse varias direcciones IP para equilibrio de carga, VPN de sitio a sitio y servicios de NAT.

Importante Si habilita High Availability en NSX Edge en un entorno de Cross-vCenter NSX, los dispositivos NSX Edge activos y en espera deben residir en el mismo vCenter Server. Si migra uno de los miembros de un par HA de NSX Edge a un sistema de vCenter Server diferente, los dos dispositivos de HA dejarán de funcionar como un par HA, y es posible que se interrumpa el tráfico.

Requisitos previos

n Se le debe haber asignado la función de administrador de Enterprise o administrador de NSX.

n Compruebe que el grupo de recursos tenga capacidad suficiente para implementar el dispositivo virtual de la puerta de enlace de servicios Edge (edge services gateway, ESG) . Consulte Capítulo 1 Requisitos del sistema para NSX.

n Compruebe que los clústeres de host en los que se instalará el dispositivo NSX Edge se instalarán y preparará para NSX. Consulte cómo preparar el clúster del host para NSX (Prepare the Host Cluster for NSX) en Guía de instalación de NSX.

Procedimiento

1 En vCenter, desplácese hasta Inicio > Redes y seguridad > NSX Edge (Home > Networking &

Security > NSX Edges) y haga clic en el icono Agregar (Add) ( ).

2 Seleccione Puerta de enlace de servicios Edge (Edge Services Gateway) y escriba un nombre para el dispositivo.

Este nombre aparece en el inventario de vCenter. El nombre debe ser único en todas las ESG de un mismo arrendatario.

De manera opcional, también puede introducir un nombre de host. Este nombre aparece en la interfaz de línea de comandos. Si no especifica un nombre de host, la interfaz de línea de comandos muestra el identificador de Edge, que se crea automáticamente.

De manera opcional, puede introducir una descripción y un arrendatario, y habilitar High Availability.

Por ejemplo:


VMware, Inc. 93

3 Escriba y vuelva a escribir una contraseña para ESG.

La contraseña debe tener al menos 12 caracteres y cumplir con al menos 3 de las siguientes 4 reglas:

n Al menos una letra en mayúscula

n Al menos una letra en minúscula

n Al menos un número

n Al menos un carácter especial

4 (opcional) Habilite SSH, High Availability, generación automática de reglas y el modo FIPS y establezca el nivel de registro.

Si no habilita la generación automática de reglas, debe agregar manualmente la configuración de firewall, NAT y enrutamiento para permitir el control de tráfico para ciertos servicios NSX Edge, incluidos el equilibrio de carga y VPN. La generación automática de reglas no crea reglas para tráfico de canal de datos.

De forma predeterminada, las opciones SSH y High Availability están deshabilitadas, y la generación automática de reglas está habilitada.


VMware, Inc. 94

De forma predeterminada, el modo FIPS está deshabilitado.

De forma predeterminada, el registro está en nivel de emergencia.

Por ejemplo:

5 Seleccione el tamaño de la instancia NSX Edge en función de los recursos del sistema.

La opción LargeNSX Edge tiene más CPU, memoria y espacio en disco que la opción CompactNSX Edge, y admite una mayor cantidad de componentes de usuarios VPN SSL-Plus simultáneos. La opción X-LargeNSX Edge es ideal para entornos que tienen un equilibrador de carga con millones de sesiones simultáneas. La opción Quad Large NSX Edge se recomienda cuando es necesaria una gran capacidad de proceso y requiere una alta velocidad de conexión.

Consulte Capítulo 1 Requisitos del sistema para NSX.

6 Cree un dispositivo Edge.

Introduzca la configuración del dispositivo virtual de la ESG que se agregará al inventario de vCenter. Si no agrega un dispositivo al instalar NSX Edge, NSX Edge permanece en modo sin conexión hasta que se agrega un dispositivo.


VMware, Inc. 95

Si habilitó HA, puede agregar dos dispositivos. Si agrega un solo dispositivo, NSX Edge replica su configuración para el dispositivo en espera y garantiza que las dos máquinas virtuales NSX Edge con HA no estén en el mismo host ESX incluso después de utilizar DRS y vMotion (a menos que la migre manualmente con vMotion al mismo host). Para que HA funcione correctamente, debe implementar los dos dispositivos en un almacén de datos compartido.

Por ejemplo:

7 Seleccione Implementar NSX Edge (Deploy NSX Edge) y agregue el dispositivo Edge en un modo implementado. Debe configurar dispositivos e interfaces para el dispositivo Edge para poder implementarlo.

8 Configure las interfaces.

En ESG, se admiten las direcciones IPv4 e IPv6.

Debe agregar al menos una interfaz interna para que HA funcione.

Una interfaz puede tener varias subredes no superpuestas.

Si introduce más de una dirección IP para una interfaz, puede seleccionar la dirección IP principal. Un interfaz puede tener una dirección IP principal y varias secundarias. NSX Edge considera la dirección IP principal como la dirección de origen para el tráfico generado localmente, por ejemplo, servidores de Syslog remotos y pings iniciados por el operador.

Debe agregar una dirección IP con una interfaz antes de utilizarla en cualquier configuración de características.

De manera opcional, puede introducir la dirección MAC de la interfaz.

Si cambia la dirección MAC más tarde mediante una llamada API, tendrá que volver a implementar el dispositivo edge.

Si HA está habilitado, puede introducir dos direcciones IP de administración en formato CIDR si lo desea. Los latidos de las dos máquinas virtuales NSX Edge con HA se comunican por medio de estas direcciones IP de administración. Las direcciones IP de administración deben estar en la misma Capa 2/subred y poder comunicarse entre sí.

De manera opcional, puede modificar la MTU.


VMware, Inc. 96

Habilite el ARP de proxy si desea permitir que la ESG responda a las solicitudes de ARP dirigidas a otras máquinas. Esto es útil, por ejemplo, cuando tiene la misma subred en ambos lados de una conexión WAN.

Habilite la redirección de ICMP para transmitir la información de enrutamiento a los hosts.

Habilite el filtrado inverso de rutas para comprobar la posibilidad de conexión de la dirección de origen en los paquetes que se reenvían. En el modo habilitado, el paquete debe recibirse en la interfaz que el enrutador utilizaría para reenviar el paquete de retorno. En el modo flexible, la dirección de origen debe aparecer en la tabla de enrutamiento.

Configure parámetros de contención si desea volver a utilizar las direcciones IP y MAC en diferentes entornos contenidos. Por ejemplo, en una Cloud Management Platform (CMP), la contención permite ejecutar varias instancias de nube simultáneas con las mismas direcciones IP y MAC completamente aisladas o “contenidas”.

Por ejemplo:


VMware, Inc. 97

En el siguiente ejemplo se muestran dos interfaces: una conecta la ESG con el mundo exterior mediante un grupo de puertos de vínculo superior en un conmutador distribuido de vSphere, mientras que la otra conecta la ESG a un conmutador lógico de tránsito al cual también está conectado un enrutador lógico distribuido.

9 Configure una puerta de enlace predeterminada.

Puede editar el valor de MTU, pero este no puede ser mayor que el valor de MTU configurado en la interfaz.

Por ejemplo:


VMware, Inc. 98

10 Configure la directiva de firewall, el registro y los parámetros de HA.

Precaución Si no configura la directiva de firewall, se establece la directiva predeterminada para denegar todo el tráfico.

De forma predeterminada, los registros están habilitados en todos los dispositivos NSX Edge nuevos. El nivel de registro predeterminado es NOTICE (ATENCIÓN). Si los registros se almacenan de forma local en la ESG, es posible que el proceso de registro genere demasiados registros y afecte al rendimiento de NSX Edge. Por este motivo, le recomendamos que configure los servidores syslog remotos y reenvíe los registros a un recopilador centralizado para que se analicen y se supervisen.

Si habilitó High Availability, complete la sección HA. De forma predeterminada, HA selecciona automáticamente una interfaz interna y asigna automáticamente direcciones IP de vínculo locales. NSX Edge admite dos máquinas virtuales para High Availability, que permanecen actualizadas con configuraciones del usuario. Si se produce un error de latido en la máquina virtual principal, el estado de la máquina virtual secundaria cambia a activo. De esa manera, una máquina virtual NSX Edge siempre está activa en la red. NSX Edge replica la configuración del dispositivo principal para el


VMware, Inc. 99

dispositivo en espera y garantiza que las dos máquinas virtuales NSX Edge con HA no estén en el mismo host ESX, incluso después de utilizar DRS y vMotion. En vCenter, se implementan dos máquinas virtuales en el mismo grupo de recursos y almacén de datos que el dispositivo configurado. Se asignan direcciones IP de vínculo locales a máquinas virtuales con HA en NSX Edge HA para que puedan comunicarse entre sí. Seleccione la interfaz interna para la cual desea configurar parámetros de HA. Si selecciona el valor CUALQUIERA (ANY) para la interfaz, pero no hay interfaces internas configuradas, la interfaz de usuario mostrará un error. Se crean dos dispositivos Edge, pero como no hay una interfaz interna configurada, el dispositivo Edge nuevo permanece en espera y se deshabilita HA. Una vez que se configura una interfaz interna, HA se vuelve a habilitar en el dispositivo Edge. Escriba el período en segundos dentro del cual, si el dispositivo de copia de seguridad no recibe una señal de latido del dispositivo principal, este se considera inactivo y el dispositivo de copia de seguridad lo reemplaza. El intervalo predeterminado es 15 segundos. De manera opcional, puede introducir dos direcciones IP de administración en formato CIDR para anular las direcciones IP de vínculo locales asignadas a las máquinas virtuales con HA. Asegúrese de que las direcciones IP de administración no se superpongan con las direcciones IP utilizadas para ninguna otra interfaz, y que no interfieran con el enrutamiento de tráfico. No debe utilizar una dirección IP que exista en otro lugar de la red, ni siquiera si esa red no está conectada directamente con NSX Edge.

Por ejemplo:


VMware, Inc. 100

Resultados

Después de implementar ESG, vaya a la vista Hosts y clústeres (Hosts and Clusters) y abra la consola del dispositivo virtual Edge. Desde la consola, compruebe si puede hacer ping en las interfaces conectadas.

Pasos siguientes

Cuando instale un dispositivo NSX Edge, NSX habilita el encendido/apagado automático de la máquina virtual en el host si vSphere HA está deshabilitado en el clúster. Si posteriormente las máquinas virtuales del dispositivo se migran a otros hosts en el clúster, es posible que los hosts nuevos no tengan habilitada la opción de encendido/apagado automático de la máquina virtual. Por este motivo, VMware recomienda que cuando instale dispositivos NSX Edge en clústeres que tienen vSphere deshabilitado, debe comprobar todos los hosts del clúster para asegurarse de que la opción de encendido/apagado automático esté habilitada. Consulte la sección sobre cómo editar la configuración de encendido y apagado de la máquina Virtual en Administrar máquinas virtuales de vSphere.


VMware, Inc. 101

Ahora puede configurar el enrutamiento para permitir la conectividad de los dispositivos externos a las máquinas virtuales.

Especificar una configuración globalPuede configurar la puerta de enlace predeterminada para rutas estáticas y especificar los detalles de enrutamiento dinámico para un enrutador lógico distribuido o una puerta de enlace de servicios Edge.

Para poder configurar el enrutamiento, primero debe tener una instancia de NSX Edge que esté funcionando. Para obtener información sobre cómo configurar NSX Edge, consulte Configuración de NSX Edge.

Procedimiento



3 Haga doble clic en un dispositivo NSX Edge.

4 Haga clic en Enrutamiento (Routing) y, a continuación, en Configuración global (Global Configuration).

5 Para habilitar el enrutamiento ECPM (múltiples rutas de igual coste), junto a ECMP, haga clic en Iniciar (Start).

ECMP es una estrategia de enrutamiento que permite el reenvío de paquetes al próximo salto en un solo destino a través de varias de las mejores rutas. Estas mejores rutas pueden agregarse como rutas estáticas o como resultado de cálculos de métricas mediante protocolos de enrutamiento dinámico como OSPF o BGP. Para agregar múltiples rutas en rutas estáticas, se pueden proporcionar varios próximos saltos separados por comas en el cuadro de diálogo Rutas estáticas (Static Routes). Para obtener más información, consulte Agregar una ruta estática.

La puerta de enlace de servicios Edge utiliza una implementación en pila de redes Linux, un algoritmo round robin con un componente de aleatoriedad. Una vez seleccionado un próximo salto para un par de direcciones IP de origen y destino en particular, la ruta almacena en la memoria caché el próximo salto seleccionado. Todos los paquetes de ese flujo pasan al próximo salto seleccionado. El tiempo de espera de la memoria caché de la ruta IPv4 predeterminado es 300 segundos (cg_tiempo de espera). Si para este plazo hay una entrada inactiva, se la podrá quitar de la memoria caché de la ruta. La eliminación efectiva ocurre cuando se activa el temporizador de la colección de elementos no utilizados (cg_intervalo = 60 segundos).

El enrutador lógico distribuido utiliza un algoritmo XOR para determinar el próximo salto a partir de una lista de posibles próximos saltos de ECMP. Este algoritmo utiliza la dirección IP de origen y destino del paquete saliente como fuentes de entropía.

Los servicios con estado, como el equilibrio de carga, VPN, NAT y el firewall de ESG, no funcionan con ECMP. Sin embargo, a partir de la versión 6.1.3 de NSX, ECMP y el firewall distribuido se pueden usar juntos.


VMware, Inc. 102

6 (Solo para UDLR): Para cambiar el Identificador de configuración regional (Locale ID) en un enrutador lógico distribuido universal, junto a Configuración de enrutamiento (Routing Configuration), haga clic en Editar (Edit). Introduzca un identificador de configuración regional y haga clic en Guardar (Save) o Aceptar (OK).

De forma predeterminada, el identificador de configuración regional se configura con el UUID de NSX Manager. Sin embargo, puede anular el identificador de configuración regional si habilita la salida local en el momento de crear el enrutador lógico distribuido universal. El identificador de configuración regional se utiliza para configurar selectivamente rutas de un entorno Cross-vCenter NSX o un entorno de varios sitios. Consulte Topologías de Cross-vCenter NSX para obtener más información.

El identificador de configuración regional debe estar en formato UUID. Por ejemplo, XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX, donde cada X se reemplaza por un dígito de base 16 (0-F).

7 Para especificar la puerta de enlace predeterminada, haga clic en Editar (Edit) junto a Puerta de enlace predeterminada (Default Gateway).

a Seleccione una interfaz desde la cual pueda alcanzarse el próximo salto hacia la red de destino.

b Escriba la dirección IP de la puerta de enlace.

c (opcional) Especifique el identificador de configuración regional. El identificador de configuración regional está disponible solo en los enrutadores lógicos universales.

d (opcional) Edite la MTU.

e Si se le pregunta, escriba un valor para Distancia administrativa (Admin Distance).

Seleccione un valor entre 1 y 255. La distancia administrativa se utiliza para seleccionar qué ruta debe utilizarse cuando existen varias rutas para una red determinada. Cuanto menor es esta distancia, mayor es la preferencia para la ruta.

Tabla 9-1. Distancias administrativas predeterminadas

Origen de la ruta Distancia administrativa predeterminada

Conectado 0

Estático 1

BGP externo 20

OSPF dentro del área 30

OSPF entre áreas 110

BGP interno 200

f (opcional) Escriba una descripción para la puerta de enlace predeterminada.

g Haga clic en Guardar (Save).


VMware, Inc. 103

8 Para configurar el enrutamiento dinámico, haga clic en Editar (Edit) junto a Configuración de enrutamiento dinámico (Dynamic Routing Configuration).

a Identificador del enrutador (Router ID) muestra la dirección IP del primer vínculo superior de la instancia de NSX Edge que empuja las rutas hacia el kernel para el enrutamiento dinámico.

b No habilite aquí ningún protocolo.

c Seleccione Habilitar registro (Enable Logging) para guardar la información de registro y seleccione el nivel de registro.

Nota Si tiene una IPsec VPN configurada en el entorno, no debe utilizar el enrutamiento dinámico.

9 Haga clic en Publicar cambios (Publish Changes).

Pasos siguientes

Para eliminar la configuración de enrutamiento, haga clic en Restablecer (Reset). De este modo, se eliminan todas las configuraciones de enrutamiento (predeterminado, estático, OSPF y BGP, así como la redistribución de rutas).

Configuración de NSX EdgeUna vez que la instancia de NSX Edge esté instalada y funcione bien (es decir, se agregaron uno o más dispositivos e interfaces, y se configuró la puerta de enlace predeterminada, la directiva de firewall y la alta disponibilidad), se pueden empezar a utilizar los servicios NSX Edge.

Trabajar con certificadosNSX Edge admite certificados autofirmados, certificados firmados por una entidad de certificación (CA) y certificados generados y firmados por una CA.

Configurar un certificado firmado por una entidad de certificaciónEs posible generar una solicitud de firma de certificado (CSR) y lograr que una entidad de certificación la firme. Si se genera una CSR en el nivel global, la solicitud estará disponible para todas las instancias de NSX Edge en el inventario.


VMware, Inc. 104

Procedimiento

1 Realice uno de los siguientes pasos.


Para generar un certificado global a Inicie sesión en el dispositivo virtual de NSX Manager.

b Haga clic en la pestaña Administrar (Manage) y seleccione Certificados SSL (SSL Certificates).

c Haga clic en Generar CSR (Generate CSR).

Para generar un certificado para una instancia de NSX Edge


b Haga clic en Redes y seguridad (Networking & Security) y seleccione Servicios Edge (Edge Services).

c Haga doble clic en un dispositivo NSX Edge.

d Haga clic en la pestaña Administrar (Manage) y seleccione Configuración (Settings).

e Haga clic en el vínculo Certificados (Certificates).

f Haga clic en Acciones (Actions) y seleccione Generar CSR (Generate CSR).

2 Especifique la unidad organizativa y escriba el nombre.

3 Escriba la localidad, la calle, el estado y el país de la organización.

4 Seleccione el algoritmo de encriptación para la comunicación entre hosts.

Tenga en cuenta que SSL VPN-Plus solo admite certificados RSA.

5 Si es necesario, edite el tamaño de clave predeterminado.

6 Para un certificado global, introduzca una descripción para el certificado.


Se genera la CSR, que se muestra en la lista de certificados.

8 Disponga que una entidad de certificación en línea firme esta CSR.

9 Importe el certificado firmado.

a Copie el contenido del certificado firmado.

b Realice uno de los siguientes pasos.

n Para importar un certificado firmado en el nivel global, haga clic en Importar (Import) en el dispositivo virtual NSX Manager.

n Para importar un certificado firmado para una instancia de NSX Edge, haga clic en Acciones (Actions) y seleccione Importar certificado (Import Certificate) en la pestaña Certificados (Certificates).

c En el cuadro de diálogo Importar CSR (Import CSR), pegue el contenido del certificado firmado.

d Haga clic en Aceptar (OK).

El certificado firmado por la entidad de certificación se mostrará en la lista de certificados.


VMware, Inc. 105

Agregar un certificado de CA

Al agregar un certificado de CA, puede convertirse en una CA interna de la empresa. De esa manera, tendrá la autoridad para firmar sus propios certificados.

Procedimiento




4 Haga clic en la pestaña Administrar (Manage) y asegúrese de estar en la pestaña Configuración (Settings).

5 Haga clic en Certificados (Certificates).

6 Haga clic en el icono Agregar (Add) ( ) y seleccione Certificado CA (CA Certificate).

7 Copie y pegue el contenido del certificado en el cuadro de texto Contenido del certificado (Certificate contents).

8 Escriba una descripción para el certificado de CA.


Ahora puede firmar sus propios certificados.

Agregar un certificado en cadena

Para agregar un certificado de servidor que está encadenado a los certificados de CA raíz e intermedio, necesita un certificado de servidor (archivo PEM), una clave privada para el servidor, así como un certificado raíz y un certificado intermedio.

Si desea importar el certificado de servidor como un certificado encadenado al certificado intermedio en NSX Edge:

Procedimiento



3 Haga doble clic en una instancia de NSX Edge.



6 Haga clic en el icono Agregar (Add) ( ) y seleccione Certificado (Certificate).


VMware, Inc. 106

7 En el cuadro de texto Contenidos de certificado (Certificates Contents), pegue el contenido del archivo cert.pem del servidor y agregue el contenido de los certificados intermedios y el certificado raíz.

En la cadena de certificados, el orden de los certificados debe ser el siguiente:

n Certificado de servidor

n Cualquier número de certificados de CA intermedios

n Certificado de CA raíz

Cada certificado debe incluir las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----, como se muestra en el siguiente ejemplo:

-----BEGIN CERTIFICATE-----

Server cert

-----END CERTIFICATE-----


Intermediate cert



Root cert


8 En el cuadro de texto Clave privada (Private Key), pegue el contenido de clave privada del servidor.

A continuación, se muestra un ejemplo del contenido de clave privada:

-----BEGIN RSA PRIVATE KEY-----

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

-----END RSA PRIVATE KEY-----

9 Introduzca la contraseña de la clave privada del servidor. Vuelva a escribirla para confirmarla.

10 (opcional) Escriba una descripción para el certificado en cadena.


Resultados

Después de importar los certificados, el certificado del servidor encadenado con sus certificados intermedios debe aparecer en Detalles del certificado (Certificate Details).

Configurar un certificado autofirmadoEs posible crear, instalar y administrar certificados de servidor autofirmados.

Requisitos previos

Compruebe que dispone de un certificado de CA para poder firmar sus propios certificados.

Procedimiento



VMware, Inc. 107





6 Siga estos pasos para generar una CSR.

a Haga clic en Acciones (Actions) y seleccione Generar CSR (Generate CSR).

b En Nombre común (Common name), escriba la dirección IP o el nombre de dominio completo (Fully Qualified Domain Name, FQDN) de NSX Manager.

c Escriba el nombre y la unidad de la organización.

d Escriba la localidad, la calle, el estado y el país de la organización.

e Seleccione el algoritmo de encriptación para la comunicación entre hosts.

Tenga en cuenta que SSL VPN-Plus solo admite certificados RSA. VMware recomienda utilizar RSA para obtener compatibilidad con versiones anteriores.

f Si es necesario, edite el tamaño de clave predeterminado.

g Escriba una descripción para el certificado.

h Haga clic en Aceptar (OK).

Se genera la CSR, que se muestra en la lista de certificados.

7 Compruebe que el certificado generado esté seleccionado.

8 Haga clic en Acciones (Actions) y seleccione Autofirmar certificado (Self Sign Certificate).

9 Escriba la cantidad de días de validez del certificado autofirmado.


Utilizar certificados clienteDespués de generar un certificado cliente, puede distribuirlo a sus usuarios remotos, quienes pueden instalarlo en su explorador web.

La principal ventaja de implementar certificados de cliente es que el equilibrador de carga de NSX Edge puede solicitar al cliente su certificado de cliente y validarlo antes de reenviar sus solicitudes web a los servidores back-end. Si un certificado de cliente se revoca porque se ha perdido o bien porque el cliente ya no trabaja en la empresa, NSX Edge validará el certificado de cliente que no pertenezca a la lista de revocación de certificación.

Los certificados de cliente de NSX Edge se configuran en el perfil de aplicación.

Para obtener más información sobre la generación de certificados de cliente, consulte Escenario: Autenticación SSL de cliente y servidor.


VMware, Inc. 108

Agregar una lista de revocación de certificadosUna lista de revocación de certificados (CRL) es una lista de suscriptores junto con su estado que proporciona y firma Microsoft.

La lista contiene los siguientes elementos:

n Los certificados revocados y los motivos de la revocación

n Las fechas en que se emitieron los certificados

n Las entidades que emitieron los certificados

n La fecha propuesta para la próxima versión

Cuando un usuario potencial intenta acceder a un servidor, el servidor permite o deniega el acceso según la entrada en la lista CRL para ese usuario en particular.

Procedimiento






6 Haga clic en el icono Agregar (Add) y seleccione CRL.

7 En Contenido del certificado (Certificate contents), pegue la lista.

8 (opcional) Escriba una descripción.


Modo FIPSAl habilitar el modo FIPS, toda comunicación segura que salga de NSX Edge o llegue a él utilizará algoritmos o protocolos criptográficos permitidos por los estándares Federal Information Processing Standards (FIPS) de los Estados Unidos. El modo FIPS activa los conjuntos de claves de cifrado que cumplen con FIPS.

Si configura componentes que no sean compatibles con FIPS en una instancia de Edge que tenga habilitado el modo FIPS o si habilita el modo FIPS en una instancia de Edge que tenga cifrados o un mecanismo de autenticación que no sea compatible con FIPS, NSX Manager no podrá realizar la operación y generará un mensaje de error válido.


VMware, Inc. 109

Diferencia de funcionalidad entre el modo FIPS y no FIPS

Componente Funcionalidad Modo FIPS Modo no FIPS

SSL VPN Autenticación RADIUS No disponible Disponible

SSL VPN Autenticación RSA No disponible Disponible

Protocolo TLS TLSv1.0 No disponible Disponible

Enrutamiento OSPF, BGP - Autenticación MD5 de contraseñas

No disponible Disponible

IPsec VPN Autenticación PSK No disponible Disponible

IPsec VPN Grupos DH2 y DH5 No disponible Disponible

IPsec VPN Grupos DH14, DH15 y DH16 Disponible Disponible

IPsec VPN Algoritmo AES-GCM No disponible Disponible

Cambiar el modo FIPS en NSX EdgeHabilitar el modo FIPS activa los conjuntos de claves de cifrado que cumplen con FIPS. Por tanto, cualquier comunicación segura con NSX Edge (entrante o saliente ) utiliza algoritmos o protocolos criptográficos permitidos por FIPS.

Precaución Cambiar el modo FIPS reinicia el dispositivo NSX Edge, lo que causa la interrupción temporal del tráfico. Esto se aplica independientemente de si se habilita o no la alta disponibilidad.

En función de sus requisitos, puede habilitar FIPS en algunos de sus dispositivos NSX Edge o en todos ellos. Los dispositivos NSX Edge con FIPS habilitado pueden comunicarse con los dispositivos NSX Edge que no tienen FIPS habilitado.

Si se implementa un enrutador lógico (distribuido) sin un dispositivo NSX Edge, no se podrá modificar el modo FIPS. El enrutador lógico obtiene automáticamente el mismo modo FIPS que el clúster de NSX Controller. Si el clúster de NSX Controller utiliza NSX 6.3.0 o una versión posterior, estará habilitado el modo FIPS.

Para cambiar el modo FIPS en un enrutador lógico (distribuido) universal en un entorno Cross-vCenter NSX con varios dispositivos NSX Edge implementados en las instancias principal y secundaria de NSX Manager, deberá cambiar el modo FIPS en todos los dispositivos NSX Edge asociados al enrutador lógico (distribuido) universal.

Si cambia el modo FIPS en un dispositivo NSX Edge con la alta disponibilidad habilitada, se habilitará FIPS en ambos dispositivos y los dispositivos se reiniciarán uno después del otro.

Si desea cambiar el modo FIPS por un Edge independiente, use los comandos fips enable o fips disable. Para obtener más información, consulte la Referencia de la interfaz de línea de comandos de NSX.


VMware, Inc. 110

Requisitos previos

n Verifique que todas las soluciones de los partners tengan un certificado para el modo FIPS. Consulte la Guía de compatibilidad de VMware en http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security.

n Si actualizó desde una versión anterior de NSX, no habilite el modo FIPS hasta que se complete la actualización a NSX 6.3.0. Consulte más información sobre el modo FIPS y la actualización de NSX en la Guía de actualización de NSX.

n Verifique que NSX Manager tenga NSX 6.3.0 o una versión posterior.

n Verifique que el clúster de NSX Controller tenga NSX 6.3.0 o una versión posterior.

n Verifique que todos los clústeres de host que ejecuten cargas de trabajo de NSX estén preparados con NSX 6.3.0 o una versión posterior.

n Verifique que todos los dispositivos NSX Edge tengan la versión 6.3.0 o una posterior.

n Verifique que la infraestructura de mensajes tenga el estado VERDE. Use el método de API GET /api/2.0/nwfabric/status?resource={resourceId}, en el que resourceId es el identificador de objetos administrados de vCenter de un host o un clúster. Busque el valor de status correspondiente al featureId de com.vmware.vshield.vsm.messagingInfra en el cuerpo de la respuesta:

<nwFabricFeatureStatus>

<featureId>com.vmware.vshield.vsm.messagingInfra</featureId>

<updateAvailable>false</updateAvailable>

<status>GREEN</status>

<installed>true</installed>

<enabled>true</enabled>

<allowConfiguration>false</allowConfiguration>

</nwFabricFeatureStatus>

Procedimiento



3 Seleccione el enrutador o edge requerido, haga clic en Acciones ( ) (Actions) y seleccione Cambiar el modo FIPS (Change FIPS mode).

Se mostrará el cuadro de diálogo Cambiar modo FIPS (Change FIPS mode).


VMware, Inc. 111



4 Seleccione o desmarque la casilla de verificación Habilitar FIPS (Enable FIPS). Haga clic en Aceptar (OK).

NSX Edge se reinicia y el modo FIPS se habilita.

Pasos siguientes

De forma opcional, Cambiar la configuración de TLS y el modo FIPS en NSX Manager.

Administración de dispositivosPuede agregar, editar o eliminar dispositivos. Una instancia de NSX Edge permanece sin conexión hasta que al menos un dispositivo se haya agregado a ella.

Agregar un dispositivoEs necesario agregar al menos un dispositivo a NSX Edge para poder implementarlo.

Procedimiento




4 Haga clic en la pestaña Administrar (Manage) y seleccione la pestaña Configuración (Settings).

5 En Dispositivos de puerta de enlace de Edge (Edge Gateway Appliances), haga clic en el icono

Agregar (Add) .

6 Seleccione el clúster o el grupo de recursos y el almacén de datos para el dispositivo.

7 (opcional) Seleccione el host al cual desea agregar el dispositivo.

8 (opcional) Seleccione la carpeta de vCenter en la cual planea agregar el dispositivo.


Editar un dispositivoEs posible editar un dispositivo NSX Edge.


VMware, Inc. 112

Procedimiento





5 En Dispositivos de puerta de enlace de Edge (Edge Gateway Appliances), seleccione el dispositivo que desea cambiar.

6 Haga clic en el icono Editar (Edit) ( ).

7 En el cuadro de diálogo Editar dispositivo Edge (Edit Edge Appliance), realice los cambios adecuados.

8 Haga clic en Guardar (Save).

Eliminar un dispositivoEs posible eliminar un dispositivo de NSX Edge.

Procedimiento





5 En Dispositivos de puerta de enlace Edge (Edge Gateway Appliances), seleccione el dispositivo que desea eliminar.

6 Haga clic en el icono Eliminar (Delete) ( ).

Administrar reservas de recursos de dispositivos NSX EdgeNSX for vSphere utiliza la asignación de recursos de vSphere para reservar recursos para los dispositivos NSX Edge. La reserva de recursos de memoria y CPU para NSX Edge garantiza que el dispositivo disponga de suficientes recursos para funcionar correctamente.

Puede establecer la reserva de recursos de un dispositivo de NSX Edge mediante la API. Puede configurar la reserva al crear una instancia de NSX Edge con POST /api/4.0/edges. También puede actualizar la reserva de una instancia de NSX Edge existente con PUT /api/4.0/edges/{edgeId}/appliances. Parar establecer la reserva de recursos, utilice cpuReservation> reservation y memoryReservation > reservation. Consulte la Guía de NSX API para obtener más detalles.


VMware, Inc. 113

A partir de NSX 6.3.3, también puede establecer la reserva de recursos de un dispositivo de NSX Edge con vSphere Web Client. Cuando cree una instancia de NSX Edge, se le pedirá que proporcione un método de reserva. También puede cambiar la reserva de una instancia de NSX Edge existente editando el dispositivo. Desplácese hasta Redes y seguridad (Networking & Security) > NSX Edges > Instancia de NSX Edge (NSX Edge Instance) > Administrar (Manage) > Ajustes (Settings) > Configuración (Configuration) y edite el dispositivo.

Existen tres métodos de reserva de recursos: Administrado por el sistema (System Managed), Personalizado (Custom) y Sin reserva (No Reservation).

Importante Si selecciona las reservas del tipo Personalizado (Custom) o Sin reserva (No Reservation) para un dispositivo de NSX Edge, no podrá volver a la opción Administrado por el sistema (System Managed).

Reserva de recursos administrados por el sistemaSi selecciona Administrado por el sistema (System Managed), el sistema reservará recursos de memoria y CPU para el nuevo dispositivo NSX Edge. Los recursos reservados son iguales a los requisitos del sistema para el tamaño del dispositivo, modificados por los porcentajes que se establecen mediante la API de configuración de ajuste.

Si crea un dispositivo de NSX Edge mediante la API y no establece de forma explícita reservas de memoria o CPU en la solicitud, eso equivaldrá a establecer una reserva de recursos del tipo Administrado por el sistema (System Managed) en vSphere Web Client.

Cuando se implementa un dispositivo NSX Edge con la reserva de recursos del tipo Administrado por el sistema (System Managed) durante una instalación, actualización o reimplementación, la reserva se aplica al grupo de recursos después de que se encienda el dispositivo. Si no hay recursos suficientes, se producirá un error en la reserva y se generará un evento del sistema, pero la implementación del dispositivo se realizará correctamente. La reserva se intentará la próxima vez que se implemente el dispositivo (durante la actualización o la implementación).

Con las reservas de recursos del tipo Administrado por el sistema (System Managed), si cambia el tamaño del dispositivo, el sistema actualizará las reservas de recursos para que coincidan con los requisitos del sistema del nuevo tamaño de dispositivo.

Reserva de recursos personalizadosSi selecciona Personalizado (Custom), deberá determinar las reservas de recursos para el dispositivo NSX Edge.

Si crea un dispositivo de NSX Edge mediante la API y establece de forma explícita reservas de memoria o CPU en la solicitud, eso equivaldrá a establecer una reserva de recursos del tipo Personalizado (Custom) en vSphere Web Client.

Cuando se implementa un dispositivo NSX Edge con la reserva de recursos del tipo Personalizado (Custom) durante una instalación, actualización o reimplementación, la reserva se aplica al grupo de recursos antes de que se encienda el dispositivo. Si no hay recursos suficientes, el dispositivo no se encenderá y se producirá un error en su implementación.


VMware, Inc. 114

Puede aplicar las reservas del tipo Personalizado (Custom) después de implementar un dispositivo NSX Edge. Si el grupo de recursos no tiene suficientes recursos, se producirá un error en el cambio de configuración.

Si se establece el valor Personalizado (Custom) para las reservas de recursos, el sistema no agregará ni cambiará las reservas de recursos para el dispositivo. Si cambia el tamaño del dispositivo, los requisitos del sistema del dispositivo cambiarán, pero el sistema no actualizará las reservas de recursos. Debe cambiar la reserva de recursos para que refleje los requisitos del sistema del nuevo tamaño del dispositivo.

Puede cambiar las reservas de recursos personalizadas mediante vSphere Web Client o la API.

Sin reserva de recursosSi selecciona Sin reserva (No reservation), no se reservará ningún recurso para el dispositivo NSX Edge. Puede implementar dispositivos NSX Edge en hosts que no tengan suficientes recursos, pero es posible que los dispositivos no funcionen correctamente si hay contención de recursos.

Si crea un dispositivo de NSX Edge mediante la API y establece de forma explícita las reservas de memoria o CPU en 0, eso equivaldrá a establecer una reserva de recursos del tipo Sin reserva (No reservation) en vSphere Web Client.

Modificar la reserva de recursos administrados por el sistema mediante la configuración de ajusteCuando haya falta de recursos, puede deshabilitar temporalmente las reservas de recursos del tipo Administrado por el sistema (System Managed) o disminuir el valor predeterminado. Puede cambiar la reserva configurando los valores de los parámetros edgeVCpuReservationPercentage y edgeMemoryReservationPercentage en la API de configuración de ajuste, PUT /api/4.0/edgePublish/tuningConfiguration. Este cambio afecta a las nuevas implementaciones de dispositivos NSX Edge, pero no a los dispositivos existentes. Los porcentajes modifican la CPU y la memoria predeterminadas reservadas para el tamaño de dispositivo NSX Edge relevante. Para deshabilitar la reserva de recursos, establezca los valores en 0. Consulte la Guía de NSX API para obtener más detalles.

Requisitos del sistema para los dispositivos NSX EdgeLos requisitos del sistema para los dispositivos NSX Edge dependen del tamaño del dispositivo: compacto, grande, cuádruple o extragrande. Estos valores se utilizan para la reserva de recursos del tipo Administrado por el sistema (System Managed) predeterminado.

Tabla 9-2. Requisitos del sistema de NSX Edge

Tamaño del dispositivo (Appliance Size) Reserva de CPU Reserva de memoria

Compacto 1000 MHz 512 MB

Grande 2000 MHz 1 GB

Tamaño cuádruple 4000 MHz 2 GB

Extra grande 6000 MHz 8 GB


VMware, Inc. 115

Trabajar con interfacesUna puerta de enlace de servicios NSX Edge puede tener hasta diez interfaces internas, de vínculo superior o troncales. Un enrutador NSX Edge puede tener ocho interfaces de vínculo superior y hasta mil interfaces internas.

Una instancia de NSX Edge debe tener al menos una interfaz interna para que se la pueda implementar.

Configurar una interfazGeneralmente, las interfaces internas se utilizan para el tráfico de este a oeste y las interfaces de vínculo superior para el tráfico de norte a sur. Cuando se conecta un enrutador lógico (DLR) a una puerta de enlace de servicios Edge (ESG), la interfaz en el enrutador es una interfaz de vínculo superior, mientras que la interfaz en la puerta de enlace es una interfaz interna. Las interfaces troncales de NSX se utilizan para las redes internas, no para las redes externas. Una interfaz troncal permite enlazar troncalmente varias redes internas (VLAN o VXLAN).

Una puerta de enlace de servicios de NSX Edge (ESG) puede contener hasta 10 interfaces internas, de vínculo superior o troncales. NSX Manager es el responsable de aplicar estos límites.

Una implementación de NSX puede contener hasta 1000 instancias de enrutadores lógicos distribuidos (DLR) en un solo host ESXi. En un solo enrutador lógico, es posible configurar hasta 8 interfaces de vínculo superior y hasta 991 interfaces internas. NSX Manager es el responsable de aplicar estos límites. Para obtener más información sobre la ampliación de interfaces en una implementación de NSX, consulte Guía de diseño para la virtualización de redes en VMware® NSX for vSphere en https://communities.vmware.com/docs/DOC-27683.

Procedimiento




4 Haga clic en la pestaña Administrar (Manage) y seleccione la pestaña Interfaces (Interfaces).

5 Seleccione una interfaz y haga clic en el icono Editar (Edit) ( ).

6 En el cuadro de diálogo Editar interfaz de Edge (Edit Edge Interface), escriba un nombre para la interfaz.

7 Seleccione Interna (Internal) o Vínculo superior (Uplink) para indicar si se trata de una interfaz interna o externa.

Seleccione Troncal (Trunk) al crear una interfaz subordinada. Para obtener más información, consulte Agregar una subinterfaz.


VMware, Inc. 116



8 Seleccione el grupo de puertos o el conmutador lógico al que se debe conectar esta interfaz.

a Haga clic en la opción Seleccionar (Select) junto al campo Conectar a (Connected To).

b Según el elemento al que desee conectar la interfaz, haga clic en la pestaña Conmutador lógico (Logical Switch), Grupo de puertos estándar (Standard Portgroup) o Grupo de puertos distribuidos (Distributed Portgroup).

c Seleccione el conmutador lógico o el grupo de puertos correspondiente.

d Haga clic en Seleccionar (Select).

9 Seleccione el estado de conectividad de la interfaz.

10 En Configurar subredes (Configure Subnets), haga clic en el icono Agregar (Add) para agregar una subred a la interfaz.

Una interfaz puede tener varias subredes no superpuestas.

11 En Agregar subred (Add Subnet), haga clic en el icono Agregar (Add) para agregar una dirección IP.

Si introduce más de una dirección IP, puede seleccionar la dirección IP principal. Un interfaz puede tener una dirección IP principal y varias secundarias. NSX Edge considera la dirección IP principal como la dirección de origen para el tráfico que se genera de forma local.

Debe agregar una dirección IP con una interfaz antes de utilizarla en cualquier configuración de características.

12 Introduzca la máscara de subred para la interfaz y haga clic en Guardar (Save).

13 Cambie la opción de MTU predeterminada si es necesario.

14 En Opciones (Options), seleccione las opciones necesarias.


Habilitar ARP de proxy (Enable Proxy ARP)

Se admite la superposición de reenvíos de red entre diferentes interfaces.

Enviar redirección de ICMP (Send ICMP Redirect)

Se transmite la información de enrutamiento a los hosts.

Invertir filtro de ruta de acceso (Reverse Path Filter)

Se comprueba la posibilidad de alcance de la dirección de origen en los paquetes que se reenvían. En el modo habilitado, el paquete debe recibirse en la interfaz que el enrutador utilizaría para reenviar el paquete de retorno. En el modo flexible, la dirección de origen debe aparecer en la tabla de enrutamiento.

15 Introduzca los parámetros de barrera y haga clic en Agregar (Add).


Eliminar una interfazEs posible eliminar una interfaz de NSX Edge.


VMware, Inc. 117

Procedimiento





5 Seleccione la interfaz que desea eliminar.


Habilitar una interfazSe debe habilitar una interfaz para NSX Edge a fin de aislar las máquinas virtuales dentro de esa interfaz (grupo de puertos o conmutador lógico).

Procedimiento





5 Seleccione la interfaz que desea habilitar.

6 Haga clic en el icono Habilitar (Enable) ( ).

Deshabilitar una interfazPuede deshabilitar una interfaz en NSX Edge.

Procedimiento





5 Seleccione la interfaz que desea deshabilitar.

6 Haga clic en el icono Deshabilitar (Disable).


VMware, Inc. 118

Cambiar la directiva de catalogación de tráficoEs posible cambiar la directiva de catalogación de tráfico de vSphere Distributed Switch para una interfaz de NSX Edge.

Procedimiento

1 Haga doble clic en una instancia de NSX Edge y desplácese hasta Administrar (Manage) > Configuración (Settings) > Interfaces (Interfaces).

2 Seleccione una interfaz.

3 Haga clic en Acciones (Actions) > Configurar directiva de catalogación de tráfico (Configure Traffic Shaping Policy).

4 Realice los cambios necesarios.

Para obtener más información sobre las opciones, consulte Directiva de catalogación de tráfico.


Agregar una subinterfazEs posible agregar una subinterfaz en una vNIC de tronco, para que los servicios NSX Edge puedan utilizarla posteriormente.

Subinterfaz1

Subinterfaz2

Edge

Subinterfaz3

vNic 0 vNic 10

Las interfaces troncales pueden ser de los siguientes tipos:

n El tronco de VLAN es estándar y funciona con cualquier versión de ESXi. Esto se utiliza para introducir tráfico de VLAN etiquetado en Edge.

n El tronco de VXLAN funciona con NSX versión 6.1 y posteriores. Esto se utiliza para introducir tráfico de VXLAN en Edge.

Los siguientes servicios Edge pueden utilizar una subinterfaz:

n DHCP

n Enrutamiento (BGP y OSPF)

n Equilibrador de carga


VMware, Inc. 119

https://pubs.vmware.com/vsphere-55/topic/com.vmware.vsphere.networking.doc/GUID-D3A091C0-0D0D-480D-ACE3-62524E2E0D0A.html

n IPSec VPN: IPSec VPN solo se puede configurar como una interfaz de vínculo ascendente. Se puede utilizar la subinterfaz para que el tráfico privado pase mediante el túnel IPSec. Si la directiva IPSec está configurada para el tráfico privado, la subinterfaz actúa como una puerta de enlace para la subred local privada.

n VPN de Capa 2

n NAT

. No puede utilizarse una subinterfaz para HA o el firewall lógico. Sin embargo, se puede utilizar la dirección IP de la subinterfaz en una regla de firewall.

Procedimiento

1 En la pestaña Administrar (Manage) > Configuración (Settings) de una instancia de NSX Edge, haga clic en Interfaces.

2 Seleccione una interfaz y haga clic en el icono Editar (Edit) ( ).

3 En el cuadro de diálogo Editar interfaz de Edge (Edit Edge Interface), escriba un nombre para la interfaz.

4 En Tipo (Type), seleccione Tronco (Trunk).

5 Seleccione el grupo de puertos estándar o el grupo de puertos distribuidos al cual debe conectarse esta interfaz.

a Haga clic en Cambiar (Change) junto al campo Conectado a (Connected To).

b Según el grupo de puertos que desee conectar a la interfaz, haga clic en la pestaña Grupo de puertos estándar (Standard Portgroup) o Grupo de puertos distribuidos (Distributed Portgroup).

c Seleccione el grupo de puertos correspondiente y haga clic en Aceptar (OK).

d Haga clic en Seleccionar (Select).

6 En Subinterfaces (Sub Interfaces), haga clic en el icono Agregar (Add).

7 Haga clic en Habilitar subinterfaz (Enable Sub interface) y escriba un nombre para la subinterfaz.

8 En Identificador de túnel (Tunnel Id), escriba un número entre 1 y 4.094.

El identificador de túnel se utiliza para conectar la redes que se van a ampliar. Este valor debe ser el mismo en los sitios del cliente y del servidor.

9 En Tipo de respaldo (Backing Type), seleccione una de las siguientes opciones para indicar el respaldo de red para la subinterfaz.

n VLAN para una red VLAN.

Escriba el identificador de VLAN de la LAN virtual que debe utilizar la subinterfaz. Los identificadores de VLAN pueden ser un número de 0 a 4.094.

n Red (Network) para una red VLAN o VXLAN.


VMware, Inc. 120

Haga clic en Seleccionar (Select) y seleccione el grupo de puertos distribuidos o el conmutador lógico. NSX Manager extrae el identificador de VLAN y lo utiliza en la configuración del tronco.

n Ninguno (None) para crear una subinterfaz sin especificar un identificador de red o de VLAN. Esta subinterfaz es interna a NSX Edge y se utiliza para enrutar paquetes entre una red ampliada y una red sin ampliar (sin etiquetar).

10 Para agregar subredes a la subinterfaz, haga clic en el icono Agregar (Add) en el área Configurar subredes (Configure Subnets).

11 En Agregar subredes (Add Subnets), haga clic en el icono Agregar (Add) para agregar una dirección IP. Escriba la dirección IP y haga clic en Aceptar (OK).

Si introduce más de una dirección IP, puede seleccionar la dirección IP principal. Un interfaz puede tener una dirección IP principal y varias secundarias. NSX Edge considera la dirección IP principal como la dirección de origen del tráfico generado localmente.

12 Escriba la longitud del prefijo de subred y haga clic en Aceptar (OK).

13 Si es necesario, edite el valor predeterminado de MTU para la subinterfaz.

La MTU predeterminada de una interfaz troncal es 1.600, mientras que la MTU predeterminada de una subinterfaz es 1.500. La MTU de la subinterfaz debe ser menor o igual que la MTU más baja de todas las interfaces troncales para NSX Edge.

14 Seleccione Habilitar redirección de envío (Enable Send Redirect) para transmitir la información de enrutamiento a los hosts.

15 Habilite o inhabilite Invertir filtro de ruta de acceso (Reverse Path Filter).

Esta opción comprueba la posibilidad de alcance de la dirección de origen en los paquetes que se reenvían. En el modo habilitado, el paquete debe recibirse en la interfaz que el enrutador utilizaría para reenviar el paquete de retorno. En el modo flexible, la dirección de origen debe aparecer en la tabla de enrutamiento.

16 Haga clic en Aceptar (OK) para regresar a la ventana de la interfaz troncal.

17 Introduzca la dirección MAC de la interfaz si es necesario. Si utiliza ESG HA, especifique dos direcciones MAC.

Si no es necesario, se generarán automáticamente.

18 Si es necesario, edite la MTU predeterminada de la interfaz troncal.

La MTU predeterminada de una interfaz troncal es 1.600, mientras que la MTU predeterminada de una subinterfaz es 1.500. La MTU de la interfaz troncal debe ser igual o superior que la MTU de la subinterfaz.


Resultados

Ahora puede utilizar la subinterfaz en los servicios Edge.


VMware, Inc. 121

Pasos siguientes

Configure el tronco de VLAN si la subinterfaz agregada a una vNic de tronco está respaldada por un grupo de puertos estándar. Consulte Configurar el tronco de VLAN .

Configurar el tronco de VLANCuando se agregan subinterfaces en la vNic troncal de una instancia de Edge que está conectada a un portgroup distribuido, se admiten los enlaces troncales VLAN y VXLAN. Cuando se agregan subinterfaces en la vNic troncal de una instancia de Edge que está conectada a un portgroup estándar, solo se admiten los enlaces troncales VLAN.

Requisitos previos

Compruebe que está disponible una subinterfaz con una vNic de tronco respaldada por un grupo de puertos estándar. Consulte Agregar una subinterfaz.

Procedimiento

1 Inicie sesión en vCenter Web Client.

2 Haga clic en Redes (Networking).

3 Seleccione el grupo de puertos estándar y haga clic en Editar configuración (Edit Settings).

4 Haga clic en la pestaña VLAN.

5 En Tipo de VLAN (VLAN Type), seleccione Enlace troncal de VLAN (VLAN Trunking) y escriba los identificadores de VLAN que se enlazarán troncalmente.


Cambiar configuración de reglas automáticasCuando se habilita la generación automática de reglas, NSX Edge agrega reglas de firewall, NAT y enrutamiento para permitir el flujo de tráfico de control en estos servicios. Si no se habilita la generación automática de reglas, es necesario agregar manualmente la configuración de firewall, NAT y enrutamiento para permitir el tráfico en los canales de control de los servicios de NSX Edge como equilibrio de carga, VPN, etc.

Procedimiento




4 Haga clic en la pestaña Administrar (Manage) y seleccione la pestaña Configuración (Settings). Haga clic en Configuración (Configuration).

5 En el panel Detalles (Details), haga clic en Action [Acción] ( ) y seleccione Cambiar configuración de reglas automáticas (Change Auto Rule configuration).


VMware, Inc. 122

6 Realice los cambios necesarios y haga clic en Aceptar (OK).

Cambiar credenciales de CLIEs posible editar las credenciales que se utilizan para iniciar sesión en la interfaz de línea de comandos (CLI).

Procedimiento




4 Haga clic en la pestaña Administrar (Manage) y seleccione la pestaña Configuración (Settings). Haga clic en Configuración (Configuration).

5 En el panel Detalles (Details), haga clic en Action [Acción] ( ) y seleccione Cambiar credenciales de CLI (Change CLI Credentials).

6 Introduzca y confirme la nueva contraseña y haga clic en Aceptar (OK).

Acerca de High AvailabilityHigh Availability (HA) asegura que los servicios proporcionados por los dispositivos NSX Edge están disponibles aunque un error de hardware o software haga que un dispositivo no esté disponible. HA de NSX Edge minimiza el tiempo de inactividad de la conmutación por error en lugar de enviar un tiempo de inactividad cero, puesto que la conmutación por error entre dispositivos puede necesitar que se reinicien algunos servicios.

Por ejemplo, NSX Edge HA sincroniza el seguimiento de la conexión del firewall con estado o la información con estado proporcionada por el equilibrador de carga. El tiempo necesario para introducir la copia de seguridad de todos los servicios no es nulo. Los ejemplos de impactos al reiniciar servicios conocidos incluyen un tiempo de inactividad que no es cero con un enrutamiento dinámico cuando una instancia de NSX Edge funciona como enrutador.

En algunas ocasiones, los dos dispositivos de HA de NSX Edge no pueden comunicarse y deciden activarse de forma unilateral. Este comportamiento debe mantener la disponibilidad de los servicios de NSX Edge activos si NSX Edge en espera no está disponible. Si aún existe el otro dispositivo cuando la comunicación se vuelve a establecer, los dos dispositivos de HA de NSX Edge vuelven a negociar el estado activo y en espera. Si esta negociación no finaliza y ambos dispositivos declaran que están activos cuando se vuelve a establecer la conectividad, se produce un comportamiento inesperado. Esta condición, conocida como cerebro dividido, se produce debido a las siguientes condiciones del entorno:

n Problemas de la conectividad de la red física, que incluye una partición de red.

n CPU o contención de los recursos de memoria en NSX Edge.

n Problemas transitorios de almacenamiento que pueden hacer que al menos una máquina virtual de HA de NSX Edge no esté disponible.


VMware, Inc. 123

Por ejemplo, se produce una mejora en la estabilidad y el rendimiento de HA de NSX Edge cuando las máquinas virtuales salen del almacenamiento sobreaprovisionado. Concretamente, mientras se realizan copias de seguridad nocturnas, grandes puntas en la latencia del almacenamiento pueden suponer un impacto en la estabilidad de HA de NSX Edge.

n Congestión en el adaptador de red física o virtual relacionada con el intercambio de paquetes.

Además de los problemas de entorno, una situación de cerebro dividido se produce cuando el motor de la configuración de HA pasa a un mal estado o cuando se produce un error en el demonio de HA.

High Availability con estadoEl dispositivo NSX Edge principal está en estado activo, mientras que el secundario está en estado en espera. NSX Manager replica la configuración del dispositivo principal para el dispositivo en espera; de manera alternativa, se pueden agregar manualmente dos dispositivos. Cree los dispositivos principal y secundarios en almacenes de datos y grupos de recursos diferentes. Si se crean los dispositivos principal y secundarios en el mismo almacén de datos, dicho almacén debe compartirse entre todos los hosts del clúster para que el par de dispositivos de HA se implemente en hosts ESXi diferentes. Si el almacén de datos es un almacenamiento local, las dos máquinas virtuales se implementan en el mismo host.

Todos los servicios de NSX Edge se ejecutan en el dispositivo activo. El dispositivo principal mantiene un latido con el dispositivo en espera y envía actualizaciones de servicio a través de una interfaz interna.

Si no se recibe un latido del dispositivo principal en el período especificado (el valor predeterminado es 15 segundos), se declara inactivo al dispositivo principal. El dispositivo en espera cambia al estado activo, pasa a controlar la configuración de la interfaz del dispositivo principal e inicia los servicios NSX Edge que se estaban ejecutando en el dispositivo principal. Cuando se realiza la transición, aparece un evento de sistema en la pestaña Eventos del sistema (System Events) de Configuración e informes (Settings & Reports). Los servicios de equilibrador de carga y VPN deben restablecer la conexión TCP con NSX Edge, por lo que el servicio se interrumpe durante un breve período Las conexiones del conmutador lógico y las sesiones del firewall se sincronizan entre los dispositivos principales y en espera. No obstante, el servicio se interrumpe durante la transición en la cual el dispositivo en espera se activa y toma el control.

Si se produce un error en el dispositivo NSX Edge y se informa de un estado incorrecto, HA realiza una sincronización forzada del dispositivo con errores para reactivarlo. Una vez reactivado, el dispositivo asume la configuración del dispositivo ahora activo y permanece en estado de espera. Si el dispositivo NSX Edge está inactivo, debe eliminarlo y agregar uno nuevo.

NSX Edge garantiza que las dos máquinas virtuales NSX Edge HA no estén en el mismo host ESXi incluso después de utilizar DRS y vMotion (a menos que las migre manualmente con vMotion al mismo host). En vCenter, se implementan dos máquinas virtuales en el mismo grupo de recursos y almacén de datos que el dispositivo configurado. Se asignan direcciones IP de enlace local a las máquinas virtuales de HA en el dispositivo HA de NSX Edge para que puedan comunicarse. Puede especificar direcciones IP de administración para anular los vínculos locales.

Si se configuran servidores syslog, los registros del dispositivo activo se envían a dichos servidores.


VMware, Inc. 124

High Availability en un entorno Cross-vCenter NSXSi habilita High Availability en NSX Edge en un entorno de Cross-vCenter NSX, los dispositivos NSX Edge activos y en espera deben residir en el mismo vCenter Server. Si migra uno de los miembros de un par HA de NSX Edge a un sistema de vCenter Server diferente, los dos dispositivos de HA dejarán de funcionar como un par HA, y es posible que se interrumpa el tráfico.

vSphere High AvailabilityNSX Edge HA es compatible con vSphere HA. Si el host en el que se está ejecutando la instancia de NSX Edge pierde la actividad, el dispositivo NSX Edge se reinicia en el host en espera para garantizar que el par de NSX Edge HA siga estando disponible para controlar otra conmutación por error.

Si no se habilita vSphere HA, el par de NSX Edge HA en modo activo o en espera sobrevivirá una sola conmutación por error. Sin embargo, si se produce otra conmutación por error antes de la restauración del segundo par HA, puede ponerse en riesgo la disponibilidad de NSX Edge.

Para obtener más información sobre vSphere HA, consulte Disponibilidad de vSphere.

Cambiar la configuración de alta disponibilidadEs posible cambiar la configuración de HA que se especificó durante la instalación de NSX Edge.

Nota En NSX 6.2.3 y versiones posteriores, se producirá un error al habilitar la alta disponibilidad (HA) en una instancia de Edge existente cuando no se puedan reservar recursos suficientes para el dispositivo de la máquina virtual de Edge secundario. La configuración se restaurará a la última configuración conocida y efectiva.

Procedimiento





5 En el panel Configuración de HA (HA Configuration), haga clic en Cambiar (Change).

6 En el cuadro de diálogo Cambiar la configuración de HA (Change HA Configuration), realice los cambios que se explican en la sección Agregar una puerta de enlace de servicios Edge de la Guía de instalación de NSX.

Nota Si se configuró VPN de Capa 2 en el dispositivo Edge antes de habilitar HA, es necesario disponer de al menos dos interfaces internas configuradas. Si existe una sola interfaz configurada en esta instancia de Edge que ya utiliza VPN de Capa 2, la alta disponibilidad queda deshabilitada en el dispositivo Edge.



VMware, Inc. 125

Forzar sincronización de NSX Edge con NSX ManagerEs posible enviar una solicitud de sincronización de NSX Manager a NSX Edge.

La sincronización forzada se utiliza cuando se debe sincronizar la configuración de Edge como la conoce NSX Manager en todos los componentes.

Nota Para la versión 6.2 y superiores, forzar la sincronización evita la pérdida de datos del tráfico de enrutamiento de Este a Oeste, sin embargo, es posible que el enrutamiento de Norte a Sur y las rutas puente se interrumpan.

Forzar la sincronización da como resultado las acciones siguientes:

n Los dispositivos Edge se reinician y se aplica la última configuración

n Se cierra la conexión con el host.

n Si NSX Manager es principal o independiente, y Edge es un enrutador lógico distribuido, se sincroniza el clúster del controlador.

n Se envía un mensaje a todos los hosts relevantes para sincronizar la instancia del enrutador distribuido

Importante En un entorno Cross-vCenter NSX, es necesario que la sincronización de la instancia NSX Edge pueda forzarse en primer lugar en el NSX Manager principal. Cuando haya finalizado, fuerce la sincronización de la instancia NSX Edge en los NSX Manager secundarios.

Procedimiento



3 Seleccione una instancia de NSX Edge.

4 Haga clic en Acciones [Acciones] ( ) y seleccione Forzar sincronización (Force Sync).

Configure los servidores de Syslog para NSX EdgePuede configurar uno o dos servidores Syslog remotos. Los eventos y registros de NSX Edge relacionados con eventos de firewall que circulan desde dispositivos NSX Edge son enviados a los servidores Syslog.

Procedimiento






VMware, Inc. 126

5 En el panel Detalles (Details), haga clic en Cambiar (Change) junto a los servidores Syslog.

6 Escriba la dirección IP de ambos servidores Syslog remotos y seleccione el protocolo.

7 Haga clic en Aceptar (OK) para guardar la configuración.

Ver el estado de una instancia de NSX EdgeLa página de estado muestra gráficos del tráfico que circula a través de las interfaces de la instancia de NSX Edge seleccionada y las estadísticas de conexiones de los servicios de firewall y el equilibrador de carga.

Procedimiento




4 Haga clic en la pestaña Supervisar (Monitor).

5 Seleccione el período cuyas estadísticas desea ver.

Pasos siguientes

Para ver más detalles sobre la instancia de NSX Edge, haga clic en Administrar (Manage) y, a continuación, en Configuración (Settings).

Volver a implementar NSX EdgeSi los servicios NSX Edge no funcionan según lo esperado tras una sincronización forzada, se puede volver a implementar la instancia de NSX Edge.

Nota Volver a implementar es una acción disruptiva. Se recomienda primero aplicar una sincronización forzada y, si el problema persiste, entonces volver a implementar.

Al volver a implementar una instancia de NSX Edge ocurren las siguientes acciones:

n Los dispositivos Edge se eliminan e implementan de cero con la configuración más reciente aplicada.

n Los enrutadores lógicos se eliminan del controlador y, a continuación, se recrean con la configuración más reciente aplicada.

n Las instancias de enrutador lógico distribuido de los hosts se eliminan y, a continuación, se recrean con la configuración más reciente aplicada.

Las adyacencias OSPF se retiran durante este proceso si el reinicio estable no está habilitado.

Importante En un entorno de Cross-vCenter, es necesario que la instancia de NSX Edge se vuelva a implementar en primer lugar en la instancia principal de NSX Manager y, una vez hecho, se vuelva a implementar la instancia de NSX Edge en las instancias secundarias de NSX Manager. Se requiere volver a implementar tanto la instancia principal como las instancias secundarias de NSX Manager.


VMware, Inc. 127

Requisitos previos

n Compruebe que los hosts tienen suficientes recursos para implementar más dispositivos de la puerta de enlace de servicios de NSX Edge durante el proceso para volver a realizar la implementación. Consulte los Capítulo 1 Requisitos del sistema para NSX si desea obtener información sobre los recursos necesarios para el tamaño de cada instancia de NSX Edge.

n Para una instancia individual de NSX Edge hay dos dispositivos NSX Edge del tamaño en el estado encendido (poweredOn) durante la reimplementación.

n Para una instancia de NSX Edge con alta disponibilidad, se implementan ambos dispositivos de sustitución antes de reemplazar los antiguos dispositivos. Esto significa que hay cuatro dispositivos NSX Edge del tamaño adecuado en el estado encendido (poweredOn) durante la actualización de una instancia de NSX Edge determinada. Cuando la instancia de NSX Edge se implemente de nuevo, cualquiera de los dispositivos HA puede activarse.

n Compruebe que los clústeres de host enumerados en la ubicación configurada y la ubicación en vivo para el dispositivo NSX Edge estén preparados para NSX y que el estado de su infraestructura de mensajería sea de color VERDE. Si la ubicación configurada no está disponible, por ejemplo, debido a que se quitó el clúster al crearse el dispositivo NSX Edge, compruebe solo la ubicación en vivo.

n Busque el ID de la ubicación configurada original (configuredResourcePool > id) y la ubicación en vivo actual (resourcePoolId) con la solicitud de la API GET https://NSX-Manager-IP-Address/api/4.0/edges/{edgeId}/appliances.

n Busque el estado de preparación del host y el estado de la infraestructura de mensajería para los clústeres con la solicitud de la API GET https://NSX-Manager-IP-Address/api/2.0/nwfabric/status?resource={resourceId}, donde resourceId es el ID de la ubicación configurada y en vivo de los dispositivos de NSX Edge que se detectaron anteriormente.

n Busque el estado correspondiente al featureId de com.vmware.vshield.vsm.nwfabric.hostPrep en el cuerpo de la respuesta. El estado debe ser de color VERDE.


<featureId>com.vmware.vshield.vsm.nwfabric.hostPrep</featureId>

<featureVersion>6.3.1.5124716</featureVersion>

<updateAvailable>false</updateAvailable>







VMware, Inc. 128

n Busque el estado correspondiente al featureId de com.vmware.vshield.vsm.messagingInfra en el cuerpo de la respuesta. El estado debe ser de color VERDE.


<featureId>com.vmware.vshield.vsm.messagingInfra</featureId>

<updateAvailable>false</updateAvailable






Procedimiento




4 Haga clic en el icono Acciones (Actions) ( ) y seleccione Volver a implementar Edge (Redeploy Edge).

Resultados

La máquina virtual de NSX Edge se reemplaza con una nueva máquina virtual y se restauran todos los servicios. Si la nueva implementación no funciona, apague la máquina virtual de NSX Edge e intente volver a implementar NSX Edge nuevamente.

Nota Es posible que la acción de volver a implementar no funcione en los siguientes casos.

n El grupo de recursos en el que se instaló NSX Edge ya no se encuentra en el inventario de vCenter o cambió su identificador de objetos administrados (MOID).

n El almacén de datos donde se instaló NSX Edge está dañado o desmontado, o no es posible acceder a él.

n Los grupos dvportGroup a los que se conectaron las interfaces de NSX Edge ya no se encuentran en el inventario de vCenter o cambió su identificador MOID (identificador en vCenter Server).

Si ocurre alguna de las anteriores situaciones, debe actualizar el identificador MOID del grupo de recursos, del almacén de datos o de dvportGroups mediante una llamada API de REST. Consulte la Guía de programación de NSX API.

Si el modo FIPS está habilitado en NSX Edge y algo no sale bien, NSX Manager no permitirá reimplementar la instancia de Edge. Usted debería intentar resolver los problemas de infraestructura de errores de comunicación en lugar de reimplementar la instancia de Edge.


VMware, Inc. 129

Descargar registros de soporte técnico para NSX EdgePuede descargar los registros de soporte técnico para cada instancia de NSX Edge. Si está habilitado el modo de alta disponibilidad para la instancia de NSX Edge, se descargan los registros de soporte de ambas máquinas virtuales de NSX Edge.

Procedimiento




4 Haga clic en Actions [Acciones]( ) y seleccione Descargar registros de soporte técnico (Download Tech Support Logs).

5 Una vez generados los registros de soporte técnico, haga clic en Descargar (Download).

Agregar una ruta estáticaEs posible agregar una ruta estática para un host o una subred de destino.

Procedimiento




4 Haga clic en la pestaña Administrar (Manage) y seleccione la pestaña Enrutamiento (Routing).

5 Seleccione Rutas estáticas (Static Routes) en el panel izquierdo.


7 Escriba el nombre de Red (Network) en notación CIDR.

8 Especifique la dirección IP para Próximo salto (Next Hop).

El enrutador debe poder llegar de forma directa al siguiente salto.

Si se habilita ECMP, es posible especificar varios próximos saltos.

9 Seleccione la opción de Interfaz (Interface) en la que desea agregar una ruta estática.

10 En MTU, edite el valor de unidad transmisión máxima para los paquetes de datos, si es necesario.

El valor de MTU no puede superar el valor de MTU configurado en la interfaz de NSX Edge.


VMware, Inc. 130

11 Si se le pregunta, escriba un valor para Distancia administrativa (Admin Distance).

Seleccione un valor entre 1 y 255. La distancia administrativa se utiliza para seleccionar qué ruta debe utilizarse cuando existen varias rutas para una red determinada. Cuanto menor es esta distancia, mayor es la preferencia para la ruta.

Tabla 9-3. Distancias administrativas predeterminadas

Origen de la ruta Distancia administrativa predeterminada

Conectado 0

Estático 1

BGP externo 20

OSPF dentro del área 30

OSPF entre áreas 110

BGP interno 200

Una distancia administrativa de 255 hace que la ruta estática se excluya de la tabla de enrutamiento (RIB) y del plano de datos, por lo que no se utiliza esta ruta.

12 (opcional) Especifique el valor de Identificador de configuración regional (Locale ID).

De forma predeterminada, las rutas tienen el mismo identificador de configuración regional que NSX Manager. Al especificar un identificador de configuración regional aquí, la ruta se asociará a ese identificador. Estas rutas se enviarán únicamente a hosts con el mismo identificador de configuración regional. Consulte Topologías de Cross-vCenter NSX para obtener más información.

13 (opcional) Escriba una Descripción (Description) para la ruta estática.


Configurar OSPF en un enrutador lógico (distribuido)La configuración de OSPF en un enrutador lógico permite la conectividad de la máquina virtual en todos los enrutadores lógicos, los cuales, a su vez, se conectan con las puertas de enlace de servicios Edge (ESG).

Las directivas de enrutamiento de OSPF ofrecen un proceso dinámico de equilibrio de carga de tráfico entre rutas de igual costo.

Una red OSPF se divide en áreas de enrutamiento para optimizar el flujo de tráfico y limitar el tamaño de las tablas de enrutamiento. Un área es una recopilación lógica de redes OSPF, enrutadores y vínculos que tienen la misma identificación de área.

Las áreas se distinguen por un identificador de área.

Requisitos previos

Debe configurarse un identificador de enrutador, como se muestra en OSPF configurado en el enrutador lógico (distribuido).


VMware, Inc. 131

Cuando se habilita un identificador de enrutador, el campo se completa de forma predeterminada con la interfaz de vínculo superior del enrutador lógico.

Procedimiento



3 Haga doble clic en un enrutador lógico.

4 Haga clic en Enrutamiento (Routing) y, a continuación, haga clic en OSPF.

5 Habilite OSPF.

a Haga clic en Editar (Edit) en la esquina superior derecha de la ventana y, a continuación, haga clic en Habilitar OSPF (Enable OSPF).

b En Dirección de reenvío (Forwarding Address), escriba una dirección IP que utilizará el módulo de rutas de datos del enrutador en los hosts para reenviar paquetes de rutas de datos.

c En Dirección de protocolo (Protocol Address), escriba una dirección IP única dentro de la misma subred de Dirección de reenvío (Forwarding Address). El protocolo utiliza la dirección de protocolo para formar adyacencias con los elementos del mismo nivel.

6 Configure las áreas de OSPF.

a Como opción, puede eliminar el área Not-So-Stubby (NSSA) 51 que viene configurada de forma predeterminada.

b En Definiciones de área (Area Definitions), haga clic en el icono Agregar (Add).

c Escriba un identificador de área. NSX Edge admite un identificador de área en forma de dirección IP o número decimal.

d En Tipo (Type), seleccione Normal o NSSA.

Las NSSA impiden el desborde con anuncios sobre el estado del vínculo (LSA) AS externos. Las NSSA dependen del enrutamiento predeterminado en destinos externos. Por lo tanto, deben ubicarse en el extremo de un dominio de enrutamiento de OSPF. Las NSSA pueden importar rutas externas en el dominio de enrutamiento de OSPF, por lo que ofrecen un servicio de tránsito para los dominios pequeños de enrutamiento que no forman parte del dominio de enrutamiento de OSPF.


VMware, Inc. 132

7 (opcional) Seleccione un tipo de autenticación en Autenticación (Authentication). OSPF realiza la autenticación en el nivel del área.

Todos los enrutadores dentro del área deben tener la misma autenticación y la correspondiente contraseña configurada. Para que funcione la autenticación de MD5, tanto los enrutadores de recepción como de transmisión deben tener la misma clave MD5.

a Ninguna (None): no se requiere autenticación, que es el valor predeterminado.

b Contraseña (Password): en este método de autenticación, se incluye una contraseña en el paquete transmitido.

c MD5: este método de autenticación utiliza un cifrado MD5 (síntesis del mensaje de tipo 5). En el paquete transmitido se incluye una suma de comprobación de MD5.

d Para la autenticación de tipo Contraseña (Password) o MD5, escriba la contraseña o la clave de MD5.

Nota n No puede configurar la autenticación MD5 si está habilitado el modo FIPS.

n NSX siempre utiliza un valor de ID de clave de 1. Cualquier emparejamiento de dispositivos que no sean NSX con NSX Edge o un enrutador lógico distribuido debe configurarse para utilizar un valor de ID de clave de 1 cuando se use la autenticación MD5. De lo contrario, no se establecerá ninguna sesión OSPF.

8 Asigne interfaces a las áreas.

a En Asignación de interfaz a área (Area to Interface Mapping), haga clic en el icono Agregar (Add) para asignar la interfaz que corresponde al área de OSPF.

b Seleccione la interfaz que desea asignar y el área de OSPF a la cual será asignada.

9 (opcional) Si fuera necesario, edite la configuración predeterminada de OSPF.

En la mayoría de los casos, se recomienda conservar la configuración predeterminada de OSPF. Si finalmente cambia la configuración, asegúrese de que los elementos del mismo nivel de OSPF utilicen la misma configuración.

a Intervalo de saludo (Hello Interval) muestra el intervalo predeterminado entre los paquetes de saludo que se envían en la interfaz.

b Intervalo inactivo (Dead Interval) muestra el intervalo predeterminado durante el cual debe recibirse al menos un paquete de saludo de un vecino antes de que el enrutador declare a ese vecino como inactivo.

c Prioridad (Priority) muestra la prioridad predeterminada de la interfaz. La interfaz con la prioridad más alta es el enrutador designado.

d La opción Costo (Cost) de una interfaz muestra la sobrecarga predeterminada necesaria para enviar paquetes a través de esa interfaz. El costo de una interfaz es inversamente proporcional a su ancho de banda. A mayor ancho de banda, menor costo.


VMware, Inc. 133


Ejemplo: OSPF configurado en el enrutador lógico (distribuido)Un escenario simple de NSX que utiliza OSPF es uno donde un enrutador lógico (DLR) y una puerta de enlace de servicios Edge (ESG) son vecinos de OSPF, como se muestra aquí.

Figura 9-1. Topología NSX

172.16.20.10 172.16.10.10



Enrutadorlógico

Conmutadorlógico

de aplicaciones



Máquina virtualweb


Conmutadorlógico

de tránsito


Puerta de enlace de

servicios Edge

En la siguiente pantalla, la puerta de enlace predeterminada del enrutador lógico es la dirección IP de la interfaz interna de la ESG (192.168.10.1).

El identificador del enrutador es la interfaz de vínculo superior del enrutador lógico: es decir, la dirección IP que apunta a la ESG (192.168.10.2).


VMware, Inc. 134

La configuración del enrutador lógico utiliza 192.168.10.2 como dirección de reenvío. La dirección del protocolo puede ser cualquier dirección IP que se encuentre en la misma subred y que no se esté utilizando en otro lugar. En este caso, está configurada la dirección 192.168.10.3. El identificador de área configurado es 0 y la interfaz de vínculo superior (la interfaz que apunta a la ESG) se asigna al área.


VMware, Inc. 135

Pasos siguientes

Asegúrese de que la redistribución de rutas y la configuración de firewall permitan anunciar las rutas correctas.

En este ejemplo, en OSPF se anuncian las rutas conectadas del enrutador lógico (172.16.10.0/24 y 172.16.20.0/24).

Si habilitó SSH al crear el enrutador lógico, también debe configurar un filtro de firewall que habilite SSH en la dirección del protocolo del enrutador lógico. Por ejemplo:


VMware, Inc. 136

Configurar el protocolo OSPF en una puerta de enlace de servicios EdgeLa configuración de un protocolo OSPF en una puerta de enlace de servicios Edge (ESG) permite que ESG conozca y anuncie rutas. La aplicación más común de OSPF en una ESG se realiza en el vínculo entre la ESG y un enrutador lógico (distribuido). Esta acción permite que la ESG conozca las interfaces lógicas (LIFS) que están conectadas al enrutador lógico. Este objetivo puede cumplirse con OSPF, IS-IS, BGP o enrutamiento estático.

Las directivas de enrutamiento de OSPF ofrecen un proceso dinámico de equilibrio de carga de tráfico entre rutas de igual costo.

Una red OSPF se divide en áreas de enrutamiento para optimizar el flujo de tráfico y limitar el tamaño de las tablas de enrutamiento. Un área es una recopilación lógica de redes OSPF, enrutadores y vínculos que tienen la misma identificación de área.

Las áreas se distinguen por un identificador de área.

Requisitos previos

Debe configurarse un identificador de enrutador, como se muestra en OSPF configurado en la puerta de enlace de servicios Edge.

Cuando se habilita un identificador de enrutador, el campo se completa de forma predeterminada con la dirección IP de la interfaz de vínculo superior de la ESG.

Procedimiento



3 Haga doble clic en una ESG.

4 Haga clic en Enrutamiento (Routing) y, a continuación, haga clic en OSPF.

5 Habilite OSPF.

a Haga clic en Editar (Edit) en la esquina superior derecha de la ventana y, a continuación, haga clic en Habilitar OSPF (Enable OSPF).

b (opcional) Haga clic en Habilitar reinicio correcto (Enable Graceful Restart) para detener la interrupción del reenvío de paquetes durante el reinicio de los servicios de OSPF.

c (opcional) Haga clic en Habilitar origen predeterminado (Enable Default Originate) para permitir que la ESG se anuncie como puerta de enlace predeterminada ante los elementos del mismo nivel.


VMware, Inc. 137

6 Configure las áreas de OSPF.

a (opcional) Elimine el área Not-So-Stubby (NSSA) 51 que viene configurada de forma predeterminada.

b En Definiciones de área (Area Definitions), haga clic en el icono Agregar (Add).

c Escriba un identificador de área. NSX Edge admite un identificador de área en forma de dirección IP o número decimal.

d En Tipo (Type), seleccione Normal o NSSA.

Las NSSA impiden el desborde con anuncios sobre el estado del vínculo (LSA) AS externos. Las NSSA dependen del enrutamiento predeterminado en destinos externos. Por lo tanto, deben ubicarse en el extremo de un dominio de enrutamiento de OSPF. Las NSSA pueden importar rutas externas en el dominio de enrutamiento de OSPF, por lo que ofrecen un servicio de tránsito para los dominios pequeños de enrutamiento que no forman parte del dominio de enrutamiento de OSPF.

7 (opcional) Si selecciona como tipo NSSA, se mostrará el campo Función de traductor de NSSA (NSSA Translator Role). Seleccione la casilla Siempre (Always) para traducir LSA de tipo 7 a LSA de tipo 5. La NSSA traduce todas las LSA de tipo 7 a LSA de tipo 5.

8 (opcional) Seleccione un tipo de autenticación en Autenticación (Authentication). OSPF realiza la autenticación en el nivel del área.

Todos los enrutadores dentro del área deben tener la misma autenticación y la correspondiente contraseña configurada. Para que funcione la autenticación de MD5, tanto los enrutadores de recepción como de transmisión deben tener la misma clave MD5.

a Ninguna (None): no se requiere autenticación, que es el valor predeterminado.

b Contraseña (Password): en este método de autenticación, se incluye una contraseña en el paquete transmitido.

c MD5: este método de autenticación utiliza un cifrado MD5 (síntesis del mensaje de tipo 5). En el paquete transmitido se incluye una suma de comprobación de MD5.

d Para la autenticación de tipo Contraseña (Password) o MD5, escriba la contraseña o la clave de MD5.

Nota n No puede configurar la autenticación MD5 si está habilitado el modo FIPS.

n NSX siempre utiliza un valor de ID de clave de 1. Cualquier emparejamiento de dispositivos que no sean NSX con NSX Edge o un enrutador lógico distribuido debe configurarse para utilizar un valor de ID de clave de 1 cuando se use la autenticación MD5. De lo contrario, no se establecerá ninguna sesión OSPF.


VMware, Inc. 138

9 Asigne interfaces a las áreas.

a En Asignación de interfaz a área (Area to Interface Mapping), haga clic en el icono Agregar (Add) para asignar la interfaz que corresponde al área de OSPF.

b Seleccione la interfaz que desea asignar y el área de OSPF a la cual será asignada.

10 (opcional) Edite la configuración predeterminada de OSPF.

En la mayoría de los casos, se recomienda conservar la configuración predeterminada de OSPF. Si finalmente cambia la configuración, asegúrese de que los elementos del mismo nivel de OSPF utilicen la misma configuración.

a Intervalo de saludo (Hello Interval) muestra el intervalo predeterminado entre los paquetes de saludo que se envían en la interfaz.

b Intervalo inactivo (Dead Interval) muestra el intervalo predeterminado durante el cual debe recibirse al menos un paquete de saludo de un vecino antes de que el enrutador declare a ese vecino como inactivo.

c Prioridad (Priority) muestra la prioridad predeterminada de la interfaz. La interfaz con la prioridad más alta es el enrutador designado.

d La opción Costo (Cost) de una interfaz muestra la sobrecarga predeterminada necesaria para enviar paquetes a través de esa interfaz. El costo de una interfaz es inversamente proporcional a su ancho de banda. A mayor ancho de banda, menor costo.


12 Asegúrese de que la redistribución de rutas y la configuración de firewall permitan anunciar las rutas correctas.

Ejemplo: OSPF configurado en la puerta de enlace de servicios EdgeUn escenario simple de NSX que utiliza OSPF es uno donde un enrutador lógico y una puerta de enlace de servicios Edge son vecinos de OSPF, como se muestra aquí.

La ESG puede conectarse al exterior a través de un puente, un enrutador físico (o como se muestra aquí) mediante un grupo de puertos de vínculo superior en un conmutador distribuido de vSphere.


VMware, Inc. 139

Figura 9-2. Topología NSX

Arquitecturafísica

172.16.20.10 172.16.10.10



Enrutadorlógico

Conmutadorlógico

de aplicaciones



Máquina virtualweb


Conmutadorlógico

de tránsito


192.168.100.3Tipo de vínculo: vínculo superior 192.168.100.1

vSphereDistributed

Switch

Puerta de enlace de

servicios Edge

En la siguiente pantalla, la puerta de enlace predeterminada de la ESG es la interfaz de vínculo superior de la ESG con el elemento externo del mismo nivel.

El identificador de enrutador es la dirección IP de la interfaz de vínculo superior de la ESG: es decir, la dirección IP que apunta al elemento externo del mismo nivel.


VMware, Inc. 140

El identificador de área configurado es 0 y la interfaz interna (la interfaz que apunta al enrutador lógico) se asigna al área.

Los enrutadores conectados se redistribuyen en OSPF de modo que el vecino de OSPF (el enrutador lógico) pueda conocer la red de vínculo superior de la ESG.


VMware, Inc. 141


VMware, Inc. 142

Nota Asimismo, OSPF puede configurarse entre la ESG y su enrutador externo del mismo nivel, aunque es más frecuente que el vínculo utilice el par BGP para anunciar rutas.

Asegúrese de que la ESG conozca las rutas externas de OSPF a partir del enrutador lógico.

Para comprobar la conectividad, asegúrese de que haya un dispositivo externo en la arquitectura física que pueda hacer ping en las máquinas virtuales.

Por ejemplo:

PS C:\Users\Administrator> ping 172.16.10.10

Pinging 172.16.10.10 with 32 bytes of data:

Reply from 172.16.10.10: bytes=32 time=5ms TTL=61


Ping statistics for 172.16.10.10:

Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 1ms, Maximum = 5ms, Average = 3ms

PS C:\Users\Administrator> ping 172.16.20.10

Pinging 172.16.20.10 with 32 bytes of data:



Ping statistics for 172.16.20.10:

Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 1ms, Maximum = 2ms, Average = 1ms

Configurar BGPEl protocolo de puerta de enlace de borde (BGP) toma decisiones de enrutamiento centrales. Contiene una tabla de prefijos o redes IP, con la que se designa la posibilidad de alcance de la red entre varios sistemas autónomos.


VMware, Inc. 143

Antes de intercambiar cualquier tipo de información de enrutamiento, se establece una conexión subyacente entre dos oradores BGP. Los oradores BGP envían mensajes de mantenimiento de conexión para mantener activa esta relación. Después de que se establece la conexión, los oradores BGP intercambian rutas y sincronizan sus tablas.

Procedimiento




4 Haga clic en Enrutamiento (Routing) y seleccione BGP.


6 En el cuadro de diálogo Editar configuración de BGP (Edit BGP Configuration), haga clic en Habilitar BGP (Enable BGP).

7 Haga clic en Habilitar reinicio estable (Enable Graceful Restart) para que el reenvío de paquetes no se interrumpa durante el reinicio de los servicios BGP.

8 Haga clic en Habilitar origen predeterminado (Enable Default Originate) para que NSX Edge pueda anunciarse como la puerta de enlace predeterminada para los elementos del mismo nivel.

9 Introduzca el identificador de enrutador en AS locales (Local AS). Especifique los sistemas autónomos (AS) locales. Esto se anuncia cuando BGP se empareja con enrutadores del mismo nivel en otros sistemas autónomos. La ruta de acceso de los sistemas autónomos atravesada por una ruta se utiliza como métrica para seleccionar la mejor ruta de acceso a un destino.


11 En Vecinos (Neighbors), haga clic en el icono Agregar (Add).

12 Especifique la dirección IP para el vecino.

Al configurar el emparejamiento BGP entre una puerta de enlace de servicios de Edge (ESG) y un enrutador lógico, utilice la dirección IP de protocolo de ese enrutador como la dirección de vecino BGP para ESG.

13 (Solo en un enrutador lógico) Especifique la dirección de reenvío.

La dirección de reenvío es la dirección IP que se asignó a la interfaz de un enrutador lógico distribuido orientada a su vecino BGP (su interfaz de vínculo superior).

14 (Solo en un enrutador lógico) Especifique la dirección de protocolo.

La dirección de protocolo es la dirección IP que el enrutador lógico utiliza para establecer una relación con un vecino BGP. Puede ser cualquier dirección IP en la misma subred que la dirección de reenvío (siempre y cuando no se utilice en otra ubicación). Al configurar el emparejamiento BGP entre una puerta de enlace de servicios de Edge (ESG) y un enrutador lógico, utilice la dirección IP de protocolo de ese enrutador como la dirección IP de vecino BGP para ESG.


VMware, Inc. 144

15 Especifique los sistemas autónomos (AS) remotos.

16 Edite el peso predeterminado para la conexión de vecino si es necesario.

17 La opción Temporizador de supresión (Hold Down Timer) muestra un intervalo (180 segundos) después del cual el software puede declarar inactivo al elemento del mismo nivel si no recibe un mensaje de mantenimiento de conexión. Si es necesario, edite esta opción.

18 La opción Temporizador de mantenimiento (Keep Alive Timer) muestra la frecuencia predeterminada (60 segundos) con la cual el software envía mensajes de mantenimiento de conexión a los elementos del mismo nivel. Si es necesario, edite esta opción.

19 Si se requiere autenticación, introduzca la contraseña de autenticación. Se comprobará cada segmento enviado a través de la conexión entre los vecinos. Se debe configurar la autenticación basada en MD5 con la misma contraseña en los dos vecinos BGP; de lo contrario, no se podrá establecer la conexión entre los vecinos.

No puede introducir una contraseña si está habilitado el modo FIPS.

20 Para especificar el filtrado de rutas desde un vecino, haga clic en el icono Agregar (Add) en el área Filtros de BGP (BGP Filters).

Precaución Se aplicará una regla "bloquear todo" al final de los filtros.

21 Seleccione la orientación para indicar si se debe filtrar el tráfico hacia o desde el vecino.

22 Seleccione la acción para indicar si se debe permitir o denegar el tráfico.

23 Introduzca en formato CIDR la red que se debe filtrar hacia o desde el vecino.

24 Introduzca los prefijos IP que se deben filtrar y haga clic en Aceptar (OK).



VMware, Inc. 145

Ejemplo: Configurar BGP entre una puerta de enlace de servicios de Edge y un enrutador lógico

Tipo de vínculo: vínculo superior192.168.10.2 (dirección de reenvío)

Conmutador lógico de tránsito

Tipo de vínculo: interno192.168.10.1

ESG

DLR

AS 64511

AS 64512

192.168.10.3(dirección de protocolo)

En esta topología, la puerta de enlace ESG se encuentra en el sistema autónomo AS 64511. El enrutador lógico (DLR) se encuentra en el sistema autónomo AS 64512.

La dirección de reenvío del enrutador lógico es 192.168.10.2. Esta es la dirección configurada en la interfaz de vínculo superior del enrutador lógico. La dirección de protocolo del enrutador lógico es 192.168.10.3. Esta es la dirección que la puerta de enlace ESG utilizará para establecer su relación de emparejamiento BGP con el enrutador lógico.

En el enrutador lógico, configure BGP como se muestra:


VMware, Inc. 146

En la puerta de enlace de servicios de Edge, configure BGP como se muestra:

La dirección de vecino de ESG es 192.168.10.3, que es la dirección de protocolo del enrutador lógico.

Ejecute el comando show ip bgp neighbors en el enrutador lógico y asegúrese de que el estado de BGP sea Establecido (Established).


VMware, Inc. 147

Ejecute el comando show ip bgp neighbors en la puerta de enlace de servicios Edge y asegúrese de que el estado de BGP sea Establecido (Established).

Configurar la redistribución de rutasDe forma predeterminada, los enrutadores comparten rutas con otros enrutadores que ejecutan el mismo protocolo. En un entorno de varios protocolos, debe configurar la redistribución de rutas para compartir rutas entre protocolos.


VMware, Inc. 148

Para excluir una interfaz de la redistribución de rutas, agregue un criterio de rechazo para su red. En NSX 6.2, la interfaz de HA (administración) de un enrutador lógico (distribuido) se excluye automáticamente de la redistribución de rutas.

Procedimiento




4 Haga clic en Enrutamiento (Routing) y, a continuación, haga clic en Redistribución de rutas (Route Redistribution).

5 Haga clic en Editar (Edit), junto a Estado de redistribución de rutas (Route Redistribution Status).

6 Seleccione los protocolos para los cuales desea habilitar la redistribución de rutas y haga clic en Aceptar (OK).

7 Agregue un prefijo IP.

Las entradas en el listado de prefijos IP se procesan secuencialmente.

a Haga clic en el icono Agregar (Add) en Prefijos IP (IP Prefixes).

b Escriba un nombre y la dirección IP de la red.

El prefijo IP introducido tendrá una coincidencia exacta, salvo que incluya los modificadores menor o igual que (LE) o mayor o igual que (GE).


8 Especifique los criterios de redistribución para el prefijo IP.

a Haga clic en el icono Agregar (Add) en Tabla de redistribución de rutas (Route Redistribution table).

b En Protocolo de aprendizaje (Learner Protocol), seleccione el protocolo que debe aprender rutas de otros protocolos.

c En Permitir aprendizaje de (Allow Learning from), seleccione los protocolos desde los cuales deben aprenderse rutas.



Ver el identificador de configuración local de NSX ManagerCada instancia de NSX Manager tiene un identificador de configuración regional. Está configurado de forma predeterminada en el UUID de NSX Manager. Esta configuración puede anularse en el nivel del enrutador lógico universal, del clúster o del host.


VMware, Inc. 149

Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redes y seguridad (Networking & Security Inventory), haga clic en una instancia de NSX Manager.

2 Haga clic en la pestaña Resumen (Summary). El campo Identificador (ID) incluye el UUID de la instancia de NSX Manager.

Configurar el identificador de configuración regional en un enrutador lógico universal (distribuido)Si el egreso local está habilitado cuando se crea un enrutador lógico universal, las rutas se envían a hosts solo cuando el identificador de configuración regional del host coincide con el identificador de configuración regional asociado con la ruta. Es posible cambiar el identificador de configuración regional en un enrutador. Este identificador de configuración regional se asociará con todas las rutas de este enrutador (estáticas y dinámicas). Las rutas se enviarán a los hosts y los clústeres con identificadores de configuración regional coincidentes.

Consulte Topologías de Cross-vCenter NSX para obtener información sobre configuraciones de enrutamiento para entornos de Cross-vCenter NSX.

Requisitos previos

El enrutador lógico universal (distribuido) debe haberse creado con el egreso local habilitado.

Procedimiento



3 Haga doble clic en un enrutador lógico universal (distribuido).

4 Haga clic en la pestaña Enrutamiento (Routing) y, a continuación, haga clic en Configuración global (Global Configuration).

5 Haga clic en Editar (Edit), junto a Configuración de enrutamiento (Routing Configuration).

6 Escriba un nuevo identificador de configuración regional.

Importante El identificador de configuración regional debe estar en formato UUID. Por ejemplo, XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX, donde cada X se reemplaza por un dígito de base 16 (0-F).


VMware, Inc. 150

Configurar el identificador de configuración regional en un host o un clústerSi el egreso local está habilitado cuando se crea un enrutador lógico universal, las rutas se envían a hosts solo cuando el identificador de configuración regional del host coincide con el identificador de configuración regional asociado con la ruta. Para enviar rutas de manera selectiva a los hosts, configure el identificador de configuración regional en un clúster de hosts o en un host.

Requisitos previos

El enrutador lógico universal (distribuido) que se encarga de la tarea de enrutamiento para los hosts o los clústeres debe haberse creado con el egreso local habilitado.

Procedimiento


2 Haga clic en Redes y seguridad (Networking & Security) y seleccione Instalación (Installation).

3 Haga clic en la pestaña Preparación del host (Host Preparation).

4 Seleccione la instancia de NSX Manager que administra los hosts o los clústeres que debe configurar.

5 Seleccione el host o el clúster que desea modificar y, si es necesario, expanda los clústeres para que aparezcan los hosts.

6 Haga clic en icono Configuración (Settings) ( ) y haga clic en Cambiar identificador de configuración regional (Change Locale ID).

7 Escriba un nuevo identificador de configuración regional y haga clic en Aceptar (OK).

Nota El identificador de configuración regional debe estar en formato UUID. Por ejemplo, XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX, donde cada X se reemplaza por un dígito de base 16 (0-F).

Resultados

El clúster de la controladora universal enviará a los hosts solo las rutas que coincidan con este nuevo identificador de configuración regional.

Pasos siguientes

Configure una ruta estática con un identificador de configuración regional especificado.


VMware, Inc. 151

Firewall lógico 10El firewall lógico proporciona mecanismos de seguridad para los centros de datos virtuales dinámicos y consta de dos componentes para abordar diferentes casos de uso de implementación. Distributed Firewall se centra en los controles de acceso de Este a Oeste. Edge Firewall sse centra en la aplicación del tráfico de Norte a Sur en el perímetro del centro de datos o de la empresa. Juntos, estos componentes abordan las necesidades de firewall de extremo a extremo de los centros de datos virtuales. Puede optar por implementar cualquiera de estas tecnologías de forma independiente o implementar ambas.


n Distributed Firewall

n Firewall de Edge

n Trabajar con secciones de reglas de firewall

n Trabajar con reglas de firewall

n Registros de firewall

Distributed FirewallUn firewall distribuido (Distributed Firewall, DFW) se ejecuta como un paquete VIB en el kernel de todos los clústeres del host ESXi que estén preparados para NSX. La preparación del host activa automáticamente el DFW en los clústeres del host ESXi.

Las principales limitaciones de la arquitectura de seguridad tradicional centrada en el perímetro afectan tanto a la estrategia de seguridad como a la escalabilidad de las aplicaciones de los centros de datos modernos. Por ejemplo, el flujo del tráfico en un bucle invertido a través de firewalls físicos en el perímetro de la red crea una latencia adicional para determinadas aplicaciones.

El DFW complementa y mejora su seguridad física, ya que elimina bucles invertidos innecesarios de los firewalls físicos y reduce la cantidad de tráfico de la red. El tráfico rechazado se bloquea antes de que salga del host ESXi. No es necesario que el tráfico atraviese la red, sino solo que el firewall físico lo detenga en el perímetro. El tráfico que se dirige a otra máquina virtual del mismo host o de otro host no tiene que atravesar la red hasta llegar al firewall físico y volver posteriormente a la máquina virtual de destino. El tráfico se inspecciona en el ESXi y se envía a la máquina virtual de destino.

VMware, Inc. 152

VM VMVM VM

Seguridad sin el DFW de NSX

Firewall físico

Firewall físico

Seguridad con el DFW de NSX

El DFW de NSX es un firewall con estado, lo que significa que supervisa el estado de las conexiones activas y utiliza esta información para determinar qué paquetes de red pueden pasar a través del firewall. El DFW se implementa en el hipervisor y se aplica a las máquinas virtuales por vNIC. Por lo tanto, las reglas de firewall se aplican a la vNIC de cada máquina virtual. La inspección de tráfico se produce en la vNIC de una máquina virtual justo en el momento en el tráfico está a punto de abandonar la máquina virtual y entrar en el conmutador virtual (salida). La inspección también se produce en la vNIC justo cuando el tráfico sale del conmutador y antes de que entre en la máquina virtual (entrada).

El dispositivo virtual de NSX Manager, las máquinas virtuales de NSX Controller y las puertas de enlace de servicio de NSX Edge se excluyen automáticamente del DFW. Si una máquina virtual no requiere el servicio DFW, puede agregarla manualmente a la lista de exclusión.

Como el DFW se distribuye en el kernel de cada host ESXi, la capacidad del firewall se escala horizontalmente cuando agrega hosts a los clústeres. Al agregar más hosts, se incrementa la capacidad del DFW A medida que se amplía la infraestructura y compra más servidores para administrar la cifra cada vez mayr de máquinas virtuales, aumenta la capacidad del DFW.

Reglas de las directivas del DFWLas reglas de las directivas del DFW se crean con vSphere Web Client y las reglas se almacenan en la base de datos de NSX Manager. Gracias al DFW, puede crear reglas de Ethernet (reglas de Capa 2) y reglas generales (reglas que se aplican desde la Capa 3 a la Capa 7). Las reglas se publican desde NSX Manager hasta el clúster de ESXi y, a continuación, desde el host ESXi hasta la máquina virtual. Todos los hosts ESXi del mismo clúster tienen las mismas reglas de las directivas del DFW.

Una instancia de DFW en un host ESXi contiene las dos tablas siguientes:

n Tabla de reglas para almacenar las reglas de las directivas de seguridad

n Tabla de seguimiento de la conexión para almacenar en la memoria caché las entradas de flujo de las reglas con una acción "permitir" (allow)


VMware, Inc. 153

Las reglas del DFW se ejecutan en orden descendente. El tráfico que debe atravesar un firewall se compara primero con una lista de reglas de firewall. Cada paquete se compara con la regla principal de la tabla antes de bajar a las reglas subsiguientes de esa tabla. Se aplica la primera regla de la tabla que coincide con los parámetros de tráfico. La última regla de la tabla es la regla del DFW predeterminada. La regla predeterminada se aplica a los paquetes que no coincidan con ninguna regla situada por encima de la regla predeterminada.

Cada máquina virtual tiene sus propias reglas de las directivas de firewall y su propio contexto. Durante la migración con vMotion, cuando las máquinas virtuales se trasladan de un host ESXi a otro, el contexto del DFW (tabla de reglas y de seguimiento de la conexión) se mueven junto con ellas. Además, todas las conexiones activas se mantienen inalteradas durante la migración con vMotion. Esto quiere decir que la directiva de seguridad del DFW es independiente de la ubicación de la máquina virtual.

Microsegmentación con el DFWLa microsegmentación mejora la seguridad de la red del centro de datos porque aísla cada grupo relacionado de máquinas virtuales en un segmento de la red lógica diferente. La microsegmentación permite que el administrador configure el tráfico que fluye desde un segmento lógico del centro de datos hasta otro (tráfico de este a oeste) para que atraviese el firewall. Al establecer que el tráfico de este a oeste atraviese el firewall, se limita la capacidad de los atacantes para moverse lateralmente en el centro de datos.

La microsegmentación se activa gracias al componente DFW de NSX. El DFW es eficaz porque la pología de red ya no supone una barrera para aplicar la seguridad. Puede controlar el acceso del tráfico al mismo nivel con un cualquier tipo de topología de red.

Para obtener un ejemplo detallado de caso de uso de microsegmentación, consulte la sección "Microsegmentation con el DFW de NS e implementación" de la NSX Guía sobre diseño de virtualización de redes en https://communities.vmware.com/docs/DOC-27683.

Reglas de las directivas del DFW basadas en la identidad del usuarioEl DFW también puede ayudar a crear reglas basadas en la identidad. Los administradores de seguridad pueden aplicar el control de acceso en función de la identidad del usuario y la membresía de grupo del usuario tal y como se define en Active Directory de la empresa. Por ejemplo, las reglas de DFW basadas en la identidad se pueden utilizar en los siguientes escenarios:

n Los usuarios quieren acceder a aplicaciones virtuales con un equipo portátil o un dispositivo móvil en el que se utiliza Active Directory para la autenticación del usuario.

n Los usuarios quieren acceder a aplicaciones virtuales con la infraestructura de escritorios virtuales en máquinas virtuales que utilizan el sistema operativo Microsoft Windows.

Para obtener más información sobre reglas del DFW basadas en usuarios de Active Directory, consulte Capítulo 11 Introducción al firewall de identidad.


VMware, Inc. 154


Temporizadores de sesiónLos temporizadores de sesión se pueden configurar para las sesiones TCP, UDP e ICMP.

Los temporizadores de sesión definen el tiempo que se mantendrá una sesión en el firewall estando inactiva. Cuando se agota el tiempo de espera de sesión del protocolo, se cierra la sesión.

En el firewall, se pueden especificar varios tiempos de espera para sesiones TCP, UDP e ICMP con el objetivo de aplicarlos a un subconjunto de máquinas virtuales o vNIC definidas por el usuario. De forma predeterminada, las máquinas virtuales o las vNIC que no se incluyan en el temporizador definido por el usuario se incluirán en el temporizador de sesión global. Todos estos tiempos de espera son globales, lo que significa que se aplican a todas las sesiones de ese tipo en el host.

Los valores de sesión predeterminados se pueden modificar dependiendo de las necesidades de su red. Tenga en cuenta que establecer un valor muy bajo podría dar lugar a que se produzca frecuentemente el agotamiento de los tiempos de espera. Del mismo modo, establecer un valor muy alto podría demorar la detección de fallos.

Crear un temporizador de sesiónLos temporizadores de sesión definen el tiempo que se mantendrá una sesión en el firewall cuando esté inactiva.

En el firewall, puede definir tiempos de espera para sesiones TCP, UDP e ICMP para un conjunto de VM o vNIC definido por el usuario. El temporizador predeterminado es global, lo que significa que se aplica a todas las máquinas virtuales protegidas por el firewall.

Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Firewall.

2 Asegúrese de estar en la pestaña Configuración (Settings). Si hay disponible más de una instancia de NSX Manager, seleccione una de la lista desplegable.

3 Haga clic en el icono Agregar (Add) ( ) .

Se muestra el cuadro de diálogo Agregar una configuración de tiempo de espera (Add a Timeout Configuration) rellenado con los valores predeterminados.

4 Escriba un nombre (name) (obligatorio) y una descripción (description) (opcional) para el temporizador de sesión.

5 Seleccione el protocolo. Acepte los valores predeterminados o introduzca sus propios valores.

Variables TCP Descripción

Primer paquete (First Packet)

El valor de tiempo de espera para la conexión después de que se haya enviado el primer paquete. El valor predeterminado es de 120 segundos.

Abrir (Open) El valor de tiempo de espera para la conexión después de que se transfiriera un segundo paquete. El valor predeterminado es de 30 segundos.

Establecida (Established)

El valor de tiempo de espera para la conexión una vez que esta se estableciera completamente.


VMware, Inc. 155


Cerrar (Closing) El valor de tiempo de espera para la conexión después de que se enviara el primer FIN. El valor predeterminado es de 120 segundos.

Fin Wait El valor de tiempo de espera para la conexión después de que se intercambiaran ambas FIN y se haya cerrado la conexión. El valor predeterminado es de 45 segundos.

Cerrado (Closed) El valor de tiempo de espera para la conexión después de que un endpoint envíe un RST. El valor predeterminado es de 20 segundos.

Variables UDP Descripción


El valor de tiempo de espera para la conexión después de que se envíe el primer paquete. Este será el tiempo de espera inicial para el nuevo flujo UDP. El valor predeterminado es de 60 segundos.

Individual (Single) El valor de tiempo de espera para la conexión si el host de origen envía más de un paquete y el host de destino no ha enviado uno de vuelta. El valor predeterminado es de 30 segundos.

Varias (Multiple) El valor de tiempo de espera para la conexión si ambos hosts han enviado paquetes. El valor predeterminado es de 60 segundos.

Variables ICMP Descripción


El valor de tiempo de espera para la conexión después de que se envíe el primer paquete. Este será el tiempo de espera inicial para el nuevo flujo ICMP. El valor predeterminado es de 20 segundos.

Respuesta de error (Error reply)

El valor de tiempo de espera para la conexión después de que se devuelva un error ICMP en respuesta a un paquete ICMP. El valor predeterminado es de 10 segundos.

6 Seleccione el tipo de objeto, vNIC o VM.

La lista Objetos disponibles (Available Objects) se rellena de forma automática.

7 Seleccione uno o varios objetos y haga clic en la flecha para moverlos a la columna Objetos seleccionados (Selected Objects).


Resultados

Se ha creado un temporizador para aplicar al conjunto de hosts definidos por el usuario.

Editar un temporizador de sesión

Configure los parámetros de tiempo de espera para los protocolos TCP, UDP e ICMP.

Después de que se cree un temporizador de sesión, se puede cambiar según sea necesario. También se puede editar el temporizador de sesión predeterminado.

Procedimiento


2 Asegúrese de estar en la pestaña Configuración (Settings). Si hay disponible más de una instancia de NSX Manager, seleccione una de la lista desplegable.


VMware, Inc. 156

3 Seleccione el temporizador que desee editar. Tenga en cuenta que también se pueden editar los valores predeterminados del temporizador. Haga clic en el icono del lápiz (pencil).

Se muestra el cuadro de diálogo Editar una configuración de tiempo de espera (Edit a Timeout Configuration) rellenado con los valores predeterminados.

4 Escriba un nombre (name) (obligatorio) y una descripción (description) (opcional) para el temporizador de sesión.

5 Seleccione el protocolo. Edite cualquier valor predeterminado que quiera cambiar.



El valor de tiempo de espera para la conexión después de que se haya enviado el primer paquete. El valor predeterminado es de 120 segundos.

Abrir (Open) El valor de tiempo de espera para la conexión después de que se transfiriera un segundo paquete. El valor predeterminado es de 30 segundos.

Establecida (Established)

El valor de tiempo de espera para la conexión una vez que esta se estableciera completamente.

Cerrar (Closing) El valor de tiempo de espera para la conexión después de que se enviara el primer FIN. El valor predeterminado es de 120 segundos.

Fin Wait El valor de tiempo de espera para la conexión después de que se intercambiaran ambas FIN y se haya cerrado la conexión. El valor predeterminado es de 45 segundos.

Cerrado (Closed) El valor de tiempo de espera para la conexión después de que un endpoint envíe un RST. El valor predeterminado es de 20 segundos.

Variables UDP Descripción


El valor de tiempo de espera para la conexión después de que se envíe el primer paquete. Este será el tiempo de espera inicial para el nuevo flujo UDP. El valor predeterminado es de 60 segundos.

Individual (Single) El valor de tiempo de espera para la conexión si el host de origen envía más de un paquete y el host de destino no ha enviado uno de vuelta. El valor predeterminado es de 30 segundos.

Varias (Multiple) El valor de tiempo de espera para la conexión si ambos hosts han enviado paquetes. El valor predeterminado es de 60 segundos.

Variables ICMP Descripción


El valor de tiempo de espera para la conexión después de que se envíe el primer paquete. Este será el tiempo de espera inicial para el nuevo flujo ICMP. El valor predeterminado es de 20 segundos.

Respuesta de error (Error reply)

El valor de tiempo de espera para la conexión después de que se devuelva un error ICMP en respuesta a un paquete ICMP. El valor predeterminado es de 10 segundos.

6 Seleccione el tipo de objeto, vNIC o VM.

La lista Objetos disponibles (Available Objects) se rellena de forma automática.

7 Seleccione uno o varios objetos y haga clic en la flecha para moverlos a la columna Objetos seleccionados (Selected Objects).



VMware, Inc. 157

Detección de IP para máquinas virtualesVMware Tools se ejecuta en una máquina virtual y proporciona varios servicios. Un servicio que es esencial para el Distributed Firewall es asociar una máquina virtual y sus vNIC con direcciones IP. Antes de NSX 6.2, si VMware Tools no estaba instalado en una máquina virtual, su dirección IP no se conocía. En NSX 6.2 y versiones posteriores, puede configurar clústeres para detectar las direcciones IP de máquina virtual con intromisión DHCP, intromisión ARP o ambas. Esto permite a NSX detectar la dirección IP si VMware Tools no está instalado en la máquina virtual. Si VMware Tools está instalado, puede trabajar junto con la intromisión DHCP y ARP.

VMware recomienda instalar VMware Tools en cada máquina virtual del entorno. Además de proporcionar vCenter con la dirección IP de las máquinas virtuales, brinda muchas otras funciones:

n permite copiar y pegar entre la máquina virtual y el host o el escritorio cliente

n sincroniza la hora con el sistema operativo del host

n permite apagar o reiniciar la máquina virtual desde vCenter

n recopila el uso de la memoria, el disco y la red de la máquina virtual y lo envía al host

n determina la disponibilidad de la máquina virtual mediante el envío y la recopilación de latidos

Tenga en cuenta que tener dos VNIC para una máquina virtual en la misma red no es compatible y que puede producir resultados impredecibles sobre el tráfico que se bloquea o se permite.

En el caso de aquellas máquinas virtuales que no tienen VMware Tools instalado, NSX conocerá la dirección IP a través de la intromisión DHCP o ARP, si la intromisión DHCP o ARP está habilitada en el clúster de la máquina virtual.

Cambiar el tipo de detección de IPPara detectar la dirección IP de una máquina virtual, es posible utilizar VMware Tools (una opción instalada en la máquina virtual) o bien la intromisión DHCP o ARP (dos opciones habilitadas en el clúster de hosts). Estos métodos de detección de IP pueden utilizarse juntos en la misma instalación de NSX.

Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Instalación (Installation) > Preparación del host (Host Preparation).

2 Haga clic en el clúster que desee cambiar y, a continuación, haga clic en Actions (Acciones)( ) > Cambiar tipo de detección de IP (Change IP Detection Type).

3 Seleccione los tipos de detección que desee y haga clic en Aceptar (OK).

Pasos siguientes

Configure SpoofGuard.

Configure la regla de firewall predeterminada.


VMware, Inc. 158

Excluir las máquinas virtuales de la protección de firewallPuede excluir un conjunto de máquinas virtuales de la protección de firewall distribuido de NSX.

NSX Manager, NSX Controller y las máquinas virtuales NSX Edge se excluyen automáticamente de la protección de firewall distribuido de NSX. Asimismo, VMware recomienda colocar las siguientes máquinas virtuales de servicio en la lista de exclusión para permitir que el tráfico circule libremente.

n vCenter Server. Puede moverse a un clúster protegido por firewall, pero ya debe existir en la lista de exclusión para evitar problemas de conectividad.

Nota Es importante agregar vCenter Server a la lista de exclusión antes de cambiar la regla predeterminada "any any" de permitir a bloquear. Si no se lleva a cabo esta acción, se bloqueará el acceso a vCenter Server tras crear una regla Denegar todo (o tras modificar la regla predeterminada para bloquear la acción). Si esto sucede, revierta el DFW a la regla de firewall predeterminada con el siguiente comando: https://NSX_Manager_IP/api/4.0/firewall/globalroot-0/config. La solicitud debe devolver un estado de 204. Esto restaurará la directiva predeterminada (con la regla predeterminada de permitir) para DFW y volverá a habilitar el acceso a vCenter Server y vSphere Web Client.

n Máquinas virtuales del servicio de partners.

n Máquinas virtuales que requieren el modo promiscuo. Si estas máquinas virtuales están protegidas por firewall distribuido de NSX, su rendimiento puede verse gravemente afectado.

n El servidor SQL Server que utiliza la instancia de vCenter basada en Windows.

n vCenter Web Server, si se lo va a ejecutar por separado.

Procedimiento

1 En vSphere Web Client, haga clic en Redes y seguridad (Networking & Security).

2 En Inventario de redes y seguridad (Networking & Security Inventory) haga clic en Instancias de NSX Manager (NSX Managers).

3 En la columna Nombre (Name), haga clic en una instancia de NSX Manager.

4 Haga clic en la pestaña Administrar (Manage) y, a continuación, en Lista de exclusión (Exclusion List).


6 Seleccione las máquinas virtuales que desee excluir y haga clic en Agregar (Add).


Resultados

Si una máquina virtual tiene varias NIC, todas ellas quedarán excluidas de la protección. Si agrega vNIC a una máquina virtual que ya está agregada a la lista de exclusión, el firewall se implementa automáticamente en las vNIC recientemente agregadas. Para excluir estas vNIC de la protección de firewall, debe extraer la máquina virtual de la lista de exclusión y, a continuación, volver a agregarla a la


VMware, Inc. 159

lista. Una alternativa es realizar un ciclo de energía (apagar y encender la máquina virtual), pero la primera opción es menos disruptiva.

Ver eventos de umbral de memoria y CPU del firewallCuando se prepara un clúster para la virtualización de red, el módulo Firewall se instala en todos los hosts de ese clúster. Este módulo asigna tres pilas: una pila de módulo para los parámetros del módulo; una pila de reglas para reglas, contenedores y filtros; y una pila de estado para los flujos de tráfico. La asignación del tamaño de pila está determinada por la memoria física disponible en el host. Según la cantidad de reglas, conjuntos de contenedores y conexiones, el tamaño de pila puede ir aumentando o reduciéndose. El módulo Firewall que se ejecuta en el hipervisor también utiliza las CPU del host para el procesamiento de paquetes.

Si se conoce cuál es la utilización de recursos del host en un momento dado, resulta más fácil organizar la utilización del servidor y los diseños de red.

El umbral predeterminado tanto de la CPU como de la memoria es 100. Puede modificar los valores del umbral predeterminado mediante llamadas de la API de REST. El módulo Firewall genera eventos del sistema cuando la utilización de la CPU y de la memoria supera los umbrales. Para obtener información sobre cómo configurar los valores del umbral predeterminado, consulte Trabajar con umbrales de memoria y CPU en la Guía de NSX API.

Procedimiento

1 En vSphere Web Client, haga clic en Redes y seguridad (Networking & Security) y, a continuación, en NSX Managers.

2 En la columna Nombre (Name), haga clic en la dirección IP de la instancia de NSX Manager correspondiente.

3 Haga clic en la pestaña Supervisar (Monitor) y, a continuación, en Eventos del sistema (System Events).

Uso del recurso Distributed FirewallLa memoria se utiliza en las estructuras de datos internos de un Distributed Firewall, y puede configurarse para la CPU, la RAM y las conexiones por segundo.

Cada host ESXi se configura con tres parámetros de umbral para la utilización de recursos de DFW: CPU, RAM y conexiones por segundo (CPS). Se activa una alarma si el umbral respectivo se supera 20 veces consecutivas en un período de 200 segundos. Se toma una muestra cada 10 segundos.

100 % de CPU corresponde a la CPU total disponible en el host.

100 % de RAM corresponde a la memoria asignada para un Distributed Firewall ("tamaño máximo total"), que depende de la cantidad total de RAM instalada en el host.


VMware, Inc. 160

Tabla 10-1. Tamaño máximo total

Memoria física Tamaño máximo total (MB)

0 - 8 GB 160

8 GB - 32 GB 608

32 GB - 64 GB 992

64 GB - 96 GB 1.920

96 GB - 128 GB 2.944

128 GB 4.222

La memoria se utiliza en las estructuras de datos internos de un Distributed Firewall, que incluyen filtros, reglas, contenedores, estados de conexión, direcciones IP detectadas y flujos de descarte. Estos parámetros pueden manipularse con la llamada API siguiente:

https://NSX-MGR-IP/api/4.0/firewall/stats/eventthresholds

Request body:

<eventThresholds>

<cpu>

<percentValue>100</percentValue>

</cpu>

<memory>

<percentValue>100</percentValue>

</memory>

<connectionsPerSecond>

<value>100000</value>

</connectionsPerSecond>

</eventThresholds>

Firewall de EdgeEl firewall de Edge supervisa el tráfico de norte a sur para proporcionar la funcionalidad de seguridad del perímetro, que incluye el firewall, la traducción de direcciones de red (Network Address Translation, NAT) y la funcionalidad SSL VPN e IPSec de sitio a sitio. Esta solución está disponible en el factor de forma de la máquina virtual y se puede implementar en modo de alta disponibilidad (High Availability).


VMware, Inc. 161

La compatibilidad con el firewall es limitada en el enrutador lógico. Solo funcionan las reglas de las interfaces de administración o enlace ascendente, pero no las reglas de interfaces internas.

Nota NSX-V Edge es vulnerable ante ataques de inundación SYN en los que un atacante llena la tabla de seguimiento del estado de firewall con paquetes de inundación SYN. Este ataque de denegación de servicios o ataque distribuido de denegación de servicios (DOS/DDOS) crea una interrupción del servicio a los usuarios originales. Para defender Edge de los ataques de inundación SYN, es necesario implementar una lógica que detecte conexiones TCP falsas y las detenga sin consumir recursos del seguimiento del estado del firewall. Esta función está deshabilitada de forma predeterminada. Para habilitar esta función en un entorno de alto riesgo, configure el valor enableSynFloodProtection de REST API en true como parte de la configuración global del firewall.

Para obtener información detallada sobre el comportamiento cuando SynFloodProtection está habilitado en una instancia de NSX Edge, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/54527.

Trabajar con reglas de firewall de NSX EdgePuede desplazarse hasta una instancia de NSX Edge para ver las reglas de firewall que se le aplican.

Las reglas de firewall aplicadas a un enrutador lógico solo protegen el tráfico del plano de control que circula hacia y desde la máquina virtual de control del enrutador lógico. Estas reglas no aplican ninguna protección en el plano de datos. Para proteger el tráfico del plano de datos, cree reglas de firewall lógico para ofrecer protección de este a oeste, o bien reglas de puerta de enlace de servicios NSX Edge para ofrecer protección de norte a sur.

Las reglas se muestran y se aplican en el siguiente orden:

1 Reglas de firewall distribuido predefinidas que se aplican a la instancia de Edge.

n Estas reglas se establecen en la interfaz de usuario del firewall (Redes y seguridad [Networking & Security] > Seguridad [Security] > Firewall [Firewall]).

n Estas reglas se muestran en modo Solo lectura (Read-only) en la interfaz de usuario del firewall de NSX Edge.

2 Reglas internas que permiten que el tráfico de control circule en los servicios Edge. Por ejemplo, las reglas internas incluyen las siguientes reglas autosociadas:

a Regla autoasociada de SSL VPN: la pestaña Firewall de Edge (Edge Firewall) muestra la regla autoasociada de sslvpn cuando los ajustes del servidor están configurados y el servicio SSL VPN está habilitado.

b Regla autoasociada de DNAT: la pestaña NAT de Edge (Edge NAT) muestra la regla autoasociada de DNAT como parte de la configuración predeterminada de SSL VPN.

3 Las reglas definidas por el usuario que se agregaron a la intergaz de usuario del firewall de NSX Edge.

4 Regla predeterminada.


VMware, Inc. 162

https://kb.vmware.com/s/article/54527

Editar la regla de firewall de NSX Edge predeterminadaLa configuración de firewall predeterminada aplica al tráfico que no coincide con ninguna de las reglas de firewall definidas por el usuario. La directiva de Edge Firewall predeterminada bloquea todo el tráfico entrante. Puede cambiar la configuración de acciones y registro predeterminada.

Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Instancias de NSX Edge (NSX Edges).


3 Haga clic en la pestaña Administrar (Manage) y, a continuación, en Firewall.

4 Seleccione la Regla predeterminada (Default Rule), que es la última regla en la tabla de firewall.

5 Coloque el puntero sobre la celda Acción (Action) de la nueva regla y haga clic en .

a Haga clic en Aceptar (Accept) para permitir el tráfico desde o hasta el origen y el destino especificados.

b Haga clic en Registrar (Log) para registrar las sesiones que coincidan con esta regla.

Si el registro se habilita, el rendimiento puede verse afectado.

c Escriba comentarios, si es necesario.



Agregar una regla de firewall de NSX EdgeLa pestaña Firewall de Edge (Edge Firewall) muestra las reglas creadas en la pestaña Firewall centralizado (Centralized Firewall) en modo de solo lectura. Cualquier regla que agregue aquí no se muestra en la pestaña Firewall centralizado (Centralized Firewall).

Puede agregar varias interfaces de NSX Edge o grupos de direcciones IP como origen y destino para las reglas de firewall.

Figura 10-1. Regla de firewall para que el tráfico fluya de una interfaz de NSX Edge a un servidor HTTP


VMware, Inc. 163

Figura 10-2. Regla de firewall para que el tráfico fluya de todas las interfaces internas (subredes en grupos de puertos conectados a interfaces internas) de una instancia de NSX Edge a un servidor HTTP

Nota Si selecciona interna (internal) como el origen, la regla se actualiza automáticamente cuando configura interfaces internas adicionales.

Figura 10-3. Regla de firewall para que el tráfico permita SSH en m/c en una red interna

Procedimiento



3 Haga clic en la pestaña Administrar (Manage) y, a continuación, en la pestaña Firewall.


VMware, Inc. 164



Para agregar una regla en un lugar específico de la tabla de firewall

a Seleccione una regla.

b En la columna N.º (No.), haga clic en y seleccione Agregar arriba (Add Above) o Agregar abajo (Add Below).

Se agregará una nueva regla de permiso "any any" debajo de la regla seleccionada Si la regla definida por el sistema es la única regla en la tabla de firewall, la nueva regla se agrega arriba de la regla predeterminada.

Para agregar una regla copiando una regla

a Seleccione una regla.

b Haga clic en el icono Copiar ( ).

c Seleccione una regla.

d En la columna N.º haga clic en y seleccione Pegar arriba (Paste Above) o Pegar abajo (Paste Below).

Para agregar una regla en cualquier lugar en la tabla de firewall

a Haga clic en el icono Agregar (Add) ( ) .

Se agregará una nueva regla de permiso "any any" debajo de la regla seleccionada. Si la regla definida por el sistema es la única regla en la tabla de firewall, la nueva regla se agrega arriba de la regla predeterminada.

La nueva regla está habilitada de forma predeterminada.

5 Coloque el puntero sobre la celda Nombre (Name) de la nueva regla y haga clic en .

6 Escriba el nombre de la nueva regla.

7 Coloque el puntero sobre la celda Origen (Source) de la nueva regla y haga clic en o .

Si hizo clic en , escriba una dirección IP.

a Seleccione un objeto del menú desplegable y, a continuación, realice las selecciones adecuadas.

Si selecciona Grupo de vNIC (vNIC Group) y, a continuación, selecciona vse, la regla se aplica al tráfico generado por NSX Edge. Si selecciona interna (internal) o externa (external), la regla se aplica al tráfico que viene de cualquier interfaz interna o de vínculo superior de la instancia de NSX Edge seleccionada. La regla se actualiza automáticamente cuando se configuran interfaces adicionales. Observe que las reglas de firewall en interfaces internas no funcionan para un enrutador lógico.

Si selecciona Conjuntos de direcciones IP (IP Sets), puede crear un grupo de direcciones IP nuevo. Una vez que creado, el nuevo grupo se agrega a la columna Origen (Source) automáticamente. Para obtener información sobre cómo crear un conjunto de direcciones IP, consulte Crear un grupo de direcciones IP.

b Haga clic en Aceptar (OK).


VMware, Inc. 165

8 Coloque el puntero sobre la celda Destino (Destination) de la nueva regla y haga clic en o .

a Seleccione un objeto del menú desplegable y, a continuación, realice las selecciones adecuadas.

Si selecciona Grupo de vNIC (vNIC Group) y, a continuación, selecciona vse, la regla se aplica al tráfico generado por NSX Edge. Si selecciona interna (internal) o externa (external), la regla aplica al tráfico que va a cualquier interfaz interna o de vínculo superior de la instancia de NSX Edge seleccionada. La regla se actualiza automáticamente cuando se configuran interfaces adicionales. Observe que las reglas de firewall en interfaces internas no funcionan para un enrutador lógico.

Si selecciona Conjuntos de direcciones IP (IP Sets), puede crear un grupo de direcciones IP nuevo. Una vez que creado, el nuevo grupo se agrega a la columna Origen (Source) automáticamente. Para obtener información sobre cómo crear un conjunto de direcciones IP, consulte Crear un grupo de direcciones IP.


9 Coloque el puntero sobre la celda Servicio (Service) de la nueva regla y haga clic en o .

n Si hizo clic en , seleccione un servicio. Para crear un servicio o un grupo de servicios nuevos, haga clic en Nuevo (New). Una vez creado, el nuevo servicio se agrega a la columna Servicio (Service) automáticamente. Para obtener más información sobre cómo crear un nuevo servicio, consulte Crear un servicio.

n Si hizo clic en , seleccione un protocolo. Puede especificar el puerto de origen haciendo clic en la flecha junto a Opciones avanzadas (Advanced Options). VMware recomienda evitar especificar el puerto de origen en la versión 5.1 y posteriores. En cambio, se puede crear un servicio para una combinación de protocolo-puerto.

Nota NSX Edge solo es compatible con los servicios definidos con los protocolos de Capa 3.

10 Coloque el puntero sobre la celda Acción (Action) de la nueva regla y haga clic en . Realice las selecciones correspondientes según se describe en la siguiente tabla y haga clic en Aceptar (OK).

Acción seleccionada Resultado

Permitir (Allow) Permite el tráfico desde o hasta el origen y el destino especificados.

Bloquear (Block) Bloquea el tráfico desde o hasta el origen y el destino especificados.

Rechazar (Reject) Envía un mensaje de rechazo para paquetes no aceptados.

Se envían paquetes RST en lugar de paquetes TCP.

Se envían paquetes ICMP a los que no se puede acceder (con restricción administrativa) en lugar de otros paquetes.

Registrar (Log) Registra todas las sesiones que coinciden con esta regla. Si el registro se habilita, el rendimiento puede verse afectado.

No registrar (Do not log) No registra las sesiones.

Comentarios (Comments) Escriba comentarios, si es necesario.


VMware, Inc. 166

Acción seleccionada Resultado

Opciones avanzadas (Advanced Options) > Coincidencia con traducción (Match on Translated)

Aplica la regla a los servicios y las direcciones IP traducidas para una regla NAT.

Habilitar dirección de regla (Enable Rule Direction)

Indica si la regla es entrante o saliente.

VMware no recomienda especificar la dirección de las reglas de firewall.

11 Haga clic en Publicar cambios (Publish Changes) para transmitir la nueva regla a la instancia de NSX Edge.

Pasos siguientes

n Deshabilite una regla haciendo clic en junto al número de regla en la columna N.° (No.).

n Oculte las reglas generadas o las reglas previas (reglas agregadas en la pestaña Firewall centralizado [Centralized Firewall]). Para ello, haga clic en Ocultar reglas generadas (Hide Generated Rules) u Ocultar reglas previas (Hide Pre Rules).

n Para mostrar columnas adicionales en la tabla de reglas, haga clic en y seleccione las columnas correspondientes.

Nombre de la columna Información que se muestra

Etiqueta de regla (Rule Tag) Identificador único generado por el sistema para cada regla

Registrar (Log) El tráfico para esta regla se registra o no

Estadísticas (Stats) Si hace clic en se muestra el tráfico afectado por esta regla (cantidad de sesiones, paquetes de tráfico y tamaño).

Comentarios (Comments) Comentarios de la regla

n Para buscar las reglas, escriba texto en el campo Buscar (Search).

Editar una regla de firewall de NSX EdgeSolo puede editar las reglas de firewall de Edge definidas por el usuario y puede realizar cambios limitados a la regla de firewall predeterminada generada por el sistema.

Procedimiento





VMware, Inc. 167

4 Seleccione la regla que desea editar.

Nota No puede editar los siguientes tipos de reglas en la interfaz de usuario del firewall de NSX Edge:

n Reglas internas (por ejemplo, reglas asociadas automáticamente que permiten que el tráfico de control circule en los servicios Edge).

n Reglas de firewall distribuido predefinidas que se aplican a la instancia de Edge. Estas reglas de firewall se establecen en la interfaz de usuario del firewall (Redes y seguridad [Networking & Security] > Seguridad [Security] > Firewall).

5 Realice los cambios y haga clic en Aceptar (OK).


Cambiar la prioridad de una regla de firewall de NSX EdgeEs posible cambiar el orden de las reglas de firewall definidas por el usuario que se agregaron a la pestaña Firewall de Edge (Edge Firewall) con el fin de personalizar el flujo de tráfico a través de NSX Edge. Por ejemplo, si existe una regla para permitir el tráfico de equilibrador de carga, se puede agregar una regla para rechazar el tráfico de equilibrador de carga procedente de un grupo específico de direcciones IP y se puede colocar esta regla arriba de la regla que permite el tráfico de LB.

Procedimiento




4 Seleccione la regla cuya prioridad desea cambiar.

Nota No se puede cambiar la prioridad de las reglas generadas automáticamente o de la regla predeterminada.

5 Haga clic en el icono Mover hacia arriba (Move Up) o Mover hacia abajo (Move Down) .



Eliminar una regla de firewall de NSX EdgeEs posible eliminar una regla de firewall definida por el usuario que se agregó en la pestaña Firewall de NSX Edge (NSX Edge Firewall). No se pueden eliminar aquí las reglas agregadas en la pestaña Firewall centralizado (Centralized Firewall).


VMware, Inc. 168

Procedimiento




4 Seleccione la regla que desea eliminar.

Nota No puede eliminar una regla generada automáticamente o la regla predeterminada.


Administrar reglas de NATNSX Edge proporciona el servicio de traducción de direcciones de red (NAT) para asignar una dirección pública a un equipo o grupo de equipos en una red privada. El uso de esta tecnología limita la cantidad de direcciones IP públicas que debe utilizar una organización o empresa, por motivos de seguridad y economía. Debe configurar las reglas de NAT para brindar acceso a los servicios que se ejecutan en máquinas virtuales con direcciones privadas.

La configuración del servicio NAT está separado en reglas de NAT de origen (SNAT) y de NAT de destino (Destination NAT, DNAT).

Agregar una regla de SNAT

Es posible crear una regla de NAT de origen (SNAT) para cambiar la dirección IP de origen; si es una dirección IP pública por una privada y, si es una dirección IP privada por una pública.

Procedimiento



3 Haga clic en la pestaña Administrar (Manage) y, a continuación, haga clic en la pestaña NAT.

4 Haga clic en el icono Agregar (Add) y seleccione Agregar regla de SNAT (Add SNAT Rule).

5 Seleccione la interfaz en la cual desea agregar la regla.

6 Seleccione el protocolo requerido.

7 Escriba la dirección IP de origen original (pública) en uno de los siguientes formatos.

Formato Ejemplo

Dirección IP 192.0.2.0

Rango de direcciones IP 192.0.2.0-192.0.2.24


VMware, Inc. 169

Formato Ejemplo

Dirección IP/subred 192.0.2.0/24

any

8 Escriba el puerto o el rango de puertos de origen original.

Formato Ejemplo

Número de puerto 80

Rango de puertos 80-85

any

9 Introduzca la dirección IP de destino en uno de los siguientes formatos.

Formato Ejemplo


Rango de direcciones IP 192.0.2.0 -192.0.2.24

Dirección IP/subred 192.0.2.0 /24

any

10 Escriba el puerto o el rango de puertos de destino.

Formato Ejemplo



any

11 Escriba la dirección IP de origen traducida en uno de los siguientes formatos.

Formato Ejemplo


Rango de direcciones IP 192.0.2.0-192.0.2.24

Dirección IP/subred 192.0.2.0/24

any

12 Escriba el puerto o el rango de puertos traducidos.

Formato Ejemplo



any


VMware, Inc. 170

13 Seleccione Habilitado (Enabled) para habilitar la regla.

14 Haga clic en Habilitar registro (Enable logging) para registrar la traducción de la dirección.

15 Haga clic en Aceptar (OK) para agregar la regla.


Agregar una regla de DNAT

Puede crear una regla de NAT de destino (destination NAT, DNAT) para cambiar la dirección IP de destino de pública a privada o viceversa.

Procedimiento




4 Haga clic en la pestaña Administrar (Manage) y, a continuación, haga clic en la pestaña NAT.

5 Haga clic en el icono Agregar (Add) ( ) y seleccione Agregar regla de DNAT (Add DNAT Rule).

6 Seleccione la interfaz en la cual desea aplicar la regla de DNAT.

7 Seleccione el protocolo requerido.

8 Introduzca la dirección IP de origen en uno de los siguientes formatos.

Formato Ejemplo




any

9 Escriba el puerto o el rango de puertos de origen.

Formato Ejemplo



any

10 Escriba la dirección IP original (pública) en uno de los siguientes formatos.

Formato Ejemplo




VMware, Inc. 171

Formato Ejemplo


any

11 Escriba el puerto o el rango de puertos originales.

Formato Ejemplo



any

12 Escriba la dirección IP traducida en uno de los siguientes formatos.

Formato Ejemplo




any

13 Escriba el puerto o el rango de puertos traducidos.

Formato Ejemplo



any

14 Seleccione Habilitado (Enabled) para habilitar la regla.

15 Seleccione Habilitar registro (Enable logging) para registrar la traducción de la dirección.

16 Haga clic en Aceptar (OK) para agregar la regla.


Trabajar con secciones de reglas de firewallSe puede agregar una sección para separar las reglas de firewall. Por ejemplo, puede tener las reglas de los departamentos de ventas e ingeniería en secciones separadas.

Puede crear varias secciones de reglas de firewall para las reglas de Capa 2 y Capa 3.


VMware, Inc. 172

Los entornos de Cross-vCenter NSX pueden tener varias secciones de reglas universales. Varias secciones universales permiten que las reglas se organicen fácilmente por arrendatario y aplicación. Si las reglas se modifican o se editan dentro de una sección universal, solo se sincronizan con las instancias secundarias de NSX Manager las reglas de firewall distribuido universales de esa sección. Para poder agregar reglas universales, primero debe administrar las reglas universales en la instancia principal de NSX Manager y crear allí la sección universal. Las secciones universales siempre aparecen sobre las secciones locales en las instancias principales y secundarias de NSX Manager.

Las reglas que están fuera de las secciones universales permanecen en el nivel local de la instancia principal o secundaria de NSX Manager donde se agregaron.

Agregar una sección de regla de firewallPuede agregar una nueva sección en la tabla de firewall para organizar las reglas o crear una sección universal para utilizar en los entornos de Cross-vCenter NSX.

Requisitos previos







Procedimiento


2 Si hay más de una instancia de NSX Manager disponible, seleccione una. Debe seleccionar la instancia de NSX Manager principal para agregar una sección universal.

3 Asegúrese de estar en la pestaña General para agregar una sección para reglas de Capa 3. Haga clic en la pestaña Ethernet para agregar una sección para reglas de Capa 2.

4 Haga clic en el icono Agregar sección (Add Section) ( ).

5 Escriba un nombre y especifique la posición de la nueva sección. Los nombres de sección deben ser únicos dentro de NSX Manager.


VMware, Inc. 173

6 (opcional) Para crear una sección universal, seleccione Marcar esta sección para sincronización universal (Mark this section for Universal Synchronization).

7 Haga clic en Aceptar (OK) y, a continuación, en Publicar cambios (Publish Changes).

Pasos siguientes

Agregue reglas a la sección. Para editar el nombre de una sección, haga clic en el icono Editar sección

(Edit section) ( ) de esa sección.

Combinar secciones de regla de firewallPuede combinar secciones y consolidar las reglas dentro de esas secciones. Tenga en cuenta que no puede combinar una sección con las secciones Service Composer o Predeterminada (Default). En un entorno de Cross-vCenter NSX, no puede combinar una sección con la sección universal.

Combinar y consolidar una configuración de firewall compleja puede ayudar con el mantenimiento y la legibilidad.

Procedimiento


2 En la sección que desee combinar, haga clic en el icono Combinar (Merge) ( ) y especifique si desea combinar esta sección con la que se encuentra arriba o abajo.

Se combinan las reglas de ambas secciones. La sección nueva mantiene el nombre de la sección con la que se combina la otra sección.


Eliminar una sección de reglas de firewallEs posible eliminar una sección de reglas de firewall. Se eliminan todas las reglas en esa sección.

No puede eliminar una sección y volver a agregarla en otro lugar de la tabla de firewall. Para hacerlo, debe eliminar la sección y publicar la configuración. A continuación, agregue la sección eliminada en la tabla de firewall y vuelva a publicar la configuración.

Procedimiento


2 Asegúrese de estar en la pestaña General para eliminar una sección de reglas de Capa 3. Haga clic en la pestaña Ethernet para eliminar una sección de reglas de Capa 2.

3 Haga clic en el icono Eliminar sección (Delete section) ( ) de la sección que desea eliminar.


Resultados

Se eliminan la sección y todas las reglas de esa sección.


VMware, Inc. 174

Trabajar con reglas de firewallLas reglas de Distributed Firewall y las reglas de Edge Firewall pueden administrarse de forma centralizada o desde la pestaña Firewall. En un entorno de varias empresas, los proveedores pueden definir reglas para un flujo de tráfico de alto nivel en la interfaz de usuario del firewall centralizado.

Cada sesión de tráfico se compara con la regla principal de la tabla de firewall antes de bajar a las reglas subsiguientes de esa tabla. Se aplica la primera regla de la tabla que coincide con los parámetros de tráfico. Las reglas se muestran en el siguiente orden:

1 Las reglas que definen los usuarios en la interfaz de usuario del firewall tienen la prioridad más alta y se aplican en orden descendente (de arriba hacia abajo) según el nivel por NIC virtual.

2 Reglas autoasociadas (que permiten que el tráfico de control circule en los servicios Edge).

3 Reglas definidas por los usuarios en la interfaz de NSX Edge.

4 Reglas de Service Composer (una sección aparte para cada directiva). Estas reglas no se pueden editar en la tabla de firewall, pero es posible agregar reglas en la parte superior de una sección de reglas de firewall de una directiva de seguridad. Al hacer eso, es necesario volver a sincronizar las reglas en Service Composer. Para obtener más información, consulte Capítulo 17 Service Composer.

5 Reglas predeterminadas de Distributed Firewall

Tenga en cuenta que las reglas de firewall se aplican solamente en clústeres donde se habilitó el firewall. Para obtener información sobre cómo preparar clústeres, consulte Guía de instalación de NSX.

Editar la regla de Distributed Firewall predeterminadaLa configuración de firewall predeterminada aplica al tráfico que no coincide con ninguna de las reglas de firewall definidas por el usuario. La regla de Distributed Firewall predeterminada se muestra en la interfaz de usuario de firewall centralizado y la regla predeterminada de cada instancia de NSX Edge se muestra en el nivel de NSX Edge.

La regla de Distributed Firewall predeterminada permite el acceso directo de todo el tráfico de Capa 3 y Capa 2 a los clústeres preparados en la infraestructura. La regla predeterminada se encuentra siempre al final de la tabla de reglas y no se puede eliminar ni es posible agregarle elementos. Sin embargo, puede cambiar el elemento Acción (Action) de la regla desde Permitir bloquear o rechazar (Allow to Block or Reject), agregar comentarios a la regla e indicar si el tráfico de esa regla se debe registrar.

En un entorno de Cross-vCenter NSX, la regla predeterminada no es una regla universal. Cualquier cambio en la regla predeterminada debe realizarse en cada instancia de NSX Manager.

Procedimiento


2 Expanda la sección Valor predeterminado (Default) y realice los cambios necesarios.

Solo puede editar Acción (Action) y Registro (Log), o agregar comentarios a la regla predeterminada.


VMware, Inc. 175

Agregar una regla de firewall distribuidoLas reglas de firewall se agregan en el ámbito de NSX Manager. Mediante el campo Se aplica a (Applied To), se puede delimitar el ámbito en el que se desea aplicar la regla. Es posible agregar varios objetos en los niveles de origen y destino para cada regla, lo que permite reducir la cantidad total de reglas de firewall que se deben agregar.

Los siguientes objetos de vCenter pueden especificarse como origen o destino de una regla de firewall:

Tabla 10-2. Objetos admitidos para reglas de firewall

Origen o destino Se aplica a (Applied To)

n clúster

n centro de datos

n grupo de puertos distribuidos

n conjunto de direcciones IP

n grupo de puertos heredados

n conmutador lógico

n grupo de recursos

n grupo de seguridad

n vApp

n máquina virtual

n vNIC

n dirección IP (IPv4 o IPv6)

n todos los clústeres en los cuales se instaló el Distributed Firewall (en otras palabras, todos los clústeres que se prepararon para la virtualización de red)

n todas las puertas de enlace Edge instaladas en clústeres preparados

n clúster

n centro de datos

n grupo de puertos distribuidos

n Edge

n grupo de puertos heredados

n conmutador lógico

n grupo de seguridad

n máquina virtual

n vNIC

Requisitos previos

Compruebe que el estado de Distributed Firewall de NSX no esté en modo de compatibilidad con versiones anteriores. Para comprobar el estado actual, utilice la llamada API de REST GET https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state. Si el estado actual es el modo de compatibilidad con versiones anteriores, puede cambiar el estado al modo de reenvío mediante la llamada API de REST PUT https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state. No intente publicar una regla de Distributed Firewall cuando el Distributed Firewall esté en modo de compatibilidad con versiones anteriores.

Si agrega reglas de firewall universales, consulte Agregar una regla de firewall universal

Si agrega una regla de firewall basada en identidad, garantice que:

n Se hayan registrado uno o varios dominios en NSX Manager. NSX Manager obtiene información del grupo y del usuario, así como de la relación existente entre estos elementos, desde cada dominio con el que está registrado. Consulte Registrar un dominio de Windows con NSX Manager.

n Se haya creado un grupo de seguridad basado en objetos de Active Directory que pueda utilizarse como origen o destino de la regla. Consulte Crear un grupo de seguridad.

Si va a agregar una regla basada en un objeto de VMware vCenter, asegúrese de que VMware Tools esté instalado en las máquinas virtuales. Consulte Guía de instalación de NSX.


VMware, Inc. 176

Las máquinas virtuales que migran de la versión 6.1.5 a la versión 6.2.3 no ofrecen compatibilidad con ALG de TFTP. Para habilitar la compatibilidad con ALG de TFTP después de migrar, agregue y quite la máquina virtual de la lista de exclusión o reinicie la máquina virtual. Así, se creará un nuevo filtro para la versión 6.2.3 que habilita la compatibilidad con ALG de TFTP.

Procedimiento


2 Asegúrese de estar en la pestaña General para agregar una regla de Capa 3. Haga clic en la pestaña Ethernet para agregar una regla de Capa 2.

3 En la sección en la que agrega una regla, haga clic en el icono Agregar regla (Add rule) ( ).


Se agregará una nueva regla de permiso "any" en la parte superior de la sección. Si la regla definida por el sistema es la única regla en la sección, la regla nueva se agrega arriba de la regla predeterminada.

Si desea agregar una regla en un lugar específico de la sección, seleccione una regla. En la columna

N.º (No.), haga clic en y seleccione Agregar arriba (Add Above) o Agregar abajo (Add Below).




VMware, Inc. 177

7 Coloque el puntero sobre la celda Origen (Source) de la nueva regla. Aparecen iconos adicionales según la descripción de la siguiente tabla.


Haga clic en Para especificar el origen como una dirección IP.

a Seleccione el formato de dirección IP.

El firewall admite los formatos IPv4 e IPv6.

b Escriba la dirección IP.

Puede introducir varias direcciones IP en una lista separada por comas. La lista puede contener hasta 255 caracteres.

Haga clic en Para especificar el origen como un objeto que no sea una dirección IP específica.

a En Ver (View), seleccione el contenedor desde el cual se originó la comunicación.

Aparecen los objetos del contenedor seleccionado.

b Seleccione uno o varios objetos y haga clic en .

Puede crear un nuevo grupo de seguridad o IPSet. Una vez creado el nuevo objeto, se agrega a la columna Origen (Source) de forma predeterminada. Para obtener información sobre la creación de un grupo de seguridad o IPSet, consulte Capítulo 21 Objetos de seguridad y red.

c Para excluir un origen de la regla, haga clic en Opciones avanzadas (Advanced options).

d Seleccione Negar origen (Negate Source) para excluir este origen de la regla.

Si se selecciona Negar origen (Negate Source), la regla se aplica al tráfico proveniente de todas las fuentes, salvo la especificada en el paso anterior.

Si no se selecciona Negar origen (Negate Source), la regla se aplica al tráfico proveniente del origen especificado en el paso anterior.

e Haga clic en Aceptar (OK).


VMware, Inc. 178

8 Coloque el puntero sobre la celda Destino (Destination) de la nueva regla. Aparecen iconos adicionales según la descripción de la siguiente tabla.


Haga clic en Para especificar el destino como una dirección IP.




Puede introducir varias direcciones IP en una lista separada por comas. La lista puede contener hasta 255 caracteres.

Haga clic en Para especificar el destino como un objeto que no sea una dirección IP específica.

a En Ver (View), seleccione el contenedor de destino de la comunicación.



Puede crear un nuevo grupo de seguridad o IPSet. Una vez creado el nuevo objeto, se agrega a la columna Destino (Destination) de forma predeterminada. Para obtener información sobre la creación de un grupo de seguridad o IPSet, consulte Capítulo 21 Objetos de seguridad y red.

c Para excluir un puerto de destino, haga clic en Opciones avanzadas (Advanced options).

d Seleccione Negar destino (Negate Destination) para excluir este destino de la regla.

Si se selecciona Negar destino (Negate Destination), la regla se aplica al tráfico dirigido a todos los destinos, salvo el especificado en el paso anterior.

Si no se selecciona Negar destino (Negate Destination), la regla se aplica al tráfico dirigido al destino especificado en el paso anterior.



VMware, Inc. 179

9 Coloque el puntero sobre la celda Servicio (Service) de la nueva regla. Aparecen iconos adicionales según la descripción de la siguiente tabla.


Haga clic en Para especificar el servicio como una combinación de protocolo de puertos.

a Seleccione el protocolo de servicio.

Distributed Firewall admite ALG (Application Level Gateway) para los siguientes protocolos: TFTP, FTP, ORACLE TNS, MS-RPC y SUN-RPC.

Edge admite ALG para FTP, TFTP y SNMP_BASIC.

Nota: Las máquinas virtuales que migran de la versión 6.1.5 a la versión 6.2.3 no ofrecen compatibilidad con ALG de TFTP. Para habilitar la compatibilidad con ALG de TFTP después de migrar, agregue y quite la máquina virtual de la lista de exclusión o reinicie la máquina virtual. Así, se creará un nuevo filtro para la versión 6.2.3 que habilita la compatibilidad con ALG de TFTP.

b Escriba el número de puerto y haga clic en Aceptar (OK).

Haga clic en Para seleccionar un servicio o un grupo de servicios predefinido, o para definir uno nuevo.

a Seleccione uno o varios objetos y haga clic en .

Puede crear un servicio o un grupo de servicios nuevos. Una vez creado el nuevo objeto, se agrega a la columna Objetos seleccionados (Selected Objects) de forma predeterminada.

b Haga clic en Aceptar (OK). Para proteger la red contra saturaciones ACK o SYN, puede establecer el servicio con el valor TCP-all_ports o UDP-all_ports y establecer la acción de bloqueo para la regla predeterminada. Para obtener información sobre cómo modificar la regla predeterminada, consulte Editar la regla de Distributed Firewall predeterminada.


Acción Resultado

Permitir (Allow) Permite tráfico desde o hacia los orígenes, los destinos y los servicios especificados.

Bloquear (Block) Bloquea el tráfico desde o hacia los orígenes, los destinos y los servicios especificados.


Se envían paquetes RST para conexiones TCP.

Se envían mensajes ICMP con código prohibido de forma administrativa para conexiones UDP, ICMP y otras conexiones IP.




VMware, Inc. 180

11 En Se aplica a (Applied To), defina el ámbito al cual se aplica esta regla. Realice las selecciones correspondientes según se describe en la siguiente tabla y haga clic en Aceptar (OK).

Para aplicar una regla a Hacer lo siguiente

Todos los clústeres preparados en el entorno Seleccione Aplicar esta regla en todos los clústeres donde está habilitado el Distributed Firewall (Apply this rule on all clusters on which Distributed Firewall is enabled). Después de hacer clic en Aceptar (OK), la columna Se aplica a (Applied To) para esta regla muestra Distributed Firewall (Distributed Firewall).

Todas las puertas de enlace NSX Edge en el entorno Seleccione Aplicar esta regla en todas las puertas de enlace Edge (Apply this rule on all Edge gateways). Después de hacer clic en Aceptar (OK), la columna Se aplica a (Applied To) para esta regla muestra Todos las instancias de Edge (All Edges).

Si las dos opciones anteriores están seleccionadas, la columna Se aplica a (Applied To) muestra Cualquiera (Any).

Uno o varios clústeres, centros de datos, grupos de puertos virtuales distribuidos, instancias de NSX Edge, redes, máquinas virtuales, vNIC o conmutadores lógicos

1 En Tipo de contenedor (Container type), seleccione el objeto apropiado.

2 En la lista Disponibles (Available), seleccione uno o varios

objetos y haga clic en (add).

Si la regla contiene máquinas virtuales o vNIC en los campos de origen y destino, debe agregar las máquinas virtuales o vNIC de origen y destino a Se aplica a (Applied To) para que la regla funcione correctamente.


Después de unos minutos, aparece un mensaje que indica si la operación de publicación se completó correctamente. Si se produce algún error, se muestra un listado de los hosts donde no se aplicó la regla. Para obtener detalles adicionales sobre una publicación con errores, desplácese hasta Instancias de NSX Manager (NSX Managers) > NSX_Manager_IP_Address > Supervisar (Monitor) > Eventos del sistema (System Events).

Al hacer clic en Publicar cambios (Publish Changes), se guarda automáticamente la configuración del firewall. Para obtener información sobre cómo revertir a una configuración anterior, consulte Cargar una configuración de firewall guardada.

Pasos siguientes

n Para deshabilitar una regla, haga clic en ; para habilitarla, haga clic en .



Identificador de reglas Identificador único generado por el sistema para cada regla



VMware, Inc. 181


Estadísticas (Stats) Al hacer clic en , se muestra el tráfico relacionado con esta regla (tamaño y paquetes de tráfico)



n Mueva una regla hacia arriba o hacia abajo en la tabla de firewall.

n Para combinar las secciones, haga clic en el icono Combinar sección (Merge section) y seleccione Combinar con la sección anterior (Merge with above section) o Combinar con la sección siguiente (Merge with below section).

Forzar sincronización de las reglas de Distributed FirewallSi no puede publicar reglas de firewall para los hosts, realice una sincronización forzada.

La sincronización forzada se utiliza cuando es necesario sincronizar las reglas de firewall en un host individual con NSX Manager.

Procedimiento


2 Seleccione el clúster que desee sincronizar y, a continuación, haga clic en Acciones (Actions) ( ) > Forzar servicios de sincronización (Force Sync Services).

3 Seleccione el Firewall de los servicios para forzar la sincronización. Haga clic en Aceptar (OK).

El estado del Firewall cambia a Ocupado (Busy) durante la sincronización.

Agregar una regla de firewall universalEn un entorno de Cross-vCenter NSX, las reglas universales hacen referencia a las reglas de Distributed Firewall que se definieron en la instancia principal de NSX Manager en la sección de reglas universales. Estas reglas se replican a todas las instancias secundarias de NSX Manager en el entorno, lo que permite mantener una directiva de firewall coherente dentro de los límites de vCenter. Las reglas de Edge Firewall no son compatibles con vMotion entre varias instancias de vCenter Server.

La instancia principal de NSX Manager puede contener varias secciones universales para las reglas universales de Capa 2 y varias secciones universales para las reglas universales de Capa 3. Las secciones universales están encima de todas las secciones de Service Composer y locales. En las instancias secundarias de NSX Manager, las secciones universales y las reglas universales se pueden ver pero no editar. La ubicación de la sección universal con respecto a la sección local no afecta la prioridad de las reglas.


VMware, Inc. 182

Tabla 10-3. Objetos compatibles con las reglas de firewall universales

Origen y destino Se aplica a (Applied To) Servicio (Service)

n conjunto de direcciones MAC universales

n conjunto de direcciones IP universales

n grupo de seguridad universal, que puede contener una etiqueta de seguridad universal, un conjunto de direcciones IP o MAC, o un grupo de seguridad universal

n grupo de seguridad universal, que puede contener una etiqueta de seguridad universal, un conjunto de direcciones IP o MAC, o un grupo de seguridad universal

n conmutador lógico universal

n Distributed Firewall: las reglas se aplican a todos los clústeres en los que se instaló el Distributed Firewall

n servicios universales creados previamente y grupos de servicios

n servicios universales creados por el usuario y grupos de servicios

Tenga en cuenta que no se admiten otros objetos de vCenter para las reglas universales.

Requisitos previos

Para poder crear reglas universales, primero se debe crear una sección de reglas universales. Consulte Agregar una sección de regla de firewall.

Procedimiento


2 En NSX Manager, asegúrese de seleccionar la instancia principal de NSX Manager.

Solo se pueden agregar reglas universales a la instancia principal de NSX Manager.

3 Para agregar una regla universal de Capa 3, asegúrese de estar en la pestaña General. Para agregar una regla universal de Capa 2, haga clic en la pestaña Ethernet.

4 En la sección universal, haga clic en el icono Agregar regla (Add rule) ( ) y seleccione Publicar cambios (Publish Changes).

Se agregará una nueva regla de permiso "any any" en la parte superior de la sección universal.

5 Coloque el puntero sobre la celda Nombre (Name) de la nueva regla y haga clic en . Introduzca un nombre para la regla.


VMware, Inc. 183

6 Coloque el puntero sobre la celda Origen (Source) de la nueva regla. Aparecen iconos adicionales según la descripción de la siguiente tabla.


Haga clic en Para especificar el origen como una dirección IP.




Haga clic en Para especificar un IPSet, un MACSet o un grupo de seguridad universal como el origen.

a En Tipo de objeto (Object Type), seleccione el contenedor desde el cual se originó la comunicación.



Puede crear un nuevo grupo de seguridad o IPSet. Una vez creado el nuevo objeto, se agrega a la columna Origen (Source) de forma predeterminada. Para obtener información sobre la creación de un grupo de seguridad o IPSet, consulte Capítulo 21 Objetos de seguridad y red.

c Para excluir un origen de la regla, haga clic en Opciones avanzadas (Advanced options).

d Seleccione Negar origen (Negate Source) para excluir este origen de la regla.

Si se selecciona Negar origen (Negate Source), la regla se aplica al tráfico proveniente de todas las fuentes, salvo la especificada en el paso anterior.

Si no se selecciona Negar origen (Negate Source), la regla se aplica al tráfico proveniente del origen especificado en el paso anterior.



VMware, Inc. 184

7 Coloque el puntero sobre la celda Destino (Destination) de la nueva regla. Aparecen iconos adicionales según la descripción de la siguiente tabla.


Haga clic en Para especificar el destino como una dirección IP.




Haga clic en Para especificar un IPSet, un MACSet o un grupo de seguridad universal como el destino.

a En Tipo de objeto (Object Type), seleccione el contenedor hacia donde se dirige la comunicación.



Puede crear un nuevo grupo de seguridad o IPSet. Una vez creado el nuevo objeto, se agrega a la columna Destino (Destination) de forma predeterminada. Para obtener información sobre la creación de un grupo de seguridad o IPSet, consulte Capítulo 21 Objetos de seguridad y red.

c Para excluir un destino de la regla, haga clic en Opciones avanzadas (Advanced options).

d Seleccione Negar destino (Negate Destination) para excluir este destino de la regla.

Si se selecciona Negar destino (Negate Destination), la regla se aplica al tráfico dirigido a todos los destinos, salvo el especificado en el paso anterior.

Si no se selecciona Negar destino (Negate Destination), la regla se aplica al tráfico dirigido al destino especificado en el paso anterior.



VMware, Inc. 185

8 Coloque el puntero sobre la celda Servicio (Service) de la nueva regla. Aparecen iconos adicionales según la descripción de la siguiente tabla.


Haga clic en Para especificar un servicio como una combinación puerto-protocolo.

a Seleccione el protocolo de servicio.

Distributed Firewall admite ALG (Application Level Gateway) para los siguientes protocolos: FTP, CIFS, ORACLE TNS, MS-RPC y SUN-RPC.

b Escriba el número de puerto y haga clic en Aceptar (OK).

Haga clic en Para seleccionar un servicio universal o un grupo de servicio universal definido previamente, o definir uno nuevo.

a Seleccione uno o varios objetos y haga clic en .

Puede crear un servicio o un grupo de servicios nuevos. Una vez creado el nuevo objeto, se agrega a la columna Objetos seleccionados (Selected Objects) de forma predeterminada.

b Haga clic en Aceptar (OK). Para proteger la red contra saturaciones ACK o SYN, establezca el servicio con el valor TCP-all_ports o UDP-all_ports y establezca la acción de bloqueo para la regla predeterminada. Para obtener información sobre cómo modificar la regla predeterminada, consulte Editar la regla de Distributed Firewall predeterminada.


Acción Resultado








10 En la celda Se aplica a (Applied To), acepte la opción de configuración predeterminada (Distributed Firewall) para aplicar la regla a todos los clústeres con el Distributed Firewall habilitado o bien, haga

clic en el icono Editar para seleccionar los conmutadores lógicos universales a los que se deberá aplicar la regla.



VMware, Inc. 186

Resultados

La regla universal se replicará a todas las instancias secundarias de NSX Manager. El identificador de la regla será el mismo en todas las instancias de NSX. Para ver el identificador de la regla, haga clic en

y seleccione Identificador de regla (Rule ID).

Las reglas universales pueden editarse en la instancia principal de NSX Manager, pero son de solo lectura en las instancias secundarias de NSX Manager.

Reglas de firewall con sección universal de Capa 3 y sección predeterminada de Capa 3:

Pasos siguientes

n Para deshabilitar una regla, haga clic en en la columna N.º (No.) y, para habilitarla, haga clic en .



Identificador de reglas Identificador único generado por el sistema para cada regla


Estadísticas (Stats) Al hacer clic en , se muestra el tráfico relacionado con esta regla (tamaño y paquetes de tráfico)



n Mueva una regla hacia arriba o hacia abajo en la tabla de firewall.

Reglas de firewall con un protocolo personalizado de Capa 3Las reglas de firewall pueden crearse con un número de protocolo personalizado que no aparece en el menú desplegable de protocolos.


VMware, Inc. 187

Puede crearse una regla de firewall con un número de protocolo personalizado en el firewall distribuido o el firewall de NSX Edge.

Procedimiento


2 Asegúrese de estar en la pestaña General para agregar una regla de Capa 3. Haga clic en el icono

Agregar regla (Add rule) ( ).


Se agregará una nueva regla de permiso "any" en la parte superior de la sección. Si la regla definida por el sistema es la única regla en la sección, la regla nueva se agrega arriba de la regla predeterminada.

Si desea agregar una regla en un lugar específico de la sección, seleccione una regla. En la columna

N.º (No.), haga clic en y seleccione Agregar arriba (Add Above) o Agregar abajo (Add Below).



6 Especifique el Origen (Source) de la nueva regla. Consulte Agregar una regla de firewall distribuido para ver más detalles del icono.

7 Especifique el Destino (Destination) de la nueva regla. Consulte Agregar una regla de firewall distribuido para obtener detalles.

8 Coloque el puntero sobre la celda Servicio (Service) de la nueva regla. Haga clic en el icono

Agregar servicio (Add Service) ( )

9 Haga clic en Nuevo servicio (New Service) en la parte inferior izquierda de la ventana Especificar servicio (Specify Service).

10 Introduzca el Nombre (Name) del nuevo protocolo (por ejemplo, OSPF).

11 En el menú desplegable de protocolos, seleccione L3_OTHERS.

Aparecerá un campo Número de protocolo (Protocol Number) en el menú desplegable.

12 Introduzca el Número de protocolo (Protocol Number), por ejemplo, 89 para OSPF.


Resultados

Se creó una regla de firewall mediante un número de protocolo personalizado.

Guardar una configuración sin publicarEs posible agregar una regla y guardar la configuración sin publicarla. La configuración guardada se puede cargar y publicar en otro momento.


VMware, Inc. 188

Procedimiento

1 Agregue una regla de firewall. Consulte Agregar una regla de firewall distribuido.

2 Haga clic en Guardar cambios (Save Changes).

3 Escriba un nombre y una descripción para la configuración y haga clic en Aceptar (OK).

4 Haga clic en Conservar configuración (Preserve Configuration) para mantener este cambio.

NSX puede guardar hasta 100 configuraciones. Cuando se supera este límite, se conservan las configuraciones guardadas con la marca Conservar configuración (Preserve Configuration) y se eliminan las configuraciones antiguas no conservadas para que las configuraciones conservadas tengan espacio.

5 Realice una de las siguientes acciones:

n Haga clic en Revertir cambios (Revert Changes) para regresar a la configuración utilizada antes de agregar la regla. Cuando desee publicar la regla recientemente agregada, haga clic en el icono Cargar configuración (Load Configuration), seleccione la regla guardada en el paso 3 y haga clic en Aceptar (OK).

n Haga clic en Actualizar cambios (Update Changes) para seguir agregando reglas.

Cargar una configuración de firewall guardadaPuede cargar una configuración de firewall guardada automáticamente o importada. Si la configuración actual contiene reglas administradas por Service Composer, estas seanulan después de la importación.

Procedimiento


2 Asegúrese de estar en la pestaña General para cargar una configuración de firewall de Capa 3. Haga clic en la pestaña Ethernet para cargar una configuración de firewall de Capa 2.

3 Haga clic en el icono Cargar configuración (Load configuration) ( ).

4 Seleccione la configuración que desea cargar y haga clic en Aceptar (OK).

La configuración seleccionada reemplaza a la configuración actual.

Pasos siguientes

Si la configuración cargada anuló las reglas de Service Composer en la configuración, haga clic en Acciones (Actions) > Sincronizar reglas de firewall (Synchronize Firewall Rules) en la pestaña Directivas de seguridad (Security Policies) de Service Composer.

Filtrar reglas de firewallSe puede utilizar una gran cantidad de criterios para filtrar el conjunto de reglas, lo que permite modificar con facilidad las reglas. Las reglas se pueden filtrar por dirección IP o máquinas virtuales de origen o destino, acción de la regla, registro, nombre de la regla, comentarios e identificador de la regla.


VMware, Inc. 189

Procedimiento

1 En la pestaña Firewall, haga clic en el icono Aplicar filtro (Apply Filter) ( ).

2 Escriba o seleccione los criterios de filtrado según corresponda.

3 Haga clic en Aplicar (Apply).

Se muestran las reglas que coinciden con sus criterios de filtrado.

Pasos siguientes

Para volver a mostrar todas las reglas, haga clic en el icono Quitar filtro aplicado (Remove applied

filter) ( ).

Cambiar el orden de una regla de firewallLas reglas de firewall se aplican en el orden en que se presentan en la tabla de reglas.

Las reglas se muestran (y se aplican) en el siguiente orden:

1 Las reglas definidas previamente por el usuario tienen la prioridad más alta y se aplican de arriba abajo por nivel de NIC virtual.

2 Reglas asociadas automáticamente.

3 Reglas locales definidas en un nivel de NSX Edge.

4 Reglas de Service Composer (una sección aparte para cada directiva). Estas reglas no se pueden editar en la tabla de firewall, pero es posible agregar reglas en la parte superior de una sección de reglas de firewall de una directiva de seguridad. Al hacer eso, es necesario volver a sincronizar las reglas en Service Composer. Para obtener más información, consulte Capítulo 17 Service Composer.

5 Regla predeterminada de Distributed Firewall.

Es posible mover una regla personalizada hacia arriba o abajo en la tabla. La regla predeterminada siempre se coloca en la parte inferior de la tabla y no se puede mover.

Procedimiento

1 En la pestaña Firewall, seleccione la regla que desea mover.

2 Haga clic en el icono Mover regla hacia arriba (Move rule up) o Mover regla hacia abajo (Move

rule down) .


Eliminar una regla de firewallEs posible eliminar reglas de firewall creadas por el usuario mismo. No se pueden eliminar la regla predeterminada o las reglas que administra Service Composer.

Procedimiento

1 En la pestaña Firewall, seleccione una regla.


VMware, Inc. 190

2 Haga clic en el icono Eliminar regla seleccionada (Delete Selected Rule) ( ) arriba de la tabla de firewall.


Registros de firewallEl firewall genera y almacena archivos de registro, como el registro de auditoría, el registro de mensajes de reglas y el archivo de eventos del sistema. Debe configurar un servidor syslog por cada clúster que tenga habilitado el firewall. El servidor syslog está especificado en el atributo Syslog.global.logHost.

En la siguiente tabla se describe cómo genera el firewall los registros.

Tabla 10-4. Registros de firewall

Tipo de registro Descripción Ubicación

Registros de mensajes de reglas

Incluyen todas las decisiones de acceso, como el tráfico permitido y el no permitido para cada regla, si el registro estaba habilitado para esa regla. Contienen los registros de paquetes DFW para las reglas en las que el registro se habilitó.

/var/log/dfwpktlogs.log

Registros de auditoría Incluyen registros de administración y cambios en la configuración de Distributed Firewall.

/home/secureall/secureall/logs/vsm.log

Registros de eventos del sistema

Incluye la configuración aplicada de Distributed Firewall, el filtro creado, eliminado o con errores, y las máquinas virtuales que se agregaron a los grupos de seguridad, entre otros.

/home/secureall/secureall/logs/vsm.log

Registros de VMKernel o del plano de datos

Captura las actividades relacionadas con un módulo de kernel del firewall (VSIP). Incluye entradas de registro para los mensajes generados por el sistema.

/var/log/vmkernel.log

Registros VSFWD o del cliente del bus de mensajería

Captura las actividades de un agente del firewall. /var/log/vsfwd.log

Nota Se puede acceder al archivo vsm.log ejecutando el comando show log manager desde la interfaz de línea de comandos (CLI) de NSX Manager y ejecutando grep para la palabra clave vsm.log. Solo el usuario o el grupo de usuario que tengan el privilegio raíz pueden acceder al archivo.

Registros de mensajes de reglasLos registros de mensajes de reglas incluyen todas las decisiones de acceso, como el tráfico permitido y el no permitido para cada regla, si el registro estaba habilitado para esa regla. Estos registros se almacenan en cada host de /var/log/dfwpktlogs.log.


VMware, Inc. 191

A continuación aparecen ejemplos de mensajes de registro del firewall:

# more /var/log/dfwpktlogs.log

2015-03-10T03:22:22.671Z INET match DROP domain-c7/1002 IN 242 UDP 192.168.110.10/138-

>192.168.110.255/138

# more /var/log/dfwpktlogs.log

2017-04-11T21:09:59.877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST

10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070

Más ejemplos:

2017-10-19T22:38:05.586Z 58734 INET match PASS domain-c8/1006 OUT 84 ICMP 172.18.8.121->172.18.8.119

RULE_TAG

2017-10-19T22:38:08.723Z 58734 INET match PASS domain-c8/1006 OUT 60 TCP 172.18.8.121/36485-

>172.18.8.119/22 S RULE_TAG

2017-10-19T22:38:18.785Z 58734 INET TERM domain-c8/1006 OUT ICMP 8 0 172.18.8.121->172.18.8.119 2/2

168/168 RULE_TAG

2017-10-19T22:38:20.789Z 58734 INET TERM domain-c8/1006 OUT TCP FIN 172.18.8.121/36484-

>172.18.8.119/22 44/33 4965/5009 RULE_TAG

En el ejemplo siguiente:

n 1002 es el identificador de regla de Distributed Firewall.

n domain-c7 es el identificador de clúster en el explorador de objetos administrados (MOB) de vCenter.

n 192.168.110.10/138 es la dirección IP de origen.

n 192.168.110.255/138 es la dirección IP de destino.

n ETIQUETA_REGLA (RULE_TAG) es un ejemplo del texto que escribe en el cuadro de texto Etiqueta (Tag) al agregar o editar la regla del firewall.

El ejemplo siguiente muestra los resultados de un ping 192.168.110.10 a 172.16.10.12.

# tail -f /var/log/dfwpktlogs.log | grep 192.168.110.10

2015-03-10T03:20:31.274Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12

2015-03-10T03:20:35.794Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12

Las siguientes tablas explican los cuadros de texto del mensaje de registro del firewall.

Tabla 10-5. Componentes de una entrada de archivo de registro

Componente Valor en el ejemplo

Marca de tiempo 2017-04-11T21:09:59

Porción específica del firewall 877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST 10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070


VMware, Inc. 192

Tabla 10-6. Porción específica del firewall de una entrada del archivo de registro

Entidad Valores posibles

Hash del filtro Es un número que puede utilizarse para obtener el nombre del filtro y otra información.

Valor AF INET, INET6

Motivo n match: el paquete coincide con una regla.

n bad-offset: error interno en la ruta de acceso a los datos al obtener el paquete.

n fragment: fragmentos que no son el primario tras ensamblarse a este.

n short: paquete demasiado pequeño (por ejemplo, no incluye encabezados IP ni TCP/UDP).

n normalize: paquetes con formato incorrecto que no tienen una carga útil o un encabezado correctos.

n memory: ruta de acceso a los datos sin memoria.

n bad-timestamp: marca de tiempo TCP incorrecta.

n proto-cksum: suma de comprobación incorrecta del protocolo.

n state-mismatch: paquetes TCP que no envían la comprobación de la máquina del estado TCP.

n state-insert: se encontró una conexión duplicada.

n state-limit: se alcanzó el número máximo de estados de los que una ruta de acceso a los datos puede hacer un seguimiento.

n SpoofGuard: paquetes que SpoofGuard descarta.

n TERM: la conexión finaliza.

Acción n PASS: se acepta el paquete.

n DROP: se descarta el paquete.

n NAT: regla SNAT.

n NONAT: coincide con la regla SNAT, pero no se puede traducir la dirección.

n RDR: regla DNAT.

n NORDR: coincide con la regla DNAT, pero no se puede traducir la dirección.

n PUNT: envía el paquete a una máquina virtual de servicio que se ejecuta en el mismo hipervisor de la máquina virtual actual.

n REDIRECT: envía el paquete a un servicio de redes que se ejecuta fuera del hipervisor de la máquina virtual actual.

n COPY: acepta el paquete y copia una máquina virtual de servicio que se ejecuta en el mismo hipervisor de la máquina virtual actual.

n REJECT: rechaza el paquete.

Regla establecida e ID rule set/rule ID

Dirección IN, OUT

Longitud de paquetes length


VMware, Inc. 193

Tabla 10-6. Porción específica del firewall de una entrada del archivo de registro (continuación)

Entidad Valores posibles

Protocolo (Protocol) TCP, UDP, ICMP o PROTO (número de protocolo)

En las conexiones TCP, la razón real por la que una conexión finaliza aparece tras la palabra clave TCP.

Si TERM es la razón de una sesión TCP, aparece una explicación adicional en la fila PROTO. Entre las posibles razones para que una conexión TCP finalice se incluyen: RST (paquete RST de TCP), FIN (paquete FIN de TCP) y TIMEOUT (inactividad prolongada).

En el ejemplo anterior es RST. Esto significa que existe un paquete RST en la conexión que se debe restablecer.

Para conexiones que no sean TCP (UDP, ICMP u otros protocolos), la razón por la que finaliza una conexión es únicamente TIMEOUT.

Puerto y dirección IP de origen IP address/port

Puerto y dirección IP de destino IP address/port

Marcas TCP S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET)

Número de paquetes Número de paquetes.

22/14 - paquetes de entrada/paquetes de salida

Número de bytes Número de bytes.

7684/1070 - bytes de entrada/bytes de salida

Para habilitar un mensaje de reglas, inicie sesión en vSphere Web Client:

1 Habilite la columna Registro (Log) en la página Redes y seguridad > Firewall (Networking & Security > Firewall).

2 Habilite el registro para una regla. Para hacerlo, pase el cursor sobre la celda de la tabla Registro (Log) y haga clic en el icono de lápiz.


VMware, Inc. 194

Nota Si desea personalizar el texto que aparece en el mensaje de registro del firewall, puede habilitar la columna Etiqueta (Tag) y escribir el texto deseado haciendo clic en el icono del lápiz.

Registros de eventos del sistema y de auditoríaLos registros de auditoría incluyen registros de administración y cambios en la configuración del Distributed Firewall. Se almacenan en /home/secureall/secureall/logs/vsm.log.

Los registros de eventos del sistema incluyen la configuración aplicada de Distributed Firewall, los filtros creados, eliminados o con errores, y las máquinas virtuales agregadas a los grupos de seguridad, entre otros. Estos registros se almacenan en /home/secureall/secureall/logs/vsm.log.

Para consultar los registros de eventos del sistema y auditoría en la interfaz de usuario, acceda a Redes y seguridad > Instalación > Administración (Networking & Security > Installation > Management) y haga doble clic en la dirección IP de NSX Manager. A continuación, haga clic en la pestaña Supervisar (Monitor).

Para obtener más información, consulte Eventos del sistema y de registro de NSX.


VMware, Inc. 195

Introducción al firewall de identidad 11Las funciones del firewall de identidad permiten al administrador de NSX crear un usuario de Active Directory basado en reglas de DFW.

Al preparar la infraestructura comienza una visión general de alto nivel del flujo de trabajo de la configuración de IDFW. Esto incluye que el administrador instale los componentes de preparación del host en cada clúster protegido y que establezca la sincronización de Active Directory de forma que NSX pueda aceptar usuarios y grupos de AD. A continuación, IDFW debe saber en qué escritorio inicia sesión un usuario de Active Directory para poder aplicar las reglas de DFW. IDFW utiliza dos métodos para detectar el inicio de sesión: Guest Introspection y/o a través del recopilador de registros de eventos de Active Directory. Guest Introspection se implementa en los clústeres de ESXi en los que se ejecutan las máquinas virtuales de IDFW. Cuando un usuario genera eventos de red, un agente invitado instalado en la máquina virtual envía la información a través de la trama de Guest Introspection a NSX Manager. La segunda opción es el recopilador de registros de eventos de Active Directory. Configure el recopilador de registros de eventos de Active Directory en NSX Manager para señalar una instancia de la controladora de dominio de Active Directory. NSX Manager extraerá eventos del registro de eventos de seguridad de AD. Puede usar ambos en su entorno o bien uno de ellos. Tenga en cuenta que si se utiliza el recopilador de registros de eventos de AD y Guest Introspection, ambos son mutuamente exclusivos: si uno de ellos deja de funcionar, el otro no comenzará a trabajar como copia de seguridad.

Una vez que la infraestructura está preparada, el administrador crea grupos de seguridad de NSX y agrega los grupos de AD de disponibilidad reciente (a los que se hace referencia como Grupo de directorios). El administrador podrá a continuación crear directivas de seguridad con reglas de firewall asociadas y aplicar dichas directivas a los grupos de seguridad recién creados. Ahora, cuando un usuario inicie sesión en un escritorio, el sistema detectará ese evento a través de la dirección IP que se utilizó, buscará la directiva del firewall que está asociada a dicho usuario y empujará estas reglas hacia abajo. Esto funciona tanto para escritorios físicos como virtuales. Para los escritorios físicos, es necesario que el recopilador de registros de eventos de Active Directory también detecte que un usuario inició sesión en un escritorio físico.

SO compatibles con IDFWServidores compatibles con AD

n Windows 2012

VMware, Inc. 196

n Windows 2008

n Windows 2008 R2

SO invitados compatibles

n Windows 2012

n Windows 2008

n Windows 2008 R2

n Windows 10

n Windows 8 de 32 o 64 bits

n Windows 7 de 32 o 64 bits


n Flujo de trabajo del firewall de identidad

Flujo de trabajo del firewall de identidadEl firewall de identidad (IDFW) permite normas del firewall distribuido establecidas por el usuario (DFW)

Las reglas del firewall distribuido establecidas por el usuario están determinadas por la pertenencia a un grupo Active Directory (AD). IDFW supervisa si los usuarios de Active Directory iniciaron sesión y asignan el registro a una dirección IP que usa el DFW para aplicar reglas del firewall. El firewall de identidad necesita la trama guest introspection o bien activar la extracción de los registros de los eventos del directorio.

Procedimiento

1 Configure la sincronización de Active Directory en NSX, consulte Sincronizar un dominio de Windows con Active Directory. Esto es necesario para usar los grupos de Active Directory en Service Composer.

2 Prepare el clúster ESXi para DFW. Consulte cómo preparar el clúster del host para NSX (Prepare the Host Cluster for NSX) en Guía de instalación de NSX.

3 Configure las opciones de detección de inicio de sesión del firewall de identidad. Se deben configurar una o varias de estas opciones.

Nota Si tiene una arquitectura de AD de varios dominios y el extractor de registros no está accesible debido a restricciones de seguridad, Guest Introspection le permitirá generar eventos de inicio y cierre de sesión.

n Configure el acceso al registro de los eventos de Active Directory. Consulte Registrar un dominio de Windows con NSX Manager.


VMware, Inc. 197

n Windows Guest OS con un agente invitado instalado. Viene con una instalación completa de VMware Tools ™ Implemente el servicio Guest Introspection para los clústeres protegidos. Consulte Instalar Guest Introspection en los clústeres de host. Para solucionar problemas relacionados con Guest Introspection, consulte Recopilar información para solucionar problemas de Guest Introspection.


VMware, Inc. 198

Trabajar con dominios de Active Directory 12Se puede registrar uno o varios dominios de Windows en una instancia de NSX Manager y una instancia asociada de vCenter Server. NSX Manager obtiene información del grupo y del usuario, así como de la relación existente entre estos elementos, desde cada dominio con el que está registrado. NSX Manager también recupera las credenciales de Active Directory (AD).

Una vez que NSX Manager recupera las credenciales de AD, se pueden crear grupos de seguridad basados en la identidad del usuario, crear reglas de firewall basadas en la identidad y ejecutar informes de supervisión de la actividad.


n Registrar un dominio de Windows con NSX Manager

n Sincronizar un dominio de Windows con Active Directory

n Editar un dominio de Windows

n Habilitar el acceso al registro de seguridad de solo lectura en Windows 2008

n Comprobar los privilegios de Directory

Registrar un dominio de Windows con NSX Manager

Requisitos previos

La cuenta de dominio debe tener permisos de lectura de AD para todos los objetos en el árbol de dominios. La cuenta del lector de registros de eventos debe tener permisos de lectura para los registros de eventos de seguridad.

Procedimiento


2 Haga clic en Redes y seguridad (Networking & Security) y seleccione Instancias de NSX Manager (NSX Managers).

3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestaña Administrar (Manage).

4 Haga clic en la pestaña Dominio (Domain) y, a continuación, haga clic en el icono Agregar dominio

(Add domain) ( ).

VMware, Inc. 199

5 En el cuadro de diálogo Agregar dominio (Add Domain), escriba el nombre del dominio completo (por ejemplo, eng.vmware.com) y el nombre netBIOS del dominio.

Para recuperar el nombre netBIOS del dominio, escriba nbtstat -n en una ventana de comandos de una estación de trabajo con Windows que sea parte de un dominio o se encuentre en un controlador de dominio. En la Tabla de nombre local NetBIOS (NetBIOS Local Name Table), la entrada con el prefijo <00> y el tipo Grupo (Group) es el nombre netBIOS.

6 Al agregar un dominio secundario, seleccione Combinar automáticamente (Auto Merge).

7 Durante la sincronización, haga clic en Ignorar usuarios deshabilitados (Ignore disabled users) para filtrar los usuarios que ya no tengan cuentas activas.


9 En la página Opciones de LDAP (LDAP Options), especifique el controlador de dominio con la que se sincronizará el dominio y seleccione el protocolo.

10 Si es necesario, edite el número de puerto.

11 Escriba las credenciales de usuario de la cuenta de dominio. Este usuario debe poder acceder a la estructura de árbol de directorios.


13 (opcional) En la página Acceso a los registros de eventos de seguridad (Security Event Log Access), seleccione CIFS o WMI en el método de conexión para acceder a los registros de eventos de seguridad del servidor AD especificado. Cambie el número de puerto, si es necesario. Este paso lo utiliza el recopilador de registros de eventos de Active Directory. Consulte Flujo de trabajo del firewall de identidad.

Nota El lector de registros de eventos busca eventos con los siguientes ID del registro de eventos de seguridad de AD: Windows 2008/2012: 4624, Windows 2003: 540. El servidor de registro de eventos tiene un límite de 128 MB. Cuando se alcanza este límite, aparece en el lector de registro de seguridad el mensaje ID 1104 de evento (Event ID 1104). Consulte https://technet.microsoft.com/en-us/library/dd315518 para obtener más información.

14 Seleccione Utilizar credenciales de dominio (Use Domain Credentials) para utilizar las credenciales de usuario del servidor LDAP. Para especificar una cuenta de dominio alternativa para el acceso al registro, desactive la casilla Utilizar credenciales de dominio (Use Domain Credentials) y especifique el nombre de usuario y la contraseña.

La cuenta especificada debe poder leer los registros de eventos de seguridad en el controlador de dominio especificada en el paso 10.


16 En la página Listo para finalizar (Ready to Complete), revise la configuración especificada.


VMware, Inc. 200

https://technet.microsoft.com/en-us/library/dd315518

https://technet.microsoft.com/en-us/library/dd315518


Atención n Si aparece un mensaje de error que indique que se produjo un error al agregar un dominio a la

entidad debido a un conflicto de dominios, seleccione Combinar automáticamente (Auto Merge). Los dominios se crearán y la configuración aparecerá debajo de la lista de dominios.

Resultados

Se crea el dominio y la configuración se muestra debajo de la lista de dominios.

Pasos siguientes

Compruebe que los eventos de inicio de sesión del servidor de registro de eventos estén habilitados.

Es posible agregar, editar, eliminar, habilitar o deshabilitar servidores LDAP desde la pestaña Servidores LDAP (LDAP Servers) en el panel debajo de la lista de dominios. Se pueden realizar las mismas tareas para los servidores de registro de eventos desde la pestaña Servidores de registro de eventos (Event Log Servers) en el panel debajo de la lista de dominios. Al agregar varios servidores Windows (controladores de dominio, servidores Exchange o servidores de archivos) como servidor de registro de eventos se mejora la asociación con la identidad del usuario.

Nota En caso de utilizar IDFW, solo los servidores de AD son compatibles.

Sincronizar un dominio de Windows con Active DirectoryDe forma predeterminada, todos los dominios registrados se sincronizan automáticamente con Active Directory cada tres horas. También se pueden sincronizar a petición.

Mediante la interfaz de usuario de vSphere Web Client, puede realizar una sincronización forzada para los dominios de Active Directory. Se realiza una sincronización periódica una vez a la semana y una sincronización diferencial cada 3 horas. No es posible sincronizar subárboles de forma selectiva mediante la interfaz de usuario.

Con NSX 6.4 y versiones posteriores, es posible sincronizar subárboles de Active Directory de forma selectiva usando llamadas de API. El dominio raíz no puede tener ninguna relación principal-secundario y debe tener un nombre distinguido válido de directorio.

n /api/1.0/directory/updateDomain tiene una opción para especificar la carpeta bajo el dominio raíz. Además, existe una opción para realizar una actualización forzada: private boolean forceUpdate .

n /api/directory/verifyRootDN. Compruebe que la lista de rootDN no tenga ninguna relación principal-secundario. Compruebe que cada rootDN sea un nombre distinguido de Active Directory.

Procedimiento

1 En vSphere Web Client, acceda a Redes y seguridad (Networking & Security) > Sistema (System) > Usuarios y dominios (Users and Domains).


VMware, Inc. 201

2 Haga clic en la pestaña Dominios (Domains) y, a continuación, seleccione el dominio que se sincronizará.

Importante Los cambios realizados en Active Directory NO se verán en el NSX Manager hasta que se haya realizado una sincronización completa o diferencial.

3 Seleccione una de las siguientes opciones:

Haga clic en Para

Realice una sincronización diferencial, donde los objetos AD locales que cambiaron desde el último evento de sincronización se actualizan.

Realice una sincronización completa, donde el estado local de todos los objetos AD se actualiza.

Editar un dominio de WindowsEs posible editar el nombre, el nombre de netBIOS, el servidor LDAP principal y las credenciales de la cuenta de un dominio.

Procedimiento




4 Seleccione un dominio y, a continuación, haga clic en el icono Editar dominio (Edit domain).

5 Realice los cambios necesarios y haga clic en Finalizar (Finish).

Habilitar el acceso al registro de seguridad de solo lectura en Windows 2008El recopilador de registros de eventos de IDFW utiliza el acceso al registro de seguridad de solo lectura.

Después de crear una cuenta de usuario nueva, debe habilitar el acceso al registro de seguridad de solo lectura en una sección de dominio basada en un servidor de Windows 2008 para garantizar el acceso de solo lectura a los usuarios.

Nota Debe seguir estos pasos en un controlador de dominio del bosque, del árbol o del dominio.

Procedimiento

1 Acceda a Inicio > Herramientas administrativas > Equipos y usuarios de Active Directory (Start > Administrative Tools > Active Directory Users and Computers).


VMware, Inc. 202

2 En el árbol de navegación, expanda el nodo que corresponda al dominio en el que desee habilitar el acceso al registro de seguridad.

3 En el nodo que expandió, seleccione el nodo Builtin.

4 Haga doble clic en Lector de registros de eventos (Event Log Readers) en la lista de grupos.

5 Seleccione la pestaña Miembros (Members) del cuadro de diálogo Propiedades de los lectores de registros de eventos (Event Log Readers Properties).

6 Haga clic en el botón Agregar... (Add...).

Aparecerá el cuadro de diálogo Seleccionar usuarios (Select Users), Contactos (Contacts) o Equipos (Computers).

7 Si ya creó un grupo para el usuario "Lector AD" (AD Reader), seleccione ese grupo en el cuadro de diálogo Seleccionar usuarios (Select Users), Contactos (Contacts), Equipos (Computers) o Grupos (Groups). Si solo creó el usuario y no creó un grupo, seleccione ese usuario en el cuadro de diálogo Seleccionar usuarios (Select Users), Contactos (Contacts), Equipos (Computers) o Grupos (Groups).

8 Haga clic en Aceptar (OK) para cerrar el cuadro de diálogo Seleccionar usuarios (Select Users), Contactos (Contacts), Equipos (Computers) o Grupos (Groups).

9 Haga clic en Aceptar (OK) para cerrar el cuadro de diálogo Propiedades de los lectores de registros de eventos (Event Log Readers Properties).

10 Cierre las ventanas Usuarios de Active Directory (Active Directory Users) y Equipos (Computers).

Pasos siguientes

Después de establecer el acceso al registro de seguridad, compruebe los privilegios de Directory siguiendo los pasos de Comprobar los privilegios de Directory.

Comprobar los privilegios de DirectoryComprobar que la cuenta de usuario tiene los privilegios necesarios para leer los registros de seguridad.

Tras crear una cuenta nueva y habilitar el acceso al registro de seguridad, debe comprobar que puede leer los registros de seguridad.

Requisitos previos

Habilitar el acceso al registro de seguridad. Consulte Habilitar el acceso al registro de seguridad de solo lectura en Windows 2008.

Procedimiento

1 Inicie sesión como administrador en el dominio desde cualquier estación de trabajo que sea parte de dicho dominio.

2 Diríjase a Inicio > Herramientas administrativas > Visor de eventos (Start > Administrative Tools > Event Viewer).


VMware, Inc. 203

3 Seleccione Conectar a otro equipo... (Connect to Another Computer...) en el menú de Acción (Action). Aparece el cuadro de diálogo Seleccionar un equipo (Select Computer). (Tenga en cuenta que debe realizar esto incluso si ya inició sesión en la máquina de la que quiere ver el registro de eventos)

4 Seleccione el botón de radio Otro equipo (Another computer) si aún no se seleccionó.

5 En el campo de texto adyacente al botón de radio Otro equipo (Another computer), introduzca el nombre del controlador del dominio. De forma alternativa, haga clic en el botón Examinar... (Browse) y seleccione el controlador de dominio.

6 Marque la casilla de Conectar como otro usuario (Connect as another user).

7 Haga clic en el botón Establecer usuario (Set user). Aparece el cuadro de diálogo Visor de eventos (Event Viewer).

8 En el campo Nombre de usuario (User name), introduzca el nombre del usuario que creó.

9 En el campo Contraseña (Password), introduzca la contraseña del usuario que creó.


11 Vuelva a hacer clic en Aceptar (OK).

12 Expanda el nodo Registros de Windows (Windows Logs) en el árbol de navegación.

13 En el nodo Registros de Windows (Windows Logs), seleccione el nodo Seguridad (Security). Si puede ver los eventos de registros, la cuenta tiene los privilegios necesarios.


VMware, Inc. 204

Utilizar SpoofGuard 13Tras la sincronización con el servidor vCenter Server, NSX Manager recopila las direcciones IP de todas las máquinas virtuales invitadas de vCenter desde la instancia de VMware Tools en cada máquina virtual. Si hay una máquina virtual comprometida, la dirección IP puede suplantarse y las transmisiones maliciosas pueden omitir las directivas de firewall.

Puede crear una directiva de SpoofGuard para redes específicas que permita autorizar las direcciones IP informadas por VMware Tools y alterarlas, si fuera necesario, para impedir la suplantación. SpoofGuard confía de forma intrínseca en las direcciones MAC de las máquinas virtuales recopiladas a partir de archivos VMX y vSphere SDK. Dado que funcionan de forma separada de las reglas de firewall, puede utilizar SpoofGuard para bloquear el tráfico identificado como suplantado.

SpoofGuard admite direcciones IPv4 e IPv6. La directiva de SpoofGuard admite varias direcciones IP asignadas a una vNIC cuando se use la intromisión DHCP y VMwareTools. Si la intromisión ARP está habilitada, no se admiten varias direcciones IP. La directiva de SpoofGuard supervisa y administra las direcciones IP que informan las máquinas virtuales en uno de los siguientes modos.

Confiar automáticamente en las asignaciones IP en el primer uso (Automatically Trust IP Assignments on Their First Use)

Este modo permite que todo el tráfico proveniente de las máquinas virtuales circule mientras se crea una tabla de asignaciones de direcciones vNIC a IP. Puede revisar la tabla según lo necesite y hacer los cambios necesarios en la dirección IP. Este modo aprueba automáticamente todas las direcciones IPv4 e IPv6 que aparecieron por primera vez en una vNIC.

Inspeccionar y aprobar manualmente todas las asignaciones IP antes de utilizarlas (Manually Inspect and Approve All IP Assignments Before Use)

Este modo bloquea todo el tráfico hasta que se aprueba cada asignación de direcciones vNIC a IP. En este modo, se pueden aprobar varias direcciones IPv4.

Nota SpoofGuard autoriza las solicitudes DHCP de forma intrínseca independientemente del modo habilitado. No obstante, en el modo de inspección manual, el tráfico no circula hasta que se haya aprobado la dirección IP asignada por DHCP.

VMware, Inc. 205

SpoofGuard incluye una directiva predeterminada generada por el sistema que se aplica a los grupos de puertos y redes lógicas que no cubren otras directivas de SpoofGuard. La nueva red agregada se incorpora automáticamente a la directiva predeterminada hasta que agregue la red a una directiva existente o cree para ella una nueva directiva.

SpoofGuard es una de las formas en que la directiva de Distributed Firewall de NSX puede determinar la dirección IP de una máquina virtual. Para obtener información, consulte Detección de IP para máquinas virtuales.


n Crear una directiva SpoofGuard

n Aprobar direcciones IP

n Editar una dirección IP

n Borrar una dirección IP

Crear una directiva SpoofGuardSe puede crear una directiva SpoofGuard para especificar el modo de funcionamiento de redes específicas. La directiva (predeterminada) generada por el sistema aplica a los grupos de puertos y a los conmutadores lógicos que no están contemplados por las directivas SpoofGuard existentes.

Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > SpoofGuard.

2 Haga clic en el icono Agregar (Add).

3 Escriba un nombre para la directiva.

4 Seleccione Habilitada (Enabled) o Deshabilitada (Disabled) para indicar si la directiva está habilitada.

5 En Modo de operación (Operation Mode), seleccione una de las opciones siguientes:


Confiar automáticamente en las asignaciones IP en el primer uso (Automatically Trust IP Assignments on Their First Use)

Seleccione esta opción para confiar en todas las asignaciones IP desde el registro inicial con NSX Manager.

Inspeccionar y aprobar manualmente todas las asignaciones IP antes de utilizarlas (Manually Inspect and Approve All IP Assignments Before Use)

Seleccione esta opción para solicitar la aprobación manual de todas las direcciones IP. Todo el tráfico desde y hacia direcciones IP no aprobadas se bloquea.


VMware, Inc. 206

6 Haga clic en Permitir dirección local como dirección válida en este espacio de nombre (Allow local address as valid address in this namespace) para permitir direcciones IP locales en la instalación.

Cuando enciende una máquina virtual y no se puede conectar al servidor DHCP, se le asigna una dirección IP local. Esta dirección IP local se considera válida solo si el modo SpoofGuard está establecido en Permitir dirección local como dirección válida en este espacio de nombre (Allow local address as valid address in this namespace). De lo contrario, la dirección IP local se ignora.


8 Para especificar el ámbito de la directiva, haga clic en Agregar (Add) y seleccione las redes, los grupos de puertos distribuidos o los conmutadores lógicos a los que se debería aplicar esta directiva.

Un grupo de puertos o un conmutador lógico pueden pertenecer solamente a una directiva SpoofGuard.

9 Haga clic en Aceptar (OK) y, a continuación, en Finalizar (Finish).

Pasos siguientes

Puede editar una directiva con el icono Editar (Edit) y eliminar una directiva con el icono Eliminar (Delete).

Aprobar direcciones IPSi se configura SpoofGuard para que se requiera la aprobación manual de todas las asignaciones de direcciones IP, es necesario aprobar las asignaciones de direcciones IP para que el tráfico de esas máquinas virtuales pueda pasar.

Procedimiento

1 En la pestaña SpoofGuard, seleccione una directiva.

Se mostrarán los detalles de la directiva debajo de la tabla de directivas.

2 En Ver (View), haga clic en uno de los vínculos de opciones.


NIC virtuales activas (Active Virtual NICs)

Lista de todas las direcciones IP validadas

NIC virtuales activas desde última publicación (Active Virtual NICs Since Last Published)

Lista de direcciones IP que se validaron desde que se actualizó por última vez la directiva

Aprobación requerida para IP de NIC virtuales (Virtual NICs IP Required Approval)

Cambios en las direcciones IP que se deben aprobar antes de que se pueda transmitir el tráfico hacia o desde estas máquinas virtuales

NIC virtuales con IP duplicadas (Virtual NICs with Duplicate IP)

Direcciones IP que son duplicados de una dirección IP asignada existente dentro del centro de datos seleccionado


VMware, Inc. 207


NIC virtuales inactivas (Inactive Virtual NICs)

Lista de direcciones IP en las que la dirección IP actual no coincide con la dirección IP publicada

IP de NIC virtuales sin publicar (Unpublished Virtual NICs IP)

Lista de máquinas virtuales en las que se editó la asignación de direcciones IP pero eso todavía no se publicó


n Para aprobar una sola dirección IP, haga clic en la opción Aprobar (Approve) junto a la dirección IP.

n Para aprobar varias direcciones IP, seleccione las vNIC adecuadas y haga clic en Aprobar IP detectadas (Approve Detected IPs).

Editar una dirección IPEs posible editar la dirección IP asignada a una dirección MAC para corregir la dirección IP asignada.

Nota SpoofGuard acepta una dirección IP exclusiva de las máquinas virtuales. Sin embargo, puede asignar una dirección IP solo una vez. Una dirección IP aprobada es exclusiva en todo NSX. No se permiten las direcciones IP aprobadas duplicadas.

Procedimiento

















3 En la vNIC adecuada, haga clic en el icono Editar (Edit) y realice los cambios adecuados.


VMware, Inc. 208


Borrar una dirección IPEs posible borrar una asignación de dirección IP aprobada de una directiva SpoofGuard.

Procedimiento


















n Para borrar una sola dirección IP, haga clic en Borrar (Clear), junto a la dirección IP.

n Para borrar varias direcciones IP, seleccione las vNIC adecuadas y, a continuación, haga clic en Borrar IP aprobadas (Clear Approved IP[s]).


VMware, Inc. 209

Redes privadas virtuales (VPN) 14NSX Edge admite varios tipos de VPN. SSL VPN-Plus permite a los usuarios remotos acceder a aplicaciones privadas de la empresa. IPsec VPN ofrece conectividad de sitio a sitio entre una instancia de NSX Edge y sitios remotos. La VPN de Capa 2 permite extender el centro de datos y que las máquinas virtuales conserven la conectividad de red más allá de los límites geográficos.

Para poder utilizar la VPN, primero debe tener una instancia de NSX Edge que esté funcionando. Para obtener información sobre cómo configurar NSX Edge, consulte Configuración de NSX Edge.


n Descripción general de SSL VPN-Plus

n Descripción general de IPsec VPN

n Descripción general de VPN de Capa 2

Descripción general de SSL VPN-PlusCon SSL VPN-Plus, los usuarios remotos pueden conectarse de forma segura a redes privadas detrás de una puerta de enlace de NSX Edge. Los usuarios remotos pueden acceder a servidores y aplicaciones en las redes privadas.

VMware, Inc. 210

VPN VP

Usuarios remotosconectándose medianteel modo de acceso web

NSXManager

Administrador

NSX EdgeSSL VPNexterna

InternetWindowsServer

LAN corporativa

Usuarios remotos conectándose mediante un cliente SSL

Se admiten los sistemas operativos cliente siguientes.

Sistema operativo Versiones admitidas

Servidor 8, 10 (incluida la opción Arranque seguro de Windows 10 activada)

Mac OS Sierra 10.12.6

Mac OS High Sierra 10.13.4

Linux Fedora 26, 28

Linux CentOS 6.0, 7.5

Linux Ubuntu 18.04

Importante Las bibliotecas de los servicios de seguridad de redes (NSS), TK y TLC de Linux son necesarias para que la interfaz de usuario funcione.

Configurar el acceso de red de SSL VPN-PlusEn el modo de acceso de red, un usuario remoto puede acceder a redes privadas después de descargar e instalar un cliente SSL.

Requisitos previos

La puerta de enlace de SSL VPN requiere el acceso al puerto 443 desde redes externas, mientras que el cliente de SSL VPN requiere la comunicación entre el sistema cliente y la dirección IP de la puerta de enlace y el puerto 443 de NSX Edge.


VMware, Inc. 211

Agregar configuración del servidor SSL VPN-PlusDebe agregar la configuración del servidor SSL VPN para habilitar SSL en una interfaz NSX Edge.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Configuración del servidor (Server Settings) en el panel izquierdo.

2 Haga clic en Cambiar (Change).

3 Seleccione la dirección IPv4 o IPv6.

4 Si es necesario, edite el número de puerto. Este número de puerto se requiere para configurar el paquete de instalación.

5 Seleccione uno o varios métodos de cifrado o cifrados.

Nota Si configura alguno de los cifrados GCM que se incluyen a continuación en el servidor SSL VPN, algunos navegadores pueden sufrir problemas de compatibilidad con versiones anteriores:

n AES128-GCM-SHA256

n ECDHE-RSA-AES128-GCM-SHA256

n ECDHE-RSA-AES256-GCM-SHA38

6 (opcional) En la tabla Certificados de servidor (Server Certificates), utilice el certificado de servidor predeterminado, o bien inhabilite la selección de la casilla de verificación Usar certificado predeterminado (Use Default Certificate) y haga clic en el certificado de servidor que quiera agregar.

Restricción n El servicio SSL VPN-Plus solo admite certificados RSA.

n El servicio SSL VPN-Plus es compatible con certificados de servidor firmados solo por la CA raíz. No admite los certificados de servidor firmados por una CA intermedia.


Agregar un grupo de direcciones IPSe asigna una dirección IP virtual al usuario remoto del grupo de direcciones IP agregado.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Grupos de direcciones IP (IP Pools) en el panel izquierdo.


3 Escriba la dirección IP de inicio y de finalización para el grupo de direcciones IP.

4 Escriba la máscara de red del grupo de direcciones IP.


VMware, Inc. 212

5 Escriba la dirección IP que se agregará a la interfaz de enrutamiento en la puerta de enlace de NSX Edge.

6 (opcional) Escriba una descripción para el grupo de direcciones IP.

7 Seleccione si desea habilitar o deshabilitar el grupo de direcciones IP.

8 (opcional) En el panel Opciones avanzadas (Advanced), escriba el nombre DNS.

9 (opcional) Escriba el nombre DNS secundario.

10 Escriba el sufijo DNS específico de la conexión para la resolución de nombres de host basada en el dominio.

11 Escriba la dirección del servidor WINS.


Agregar una red privadaEs posible agregar la red a la que se desea que el usuario remoto pueda acceder.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Redes privadas (Private Networks) en el panel izquierdo.

2 Haga clic en el icono Agregar (Add) .

3 Especifique la dirección IP de la red privada.

4 Especifique la máscara de red de la red privada.

5 (opcional) Introduzca una descripción para la red.

6 Indique si desea enviar el tráfico de la red privada y de Internet mediante NSX Edge con SSL VPN-Plus habilitado u omitir NSX Edge y enviarlo directamente al servidor privado.

7 Si eligió Enviar tráfico por el túnel (Send traffic over the tunnel), seleccione Habilitar optimización de TCP (Enable TCP Optimization) para optimizar la velocidad de Internet.

El túnel convencional de SSL VPN con acceso total envía los datos de TCP/IP en una segunda pila de TCP/IP para el cifrado por medio de Internet. Como resultado, los datos de la capa de aplicación se encapsulan dos veces en dos flujos de TCP distintos. Cuando se pierde algún paquete (lo que es posible incluso en condiciones óptimas de Internet), se produce un efecto de degradación de rendimiento que se conoce como “colapso de TCP sobre TCP”. Básicamente, dos instrumentos TCP corrigen un mismo paquete de datos IP; eso socava la capacidad de proceso de la red y genera tiempo de espera en la conexión. La optimización de TCP elimina este problema de TCP sobre TCP y garantiza un nivel de rendimiento óptimo.

8 Al habilitar la optimización, especifique los números de los puertos en los que se debe optimizar el tráfico.

No se optimizará el tráfico en los puertos restantes de esa red específica.

Nota Se optimizará el tráfico en todos los puertos si no se especifican números de puerto.


VMware, Inc. 213

Cuando se optimiza el tráfico de TCP, el servidor SSL VPN abre la conexión TCP en nombre del cliente. Como es el servidor SSL VPN el que abre la conexión TCP, se aplica la primera regla generada automáticamente, lo que permite que se transmitan todas las conexiones abiertas desde Edge. El tráfico no optimizado se evaluará en función de las reglas normales de Edge Firewall. La regla de permiso predeterminada es colapso de "any any".

9 Indique si desea habilitar o deshabilitar la red privada.


Pasos siguientes

Agregue la regla de firewall correspondiente para permitir el tráfico de la red privada.

Agregar autenticaciónAdemás de la autenticación de usuario local, puede agregar un servidor de autenticación externo (AD, LDAP, Radius o RSA) que esté vinculado a la puerta de enlace de SSL. Todos los usuarios con cuentas en el servidor de autenticación vinculado se autenticarán.

El tiempo máximo de autenticación por medio de SSL VPN es de 3 minutos. Esto se debe a que el tiempo de espera sin autenticación es de 3 minutos, y no se trata de una propiedad configurable. Por eso, en situaciones donde el tiempo de espera de autenticación de AD se establece con un valor superior a 3 minutos, o donde existen varios servidores para autenticación en cadena y el tiempo que tarda la autorización del usuario es superior a 3 minutos, no será posible autenticarse.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Autenticación (Authentication) en el panel izquierdo.


3 Seleccione el tipo de servidor de autenticación.

4 Según el tipo de servidor de autenticación seleccionado, complete los siguientes campos.

u Servidor de autenticación de AD (AD authentication server)

Tabla 14-1. Opciones del servidor de autenticación de AD (AD Authentication Server Options)


Habilitar SSL (Enable SSL)

Si se habilita SSL, se establece un vínculo encriptado entre un servidor web y un explorador.

Nota Puede experimentar problemas si no habilita SSL y vuelve a intentar cambiar la contraseña a través de la pestaña SSL VPN-Plus o a través del equipo cliente más tarde.

Dirección IP (IP Address)

Dirección IP del servidor de autenticación.

Puerto (Port) Muestra el nombre de puerto predeterminado. Si es necesario, edite esta opción.

Tiempo de espera (Timeout)

Período en segundos dentro del cual debe responder el servidor de AD.

Estado (Status) Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para indicar si el servidor está habilitado.


VMware, Inc. 214

Tabla 14-1. Opciones del servidor de autenticación de AD (AD Authentication Server Options) (continuación)


Base de búsqueda (Search base)

Parte del árbol del directorio externo donde se llevará a cabo la búsqueda. La base de búsqueda puede ser un elemento equivalente a la unidad de organización (OU), al controlador de dominio (DC), o el nombre de dominio (AD) del directorio externo.

Ejemplos:

n OU=Users,DC=aslan,DC=local

n OU=VPN,DC=aslan,DC=local

DN de enlace (Bind DN)

El usuario del servidor de AD externo permitió la búsqueda en el directorio de AD dentro de la base de búsqueda definida. La mayoría de las veces, el DN de enlace se permite para buscar en todo el directorio. La función del DN de enlace es realizar una consulta en el directorio con el filtro de consulta y la base de búsqueda del nombre distinguido (DN) para autenticar usuarios de AD. Cuando se recibe el DN, se utilizan el DN y la contraseña para autenticar el usuario de AD.

Ejemplo: CN=ldap.edge,OU=users,OU=Datacenter Users,DC=aslan,DC=local

Contraseña de enlace (Bind Password)

Contraseña para autenticar el usuario de AD.

Volver a escribir contraseña de enlace (Retype Bind Password)

Vuelva a escribir la contraseña.

Nombre de atributo de inicio de sesión (Login Attribute Name)

Nombre con el cual se hace coincidir al identificador de usuario introducido por el usuario remoto. Para Active Directory, el nombre de atributo de inicio de sesión es sAMAccountName.

Filtro de búsqueda (Search Filter)

Valores de filtro con los cuales se limita la búsqueda. El formato del filtro de búsqueda es attribute operator value.

Si necesita limitar la base de búsqueda a un grupo específico de AD y no permitir la búsqueda en toda la unidad de organización:

n No coloque el nombre de grupo dentro de la base de búsqueda, coloque únicamente la unidad de organización y el controlador de dominio.

n No coloque objectClass y memberOf dentro de la misma cadena de filtro de búsqueda. Ejemplo de formato correcto para el filtro de búsqueda: memberOf=CN=VPN_Users,OU=Users,DC=aslan,DC=local


VMware, Inc. 215

Tabla 14-1. Opciones del servidor de autenticación de AD (AD Authentication Server Options) (continuación)


Utilizar este servidor para la autenticación secundaria (Use this server for secondary authentication)

Si se selecciona esta opción, este servidor de AD se utiliza como el segundo nivel de autenticación.

Finalizar sesión si se produce un error en la autenticación (Terminate Session if authentication fails)

Si se selecciona esta opción, se finaliza la sesión si se produce un error en la autenticación.

u Servidor de autenticación LDAP

Tabla 14-2. Opciones del servidor de autenticación LDAP


Habilitar SSL (Enable SSL)

Si se habilita SSL, se establece un vínculo encriptado entre un servidor web y un explorador.

Dirección IP (IP Address) Dirección IP del servidor externo.





Base de búsqueda (Search base)

Parte del árbol del directorio externo donde se llevará a cabo la búsqueda. La base de búsqueda puede ser un elemento equivalente a la organización, al grupo o al nombre de dominio (AD) del directorio externo.

DN de enlace (Bind DN) El usuario del servidor externo permitió la búsqueda en el directorio de AD dentro de la base de búsqueda definida. La mayoría de las veces, el DN de enlace se permite para buscar en todo el directorio. La función del DN de enlace es realizar una consulta en el directorio con el filtro de consulta y la base de búsqueda del nombre distinguido (DN) para autenticar usuarios de AD. Cuando se recibe el DN, se utilizan el DN y la contraseña para autenticar el usuario de AD.

Contraseña de enlace (Bind Password)

Contraseña para autenticar el usuario de AD.

Volver a escribir contraseña de enlace (Retype Bind Password)

Vuelva a escribir la contraseña.

Nombre de atributo de inicio de sesión (Login Attribute Name)

Nombre con el cual se hace coincidir al identificador de usuario introducido por el usuario remoto. Para Active Directory, el nombre de atributo de inicio de sesión es sAMAccountName.


VMware, Inc. 216

Tabla 14-2. Opciones del servidor de autenticación LDAP (continuación)


Filtro de búsqueda (Search Filter)

Valores de filtro con los cuales se limita la búsqueda. El formato del filtro de búsqueda es attribute operator value.


Si se selecciona esta opción, este servidor se utiliza como el segundo nivel de autenticación.



u Servidor de autenticación RADIUS

En el modo FIPS está deshabilitada la autenticación RADIUS.

Tabla 14-3. Opciones del servidor de autenticación RADIUS


Dirección IP (IP Address)

Dirección IP del servidor externo.





Secreto (Secret) Secreto específico compartido al agregar el agente de autenticación en la consola de seguridad de RSA.

Volver a escribir secreto (Retype secret)

Vuelva a escribir el secreto compartido.

Dirección IP de NAS (NAS IP Address)

La dirección IP que se configura y utiliza como la dirección IP de NAS, atributo 4 de RADIUS, sin cambiar la dirección IP de origen en el encabezado IP de los paquetes RADIUS.

Cantidad de reintentos (Retry Count)

Cantidad de veces que debe entablarse comunicación con el servidor RADIUS si no responde antes de se produzca un error en la autenticación.


VMware, Inc. 217

Tabla 14-3. Opciones del servidor de autenticación RADIUS (continuación)






u Servidor de autenticación RSA-ACE

En el modo FIPS está deshabilitada la autenticación RSA.

Tabla 14-4. Opciones del servidor de autenticación RSA-ACE




Archivo de configuración (Configuration File)

Haga clic en Examinar (Browse) para seleccionar el archivo sdconf.rec que descargó de RSA Authentication Manager.


Dirección IP de origen (Source IP Address)

Dirección IP de la interfaz de NSX Edge por medio de la cual se accede al servidor RSA.


VMware, Inc. 218

Tabla 14-4. Opciones del servidor de autenticación RSA-ACE (continuación)






u Servidor de autenticación local

Tabla 14-5. Opciones del servidor de autenticación local


Habilitar directiva de contraseña (Enable password policy)

Si se selecciona esta opción, se define una directiva de contraseña. Especifica los valores requeridos.

Habilitar directiva de contraseña (Enable password policy)

Si se selecciona esta opción, se define una directiva de bloqueo de cuenta. Especifica los valores requeridos.

1 En Cantidad de reintentos (Retry Count), escriba la cantidad de veces que un usuario remoto puede intentar acceder a su cuenta después de introducir una contraseña incorrecta.

2 En Duración de los reintentos (Retry Duration), escriba el período durante el cual la cuenta del usuario remoto debe bloquearse tras intentos de inicio de sesión incorrectos.

Por ejemplo, si especifica 5 para Cantidad de reintentos (Retry Count) y 1 minuto para Duración de los reintentos (Retry Duration), la cuenta del usuario remoto se bloquea si realiza 5 intentos de inicio de sesión incorrectos en 1 minuto.

3 En Duración del bloqueo (Lockout Duration), escriba el período durante el cual permanece bloqueada la cuenta del usuario. Transcurrido este período, la cuenta se desbloquea automáticamente.



VMware, Inc. 219

Tabla 14-5. Opciones del servidor de autenticación local (continuación)






5 (opcional) Agregue la autenticación del certificado de cliente.

a Junto a Autenticación de certificado (Certificate Authentication), haga clic en Cambiar (Change).

b Seleccione la casilla de verificación Habilitar autenticación de certificado de cliente (Enable client certificate authentication).

c Seleccione un certificado de cliente emitido por la CA raíz y haga clic en Aceptar (OK).

Restricción n El portal web SSL VPN-Plus y el cliente de acceso completo SSL VPN-Plus (cliente PHAT)

admiten el certificado de usuario o de cliente que esté firmado solo por la CA raíz. El certificado de cliente firmado por una CA intermedia no es compatible.

n La autenticación de certificado de cliente solo se puede usar en un cliente SSL VPN-Plus que esté instalado en un equipo Windows. Esta autenticación no se admite en un cliente SSL VPN-Plus instalado en equipos Linux y Mac.

Agregar paquete de instalaciónCree un paquete de instalación del cliente SSL VPN-Plus para el usuario remoto.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Paquete de instalación (Installation Package) en el panel izquierdo.


3 Escriba un nombre de perfil para el paquete de instalación.


VMware, Inc. 220

4 En Puerta de enlace (Gateway), escriba la dirección IP o el nombre de dominio completo (Fully Qualified Domain Name, FQDN) de la interfaz pública de NSX Edge.

Esta dirección IP o FQDN están enlazados al cliente SSL. Al instalar el cliente, esta dirección IP o FQDN aparecen en el cliente SSL.

5 Escriba el número de puerto especificado en la configuración del servidor para SSL VPN-Plus. Consulte Agregar configuración del servidor SSL VPN-Plus.

6 (opcional) Para enlazar interfaces de vínculo superior NSX Edge adicionales al cliente SSL,

a Haga clic en el icono Agregar (Add) ( ).

b Escriba la dirección IP y el número de puerto.


7 De forma predeterminada, se crea el paquete de instalación para el sistema operativo Windows. Seleccione Linux o Mac si además desea crear un paquete de instalación para los sistemas operativos Linux o Mac.

8 (opcional) Introduzca una descripción para el paquete de instalación.

9 Seleccione Habilitar (Enable) para mostrar el paquete de instalación en la página Paquete de instalación (Installation Package).

10 Seleccione las siguientes opciones según corresponda.


Iniciar cliente al iniciar sesión (Start client on logon)

El cliente de SSL VPN se inicia cuando el usuario remoto inicia sesión en el sistema.

Permitir recordar contraseña (Allow remember password)

Habilita la opción.

Habilitar instalación en modo silencioso (Enable silent mode installation)

Oculta los comandos de instalación del usuario remoto.

Ocultar adaptador de red del cliente SSL (Hide SSL client network adapter)

Oculta el adaptador VMware SSL VPN-Plus, que está instalado en el equipo del usuario remoto junto con el paquete de instalación de SSL VPN.

Ocultar icono de la bandeja del sistema del cliente (Hide client system tray icon)

Oculta el icono de la bandeja de SSL VPN, que indica si la conexión VPN está activa o no.

Crear icono en el escritorio (Create desktop icon)

Crea un icono para invocar al cliente SSL en el escritorio del usuario.

Habilitar funcionamiento en modo silencioso (Enable silent mode operation)

Oculta la ventana emergente que indica la finalización de la instalación.


VMware, Inc. 221


Validación del certificado de seguridad del servidor (Server security certificate validation)

El cliente de SSL VPN valida el certificado del servidor SSL VPN antes de establecer la comunicación segura.

Bloquear usuario cuando se produce un error en la validación del certificado

Si se produce un error en la validación del certificado, bloquee el usuario SSL VPN.


Agregar un usuarioAgregue un usuario remoto a la base de datos local.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Usuarios (Users) en el panel izquierdo.


3 Escriba el identificador de usuario.

4 Escriba la contraseña.

5 Vuelva a escribir la contraseña.

6 (opcional) Escriba el nombre y el apellido del usuario.

7 (opcional) Escriba una descripción para el usuario.

8 En Detalles de la contraseña (Password Details), seleccione La contraseña no caduca nunca (Password never expires) para conservar siempre la misma contraseña para el usuario.

9 Seleccione Permitir cambio de contraseña (Allow change password) para permitir que el usuario cambie la contraseña.

10 Seleccione Cambiar contraseña en el próximo inicio de sesión (Change password on next login) si desea que el usuario cambie la contraseña la próxima vez que inicie sesión.

11 Establezca el estado del usuario.


Habilitar el servicio SSL VPN-PlusDespués de configurar el servicio SSL VPN-Plus, habilite el servicio para que los usuarios remotos puedan comenzar a acceder a las redes privadas.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Panel (Dashboard) en el panel izquierdo.


VMware, Inc. 222

2 Haga clic en el icono .

El panel muestra el estado del servicio, la cantidad de sesiones de SSL VPN activas, y las estadísticas y los detalles del flujo de datos de las sesiones. Haga clic en Detalles (Details) junto a Cantidad de sesiones activas (Number of Active Sessions) para ver la información sobre las conexiones simultáneas a redes privadas detrás de la puerta de enlace de NSX Edge.

Pasos siguientes

1 Agregue una regla SNAT para traducir la dirección IP del dispositivo NSX Edge a la dirección IP de Edge de la VPN.

2 En un explorador web, para desplazarse hasta la dirección IP de la interfaz de NSX Edge, escriba https//NSXEdgeIPAddress.

3 Inicie sesión con el nombre de usuario y la contraseña que creó en la sección Agregar un usuario y descargue el paquete de instalación.

4 Habilite el reenvío en el enrutador para el número de puerto utilizado en Agregar configuración del servidor SSL VPN-Plus.

5 Inicie el cliente VPN, seleccione el servidor VPN e inicie sesión. Ahora puede desplazarse hasta los servicios de la red. Los registros de la puerta de enlace de SSL VPN-Plus se envían al servidor de Syslog configurado en el dispositivo NSX Edge. Los registros del cliente SSL VPN-Plus se almacenan en el directorio siguiente en el equipo del usuario remoto: %PROGRAMFILES%/VMWARE/SSLVPN Client/.

Agregar un scriptEs posible agregar varios scripts de inicio o de cierre de sesión. Por ejemplo, se puede enlazar un script de inicio de sesión para iniciar Internet Explorer con gmail.com. Cuando el usuario remoto inicia sesión en el cliente SSL, Internet Explorer abre gmail.com.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Scripts de inicio/cierre de sesión (Login/Logoff Scripts) en el panel izquierdo.


3 En Script, haga clic en Examinar (Browse) y seleccione el script que desea enlazar con la puerta de enlace NSX Edge.


VMware, Inc. 223

4 Seleccione el Tipo (Type) de script.


Inicio de sesión (Login) Se ejecuta la acción del script cuando el usuario remoto inicia la sesión en SSL VPN.

Cierre de sesión (Logoff) Se ejecuta la acción del script cuando el usuario remoto cierra la sesión de SSL VPN.

Ambos (Both) Se ejecuta la acción del script cuando el usuario remoto inicia y cierra la sesión de SSL VPN.

5 Introduzca una descripción para el script.

6 Seleccione Habilitado (Enabled) para habilitar el script.


Instalar el cliente SSL VPN-PlusUtilice el cliente de SSL VPN de acceso completo (PHAT) para conectarse a una red privada configurada como usuario remoto. El cliente es compatible con escritorios de Windows, Mac y Linux.

Instalar un cliente SSL VPN-Plus en un sitio Windows remotoUtilice los pasos en este tema para instalar el cliente VPN-Plus SSL en un sitio Windows remoto.

Procedimiento

1 En el sitio del cliente remoto, abra una ventana de navegador y escriba https://IPInterfazEdgeExterna/sslvpn-plus/, donde IPInterfazEdgeExterna es la dirección IP de la interfaz externa de Edge donde se habilita el servicio SSL VPN-Plus.

2 Inicie sesión en el portal usando las credenciales del usuario remoto.

3 Haga clic en la pestaña Acceso total (Full Access).

4 Haga clic en el nombre del paquete del instalador de la lista.

5 Haga clic en el vínculo clic aquí (click here) para descargar el paquete del instalador.

Se descarga el cliente SSL.

6 Extraiga los archivos descargados y ejecute el archivo Installer.exe para instalar el cliente.

Pasos siguientes

Inicie sesión en el cliente SSL con las credenciales especificadas en la sección Usuarios (Users). El cliente SSL VPN-Plus valida el certificado del servidor SSL VPN.

El cliente Windows se autentica como si la opción Validación del certificado de seguridad del servidor (Server security certificate validation) estuviera seleccionada de forma predeterminada cuando se creó el paquete de instalación.


VMware, Inc. 224

Para Internet Explorer (IE), agregue una CA de confianza al almacén de certificados de confianza. Si se produce un error en la validación del certificado del servidor, se le solicitará que se ponga en contacto con el administrador del sistema. Si la validación del certificado del servidor se completa correctamente, se muestra un símbolo del sistema que le solicita que inicie sesión.

Agregar una entidad de certificación de confianza a la tienda de confianza es independiente del flujo de trabajo de la SSL VPN.

Instalar un cliente SSL VPN-Plus en un sitio Linux remotoUtilice los pasos de este tema para instalar el cliente SSL VPN-Plus en un sitio remoto Linux.

Requisitos previos

Instale los paquetes TK y TCL de Linux en el equipo remoto.

Debe tener privilegios raíz para instalar el cliente SSL VPN-Plus.

Procedimiento




4 Haga clic en el nombre del paquete del instalador y guarde el archivo comprimido linux_phat_client.tgz en el equipo remoto.

5 Extraiga el archivo comprimido. Se crea el directorio linux_phat_client.

6 Abra la CLI de Linux y cambie al directorio linux_phat_client.

7 Ejecute el comando $./install_linux_phat_client.sh.

Pasos siguientes

Inicie sesión en la interfaz gráfica de usuario SSL VPN con las credenciales especificadas en la sección Usuarios (Users).

Atención n No se admite la autenticación de RSA en dos fases para iniciar sesión en el cliente SSL VPN de los

sistemas operativos Linux.

n La CLI del cliente Linux de SSL VPN no valida los certificados del servidor. Si se requiere la validación de los certificados del servidor, use la GUI SSL VPN para conectarse a la puerta de enlace.


VMware, Inc. 225

El cliente Linux de SSL VPN valida el certificado del servidor con el almacén de certificados del navegador de forma predeterminada. Si se produce un error en la validación del certificado del servidor, se le solicitará que se ponga en contacto con el administrador del sistema. Si la validación del certificado del servidor se completa correctamente, se muestra un símbolo del sistema que le solicita que inicie sesión.

Agregar una entidad de certificación de confianza a la tienda de confianza (por ejemplo, la tienda de certificados de Firefox) es independiente del flujo de trabajo de SSL VPN.

Instalar un cliente SSL VPN-Plus en un sitio Mac remotoUtilice los pasos de este tema para instalar el cliente SSL VPN-Plus en un equipo Mac.

Requisitos previos

Debe tener privilegios raíz para instalar el cliente SSL VPN-Plus.

Procedimiento




4 Haga clic en el nombre del paquete del instalador y guarde el archivo comprimido mac_phat_client.tgz en el equipo remoto.

5 Extraiga el archivo comprimido. Se crea el directorio mac_phat_client.

6 Para instalar el cliente SSL VPN-Plus, haga doble clic en el archivo naclient.pkg.

Siga los pasos del asistente para completar la instalación.

Si se produce un error en la instalación del cliente SSL VPN, compruebe el archivo de registro en /tmp/naclient_install.log.

Para solucionar los problemas de instalación en Mac OS High Sierra, consulte Guía para solucionar problemas de NSX.

Pasos siguientes

Inicie sesión en el cliente SSL con las credenciales especificadas en la sección Usuarios (Users).

Atención No se admite la autenticación de RSA en dos fases para iniciar sesión en el cliente SSL VPN de los sistemas operativos Mac.


VMware, Inc. 226

De forma predeterminada, el cliente SSL VPN de Mac valida el certificado del servidor con una Keychain, una base de datos que almacena certificados en Mac OS. Si se produce un error en la validación del certificado del servidor, se le solicitará que se ponga en contacto con el administrador del sistema. Si la validación del certificado del servidor se completa correctamente, se muestra un símbolo del sistema que le solicita que inicie sesión.

Configurar los ajustes del servidor proxy en un cliente SSL VPN-PlusSe puede configurar el servidor proxy en un cliente SSL VPN-Plus de un equipo Windows, pero no se admite en equipos Mac ni Linux.

Precaución n Aunque el cliente SSL VPN-Plus en Mac OS ofrece la posibilidad de configurar los ajustes del

servidor proxy, los usuarios remotos no deben hacerlo.

n Los usuarios remotos de Linux OS deben evitar configurar los ajustes del servidor proxy en el cliente SSL VPN-Plus a través de la CLI de Linux.

En el procedimiento que se incluye a continuación, se explican los pasos para configurar los ajustes del servidor proxy en un cliente SSL VPN-Plus de un equipo Windows.

Requisitos previos

El cliente SSL VPN-Plus está instalado en el equipo remoto de Windows.

Procedimiento

1 Haga doble clic en el icono del escritorio del cliente SSL VPN-Plus en el equipo Windows.

Se abrirá la ventana Inicio de sesión del cliente SSL (SSL VPN-Plus Client - Login).

2 Haga clic en Configuración (Settings) y seleccione la pestaña Configuración del proxy (Proxy Settings).


VMware, Inc. 227

3 Especifique la configuración del servidor proxy.

a Seleccione la casilla de verificación Usar proxy (Use proxy).

b En Tipo de proxy (Type Of Proxy), configure uno de los tipos de servidor proxy.


Usar configuración de Internet Explorer (Use IE Settings)

Utilice la configuración del servidor proxy especificada en su navegador Internet Explorer.

HTTP Indique los siguientes ajustes para un servidor proxy HTTP:

n El nombre del servidor proxy o una dirección IP del servidor proxy.

n El puerto del servidor proxy. El puerto predeterminado es 80, pero lo puede cambiar.

SOCKS versión 4 (SOCKS ver 4) Especifique los siguientes ajustes para un servidor de proxy SOCKS 4.0:



SOCKS versión 5 (SOCKS ver 5) Especifique los siguientes ajustes para un servidor de proxy SOCKS 5.0:



n (Opcional) Un nombre de usuario y una contraseña para acceder al servidor SOCKS 5.0.

4 Para guardar la configuración del servidor proxy, haga clic en Aceptar (OK).

Registros de SSL VPN-PlusLos registros de la puerta de enlace de SSL VPN-Plus se envían al servidor syslog configurado en el dispositivo NSX Edge.

La siguiente tabla muestra las ubicaciones del equipo del usuario remoto donde se almacenan los registros del cliente SSL VPN-Plus.

Sistema operativo Ubicación del archivo de registro

Windows 8 C:\Users\nombredeusuario\AppData\Local\VMware\vpn\svp_client.log

Windows 10 C:\Users\nombredeusuario\AppData\Local\VMware\vpn\svp_client.log

Linux Archivos de registro del sistema

Mac Archivo del registro de instalación en /tmp/naclient_install.logArchivos de registro del sistema

Cambiar los registros y el nivel de registro del cliente SSL VPN-Plus1 En la pestaña SSL VPN-Plus, haga clic en Configuración del servidor (Server Settings) en el panel

izquierdo.

2 Vaya a la sección Directiva de registro (Logging Policy) y expanda la sección para ver la configuración actual.


VMware, Inc. 228

3 Haga clic en Cambiar (Change).

4 Marque la casilla de verificación Habilitar registro (Enable logging) para habilitar el registro.

O

Desmarque la casilla de verificación Habilitar registro (Enable logging) para deshabilitar el registro.

5 Seleccione el nivel de registro requerido.

Nota Los registros del cliente de SSL VPN-Plus están habilitados de forma predeterminada y el nivel de registro está establecido en AVISO (NOTICE).


Editar la configuración de clienteEs posible cambiar la manera en que el túnel cliente de SSL VPN reacciona cuando un usuario remoto inicia sesión en SSL VPN.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Configuración de cliente (Client Configuration) en el panel izquierdo.

2 Seleccione una opción de Modo de tunelización (Tunneling Mode).

En el modo de túnel dividido, solo VPN pasa por la puerta de enlace de NSX Edge. En el modo de túnel completo, la puerta de enlace de NSX Edge se convierte en la puerta de enlace predeterminada del usuario remoto y todo el tráfico (VPN, local e Internet) pasa por esta puerta.

3 Si seleccionó el modo de túnel completo:

a Seleccione Excluir subredes locales (Exclude local subnets) para impedir que el tráfico local pase por el túnel de VPN.

b Introduzca la dirección IP de la puerta de enlace predeterminada para el sistema del usuario remoto.

4 Seleccione Habilitar reconexión automática (Enable auto reconnect) si desea que el usuario remoto se vuelva a conectar automáticamente al cliente de SSL VPN después de una desconexión.

5 Seleccione Notificación de actualización de cliente (Client upgrade notification) para que el usuario remoto reciba una notificación cuando exista una actualización disponible para el cliente. El usuario remoto decidirá si instala o no la actualización.


Editar configuración generalEs posible editar la configuración de la VPN predeterminada.


VMware, Inc. 229

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Configuración general (General Settings) en el panel izquierdo.

2 Realice las selecciones necesarias.

Seleccionar Para

Evitar varios inicios de sesión con el mismo nombre de usuario (Prevent multiple logon using same username)

Permite que un usuario remoto inicie sesión solo una vez con un nombre de usuario.

Habilitar compresión (Enable compression)

Habilita la compresión de datos inteligentes basados en TCP y mejora la velocidad de transferencia de datos.

Habilitar registro (Enable logging) Mantiene un registro del tráfico que atraviesa la puerta de enlace de SSL VPN.

Forzar teclado virtual (Force virtual keyboard)

Permite a los usuarios remotos escribir la información de inicio de sesión web o de cliente solo mediante el teclado virtual.

Aleatorizar teclas del teclado virtual (Randomize keys of virtual keyboard)

Muestra las teclas de forma aleatoria en el teclado virtual.

Habilitar tiempo de espera forzado (Enable forced timeout)

Desconecta al usuario remoto una vez finalizado el tiempo de espera especificado. Escriba el tiempo de espera en minutos.

Tiempo de espera de inactividad de la sesión (Session idle timeout)

Finaliza la sesión del usuario una vez finalizado el período si no hay actividad en la sesión del usuario por el período especificado.

El tiempo de espera de inactividad de SSLVPN incluye a todos los paquetes, incluidos los paquetes de control que envíe cualquier información de usuario y aplicación, en la detección de tiempo de espera. Como resultado, aunque no haya información de usuario, la sesión no agotará el tiempo de espera si hay una aplicación que transmita un paquete de control periódico (por ejemplo, MDNS).

Notificación al usuario (User notification)

Permite escribir un mensaje que se mostrará al usuario remoto después de iniciar sesión.


Editar diseño del portal webEs posible editar el banner del cliente enlazado al cliente de SSL VPN.

Procedimiento

1 En la pestaña Instancias de NSX Edge (NSX Edges), haga doble clic en una instancia de NSX Edge.

2 Haga clic en la pestaña Administrar (Manage) y seleccione la pestaña SSL VPN-Plus.

3 Seleccione Personalización del portal (Portal Customization) en el panel izquierdo.

4 Escriba el título del portal.

5 Escriba el nombre de la empresa del usuario remoto.


VMware, Inc. 230

6 En Logotipo (Logo), haga clic en Cambiar (Change) y, preferiblemente, seleccione una imagen JPEG para el logotipo de la empresa.

No hay ninguna dimensión preferida para el tamaño del logotipo.

7 En Colores (Colors), haga clic en el cuadro de colores junto al elemento numerado del que desea cambiar el color y seleccione el color deseado.

8 Si fuera necesario, cambie el banner del cliente. Seleccione una imagen en formato BMP para el banner.

El tamaño preferido para el banner del cliente es de 390 x 75 píxeles.

9 Haga clic en Aceptar.

Trabajar con grupos de direcciones IP para SSL VPNPuede editar o eliminar un grupo de direcciones IP.

Para obtener información sobre cómo agregar un grupo de direcciones IP, consulte Configurar el acceso de red de SSL VPN-Plus.

Editar un grupo de direcciones IPEs posible editar un grupo de direcciones IP.

Procedimiento

1 En la pestaña SSL VPN-Plus, haga clic en Grupo de direcciones IP (IP Pool) en el panel izquierdo.

2 Seleccione el grupo de direcciones IP que desea editar.


Se abre el cuadro de diálogo Editar grupo de direcciones IP (Edit IP Pool).

4 Realice las ediciones necesarias.


Eliminar un grupo de direcciones IPEs posible eliminar un grupo de direcciones IP.

Procedimiento


2 Seleccione el grupo de direcciones IP que desea eliminar.


Se elimina el grupo de direcciones IP seleccionado.


VMware, Inc. 231

Habilitar un grupo de direcciones IPPuede habilitar un grupo de direcciones IP si desea que se asigne una dirección IP de ese grupo al usuario remoto.

Procedimiento


2 Seleccione el grupo de direcciones IP que desea habilitar.


Deshabilitar un grupo de direcciones IPPuede deshabilitar un grupo de direcciones IP si no desea que el usuario remoto se asigne a una dirección IP de ese grupo.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Grupo de direcciones IP (IP Pool) en el panel izquierdo.

2 Seleccione el grupo de direcciones IP que desea deshabilitar.

3 Haga clic en el icono Deshabilitar (Disable) ( ).

Cambiar el orden de un grupo de direcciones IPSSL VPN asigna a cada usuario remoto una dirección IP procedente de un grupo de direcciones IP según el orden de la dirección en la tabla de ese grupo.

Procedimiento


2 Seleccione el grupo de direcciones IP cuyo orden desea cambiar.


Trabajar con redes privadasPuede editar o eliminar una red privada a la que puede acceder un usuario remoto.

Para obtener información sobre cómo agregar una red privada, consulte Configurar el acceso de red de SSL VPN-Plus.

Eliminar una red privadaEs posible eliminar una red privada.

Procedimiento

1 En la pestaña SSL VPN-Plus, haga clic en Redes privadas (Private Networks) en el panel izquierdo.

2 Seleccione la red que desea eliminar y haga clic en el icono Eliminar (Delete) ( ).


VMware, Inc. 232

Habilitar una red privadaCuando habilita una red privada, el usuario remoto puede acceder a ella mediante SSL VPN-Plus.

Procedimiento


2 Haga clic en la red que desea habilitar.


Se habilita la red seleccionada.

Deshabilitar una red privadaCuando se deshabilita una red privada, el usuario remoto no puede acceder a ella mediante SSL VPN-Plus.

Procedimiento


2 Haga clic en la red que desea deshabilitar.


Se deshabilita la red seleccionada.

Cambiar la secuencia de una red privadaCon SSL VPN-Plus, los usuarios remotos pueden acceder a redes privadas en la secuencia en la que se muestran en el panel Redes privadas (Private Networks).

Si se selecciona Habilitar optimización de TCP (Enable TCP Optimization) en una red privada, es posible que algunas aplicaciones como FTP en modo activo no funcionen dentro de esa subred. Para agregar un servidor FTP configurado en modo activo, es necesario agregar otra red privada para ese servidor con la optimización de TCP deshabilitada. También se debe deshabilitar la red privada de TCP activa y se debe colocar arriba de la red privada de la subred.

Procedimiento


2 Haga clic en el icono Cambiar orden (Change Order) .

3 Seleccione la red cuyo orden desea cambiar.




VMware, Inc. 233

Pasos siguientes

Para agregar un servidor FTP configurado en modo activo, consulte Configurar red privada para un servidor FTP activo.

Configurar red privada para un servidor FTP activoPuede agregar un servidor FTP configurado en modo activo a la red privada. Cuando un FTP está activo, el servidor FTP backend inicia la conexión de control con el equipo cliente que no admite optimización TCP.

Requisitos previos

El servidor FTP está configurado en modo activo.

Procedimiento


2 Agregue la red privada que desea configurar para el FTP activo. Para obtener más información, consulte Agregar una red privada .

3 Desmarque la casilla de verificación Habilitar optimización de TCP (Enable TCP Optimization).

4 En el campo Ports (Puertos), agregue el número de puerto de la red privada.

5 Seleccione el estado Habilitado (Enabled) para habilitar la red privada.

6 Coloque la red privada que desea configurar para el FTP activo por encima de otras redes privadas que están configuradas. Para obtener más información, consulte Cambiar la secuencia de una red privada.

Pasos siguientes

Agregue la regla de firewall correspondiente para permitir el tráfico de la red privada.

Trabajar con paquetes de instalaciónPuede eliminar o editar un paquete de instalación del cliente SSL.

Para obtener información sobre cómo crear un paquete de instalación, consulte Configurar el acceso de red de SSL VPN-Plus.

Editar un paquete de instalaciónEs posible editar un paquete de instalación.

Procedimiento

1 En la pestaña SSL VPN-Plus, haga clic en Paquete de instalación (Installation Package) en el panel izquierdo.

2 Seleccione el paquete de instalación que desea editar.


VMware, Inc. 234


Se abre el cuadro de diálogo Editar paquete de instalación (Edit Installation Package).



Eliminar un paquete de instalaciónEs posible eliminar un paquete de instalación.

Procedimiento

1 En la pestaña SSL VPN-Plus, haga clic en Paquete de instalación (Installation Package) en el panel izquierdo.

2 Seleccione el paquete de instalación que desea eliminar.


Trabajar con usuariosPuede editar o eliminar usuarios de la base de datos local.

Para obtener información sobre cómo agregar un usuario, consulte Configurar el acceso de red de SSL VPN-Plus.

Editar un usuarioEs posible editar los detalles de un usuario, excepto el identificador de usuario.

Procedimiento

1 En la pestaña SSL VPN-Plus, haga clic en Usuarios (Users) en el panel izquierdo.




Eliminar un usuarioEs posible eliminar un usuario.

Procedimiento


2 En el panel Configurar (Configure), haga clic en Usuarios (Users).

3 Seleccione el usuario que desea eliminar y haga clic en el icono Eliminar (Delete) ( ).


VMware, Inc. 235

Cambiar la contraseña de un usuarioEs posible cambiar la contraseña de un usuario.

Procedimiento


2 Haga clic en el icono Cambiar contraseña (Change Password).

3 Introduzca dos veces la contraseña nueva.

4 Haga clic en la opción Cambiar contraseña en el próximo inicio de sesión (Change password on next login) para cambiar la contraseña la próxima vez que el usuario se conecte al sistema.


Trabajar con scripts de inicio y cierre de sesiónPuede vincular un script de inicio o cierre de sesión con la puerta de enlace de NSX Edge.

Editar un scriptEs posible editar el tipo, la descripción y el estado de un script de inicio o cierre de sesión que esté enlazado a la puerta de enlace de NSX Edge.

Procedimiento

1 En la pestaña SSL VPN-Plus, haga clic en Scripts de inicio/cierre de sesión (Login/Logoff Scripts) en el panel izquierdo.

2 Seleccione un script y haga clic en el icono Editar (Edit) ( ).

3 Realice los cambios adecuados.


Eliminar un scriptPuede eliminar un script de inicio o cierre de sesión.

Procedimiento


2 Seleccione un script y haga clic en el icono Eliminar (Delete) ( ).

Habilitar un scriptDebe habilitar un script para que funcione.


VMware, Inc. 236

Procedimiento


2 Seleccione un script y haga clic en el icono Habilitar (Enable) ( ).

Deshabilitar un scriptEs posible deshabilitar un script de inicio o cierre de sesión.

Procedimiento


2 Seleccione un script y haga clic en el icono Deshabilitar (Disable) ( ).

Cambiar el orden de un scriptEs posible cambiar el orden de un script. Por ejemplo, si un script de inicio de sesión para abrir gmail.com en Internet Explorer se encuentra arriba de un script de inicio de sesión para abrir yahoo.com, cuando el usuario remoto inicia sesión en SSL VPN, se muestra gmail.com antes que yahoo.com. Si se invierte el orden de los scripts de inicio de sesión, se puede ver yahoo.com antes que gmail.com.

Procedimiento


2 Seleccione el script cuyo orden desea cambiar y haga clic en el icono Mover hacia arriba (Move Up)

o Mover hacia abajo (Move Down) .


Descripción general de IPsec VPNNSX Edge admite IPsec VPN de sitio a sitio entre una instancia de NSX Edge y sitios remotos. Se admiten la autenticación de certificados, el modo de clave precompartida, el tráfico de unidifusión de direcciones IP y el protocolo sin enrutamiento dinámico entre la instancia de NSX Edge y los enrutadores de VPN remotos.

Detrás de cada enrutador de VPN, es posible configurar varias subredes que se conecten a la red interna detrás de una instancia de NSX Edge mediante túneles IPsec.

Nota Las subredes y la red interna detrás de una instancia de NSX Edge deben tener un rango de direcciones que no se superponga.

Si el equipo remoto y el equipo local que están al mismo nivel a través de una IPSec VPN tienen direcciones IP superpuestas, es posible que el tráfico reenviado en el túnel no sea consistente, dependiendo de si existen rutas conectadas locales y rutas asociadas automáticamente.


VMware, Inc. 237

Puede implementar un agente NSX Edge detrás de un dispositivo NAT. En esta implementación, el dispositivo NAT traduce la dirección de la VPN de una instancia de NSX Edge a una dirección de acceso público a la que puede accederse desde Internet. Los enrutadores de VPN remotos utilizan esta dirección pública para acceder a la instancia de NSX Edge.

También es posible colocar enrutadores de VPN remotos detrás de un dispositivo NAT. Se deben proporcionar la dirección nativa y el identificador de la puerta de enlace de la VPN para configurar el túnel. En ambos extremos, se requiere una NAT estática individual para la dirección de la VPN.

La cantidad de túneles necesarios está definida por la cantidad de subredes locales multiplicada por la cantidad de subredes del mismo nivel. Por ejemplo, si hay 10 subredes locales y 10 subredes del mismo nivel, se necesitan 100 túneles. La cantidad máxima de túneles admitida se determina según el tamaño del ESG, como se muestra a continuación.

Tabla 14-6. Cantidad de túneles IPsec por ESG

ESG Cantidad de túneles IPsec

Compacto

512

Grande 1.600

Cuádruple

4096

Extra grande

6.000

Se admiten los siguientes algoritmos de IPsec VPN:

n AES (AES128-CBC)

n AES256 (AES256-CBC)

n Triple DES (3DES192-CBC)

n AES-GCM (AES128-GCM)

n DH-2 (Diffie–Hellman group 2)





Para acceder a ejemplos de configuración de IPsec VPN, consulte Ejemplos de configuración de IPSec VPN.

Para solucionar problemas relacionados con la IPSec VPN, consulte https://kb.vmware.com/kb/2123580.


VMware, Inc. 238

https://kb.vmware.com/kb/2123580

Configurar el servicio de IPsec VPNEs posible establecer un túnel de NSX Edge entre una subred local y una subred del mismo nivel.

Nota Si la conexión a un sitio remoto se realiza mediante una IPsec VPN, el enrutamiento dinámico no puede conocer la dirección IP de ese sitio en el vínculo superior de Edge.

Habilitar el servicio IPsec VPNDebe habilitar el servicio IPsec VPN para que el tráfico fluya de la subred local a la subred del mismo nivel.

Procedimiento




4 Haga clic en la pestaña Administrar (Manage) y, a continuación, en la pestaña VPN.

5 Haga clic en IPsec VPN.

6 Haga clic en Habilitar (Enable).

Utilizar OpenSSL a fin de generar certificados firmados por la entidad de certificación para IPsec VPNPara habilitar la autenticación de certificados para IPsec, deben importarse los certificados del servidor y los correspondientes certificados firmados por la entidad de certificación. También puede utilizar una herramienta de línea de comandos de código abierto, como OpenSSL, para generar certificados firmados por la entidad de certificación.

Requisitos previos

Debe estar instalado OpenSSL.

Procedimiento

1 En la máquina Linux o Mac donde esté instalado OpenSSL, abra el archivo: /opt/local/etc/openssl/openssl.cnf o /System/Library/OpenSSL/openssl.cnf.

2 Asegúrese de que dir = ..

3 Ejecute los siguientes comandos:

mkdir newcerts

mkdir certs

mkdir req

mkdir private

echo "01" > serial

touch index.txt


VMware, Inc. 239

4 Ejecute el comando para generar un certificado firmado por la entidad de certificación:

openssl req -new -x509 -newkey rsa:2048 -keyout private/cakey.pem -out cacert.pem -days 3650

5 En NSX Edge1, genere una solicitud CSR, copie el contenido del archivo del correo mejorado con privacidad (PEM) y guárdelo en un archivo en req/edge1.req.

Consulte Configurar un certificado firmado por una entidad de certificación.

6 Ejecute el comando para firmar la solicitud CSR:

sudo openssl ca -policy policy_anything -out certs/edge1.pem -in req/edge1.req

7 En NSX Edge2, genere una solicitud CSR, copie el contenido del archivo PEM y guárdelo en un archivo en req/edge2.req.

8 Ejecute el comando para firmar la solicitud CSR:

sudo openssl ca -policy policy_anything -out certs/edge2.pem -in req/edge2.req

9 Cargue el certificado PEM al final del archivo certs/edge1.pem en Edge1.

10 Cargue el certificado PEM al final del archivo certs/edge2.pem en Edge2.

11 Cargue el certificado de la entidad de certificación en el archivo cacert.pem en Edge1 y en Edge2 como certificados firmados por la entidad de certificación.

12 En la configuración global de IPsec para Edge1 y Edge2 seleccione el certificado PEM cargado y el certificado de la entidad de certificación cargado y guarde la configuración.

13 En la pestaña Certificado (Certificate), haga clic en el certificado cargado y registre la cadena DN.

14 Devuelva la cadena DN al formato C=IN,ST=ka,L=blr,O=bmware,OU=vmware,CN=edge2.eng.vmware.com y guárdela para Edge1 y Edge2.

15 Cree sitios para IPsec VPN en Edge1 y Edge2 con un identificador de configuración regional y un identificador de mismo nivel como cadena de nombre distinguido (DN) en el formato especificado.

Resultados

Para verificar el estado, haga clic en Mostrar estadísticas de IPsec (Show IPSec Statistics). Haga clic en el canal para ver el estado del túnel. Tanto el estado del canal como el del túnel deben estar de color verde.


VMware, Inc. 240

Especificar la configuración global de IPsec VPNDe este modo, se habilita IPsec VPN en la instancia de NSX Edge.

Requisitos previos

Para habilitar la autenticación del certificado, deben importarse los certificados del servidor y los correspondientes certificados firmados por la entidad de autorización. También puede utilizar una herramienta de línea de comandos de código abierto, como OpenSSL, para generar certificados firmados por la entidad de certificación.

No pueden utilizarse certificados autofirmados para IPsec VPN. Solo se los puede utilizar en el equilibrio de carga y en SSL VPN.

Procedimiento





5 Haga clic en IPsec VPN.

6 Haga clic en Cambiar (Change) junto al estado Configuración global (Global configuration).

7 Escriba una clave global previamente compartida para los sitios cuyo extremo punto a punto se establece en cualquier valor y seleccione Mostrar clave compartida (Display shared key) para ver la clave.

8 Seleccione Habilitar la autenticación de certificados (Enable certificate authentication) y seleccione el certificado correspondiente.


Habilitar el registro de IPsec VPNEs posible habilitar el registro de todo el tráfico de IPsec VPN.

De forma predeterminada, el inicio de sesión está habilitado y establecido en el nivel de ADVERTENCIA.

Procedimiento





5 Haga clic en VPN con IPsec (IPSec VPN).


VMware, Inc. 241

6 Haga clic en junto a Directiva de registro (Logging Policy) y haga clic en Habilitar registro (Enable logging) para registrar el flujo de tráfico entre la subred local y la subred del mismo nivel, y seleccione el nivel de registro.

7 Seleccione el nivel de registro y haga clic en Publicar cambios (Publish Changes).

Configurar parámetros de IPsec VPNEs necesario configurar al menos una dirección IP externa en NSX Edge para ofrecer el servicio de IPsec VPN.

Procedimiento







7 Escriba un nombre para IPsec VPN.

8 Introduzca la dirección IP de la instancia de NSX Edge en Identificador local (Local Id). Este será el identificador del mismo nivel en el sitio remoto.

9 Introduzca la dirección IP para el endpoint local.

Si desea agregar un túnel IP a IP con una clave precompartida, el identificador local y la dirección IP para el endpoint local pueden ser iguales.

10 Introduzca en formato CIDR las subredes para compartir contenido entre los sitios. Utilice la coma como separador para especificar varias subredes.

11 Introduzca el identificador del mismo nivel para identificar de forma exclusiva el sitio del mismo nivel. Para los elementos del mismo nivel con autenticación por certificado, este identificador debe ser el nombre común indicado en el certificado para el elemento del mismo nivel. Para los elementos del mismo nivel con PSK, este identificador puede ser cualquier cadena. VMware recomienda utilizar la dirección IP pública de la red VPN o un nombre FQDN para el servicio VPN como identificador del mismo nivel.

12 Introduzca la dirección IP para el sitio del mismo nivel en Endpoint de elemento del mismo nivel (Peer Endpoint). Si se deja esto en blanco, NSX Edge esperará a que el dispositivo del mismo nivel solicite una conexión.

13 Introduzca en formato CIDR la dirección IP interna de la subred del mismo nivel. Utilice la coma como separador para especificar varias subredes.


VMware, Inc. 242

14 Seleccione el algoritmo de cifrado.

El algoritmo de cifrado AES-GCM no es compatible con FIPS.

15 En Método de autenticación (Authentication Method), seleccione una de las siguientes opciones:


PSK (Pre Shared Key) (Clave precompartida [PSK])

Se indica que se utilizará la clave secreta compartida entre NSX Edge y el sitio del mismo nivel para la autenticación. La clave secreta puede ser una cadena con un máximo de 128 bytes de longitud.

En el modo FIPS está deshabilitada la autenticación PSK.

Certificado (Certificate) Se indica que se utilizará el certificado definido en el nivel global para la autenticación.

16 Introduzca la clave compartida si algún sitio anónimo se conectará al servicio de VPN.

17 Haga clic en Mostrar clave compartida (Display Shared Key) para mostrar la clave en el sitio del mismo nivel.

18 En Grupo Diffie-Hellman (Diffie-Hellman [DH] Group), seleccione el esquema criptográfico con el cual el sitio del mismo nivel y NSX Edge podrán establecer un secreto compartido mediante un canal de comunicaciones no seguro.

DH14 es la selección predeterminada para los modos FIPS y no FIPS. Ni DH2 ni DH5 están disponibles cuando está habilitado el modo FIPS.

19 En Extensión (Extension), introduzca una de las siguientes opciones:

n securelocaltrafficbyip=direcciónIP para redirigir el tráfico local de Edge mediante el túnel IPsec VPN. Este es el valor predeterminado. Para obtener más información, consulte http://kb.vmware.com/kb/20080007 .

n passthroughSubnets=direcciónIPDeSubredDelMismoNivel para admitir la superposición de subredes.


NSX Edge creará un túnel desde la subred local hasta la subred del mismo nivel.

Pasos siguientes

Habilite el servicio de IPsec VPN.

Editar un servicio IPsec VPNEs posible editar un servicio IPsec VPN.

Procedimiento




VMware, Inc. 243






6 Seleccione el servicio IPsec que desea editar.


8 Edite los valores adecuados.


Deshabilitar sitios VPN IPSecPuede deshabilitar un sitio VPN IPSec.

Procedimiento






6 Seleccione el sitio VPN IPSec que desea deshabilitar.


Eliminar el sitio VPN IPSecPuede eliminar un sitio VPN IPSec.

Procedimiento






6 Seleccione el sitio VPN IPSec que desea eliminar.



VMware, Inc. 244

Ejemplos de configuración de IPSec VPNEste escenario proporciona ejemplos de configuración de una conexión básica IPsec VPN de punto a punto entre una instancia de NSX Edge y una VPN Cisco o WatchGuard del otro extremo.

En este escenario, NSX Edge conecta la red interna 192.168.5.0/24 a Internet. Las interfaces de NSX Edge están configuradas del siguiente modo:

n Interfaz del vínculo superior: 192.168.5.1

n Interfaz interna: 10.115.199.103

La puerta de enlace remota conecta la red interna 172.15.0.0/16 a Internet. Las interfaces de la puerta de enlace remota están configuradas del siguiente modo:

n Interfaz del vínculo superior: 10.24.120.90

n Interfaz interna: 172.16.0.1

Figura 14-1. NSX Edge conectándose a una puerta de enlace de VPN remota

V

NSX Edge

192.168.5.1

10.115.199.103 10.24.120.90

Internet

192.168.5.0/24

172.16.0.1

172.15.0.0/16

Nota Para las instancias de NSX Edge a túneles IPsec de NSX Edge, se puede utilizar el mismo escenario si se instala la segunda instancia de NSX Edge como puerta de enlace remota.

TerminologíaIPsec es un marco de estándares abiertos. Hay muchos términos técnicos en los registros de NSX Edge y otros dispositivos VPN que se pueden utilizar para solucionar problemas con IPsec VPN.

Estos son algunos de los estándares que puede encontrar:

n ISAKMP (Protocolo de administración de claves y asociaciones de seguridad en Internet) es un protocolo definido por RFC 2408 para establecer asociaciones de seguridad (SA) y claves criptográficas en un entorno de Internet. ISAKMP solo proporciona un marco para la autenticación y el intercambio de claves y está diseñado para ser independiente del intercambio de claves.

n Oakley es un protocolo de acuerdo de claves que permite que las partes autenticadas intercambien material de claves en una conexión no protegida mediante el algoritmo de intercambio de claves Diffie-Hellman.


VMware, Inc. 245

n IKE (Intercambio de claves por red) es una combinación del marco ISAKMP y de Oakley. NSX Edge proporciona IKEv1.

n El intercambio de claves Diffie-Hellman (DH) es un protocolo criptográfico que permite que dos partes que no se conocen previamente puedan establecer conjuntamente una clave secreta compartida en un canal de comunicaciones sin protección. VSE admite el grupo 2 (1024 bits) y el grupo 5 (1536 bits) de DH.

Fase 1 y fase 2 de IKEIKE es un método estándar que se utiliza para organizar comunicaciones seguras y autenticadas.

Parámetros de fase 1

La fase 1 configura la autenticación mutua de los pares, negocia los parámetros criptográficos y crea claves de sesión. Los parámetros de la fase 1 que utiliza NSX Edge son:

n Modo Main

n TripleDES / AES [se puede configurar]

n SHA-1

n MODP Grupo 2 (1024 bits)

n secreto compartido previamente [se puede configurar]

n Vida útil de SA de 28800 segundos (ocho horas) sin regeneración de clave de kbytes

n Modo intenso ISAKMP deshabilitado

Parámetros de fase 2

La fase 2 de IKE negocia un túnel de IPsec con la creación de material de claves para que utilice el túnel de IPsec (ya sea con las claves de la fase uno de IKE como base o con un intercambio de clave nueva). Los parámetros de la fase 2 de IKE compatibles con NSX Edge son:

n TripleDES / AES [coincidirá con la configuración de la fase 1]

n SHA-1

n Modo de túnel ESP

n MODP Grupo 2 (1024 bits)

n Confidencialidad directa total para la regeneración de clave

n Vida útil de SA de 3600 segundos (una hora) sin regeneración de clave de kbytes

n Selectores para todos los protocolos IP, todos los puertos, entre las dos redes, con subredes IPv4

Muestras de modo de transacción

NSX Edge es compatible con el modo Principal (Main) de la fase 1 y el modo Rápido (Quick) de la fase 2.


VMware, Inc. 246

NSX Edge propone una directiva que requiere PSK, 3DES/AES128, sha1 y grupo DH 2/5. El par debe aceptar esta directiva, de lo contrario, se produce un error en la fase de negociación.

Fase 1: transacciones de modo Principal (Main)

En este ejemplo se muestra un intercambio de negociación de fase 1 iniciado desde una instancia de NSX Edge a un dispositivo Cisco.

Las transacciones siguientes ocurren en secuencia entre la instancia de NSX Edge y un dispositivo de VPN Cisco en modo Principal (Main).

1 NSX Edge a Cisco

n propuesta: cifrar 3des-cbc, sha, psk, group5(group2)

n DPD habilitado

2 Cisco a NSX Edge

n contiene propuestas elegidas por Cisco

n Si el dispositivo Cisco no acepta ninguno de los parámetros que envió la instancia de NSX Edge en el paso uno, el dispositivo Cisco envía un mensaje con la marca NO_PROPOSAL_CHOSEN y finaliza la negociación.

3 NSX Edge a Cisco

n Nonce y clave DH

4 Cisco a NSX Edge

n Nonce y clave DH

5 NSX Edge a Cisco (cifrado)

n incluir identificador (PSK)

6 Cisco a NSX Edge (cifrado)

n incluir identificador (PSK)

n Si el dispositivo Cisco encuentra que PSK no coincide, el dispositivo Cisco envía un mensaje con la marca INVALID_ID_INFORMATION; ocurre un error en la fase 1.

Fase 2: transacciones de modo Rápido (Quick)

Las transacciones siguientes ocurren en secuencia entre la instancia de NSX Edge y un dispositivo de VPN Cisco en modo Rápido (Quick).

1 NSX Edge a Cisco


VMware, Inc. 247

NSX Edge propone una directiva de fase 2 al par. Por ejemplo:

Aug 26 12:16:09 weiqing-desktop

ipsec[5789]:

"s1-c1" #2: initiating Quick Mode

PSK+ENCRYPT+TUNNEL+PFS+UP+SAREFTRACK

{using isakmp#1 msgid:d20849ac

proposal=3DES(3)_192-SHA1(2)_160

pfsgroup=OAKLEY_GROUP_MODP1024}

2 Cisco a NSX Edge

El dispositivo Cisco devuelve NO_PROPOSAL_CHOSEN si no encuentra una directiva que coincida con la propuesta. De lo contrario, el dispositivo Cisco envía el conjunto de parámetros elegido.

3 NSX Edge a Cisco

Para facilitar la depuración, puede habilitar el registro de IPsec en NSX Edge y habilitar la depuración de cifrado en Cisco (debug crypto isakmp <level>).

Ejemplo de configuración del servicio IPsec VPNDebe configurar los parámetros de VPN y después habilitar el servicio IPsec.

Procedimiento

1 Ejemplo de configuración de parámetros de IPsec VPN

Debe configurar al menos una dirección IP externa en NSX Edge para proporcionar el servicio IPsec VPN.

2 Ejemplo de habilitación del servicio IPsec VPN

Debe habilitar el servicio IPsec VPN para que el tráfico fluya de la subred local a la subred del mismo nivel.

Ejemplo de configuración de parámetros de IPsec VPN

Debe configurar al menos una dirección IP externa en NSX Edge para proporcionar el servicio IPsec VPN.

Procedimiento







7 Escriba un nombre para IPsec VPN.


VMware, Inc. 248

8 Introduzca la dirección IP de la instancia de NSX Edge en Identificador local (Local Id). Este será el identificador del mismo nivel en el sitio remoto.

9 Introduzca la dirección IP para el endpoint local.

Si desea agregar un túnel IP a IP con una clave precompartida, el identificador local y la dirección IP para el endpoint local pueden ser iguales.

10 Introduzca en formato CIDR las subredes para compartir contenido entre los sitios. Utilice la coma como separador para especificar varias subredes.

11 Introduzca el identificador del mismo nivel para identificar de forma exclusiva el sitio del mismo nivel. Para los elementos del mismo nivel con autenticación por certificado, este identificador debe ser el nombre común indicado en el certificado para el elemento del mismo nivel. Para los elementos del mismo nivel con PSK, este identificador puede ser cualquier cadena. VMware recomienda utilizar la dirección IP pública de la VPN o un FQDN para el servicio VPN como identificador del mismo nivel.

12 Introduzca la dirección IP para el sitio del mismo nivel en Endpoint de elemento del mismo nivel (Peer Endpoint). Si se deja esto en blanco, NSX Edge esperará a que el dispositivo del mismo nivel solicite una conexión.

13 Introduzca en formato CIDR la dirección IP interna de la subred del mismo nivel. Utilice la coma como separador para especificar varias subredes.

14 Seleccione el algoritmo de cifrado.

15 En Método de autenticación (Authentication Method), seleccione una de las siguientes opciones:


PSK (Pre Shared Key) (Clave precompartida [PSK])

Se indica que se utilizará la clave secreta compartida entre NSX Edge y el sitio del mismo nivel para la autenticación. La clave secreta puede ser una cadena con un máximo de 128 bytes de longitud.

Certificado (Certificate) Se indica que se utilizará el certificado definido en el nivel global para la autenticación.

16 Introduzca la clave compartida si algún sitio anónimo se conectará al servicio de VPN.

17 Haga clic en Mostrar clave compartida (Display Shared Key) para mostrar la clave en el sitio del mismo nivel.

18 En Grupo Diffie-Hellman (Diffie-Hellman [DH] Group), seleccione el esquema criptográfico con el cual el sitio del mismo nivel y NSX Edge podrán establecer un secreto compartido mediante un canal de comunicaciones no seguro.

19 Cambie el umbral de MTU, si es necesario.

20 Seleccione si desea habilitar o deshabilitar el umbral de confidencialidad directa total (PFS). En las negociaciones de IPsec, la confidencialidad directa total (PFS) garantiza que cada clave criptográfica nueva no esté relacionada con ninguna clave anterior.


NSX Edge creará un túnel desde la subred local hasta la subred del mismo nivel.


VMware, Inc. 249

Pasos siguientes

Habilite el servicio de IPsec VPN.

Ejemplo de habilitación del servicio IPsec VPN

Debe habilitar el servicio IPsec VPN para que el tráfico fluya de la subred local a la subred del mismo nivel.

Procedimiento







Pasos siguientes

Haga clic en Habilitar registro (Enable Logging) para registrar el flujo de tráfico entre la subred local y la subred del mismo nivel.

Usar un enrutador de servicios integrados Cisco 2821A continuación se describen las configuraciones realizadas con Cisco IOS.

Procedimiento

1 Configurar interfaces y ruta predeterminada

interface GigabitEthernet0/0

ip address 10.24.120.90 255.255.252.0

duplex auto

speed auto

crypto map MYVPN

!


ip address 172.16.0.1 255.255.0.0

duplex auto

speed auto

!

ip route 0.0.0.0 0.0.0.0 10.24.123.253

2 Configurar la directiva de IKE

Router# config term

Router(config)# crypto isakmp policy 1

Router(config-isakmp)# encryption 3des

Router(config-isakmp)# group 2


VMware, Inc. 250

Router(config-isakmp)# hash sha

Router(config-isakmp)# lifetime 28800

Router(config-isakmp)# authentication

pre-share

Router(config-isakmp)# exit

3 Buscar coincidencias de cada nivel con su secreto compartido previamente

Router# config term

Router(config)# crypto isakmp key vshield

address 10.115.199.103


4 Definir la transformación de IPsec

Router# config term

Router(config)# crypto ipsec transform-set

myset esp-3des esp-sha-hmac


5 Crear la lista de acceso de IPsec

Router# config term

Enter configuration commands, one per line.

End with CNTL/Z.

Router(config)# access-list 101 permit ip

172.16.0.0 0.0.255.255 192.168.5.0 0.0.0.255

Router(config)# exit

6 Conectar la directiva con un mapa criptográfico y etiquetarlo

En el siguiente ejemplo, el mapa criptográfico está etiquetado como MYVPN.

Router# config term

Router(config)# crypto map MYVPN 1

ipsec-isakmp

% NOTE: This new crypto map will remain

disabled until a peer and a valid

access list have been configured.

Router(config-crypto-map)# set transform-set

myset

Router(config-crypto-map)# set pfs group1

Router(config-crypto-map)# set peer

10.115.199.103

Router(config-crypto-map)# match address 101

Router(config-crypto-map)# exit

Ejemplo: Configuración

router2821#show running-config output

Building configuration...

Current configuration : 1263 bytes

!


VMware, Inc. 251

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname router2821

!

boot-start-marker

boot-end-marker

!

! card type command needed for slot 0

! card type command needed for slot 1

enable password cisco

!

no aaa new-model

!

resource policy

!

ip subnet-zero

!

ip cef

!no ip dhcp use vrf connected

!

!

no ip ips deny-action ips-interface

!

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

crypto isakmp key vshield address 10.115.199.103

!

crypto ipsec transform-set myset esp-3des

esp-sha-hmac

!

crypto map MYVPN 1 ipsec-isakmp

set peer 10.115.199.103

set transform-set myset

set pfs group1

match address 101

!


ip address 10.24.120.90 255.255.252.0

duplex auto

speed auto

crypto map MYVPN

!


ip address 172.16.0.1 255.255.0.0

duplex auto

speed auto

!

ip classless

ip route 0.0.0.0 0.0.0.0 10.24.123.253

!


VMware, Inc. 252

ip http server

no ip http secure-server

!

access-list 101 permit ip 172.16.0.0

0.0.255.255 192.168.5.0 0.0.0.255

!

control-plane

!

line con 0

line aux 0

line vty 0 4

password cisco

login

line vty 5 15

password cisco

login

!

scheduler allocate 20000 1000

!

end

Usar Cisco ASA 5510Utilice los siguientes resultados para configurar una instancia de Cisco ASA 5510.

ciscoasa# show running-config output

: Saved

:

ASA Version 8.2(1)18

!

hostname ciscoasa

enable password 2KFQnbNIdI.2KYOU encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

names

!

interface Ethernet0/0

nameif untrusted

security-level 100

ip address 10.24.120.90 255.255.252.0

!


nameif trusted

security-level 90

ip address 172.16.0.1 255.255.0.0

!


shutdown

no nameif

no security-level

no ip address

!


shutdown

no nameif

no security-level


VMware, Inc. 253

no ip address

!

interface Management0/0

shutdown

no nameif

no security-level

no ip address

!

boot system disk0:/asa821-18-k8.bin

ftp mode passive

access-list ACL1 extended permit ip 172.16.0.0 255.255.0.0

192.168.5.0 255.255.255.0

access-list ACL1 extended permit ip 192.168.5.0 255.255.255.0

172.16.0.0 255.255.0.0

access-list 101 extended permit icmp any any

pager lines 24

mtu untrusted 1500

mtu trusted 1500

no failover

icmp unreachable rate-limit 1 burst-size 1

icmp permit any untrusted

icmp permit any trusted

no asdm history enable

arp timeout 14400

access-group 101 in interface untrusted

access-group 101 out interface untrusted

access-group 101 in interface trusted

access-group 101 out interface trusted

route untrusted 10.115.0.0 255.255.0.0 10.24.123.253 1

route untrusted 192.168.5.0 255.255.255.0 10.115.199.103 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00

udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00

mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00

sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

dynamic-access-policy-record DfltAccessPolicy

no snmp-server location

no snmp-server contact

crypto ipsec transform-set MYSET esp-3des esp-sha-hmac

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

crypto map MYVPN 1 match address ACL1

crypto map MYVPN 1 set pfs

crypto map MYVPN 1 set peer 10.115.199.103

crypto map MYVPN 1 set transform-set MYSET

crypto map MYVPN interface untrusted

crypto isakmp enable untrusted

crypto isakmp policy 1

authentication pre-share

encryption 3des

hash sha


VMware, Inc. 254

group 2

lifetime 86400

telnet 10.0.0.0 255.0.0.0 untrusted

telnet timeout 5

ssh timeout 5

console timeout 0

no threat-detection basic-threat

no threat-detection statistics access-list

no threat-detection statistics tcp-intercept

username admin password f3UhLvUj1QsXsuK7 encrypted

tunnel-group 10.115.199.103 type ipsec-l2l

tunnel-group 10.115.199.103 ipsec-attributes

pre-shared-key *

!

!

prompt hostname context

Cryptochecksum:29c3cc49460831ff6c070671098085a9

: end

Configurar WatchGuard Firebox X500Puede configurar la instancia de WatchGuard Firebox X500 como una puerta de enlace remota.

Nota Consulte la documentación de WatchGuard Firebox para ver los pasos exactos.

Procedimiento

1 En el Administrador del sistema Firebox (Firebox System Manager), seleccione Herramientas (Tools) > Policy Manager (Administrador de directivas) > .

2 En Administrador de directivas (Policy Manager), seleccione Red (Network) > Configuración (Configuration).

3 Configure las interfaces y haga clic en Aceptar (OK).

4 (opcional) Seleccione Red (Network) > Rutas (Routes) para configurar una ruta predeterminada.

5 Seleccione Red (Network) > VPN de la sucursal (Branch Office VPN) > IPsec manual (Manual IPSec) para configurar la puerta de enlace remota.

6 En el cuadro de diálogo Configuración de IPsec (IPSec Configuration), haga clic en Puertas de enlace (Gateways) para configurar la puerta de enlace remota de IPsec.

7 En el cuadro de diálogo Configuración de IPsec (IPSec Configuration), haga clic en Túneles (Tunnels) para configurar un túnel.

8 En el cuadro de diálogo Configuración de IPsec (IPSec Configuration), haga clic en Agregar (Add) para agregar una directiva de enrutamiento.

9 Haga clic en Cerrar (Close).

10 Confirme que el túnel esté funcionando.


VMware, Inc. 255

Descripción general de VPN de Capa 2Con VPN de Capa 2, puede ampliar varias redes lógicas (tanto VLAN como VXLAN) en varios sitios geográficos. Además, puede configurar varios sitios en un servidor VPN de Capa 2. Las máquinas virtuales permanecen en la misma subred cuando se las traslada de un sitio a otro y sus direcciones IP no cambian. La optimización del egreso permite a Edge enrutar cualquier paquete enviado hacia la dirección IP de optimización de egreso de forma local y conectar todo lo demás con un puente.

Por lo tanto, VPN de Capa 2 permite a las empresas migrar sin problemas las cargas de trabajo respaldadas por VXLAN o VLAN entre ubicaciones separadas físicamente. En el caso de los proveedores de nube, VPN de Capa 2 proporciona un mecanismo para incorporar empresas sin modificar las direcciones IP existentes de las cargas de trabajo y las aplicaciones.

Figura 14-2. Extender VXLAN en varios sitios con VPN de Capa 2

NSX Edge

NSX

Red de vínculo superior

vNicTronco de VXLAN

VXLAN5010

Cliente SSLVPN

VM 2VM 1

VM 4VM 3

VXLAN5011

NSX Edge

NSX


vNicTronco de VXLAN

VXLAN5010

Servidor SSLVPN

VM 5 VM 6

VM 7 VM 8

VXLAN5011

RedCapa 3

Sitio A: Red respaldada con VXLAN Sitio B: Red respaldada con VXLAN


VMware, Inc. 256

El servidor y cliente de la VPN L2 conocen las direcciones MAC de los sitios locales y remotos con base en el tráfico que fluye a través de ellos. La optimización del egreso mantiene el enrutamiento local dado que la puerta de enlace predeterminada de todas las máquinas virtuales siempre se resuelve en la puerta de enlace local que utiliza las reglas de firewall. Las máquinas virtuales que se movieron al Sitio B también pueden acceder a los segmentos L2 que no están ampliados al Sitio A.

Si uno de los sitios no está respaldado por NSX, se puede implementar en ese sitio una instancia de NSX Edge independiente.

En el gráfico siguiente, la VPN L2 amplía la red VLAN 10 a VXLAN 5010 y VLAN 11 a VXLAN 5011. Por lo que, la máquina virtual 1 con un puente a VLAN 10 puede acceder a las máquinas virtuales 2, 5 y 6.

Figura 14-3. Extender un sitio no NSX con una red basada en VLAN a un sitio NSX con una red basada en VXLAN

NSXEdgeindependiente


vNicTronco de VLAN 10-11

VLAN 11

Cliente SSLVPN

VM 4VM 3VM 2VM 1

VLAN 10

NSX Edge

NSX


vNicTronco de VXLAN

VXLAN5010

Servidor SSLVPN

VM 5 VM 6

VM 7 VM 8

VXLAN5011

RedCapa 3

Sitio A: Red respaldada con VLAN no NSX Sitio B: Red respaldada con VXLAN NSX

Enrutadores predeterminados


VMware, Inc. 257

Configurar VPN de Capa 2Para ampliar la red con VPN de Capa 2, debe configurar un servidor VPN de Capa 2 (Edge de destino) y un cliente VPN de Capa 2 (Edge de origen). Para ello, debe habilitar el servicio VPN de Capa 2 tanto en el servidor como en el cliente.

Requisitos previos

Es necesario haber agregado una subinterfaz en una interfaz troncal de NSX Edge. Consulte Agregar una subinterfaz.

Prácticas recomendadas de VPN L2Configurar la VPN L2 según las prácticas recomendadas puede evitar problemas como los bucles y los pings y las respuestas duplicados.

Opciones de VPN de Capa 2 para mitigar los bucles

Existen dos opciones para mitigar los bucles. Las instancias de NSX Edge y las máquinas virtuales pueden estar en hosts ESXi diferentes o en el mismo host ESXi.

Opción 1: separar los hosts ESXi para las instancias de Edge de VPN de Capa 2 y las máquinas virtuales

1. Implementar VM y edges L2VPN en hosts ESXi independientes

Vínculos superiores

Activo

En espera


Activo

Activo

Enrutar según elpuerto virtual de origen

Cualquier directiva de formación

Modo promiscuo:Deshabilitado

dvPortGroup

Interfaztroncal vDS

RECEPCIÓN

dvPortGroup

Activo de formación/Activo:No admitido

1 Implemente las instancias de Edge y las máquinas virtuales en hosts ESXi distintos.

2 Configure la directiva de formación de equipos y conmutación por error para el grupo de puertos distribuidos asociado con la vNic troncal de Edge de la siguiente forma:

a Establezca el equilibrio de carga en "Enrutar según el puerto virtual de origen" (Route Based on originating virtual port).


VMware, Inc. 258

b Configure solo un vínculo superior como Activo (Active) y el otro como En espera (Standby).

3 Configure la directiva de formación de equipos y conmutación por error para el grupo de puertos distribuidos asociado con las máquinas virtuales de la siguiente forma:

a Cualquier directiva de formación de equipos está bien.

b Es posible configurar varios vínculos superiores.

4 Configure las instancias de Edge para que utilicen el modo de puerto de recepción y deshabilite el modo promiscuo en la vNic troncal.

Nota n Deshabilite el modo promiscuo: si usa vSphere Distributed Switch.

n Habilite el modo promiscuo: si usa un conmutador virtual para configurar la interfaz de enlace troncal.

Si un conmutador virtual tiene habilitado el modo promiscuo, algunos de los paquetes procedentes de los vínculos superiores que no esté usando el puerto promiscuo en ese momento no se descartarán. Debe habilitar y, a continuación, deshabilitar ReversePathFwdCheckPromisc, lo que descartará explícitamente en el puerto promiscuo todos los paquetes procedentes de los vínculos superiores que no se estén usando en ese momento.

Para bloquear los paquetes duplicados, active la comprobación de RPF para el modo promiscuo desde la CLI de ESXi donde se encuentra NSX Edge:

esxcli system settings advanced set -o /Net/ReversePathFwdCheckPromisc -i 1

esxcli system settings advanced list -o /Net/ReversePathFwdCheckPromisc

Path: /Net/ReversePathFwdCheckPromisc

Type: integer

Int Value: 1

Default Int Value: 0

Max Value: 1

Min Value: 0

String Value:

Default String Value:

Valid Characters:

Description: Block duplicate packet in a teamed environment when the virtual switch is set to

Promiscuous mode.

En la directiva de seguridad de PortGroup, cambie Modo promiscuo (PromiscousMode) de Aceptar (Accept) a Rechazar (Reject) y vuelva a establecer Aceptar (Accept) para activar el cambio configurado.

n Opción 2: instancias de Edge y máquinas virtuales en el mismo host ESXi


VMware, Inc. 259

2. Implementar VM y edges L2VPN en el mismo host

El orden de los vínculos superiores Activo/En espera

debe ser el mismo para ambos

dvPortGroups.


Activo

En espera En espera


Activo



Modo promiscuo:Deshabilitado

dvPortGroup

Interfaztroncal vDS

RECEPCIÓN

dvPortGroup

a Configure la directiva de formación de equipos y conmutación por error para el grupo de puertos distribuidos asociado con la vNic troncal de Edge de la siguiente forma:

1 Establezca el equilibrio de carga en "Enrutar según el puerto virtual de origen" (Route Based on originating virtual port).

2 Configure solo un vínculo superior como activo y el otro como en espera.

b Configure la directiva de formación de equipos y conmutación por error para el grupo de puertos distribuidos asociado con las máquinas virtuales de la siguiente forma:

1 Cualquier directiva de formación de equipos está bien.

2 Solo puede haber un vínculo superior activo.

3 El orden de los vínculos superiores activo/en espera debe ser igual en el grupo de puertos distribuidos de las máquinas virtuales y el grupo de puertos distribuidos de la vNic troncal de Edge.

c Configure la instancia de Edge independiente del lado del cliente para que utilice el modo de puerto de recepción y deshabilite el modo promiscuo en la vNic troncal.

Configurar un puerto de recepción

Cuando una instancia de NSX Edge administrada por NSX se configura como cliente VPN de Capa 2, NSX realiza parte de la configuración automáticamente. Cuando una instancia de NSX Edge independiente se configura como cliente VPN de Capa 2, estos pasos de configuración deben realizarse manualmente.


VMware, Inc. 260

Si uno de sus sitios VPN no tiene NSX implementado, puede configurar una VPN de Capa 2. Para ello, debe implementar una instancia de NSX Edge independiente en dicho sitio. Se implementa un Edge independiente usando un archivo OVF en un host que no administre NSX. Esto implementa un dispositivo de puerta de enlace de servicios Edge para que funcione como un cliente VPN de Capa 2.

Si una vNIC de enlace troncal de una instancia de Edge independiente se conecta a un conmutador vSphere Distributed Switch, se requiere el modo promiscuo o un puerto de recepción para la función VPN de Capa 2. La utilización del modo promiscuo puede provocar pings duplicados y respuestas duplicadas. Por este motivo, utilice el modo de puerto de recepción en la configuración de la instancia de NSX Edge independiente de VPN de Capa 2.

Procedimiento

1 Recupere el número de puerto del tronco vNIC que quiera configurar como el puerto de recepción.

a Inicie sesión en vSphere Web Client y acceda a Inicio (Home) > Redes (Networking).

b Haga clic en el grupo de puertos distribuidos al que está conectada la interfaz troncal de NSX Edge, y haga clic en Puertos (Ports) para ver los puertos y las máquinas virtuales conectadas. Anote el número de puerto asociado a la interfaz troncal.

Utilice este número de puerto cuando recupere y actualice datos opacos.

2 Recupere el valor dvsUuid para vSphere Distributed Switch.

a Inicie sesión en la interfaz de usuario de vCenter Mob en https://<ip-vc>/mob.

b Haga clic en contenido (content).

c Haga clic en el vínculo asociado con rootFolder (por ejemplo, grupo-d1 [Centrosdedatos]).

d Haga clic en el vínculo asociado con childEntity (por ejemplo: centrodedatos-1).

e Haga clic en el vínculo asociado con networkFolder (por ejemplo: grupo-n6).

f Haga clic en el vínculo del nombre de DVS para el conmutador vSphere Distributed Switch asociado con las instancias de NSX Edge (por ejemplo: dvs-1 [Mgmt_VDS]).

g Copie el valor de la cadena uuid.

Utilice este valor de dvsUuid cuando recupere y actualice datos opacos.

3 Compruebe si los datos opacos existen para el puerto especificado.

a Acceda a https://<ip-vc> /mob/?moid=DVSManager&vmodl=1.

b Haga clic en fetchOpaqueDataEx.


VMware, Inc. 261

c En el cuadro del valor selectionSet, pegue la siguiente entrada de XML:

<selectionSet xsi:type="DVPortSelection">

<dvsUuid>c2 1d 11 50 6a 7c 77 68-e6 ba ce 6a 1d 96 2a 15</dvsUuid> 

</selectionSet>

Utilice el número de puerto y el valor dvsUuid que recuperó para la interfaz troncal de NSX Edge.

d Establezca isRuntime como false.

e Haga clic en Invocar método (Invoke Method).

Si el resultado muestra valores para vim.dvs.OpaqueData.ConfigInfo, significa que ya hay un conjunto de datos opacos, por lo que debe usar la operación edit cuando establezca el puerto de recepción. Si el valor de vim.dvs.OpaqueData.ConfigInfo está vacío, use la operación add cuando establezca el puerto de recepción.

4 Configure el puerto de recepción en el navegador de objeto administrado (MOB) de vCenter

a Acceda a https://<ip-vc> /mob/?moid=DVSManager&vmodl=1.

b Haga clic en updateOpaqueDataEx.

c En el cuadro del valor selectionSet, pegue la siguiente entrada de XML:

<selectionSet xsi:type="DVPortSelection">

<dvsUuid>c2 1d 11 50 6a 7c 77 68-e6 ba ce 6a 1d 96 2a 15</dvsUuid> 

</selectionSet>

Utilice el valor dvsUuid que recuperó de vCenter MOB.


VMware, Inc. 262

d En el cuadro del valor opaqueDataSpec, pegue una de las siguientes entradas XML:

Use esta entrada para habilitar un puerto de recepción si no se configuraron los datos opacos (operation está establecido como add):

<opaqueDataSpec>

<operation>add</operation>

<opaqueData>

<key>com.vmware.etherswitch.port.extraEthFRP</key>

<opaqueData

xsi:type="vmodl.Binary">AAABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA


AAAAAAAAA=</opaqueData>

</opaqueData>

</opaqueDataSpec>

Use esta entrada para habilitar un puerto de recepción si ya se configuraron los datos opacos (operation está establecido como edit):

<opaqueDataSpec>

<operation>edit</operation>

<opaqueData>


<opaqueData

xsi:type="vmodl.Binary">AAABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA




</opaqueData>

</opaqueDataSpec>

Utilice esta entrada para deshabilitar un puerto de recepción:

<opaqueDataSpec>

<operation>edit</operation>

<opaqueData>


<opaqueData

xsi:type="vmodl.Binary">AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA




</opaqueData>

</opaqueDataSpec>

e Establezca isRuntime como false.

f Haga clic en Invocar método (Invoke Method).

Configurar un servidor VPN de Capa 2El servidor VPN de Capa 2 es la instancia de NSX Edge de destino a la cual debe conectarse el cliente.


VMware, Inc. 263

Procedimiento

1 En la pestaña VPN de Capa 2 (L2 VPN), seleccione Servidor (Server) y haga clic en Cambiar (Change).

2 En IP de agente de escucha (Listener IP), escriba la dirección IP principal o secundaria de una interfaz externa de NSX Edge.

3 El puerto predeterminado para el servicio VPN de Capa 2 es 443. Edite el número de puerto, si fuera necesario.

4 Seleccione el algoritmo de encriptación para la comunicación entre el servidor y el cliente.

5 Seleccione el certificado que desea enlazar al servidor SSL VPN.

Importante El servicio VPN de Capa 2 mediante SSL solo admite certificados RSA.


Agregar sitios del mismo nivelPuede conectar varios sitios al servidor VPN de Capa 2.

Nota Al cambiar los ajustes de la configuración del sitio, NSX Edge desconecta y vuelve a conectar todas las conexiones existentes.

Procedimiento

1 En la pestaña VPN de Capa 2 (L2 VPN), asegúrese de que la opción Modo VPN de Capa 2 (L2 VPN Mode) esté establecida en Servidor (Server).

2 En Detalles de configuración del sitio (Site Configuration Details), haga clic en el icono Agregar (Add).

3 Escriba un nombre único para el sitio del mismo nivel.

4 Escriba el nombre de usuario y la contraseña con las que se autentica el sitio del mismo nivel. Las credenciales de usuario en el sitio del mismo nivel deben ser las mismas que las del lado del cliente.

5 En Interfaces ampliadas (Stretched Interfaces), haga clic en Seleccionar subinterfaces (Select Sub Interfaces) para seleccionar las subinterfaces que se ampliarán junto con el cliente.

a En Seleccionar objeto (Select Object), seleccione la interfaz troncal para Edge.

Aparecen las subinterfaces configuradas en la vNIC de tronco.

b Haga doble clic en las subinterfaces que se ampliarán.


6 Si la puerta de enlace predeterminada para máquinas virtuales es la misma en los dos sitios, introduzca las direcciones IP de puerta de enlace en el cuadro de texto Dirección de puerta de enlace de optimización de egreso (Egress Optimization Gateway Address). Estas direcciones IP se utilizan para enrutar el tráfico localmente hacia ellas o para bloquear el tráfico procedente de ellas en el túnel.


VMware, Inc. 264

7 (opcional) Seleccione la casilla de verificación Habilitar redes sin ampliar (Enable Unstretched Networks) si quiere que las máquinas virtuales de las redes sin ampliar se comuniquen con las máquinas virtuales que están detrás de la instancia de Edge del cliente VPN de Capa 2 de la red ampliada. Además, le recomendamos que esta comunicación se enrute a través del mismo túnel VPN de Capa 2. Las subredes sin ampliar pueden estar detrás de la instancia de Edge del servidor VPN de Capa 2 o de la instancia de Edge del cliente VPN de Capa 2, o bien detrás de ambas.

Pongamos como ejemplo que ha creado un túnel VPN de capa 2 para ampliar la subred 192.168.10.0/24 entre dos centros de datos mediante el servicio VPN de Capa 2 de NSX.

Detrás de la instancia de Edge del servidor VPN de Capa 2, hay dos subredes adicionales (por ejemplo, 192.168.20.0/24 y 192.168.30.0/24). Si habilita las redes sin ampliar, las máquinas virtuales de las subredes 192.168.20.0/24 192.168.30.0/24 se pueden comunicar con las máquinas virtuales que están detrás de la instancia de Edge del cliente VPN de Capa 2 de la red ampliada (192.168.10.0/24). Esta comunicación se enruta a través del mismo túnel VPN de Capa 2.

8 Si habilita las redes sin ampliar, siga estos pasos en función de la ubicación de las subredes sin ampliar:

n Cuando las subredes sin ampliar están detrás de la instancia de Edge del cliente VPN de Capa 2, introduzca la dirección de la red sin ampliar en formato CIDR y agregue el sitio (cliente) del mismo nivel en la instancia de Edge del servidor VPN de Capa 2. Para especificar varias redes sin ampliar, separe con comas las direcciones de red.

n Cuando las subredes sin ampliar están detrás de la instancia de Edge del servidor VPN de Capa 2, mantenga vacío el cuadro de texto Redes sin ampliar (Unstretched Networks). Esto quiere decir que no debe introducir la dirección de las redes sin ampliar mientras agrega el sitio (del mismo nivel) del cliente en el servidor VPN de Capa 2.

En el ejemplo anterior, las subredes sin ampliar estaban detrás de la instancia de Edge del servidor VPN de Capa 2. Por lo tanto, debe mantener vacío el cuadro de texto Redes sin ampliar (Unstretched Networks) de la ventana Agregar sitio del mismo nivel (Add Peer Site).


Habilitar el servicio VPN de Capa 2 en el servidorDebe habilitar el servicio VPN de Capa 2 en el servidor VPN de Capa 2 (NSX Edge de destino). Si ya está configurado HA en este dispositivo Edge, asegúrese de que Edge tenga más de una interfaz interna configurada. Si solo hay una interfaz presente y ya la utiliza HA, la configuración de VPN de Capa 2 de la misma interfaz interna generará errores.

Procedimiento



3 Haga doble clic en la instancia de NSX Edge de destino y desplácese hasta Administrar (Manage) > VPN (VPN) > VPN de Capa 2 (L2 VPN).


VMware, Inc. 265

4 Junto a Estado del servicio VPN de Capa 2 (L2 VPN Service Status), haga clic en Iniciar (Start).

Pasos siguientes

Cree una regla de firewall o NAT en el lado del firewall orientado a Internet para permitir la conexión entre el cliente y el servidor.

Configurar el cliente VPN de Capa 2El cliente VPN de Capa 2 es la instancia de NSX Edge de origen que inicia la comunicación con la instancia de Edge de destino (servidor VPN de Capa 2).

También se puede configurar una instancia independiente de Edge como el cliente VPN de Capa 2. Consulte Configurar un dispositivo Edge independiente como cliente VPN de Capa 2.

Procedimiento

1 En la pestaña VPN de Capa 2 (L2 VPN), establezca la opción Modo VPN de Capa 2 (L2 VPN Mode) en Cliente (Client) y haga clic en Cambiar (Change).

2 Introduzca la dirección para el servidor VPN de Capa 2 al que se debe conectar este cliente. La dirección puede ser el nombre de host o la dirección IP.

3 Si fuera necesario, edite el puerto predeterminado al que debe conectarse el cliente VPN de Capa 2.

4 Seleccione el algoritmo de cifrado para la comunicación con el servidor.

5 En Interfaces extendidas (Stretched Interfaces), haga clic en Seleccionar interfaces subordinadas (Select Sub Interfaces) para seleccionar las interfaces subordinadas que se extenderán hasta el servidor.

a En Seleccionar objeto (Select Object), seleccione la interfaz troncal para Edge.

Aparecen las subinterfaces configuradas en la vNIC de tronco.

b Haga doble clic en las subinterfaces que se ampliarán.


6 Escriba una descripción.

7 En Dirección de puerta de enlace de optimización de egreso (Egress Optimization Gateway Address), introduzca la dirección IP de puerta de enlace de las interfaces subordinadas o las direcciones IP por las que no debe fluir el tráfico en el túnel.

8 (opcional) Seleccione la casilla de verificación Habilitar redes sin ampliar (Enable Unstretched Networks) si quiere que las máquinas virtuales de las redes sin ampliar se comuniquen con las máquinas virtuales que están detrás de la instancia de Edge del servidor VPN de Capa 2 de la red ampliada. Además, le recomendamos que esta comunicación se enrute a través del mismo túnel VPN de Capa 2. Las subredes sin ampliar pueden estar detrás de la instancia de Edge del servidor VPN de Capa 2 o de la instancia de Edge del cliente VPN de Capa 2, o bien detrás de ambas.

Pongamos como ejemplo que ha creado un túnel VPN de capa 2 para ampliar la subred 192.168.10.0/24 entre dos centros de datos mediante el servicio VPN de Capa 2 de NSX.


VMware, Inc. 266

Detrás de la instancia de Edge del servidor VPN de Capa 2, hay dos subredes adicionales (por ejemplo, 192.168.20.0/24 y 192.168.30.0/24). Si habilita las redes sin ampliar, las máquinas virtuales de las subredes 192.168.20.0/24 192.168.30.0/24 se pueden comunicar con las máquinas virtuales que están detrás de la instancia de Edge del servidor VPN de Capa 2 de la red ampliada (192.168.10.0/24). Esta comunicación se enruta a través del mismo túnel VPN de Capa 2.

9 Si habilita las redes sin ampliar, siga estos pasos en función de la ubicación de las subredes sin ampliar:

n Cuando las subredes sin ampliar están detrás de la instancia de Edge del servidor VPN de Capa 2, introduzca la dirección de la red sin ampliar en formato CIDR y configure la instancia de Edge del cliente VPN de Capa 2. Para especificar varias redes sin ampliar, separe con comas las direcciones de red.

n Cuando las subredes sin ampliar están detrás de la instancia de Edge del cliente VPN de Capa 2, mantenga vacío el cuadro de texto Redes sin ampliar (Unstretched Networks). Esto quiere decir que no debe introducir la dirección de las redes sin ampliar en la instancia de Edge del cliente VPN de Capa 2.

En el ejemplo anterior, las subredes sin ampliar estaban detrás de la instancia de Edge del servidor VPN de Capa 2. Por lo tanto, debe introducir las redes sin ampliar 192.168.20.0/24, 192.168.30.0/24 y configurar la instancia de Edge del cliente VPN de Capa 2.

10 En Detalles de usuario (User Details), introduzca las credenciales del usuario para que el servidor pueda autenticarlo.

11 Haga clic en la pestaña Avanzado (Advanced).

Si la instancia de NSX Edge del cliente no dispone de acceso directo a Internet y necesita llegar a la instancia de NSX Edge de origen (servidor) mediante un servidor proxy, especifique los valores de Configuración del proxy (Proxy Settings).

12 Para habilitar solo las conexiones de proxy seguro, seleccione Habilitar proxy seguro (Enable Secure Proxy).

13 Introduzca la dirección, el puerto, el nombre de usuario y la contraseña para el servidor proxy.

14 Para habilitar la validación de certificados de servidor, seleccione Validar certificado de servidor (Validate Server Certificate) y elija el certificado de la entidad de certificación correspondiente.


Pasos siguientes

Asegúrese de que el firewall orientado a Internet permita el flujo de tráfico desde la instancia de Edge con VPN de Capa 2 hacia Internet. El puerto de destino es 443.

Habilitar el servicio VPN de Capa 2 en el clienteDebe habilitar el servicio VPN de Capa 2 en el cliente VPN de Capa 2 (NSX Edge de origen).


VMware, Inc. 267

Procedimiento

1 Para ir a la instancia de NSX Edge de origen, desplácese hasta Administrar (Manage) > VPN > VPN de Capa 2 (L2 VPN).

2 Junto a Estado del servicio VPN de Capa 2 (L2 VPN Service Status), haga clic en Iniciar (Start).

Pasos siguientes

n Para permitir que el cliente y el servidor se conecten entre sí, cree reglas de firewall o NAT en el lado del firewall orientado a Internet.

n Si se va a ampliar una vNIC troncal respaldada por un grupo de puertos estándar, habilite manualmente el tráfico de VPN de Capa 2 siguiendo estos pasos:

a Establezca Modo promiscuo (Promiscuous mode) en Aceptar (Accept).

b Establezca Transmisiones falsificadas (Forged Transmits) en Aceptar (Accept).

Para obtener más información sobre la operación del modo promiscuo y las transmisiones falsificadas, consulte el apartado sobre cómo proteger los conmutadores estándar de vSphere en la documentación de VMware vSphere ® .

Configurar un dispositivo Edge independiente como cliente VPN de Capa 2Si uno de los sitios que desea ampliar no está respaldado por NSX, puede implementar una instancia de Edge independiente como cliente VPN de Capa 2 en ese sitio.

Si desea cambiar el modo FIPS por un Edge independiente, use los comandos fips enable o fips disable. Para obtener más información, consulte la Referencia de la interfaz de línea de comandos de NSX.

Requisitos previos

Ha creado un grupo de puertos troncales para que la interfaz troncal de la instancia de Edge independiente se conecte a ese grupo. Este grupo de puertos requiere cierta configuración manual:

n Si el grupo de puertos troncales está en un conmutador estándar de vSphere, debe seguir estos pasos:

n Habilite las transmisiones falsificadas.

n Habilite el modo promiscuo.

Consulte la Guía de redes de vSphere.

n Si el grupo de puertos troncales está en un conmutador vSphere Distributed Switch, debe seguir estos pasos:

n Habilite las transmisiones falsificadas. Consulte la Guía de redes de vSphere.

n Habilite el puerto de recepción para la vNic de tronco o habilite el modo promiscuo. La práctica recomendada es habilitar un puerto de recepción.


VMware, Inc. 268

La configuración del puerto de recepción debe realizarse después de implementar la instancia de Edge independiente, ya que se debe cambiar la configuración del puerto conectado a la vNIC de tronco de Edge.

Procedimiento

1 Con vSphere Web Client, inicie sesión en la instancia de vCenter Server que administra el entorno que no es de NSX.

2 Seleccione Hosts y clústeres (Hosts and Clusters) y expanda los clústeres para mostrar los hosts disponibles.

3 Haga clic con el botón derecho en el host en el que desea instalar la instancia de Edge independiente y seleccione Implementar plantilla de OVF (Deploy OVF Template).

4 Introduzca la URL para descargar e instalar el archivo OVF desde Internet, o bien haga clic en Examinar (Browse) para buscar la carpeta en el equipo que contiene el archivo OVF de la instancia de Edge independiente y, a continuación, haga clic en Siguiente (Next).

5 En la página Detalles de la plantilla de OVF (OVF Template Details), revise los detalles de la plantilla y haga clic en Siguiente (Next).

6 En la página Seleccionar nombre y carpeta (Select name and folder), escriba un nombre para la instancia de Edge independiente y seleccione la carpeta o el centro de datos donde desea realizar la implementación. A continuación, haga clic en Siguiente (Next).

7 En la página Select Storage (Seleccionar almacenamiento), seleccione la ubicación para almacenar los archivos de la plantilla implementada.

8 En la página Seleccionar redes (Select networks), configure las redes que debe utilizar la plantilla implementada. Haga clic en Siguiente (Next).

n La interfaz pública es la interfaz de vínculo superior.

n La interfaz de tronco se utiliza para crear subinterfaces para las redes que se ampliarán. Conecte esta interfaz al grupo de puertos troncales creado.

9 En la página Personalizar plantilla (Customize Template), especifique los siguientes valores.

a Escriba la contraseña de administrador de la CLI y, a continuación, vuelva a escribirla.

b Escriba la contraseña de habilitación de la CLI y, a continuación, vuelva a escribirla.

c Escriba la contraseña raíz de la CLI y, a continuación, vuelva a escribirla.

d Escriba la dirección IP del vínculo superior y la longitud del prefijo y, de manera opcional, la dirección IP del DNS y la puerta de enlace predeterminada.

e Seleccione el cifrado que se utilizará para la autenticación. Esta opción debe coincidir con el cifrado utilizado en el servidor VPN de Capa 2.

f Para habilitar la optimización de egreso, escriba las direcciones IP de la puerta de enlace para las cuales debe enrutarse localmente el tráfico o para las cuales debe bloquearse el tráfico por el túnel.


VMware, Inc. 269

g Escriba el puerto y la dirección del servidor VPN de Capa 2.

h Escriba el nombre de usuario y la contraseña con las que se autentica el sitio del mismo nivel.

i En VLAN de subinterfaces (identificador de túnel) (Sub Interfaces VLAN [Tunnel ID]), escriba los identificadores de VLAN de las redes que desea ampliar. Puede introducir los identificadores de VLAN en una lista separada por comas o un rango. Por ejemplo: 2,3,10-20.

Si desea cambiar el identificador de VLAN de la red antes de ampliar el sitio de la instancia de Edge independiente, puede escribir el identificador de VLAN de la red y, a continuación, escribir el identificador de túnel entre paréntesis. Por ejemplo: 2(100),3(200). El identificador de túnel se utiliza para asignar las redes que se van a ampliar. Sin embargo, no se puede especificar el identificador de túnel con un rango. Por ejemplo, no se permitiría lo siguiente: 10(100)-14(104). Debe volver a escribirlo de la siguiente manera: 10(100),11(101),12(102),13(103),14(104).

j Si la instancia de NSX Edge independiente no tiene acceso directo a Internet y necesita comunicarse con la instancia de NSX Edge de origen (servidor) mediante un servidor proxy, escriba la dirección, el puerto, el nombre de usuario y la contraseña del proxy.

k Si hay una entidad de certificación raíz disponible, puede pegarla en la sección Certificado (Certificate).

l Haga clic en Siguiente (Next).

10 En la página Ready to complete (Listo para finalizar), revise la configuración de la instancia de Edge independiente y haga clic en Finish (Finalizar).

Pasos siguientes

Encienda la máquina virtual de la instancia de Edge independiente.

Anote el número de puerto de la vNIC de tronco y configure un puerto de recepción. Consulte Configurar un puerto de recepción.

Realice cualquier cambio de configuración sucesivo mediante la interfaz de línea de comandos de la instancia de Edge independiente. Consulte la Referencia de la interfaz de línea de comandos de NSX.

Ver estadísticas de la VPN de Capa 2Puede ver las estadísticas del túnel VPN de Capa 2, como el estado del túnel, los bytes enviados y recibidos y otras estadísticas, tanto en el servidor VPN de Capa 2 como en las instancias de Edge del cliente.

Procedimiento

1 Consulte las estadísticas en la instancia de Edge del cliente VPN de Capa 2.

a Haga doble clic en la instancia de NSX Edge que configuró en el modo de cliente VPN de Capa 2.

b Desplácese hasta Administrar (Manage) > VPN > VPN de Capa 2 (L2 VPN).

c Expanda la sección Estado del túnel (Tunnel Status) y haga clic en el icono Actualizar (Refresh) para ver las estadísticas del túnel.


VMware, Inc. 270

2 Consulte las estadísticas en la instancia de Edge del servidor VPN de Capa 2.

a Haga doble clic en la instancia de NSX Edge que configuró en el modo de servidor VPN de Capa 2.

b Desplácese hasta la página VPN de Capa 2 (L2 VPN).

c En la sección Detalles de configuración del sitio (Site Configuration Details), haga clic en el vínculo Mostrar estadísticas de VPN de Capa 2 (Show L2VPN Statistics).

Se mostrarán las estadísticas de todos los sitios del mismo nivel que estén configurados en el servidor VPN de Capa 2.

Pasos siguientes

Para ver las redes configuradas en una interfaz troncal, desplácese hasta Administrar (Manage) > Configuración (Settings) > Interfaces de la instancia Edge y haga clic en Troncal (Trunk) en la columna Tipo (Type).

Eliminar una VLAN ampliadaUn L2VPN puede ampliar varias redes lógicas en diferentes sitio geográficos.

Para eliminar una VLAN ampliada de un Edge de VPN de Capa 2 sin que afecte a otras VLAN ampliadas, primero elimine la VLAN y luego elimine la subinterfaz del cliente VPN de Capa 2 (NSX Edge de origen) y el servidor VPN de Capa 2 (NSX Edge de destino).

Procedimiento



3 Haga clic en la pestaña Administrar (Manage) y, a continuación, acceda a VPN> L2VPN.

4 En Detalles de configuración del sitio (Site Configuration Details), en las interfaces ampliadas, elimine la VLAN asociada con la subinterfaz.

5 Establezca el Modo VPN de Capa 2 (L2 VPN Mode) como Cliente (Client) y elimine la subinterfaz de esta VLAN.

6 Establezca el Modo VPN de Capa 2 (L2 VPN Mode) como Servidor (Server) y elimine la subinterfaz de esta VLAN.

7 Publique los cambios.


VMware, Inc. 271

Equilibrador de carga lógico 15El equilibrador de carga de NSX Edge habilita el servicio de disponibilidad alta y distribuye la carga del tráfico de red entre varios servidores. Distribuye las solicitudes de servicio entrante de manera uniforme entre varios servidores de forma tal que la distribución de carga sea transparente para los usuarios. Así, el equilibrio de carga ayuda a lograr una utilización de recursos óptima, maximizar la capacidad de proceso, minimizar el tiempo de respuesta y evitar la sobrecarga. NSX Edge proporciona el equilibrio de carga hasta la capa 7.

Usted asigna una dirección IP externa, o pública, a un conjunto de servidores internos para el equilibrio de la carga. El equilibrador de carga acepta las solicitudes TCP, UDP, HTTP o HTTPS en la dirección IP externa y decide qué servidor interno se va a utilizar. El puerto 80 es el puerto predeterminado para HTTP y el puerto 443 es el puerto predeterminado para HTTPS.

Debe contar con una instancia de NSX Edge que funcione para poder equilibrar la carga. Para obtener información sobre cómo configurar NSX Edge, consulte Configuración de NSX Edge.

Para obtener información sobre cómo configurar un certificado de NSX Edge, consulte Trabajar con certificados.

Las características del equilibrio de carga de NSX son las siguientes:

n Protocolos: TCP, UDP, HTTP, HTTPS

n Algoritmos: weighted round robin, hash de IP, URI y least connection

n Terminación SSL con aceleración AES-NI

n Protocolo de puente SSL (SSL de cliente + SSL de servidor)

n Administración de certificados SSL

n Reenvío del encabezado X para identificar el cliente

n Modo transparente de Carga 4 o 7

n Limitación de conexiones

n Habilitar o deshabilitar servidores individuales (miembros del grupo) para realizar tareas de mantenimiento

n Métodos de comprobación de estado (TCP, HTTP y HTTPS)

n Supervisión de la comprobación del estado mejorada

VMware, Inc. 272

n Métodos estables o de persistencia: SourceIP, MSRDP, COOKIE, SSLSESSIONID

n Modo one-arm

n Modo en línea

n Redirección y reescritura de direcciones URL

n Reglas de aplicaciones para la administración avanzada del tráfico

n Compatibilidad estable con las sesiones de HA para el equilibrio de carga del proxy de Capa 7

n Compatibilidad con IPv6

n CLI del equilibrador de carga mejorado para solucionar problemas

n Disponible en todas las versiones de una puerta de enlace de servicios NSX Edge con la recomendación de Extra grande o Cuádruple para el tráfico de producción

TopologíasExisten dos tipos de servicios de equilibrio de carga que se pueden configurar en NSX: el modo one-arm (también denominado modo proxy) o el modo en línea (al que también se le conoce como el modo transparente).

Equilibrado de carga lógico de NSX: topología en líneaEl modo en línea o transparente implementa el NSX Edge en línea en el tráfico destinado a la granja de servidores. El flujo de tráfico del modo transparente se procesa de la siguiente manera:

n El cliente externo envía tráfico a la dirección IP virtual (VIP) expuesta por el equilibrador de carga.

n El equilibrador de carga (una instancia centralizada de NSX Edge) solo realiza la NAT de destino (DNAT) para reemplazar la VIP por la dirección IP de uno de los servidores implementados en la granja de servidores.

n El servidor de la granja de servidores responden a la dirección IP de cliente original. El equilibrador de carga vuelve a recibir el tráfico puesto que está implementado en línea, por lo general, como la puerta de enlace predeterminada para la granja de servidores.

n El equilibrador de carga realiza NAT de origen para enviar el tráfico al cliente externo, utilizando su VIP como dirección IP de origen.


VMware, Inc. 273

V

Fase 1

IP DST 192.168.20.20

DST 80

VLAN

192.168.20.20 TCP 80

El tráfico de servidor siempre vuelve a SLB

El enrutamientoconsume recursos de SLB

192.168.1.3(Seleccionada)

192.168.1.2

192.168.1.1

Conmutadorlógico

(VXLAN)

Dirección del cliente172.30.40.7

Puerta de enlace deservicios NSX Edge

SRC 172.30.40.7

SRC 1025

TCP

Fase 4

IP DST 172.30.40.7

DST 1025

SRC 192.168.20.20

SRC 80

TCP

Fase 2 (DNAT)

IP DST 192.168.1.3

DST 80

SRC 172.30.40.7

SRC 1025

TCP

Fase 3

IP DST 172.30.40.7

DST 1025

SRC 192.168.1.3

SRC 80

TCP

Equilibrado de carga lógico de NSX: topología One-ArmedEl modo One-Armed o Proxy consiste en implementar una instancia de NSX Edge directamente a la red lógica en la que se requieren los servicios de equilibrado de carga.

n El cliente externo envía tráfico a la dirección IP virtual (VIP) expuesta por el equilibrador de carga.

n El equilibrador de carga realiza dos traducciones de direcciones en los paquetes originales recibidos del cliente: NAT de destino (DNAT) para reemplazar la VIP por la dirección IP de uno de los servidores implementados en la granja de servidores y NAT de origen (SNAT) para reemplazar la dirección I del cliente por la dirección IP que identifica al propio equilibrador de carga. SNAT se requiere para forzar al tráfico a regresar a través del equilibrador de carga desde la granja de servidores hasta el cliente

n El servidor de la granja de servidores responde enviando el tráfico al equilibrador de carga de acuerdo con la funcionalidad SNAT.

n El equilibrador de carga vuelve a realizar un servicio NAT de origen y destino para enviar el tráfico al cliente externo, utilizando su VIP como dirección IP de origen.


VMware, Inc. 274

V

Fase 1

IP DST 192.168.1.20

DST 80

VLAN

192.168.1.20TCP 80

Fácil inserción No se detectala IP del cliente

Solución alternativa para el encabezado de HTTP

Reenvío de X (X-Forwarded-For HTTP)


192.168.1.2

192.168.1.1

Conmutadorlógico

(VXLAN)


Puerta de enlacede servicios de

NSX Edge

SRC 172.30.40.7

SRC 1025

TCP

Fase 4

IP DST 172.30.40.7

DST 1025

SRC 192.168.1.20

SRC 80

TCP

Fase 2 (DNAT + SNAT)

IP DST 192.168.1.3

DST 80

SRC 192.168.1.20

SRC 4099

TCP

Fase 3

IP DST 192.168.1.20

DST 4099

SRC 192.168.1.3

SRC 80

TCP

SLB


n Configurar equilibrio de carga

n Administrar perfiles de aplicaciones


VMware, Inc. 275

n Administrar monitores de servicio

n Administrar grupos de servidores

n Administrar servidores virtuales

n Administrar reglas de aplicaciones

n Servidores web de equilibrio de carga que utilizan autenticación NTLM

n Modos de conexión HTTP del equilibrador de carga

n Escenarios de configuración del equilibrador de carga de NSX

Configurar equilibrio de cargaEl equilibrador de carga de NSX Edge distribuye el tráfico de red por varios servidores para optimizar el uso de los recursos, ofrecer redundancia y distribuir el uso de los recursos.

El equilibrador de carga de NSX es compatible con los motores del equilibrio de carga de Capa 4 y Capa 7. El equilibrador de carga de Capa 4 se basa en paquetes y proporciona un procesamiento rápido de ruta de acceso. El equilibrador de carga de Capa 7 se basa en sockets y permite realizar manipulaciones avanzadas en el tráfico y mitigar los ataques DDOS para servicios back-end.

El equilibrio de carga basado en paquetes se implementa en la capa de TCP y UDP. El equilibrio de carga basado en paquetes no detiene la conexión ni almacena en el búfer la solicitud completa, envía el paquete directamente al servidor seleccionado tras manipular el paquete. Las sesiones de TCP y UDP se mantienen en el equilibrador de carga para que los paquetes de una sesión única se dirijan al mismo servidor. Puede seleccionar Aceleración habilitada (Acceleration Enabled) tanto en la configuración global como en la configuración de los servidores virtuales relevantes para habilitar el equilibrio de carga basado en paquetes.

Se implementa equilibrio de carga basado en sockets en la parte superior de la interfaz del socket. Se establecen dos conexiones para una única solicitud, una conexión orientada al cliente y una conexión orientada al servidor. La conexión orientada al servidor se establece tras la selección del servidor. Para la implementación basada en socket de HTTP, se recibe la solicitud completa antes de enviarla al servidor seleccionado con la manipulación de Capa 7 opcional. Para la implementación basada en socket de HTTPS, la información de autenticación se intercambia en la conexión orientada al cliente o bien en la conexión orientada al servidor. El equilibrio de carga basado en socket es el modo predeterminado para los servidores virtuales de TCP, HTTP y HTTPS.

Los conceptos clave del equilibrador de carga de NSX incluyen:

Servidor virtual Resumen del servicio de una aplicación, representado por una combinación única de IP, puerto, protocolos y perfil de aplicación, como TCP o UDP.

Grupo de servidores Grupo de servidores backend.

Miembro del grupo de servidores

Representa el servidor backend como miembro en un grupo.


VMware, Inc. 276

Supervisión del servicio

Define cómo comprobar el estado de un servidor backend.

Perfil de aplicación Representa la configuración en lo relativo a los protocolos TCP y UDP, la persistencia y los certificados para una determinada aplicación.

Empiece por configurar las opciones globales del equilibrador de carga y, a continuación, cree un grupo de servidores de miembros de servidores back-end y asocie un monitor de servicio al grupo para administrar y compartir los servidores back-end de forma eficiente.

A continuación puede crear un perfil de aplicación para definir el comportamiento de la aplicación común en un equilibrador de carga como por ejemplo, el cliente SSL, el servidor SSL, x-forwarded-for o la persistencia. La persistencia envía solicitudes posteriores con características similares, la IP de origen o la cookie deben enviarse al mismo miembro del grupo, sin ejecutar el algoritmo de equilibrio de carga. Los perfiles de la aplicación se pueden volver a usar en los servidores virtuales.

Se puede crear una regla de aplicación opcional para establecer la configuración específica de las aplicaciones para la manipulación del tráfico como por ejemplo, hacer coincidir una URL o un nombre de host concretos para que distintos grupos puedan llevar a cabo distintas solicitudes. A continuación puede crear un monitor de servicio específico para la aplicación o bien utilizar un monitor de servicio creado anteriormente.

Otra opción consistiría en crear una regla de aplicación para permitir las funcionalidades avanzadas de los servidores virtuales de Capa 7. Algunos usos típicos para las reglas de aplicación son la conmutación de contenido, la manipulación de encabezados, las reglas de seguridad y la protección frente a ataques de denegación de servicio (DOS).

Por último, cree un servidor virtual que conecte entre sí su grupo de servidores, su perfil de aplicación y cualquier posible regla de aplicación.

Cuando el servidor virtual recibe una solicitud, el algoritmo del equilibrio de carga tiene en cuenta la configuración del miembro del grupo y el estado del tiempo de ejecución. El algoritmo calcula el grupo apropiado para distribuir el tráfico e incluye a uno o varios miembros. La configuración de los miembros del grupo incluye opciones como peso, conexión máxima y estado de la condición. El estado del tiempo de ejecución incluye las conexiones actuales, el tiempo de respuesta y la información sobre el estado de mantenimiento. Los métodos de cálculo pueden ser round-robin, weighted round-robin, least connection, hash de IP de origen, weighted least connections, URL, URI o encabezado HTTP.

El monitor de servicio asociado supervisa a cada grupo. Cuando el equilibrador de carga detecta un problema en un servidor del grupo, lo marca como fuera de servicio (DOWN). Solo se selecciona el servidor activo (UP) cuando se elige un miembro del grupo de servidores. Si el grupo de servidores no está configurado con un monitor de servicio, todos los miembros del grupo se consideran activos (UP).

Nota Para obtener información sobre cómo solucionar problemas relacionados con el equilibrador de carga, consulte la Guía para solucionar problemas de NSX.

n Configurar el servicio de equilibrador de carga


VMware, Inc. 277

n Crear un monitor de servicio

El monitor de servicio se crea para definir los parámetros de comprobación de estado de un tipo de tráfico de red en especial. Cuando asocia un monitor de servicio con un grupo, los miembros del grupo se supervisan según los parámetros del monitor de servicio.

n Agregar un grupo de servidores

Es posible agregar un grupo de servidores para administrar y compartir servidores de back-end de forma flexible y eficiente. Un grupo de servidores administra los métodos de distribución de equilibradores de carga e incluye un monitor de servicio asociado para los parámetros de comprobación de estado.

n Crear un perfil de aplicación

Utilice perfiles de aplicación para mejorar el control sobre la administración del tráfico de red y así hará que las tareas de administración de tráfico sean más sencillas y eficientes.

n Agregar una regla de aplicación

Puede escribir reglas de aplicaciones utilizando la sintaxis de HAProxy para manipular y administrar el tráfico de aplicaciones.

n Agregar servidores virtuales

Es posible agregar una interfaz interna o de vínculo superior de NSX Edge como un servidor virtual.

Configurar el servicio de equilibrador de carga

Procedimiento




4 Haga clic en Administrar (Manage) y seleccione la pestaña Equilibrador de carga (Load Balancer).



VMware, Inc. 278

6 Seleccione las casillas de verificación situadas junto a las opciones que desea habilitar. Puede especificar parámetros de configuración del equilibrador de carga global.


Habilitar equilibrador de carga (Enable Load Balancer)

Permite que el equilibrador de carga de NSX Edge distribuya tráfico a servidores internos para equilibrar la carga.

Habilitar aceleración (Enable Acceleration)

Cuando se deshabilita, todas las direcciones IP virtuales (VIP) utilizan el motor LB de Capa 7.

Cuando se habilita, la IP virtual utiliza el motor LB de Capa 7 o el motor LB de Capa 4 más rápido (según la configuración de la dirección VIP).

La dirección VIP de Capa 4 ["Aceleración habilitada" (Acceleration enabled) en la configuración de la VIP y ninguna configuración de Capa 7 como AppProfile con persistencia de cookie o descarga de SSL] se procesa antes del firewall de Edge y no se necesita ninguna regla del firewall de Edge para comunicarse con la dirección VIP. Sin embargo, si la dirección VIP está utilizando un grupo en el modo no transparente, debe habilitarse el firewall de Edge (para permitir la regla SNAT creada automáticamente).

Las direcciones VIP HTTP/HTTPS de Capa 7 ["Aceleración deshabilitada" (Acceleration disabled) o la configuración de Capa 7 como AppProfile con persistencia de cookie o descarga de SSL] se procesan después del firewall de Edge y se necesita una regla para permitir al firewall de Edge comunicarse con la dirección VIP.

Nota: Si desea comprobar qué motor LB utiliza el equilibrador de carga de NSX para cada dirección VIP, ejecute el siguiente comando en la CLI de NSX Edge (SSH o la consola): "show service loadbalancer virtual" y busque el campo "LB PROTOCOL [L4|L7]"

Registro (Logging) El equilibrador de carga de NSX Edge recopila registros de tráfico.

Puede seleccionar el nivel de registro en el menú desplegable. Los registros se exportan al servidor syslog configurado. Asimismo, puede utilizar el comando show log follow para incluir los registros del equilibrio de carga en una lista.

Las opciones de depuración e información registran las solicitudes de usuarios finales. Las opciones de advertencia, error y críticas no registran las solicitudes de usuarios finales. Si el registro de nivel de Control de NSX Edge se establece como depuración o información, el equilibrador de carga registra estadísticas de los miembros de grupo, los grupos, vip y lb cada minuto.

Tenga en cuenta que, al ejecutarlo con las opciones de depuración o de información, se consume espacio de partición de registro de Edge y uso de CPU, y esto puede tener un impacto leve en la capacidad de administración de tráfico máxima.

Habilitar inserción de servicios (Enable Service Insertion)

Permite que el equilibrador de carga funcione con servicios de terceros.

Si tiene un servicio de equilibrador de carga de terceros implementado en su entorno, consulte Usar el equilibrador de carga de un partner.


Crear un monitor de servicioEl monitor de servicio se crea para definir los parámetros de comprobación de estado de un tipo de tráfico de red en especial. Cuando asocia un monitor de servicio con un grupo, los miembros del grupo se supervisan según los parámetros del monitor de servicio.


VMware, Inc. 279

Se admiten cinco tipos de supervisión: ICMP, TCP, UDP, HTTP y HTTPS.

Procedimiento





5 En el panel de navegación izquierdo, haga clic en Supervisión de servicio (Service Monitoring).


7 Introduzca un Nombre (Name) para el monitor de servicio.

Intervalo (Interval), Tiempo de espera (Timeout) y Límite de reintentos (Max Retries) son parámetros comunes para todos los tipos de comprobaciones de estado.

8 Introduzca el Intervalo (Interval) en segundos para que un servidor se pruebe.

El intervalo es el periodo de tiempo (en segundos) durante el cual el monitor envía solicitudes al servidor backend.

9 Introduzca el Tiempo de espera (Timeout). En cada comprobación de estado, el valor del tiempo de espera es el tiempo máximo (en segundos) dentro del cual se debe recibir una respuesta del servidor.

10 Introduzca el Límite de reintentos (Max Retries). Este valor es el número de veces que el servidor se prueba antes de declararse INACTIVO (DOWN).

Por ejemplo, si el valor de Intervalo (Interval) se establece en 5 segundos, Tiempo de espera (Timeout) en 15 segundos y Límite de reintentos (Max Retries) en 3, el equilibrador de carga de NSX sondeará el servidor backend cada 5 segundos. En cada sondeo, si la respuesta esperada se recibe desde el servidor en un plazo de 15 segundos, el resultado de la comprobación de estado será CORRECTO (OK). En caso contrario, el resultado será CRÍTICO (CRITICAL). Si los tres resultados de las comprobaciones de estado recientes son FUERA DE SERVICIO (DOWN), el servidor se marca como FUERA DE SERVICIO (DOWN).

11 Seleccione cómo enviar la solicitud de revisión de estado al servidor desde el menú desplegable. Se admiten cinco tipos de supervisión: ICMP, TCP, UDP, HTTP y HTTPS. Se integran tres supervisiones predefinidas en el sistema: default_tcp_monitor, default_http_monitor y default_https_monitor.

12 Si selecciona ICMP como el tipo de supervisión, no hay aplicables otros parámetros. Deje el resto de parámetros vacío.


VMware, Inc. 280

13 Si selecciona TCP como el tipo de supervisión, hay tres parámetros más disponibles: Enviar (Send), Recibir (Receive) y Extensión (Extension).

a Enviar (Send) (opcional): la cadena se envía al servidor backend después de que se establezca una conexión.

b Recibir (Receive) (opcional): Introduzca la cadena que debe coincidir. Esta cadena puede ser un encabezado o en el cuerpo de la respuesta. El servidor solo se considerará ACTIVO (UP) si la cadena recibida coincide con esta definición.

c Extensión (Extension): Introduzca los parámetros de supervisión avanzados como pares key=value en la sección Extensión (Extension).

Por ejemplo, warning=10 indica que si un servidor no responde en un lapso de 10 segundos, el estado se establecerá como advertencia (warning).

Todos los elementos de extensión deben separarse con un carácter de retorno de carro.

Tabla 15-1. Extensiones para el protocolo TCP

Extensión del monitor Descripción

escape Se pueden utilizar \n, \r, \t o \ en la cadena send o quit. Debe aparecer antes de la opción send o quit. Valor predeterminado: nada agregado a send, \r\n agregado al final de quit.

all Todas las cadenas esperadas deben estar presentes en la respuesta del servidor. El valor predeterminado es any.

quit=STRING Cadena para enviar al servidor para iniciar un cierre correcto de la conexión.

refuse=ok|warn|crit Se aceptan los rechazos de TCP en los estados ok, warn o crit. El valor predeterminado es crit.

mismatch=ok|warn|crit Se aceptan las faltas de coincidencia de la cadena esperada con los estados ok, warn o crit. El valor predeterminado es warn.

jail Se ocultan los resultados del socket de TCP.

maxbytes=INTEGER Se cierra la conexión cuando se recibe una cantidad de bytes superior a la especificada.

delay=INTEGER Segundos que se deben esperar entre el envío de la cadena y el sondeo de la respuesta.

certificate=INTEGER[,INTEGER] Cantidad mínima de días que debe tener de validez un certificado. El primer valor es #days para la advertencia y el segundo valor es critical (si no se especifica, 0).

warning=DOUBLE Tiempo de respuesta en segundos antes de que aparezca el estado de advertencia.

critical=DOUBLE Tiempo de respuesta en segundos antes de que aparezca el estado crítico.


VMware, Inc. 281

14 Si selecciona HTTP o HTTPS como el tipo de supervisión, realice los siguientes pasos.

a Esperada (Expected) (opcional): Introduzca la cadena que la supervisión espera que coincida en la línea de estado de la respuesta de HTTP en la sección Esperada (Expected). Esta es una lista separada por comas.

Por ejemplo, 200, 301, 302, 401.

b Método (Method) (opcional): Seleccione el método para detectar el estado del servidor en el menú desplegable. GET, OPTIONS o POST.

c URL (opcional): Introduzca la URL en GET o POST ("/" de forma predeterminada).

d Si selecciona el método POST, introduzca los datos que deben enviarse en la sección Negrita (Bold).


VMware, Inc. 282

e Introduzca la cadena que debe coincidir con la respuesta en la sección Recibir (Receive). Esta cadena puede ser un encabezado o en el cuerpo de la respuesta.

Si no coincide con la cadena de la sección esperada (Expected section), el monitor no intentará coincidir con el contenido de recepción.

f Extensión (Extension): Introduzca los parámetros de supervisión avanzados como pares key=value en la sección Extensión (Extension).

Por ejemplo, warning=10 indica que si un servidor no responde en un lapso de 10 segundos, el estado se establecerá como advertencia (warning).

Todos los elementos de extensión deben separarse con un carácter de retorno de carro.

Tabla 15-2. Extensiones para el protocolo HTTP/HTTPS


no-body No esperar el cuerpo del documento: se interrumpe la lectura después de los encabezados. Observe que se siguen haciendo llamadas HTTP/GET o POST, no HEAD.

ssl-version=3 Forzar protocolo de enlace de SSL a través de sslv3.

Sslv3 y tlsv1 están deshabilitadas de forma predeterminada en la opción para comprobar el estado.

ssl-version=10 Forzar protocolo de enlace de SSL a través de tls 1.0.



max-age=SECONDS Se advierte si el documento tiene más de segundos de antigüedad que el valor que se especifica en SECONDS. El número también puede tener el formato 10m para minutos, 10h para horas o 10d para días.

content-type=STRING Se especifica el tipo de medios de encabezado Content-Type en las llamadas POST.

linespan Se permite que la expresión regular expanda líneas nuevas (debe preceder -r o -R).

regex=STRING o ereg=STRING Se busca la expresión regular STRING en la página.

eregi=STRING Se busca la expresión regular STRING sin distinguir entre mayúsculas y minúsculas en la página.

invert-regex Se devuelve CRITICAL si se encuentra, OK si no.

proxy-authorization=AUTH_PAIR Username:password en servidores proxy con autenticación básica.

useragent=STRING Cadena que se debe enviar en encabezado HTTP como User Agent

header=STRING Cualquier otra etiqueta que se debe enviar en un encabezado HTTP. Se utiliza varias veces para encabezados adicionales.

onredirect=ok|warning|critical|follow|sticky|stickyport Cómo controlar las páginas redirigidas. sticky es como follow, pero se queda con la dirección IP especificada. stickyport también garantiza que el puerto permanezca igual.


VMware, Inc. 283

Tabla 15-2. Extensiones para el protocolo HTTP/HTTPS (continuación)


pagesize=INTEGER:INTEGER Tamaño de página mínimo necesario (bytes) : tamaño de página máximo necesario (bytes).

warning=DOUBLE Tiempo de respuesta en segundos antes de que aparezca el estado de advertencia.

critical=DOUBLE Tiempo de respuesta en segundos antes de que aparezca el estado crítico.

expect = STRING Lista de cadenas delimitada por comas. Al menos una de ellas se espera que aparezca en la primera línea (estado) de la respuesta del servidor (de forma predeterminada: HTTP/1) si el valor especificado omite todas las secuencias lógicas de la línea de estado (por ejemplo: procesamiento 3xx, 4xx, 5xx)

string = STRING Cadena que se espera en el contenido.

url = PATH URL en GET o POST (de forma predeterminada: /).

post = STRING URL para codificar los datos de http POST.

method = STRING Configure el método HTTP (por ejemplo, HEAD, OPTIONS, TRACE, PUT o DELETE).

timeout = INTEGER Segundos antes de que se agote el tiempo de espera de conexión (el valor predeterminado es 10 segundos).

header=Host:nombre_host -H nombre_host --sni nombre_host es un nombre de host válido o un FQDN del host.

Cree un monitor de servicio independiente para cada host virtual y agregue una extensión de indicación de nombre de servidor (SNI) en cada monitor de servicio.

Tabla 15-3. Extensiones para el protocolo HTTPS


certificate=INTEGER Cantidad mínima de días que debe tener de validez un certificado. El valor predeterminado del puerto es 443. Cuando se utiliza esta opción, no se comprueba la URL.

authorization=AUTH_PAIR Username:password en sitios con autenticación básica.

ciphers=’ECDHE-RSA-AES256-GCM-SHA384’ Mostrar los cifrados utilizados para comprobar el estado de HTTPS.

15 Si selecciona UDP como el tipo de monitor, realice los pasos indicados a continuación:

a Enviar (Send) (obligatorio): Introduzca la cadena que se debe de enviar al servidor backend después de que se haya establecido una conexión.

b Recibir (requerido): introduzca la cadena que se espera que se reciba del servidor backend. El servidor solo se considerará ACTIVO (UP) si la cadena recibida coincide con esta definición.

Nota La supervisión UDP no admite ninguna extensión.



VMware, Inc. 284

Pasos siguientes

Asocie un monitor de servicio con un grupo.

Agregar un grupo de servidoresEs posible agregar un grupo de servidores para administrar y compartir servidores de back-end de forma flexible y eficiente. Un grupo de servidores administra los métodos de distribución de equilibradores de carga e incluye un monitor de servicio asociado para los parámetros de comprobación de estado.

Procedimiento





5 En el panel de navegación izquierdo, haga clic en Grupos (Pools).


7 Introduzca un nombre y una descripción para el grupo de equilibradores de carga.

8 Seleccione el método de equilibrio del algoritmo para cada servicio habilitado.


IP-HASH Selecciona un servidor según un hash de la dirección IP de origen y el peso total de los servidores en ejecución.

Los parámetros del algoritmo se deshabilitan para esta opción.

LEASTCONN Se distribuyen las solicitudes de los clientes entre varios servidores según la cantidad de conexiones existentes en el servidor.

Las conexiones nuevas se envían al servidor con menos conexiones.


ROUND_ROBIN Se utiliza un servidor por vez según el peso que se le haya asignado a cada uno.

Este es el algoritmo más uniforme y justo para mantener el tiempo de procesamiento de cada servidor distribuido equitativamente.



VMware, Inc. 285


URI Se aplica un hash sobre la porción izquierda del URI (antes del signo de interrogación) que se divide entre el peso total de los servidores en ejecución.

El resultado permite designar el servidor que recibirá la solicitud. Esto garantiza que cada URI se dirija siempre al mismo servidor, a menos que el servidor se active o desactive.

El parámetro del algoritmo URI tiene dos opciones uriLength=<len> y uriDepth=<dep>. El rango del parámetro de longitud debe ser 1<=len<256. El rango del parámetro de profundidad debe ser 1<=dep<10.

Los parámetros de longitud y de profundidad están seguidos de un número entero positivo. Estas opciones pueden equilibrar los servidores según el principio del URI exclusivamente. El parámetro de longitud indica que el algoritmo solo debe considerar los caracteres definidos al principio del URI para calcular el hash.

El parámetro de profundidad indica la profundidad del directorio que se va a utilizar para calcular el hash. Se cuenta un nivel por cada barra diagonal en la solicitud. Si se especifican ambos parámetros, la evaluación se detiene cuando se llega a cualquiera de los dos.

HTTPHEADER El nombre del encabezado HTTP se busca en cada solicitud HTTP.

El nombre del encabezado entre paréntesis no distingue entre mayúsculas y minúsculas, de forma similar a la función ACL "hdr()". Si no hay encabezado o este no contiene ningún valor, se aplicará el algoritmo round robin.

El parámetro del algoritmo HTTPHEADER tiene una opción headerName=<name>. Por ejemplo, puede utilizar host como el parámetro del algoritmo HTTPHEADER.

URL El parámetro URL especificado en el argumento se busca en la cadena de consulta de cada solicitud HTTP GET.

Si el parámetro está seguido de un signo igual (=) y un valor, el valor se dividirá entre el peso total de los servidores en ejecución y se le aplicará un hash. El resultado permite designar el servidor que recibirá la solicitud. Este proceso se utiliza para realizar el seguimiento de los identificadores de usuario de las solicitudes y para garantizar que se envía el mismo ID de usuario al mismo servidor, a menos que el servidor se active o se desactive.

Si no se encuentra ningún parámetro o ningún valor, se aplica un parámetro round robin.

El parámetro del algoritmo URL tiene una opción urlParam=<url>.

9 (opcional) Seleccione un monitor personalizado o uno predeterminado del menú desplegable Monitores (Monitors).


VMware, Inc. 286

10 Agregue miembros al grupo.


b Introduzca el nombre y la dirección IP del miembro del servidor o haga clic en Seleccionar (Select) para asignar objetos de grupo.

Nota VMware Tools debe estar instalado en cada máquina virtual o debe disponerse de un método de detección de IP habilitado (sondeo DHCP o ARP, o ambos) cuando se utilicen objetos de grupo en lugar de direcciones IP. Para obtener más información, consulte Detección de IP para máquinas virtuales.

Los objetos de grupo pueden ser vCenter o NSX.

c Seleccione el estado miembro como Habilitar (Enable), Deshabilitar (Disable) o Purgar (Drain).

n Purgar (Drain): fuerza al servidor para que se apague de forma controlada con el fin de realizar tareas de mantenimiento. Si se configura el miembro del grupo como "purgar", se impide que el servidor backend equilibre la carga, mientras que permite que se use para conexiones existentes y nuevas de clientes con persistencia en dicho servidor. Los métodos de persistencia que funcionan con el estado de purga son la persistencia de IP de origen, la inserción de cookie y el prefijo de cookie.

Nota Habilitar y deshabilitar la configuración de High Availability en NSX Edge puede romper la persistencia y el estado de purga con el método de persistencia de la IP de origen.

n Habilitar (Enable): quita el servidor del modo de mantenimiento y hace que vuelva a estar operativo. El estado de miembro de grupo debe ser Purgar (Drain) o Deshabilitado (Disabled).

n Deshabilitar (Disable): el servidor permanece en modo de mantenimiento.

Nota No puede cambiar el estado del miembro de un grupo de Deshabilitado (Disabled) a Purgar (Drain).

d Introduzca el puerto en el que el miembro recibirá el tráfico y el puerto de supervisión en el que el miembro recibirá los pings de estado.

El valor del puerto debe ser nulo si el servidor virtual relacionado se configura con un rango de puerto.

e Introduzca la proporción de tráfico que el miembro va a manejar en la sección Peso (Weight).

f Introduzca la cantidad máxima de conexiones simultáneas que el miembro podrá manejar.

Cuando las solicitudes entrantes superen la cantidad máxima, se colocarán en cola hasta que se libere una conexión.

g Introduzca la cantidad mínima de conexiones simultáneas que el miembro deberá aceptar.



VMware, Inc. 287

11 Seleccione la opción Transparente (Transparent) para que las direcciones IP del cliente sean visibles para los servidores backend. Para obtener más información detallada, consulte Capítulo 15 Equilibrador de carga lógico.

Cuando la opción Transparente (Transparent) no está seleccionada (valor predeterminado), los servidores backend ven la dirección IP de origen del tráfico como una dirección IP interna del equilibrador de carga. Cuando la opción Transparente (Transparent) está seleccionada, la IP de origen es la IP real del cliente y NSX Edge se debe configurar como la puerta de enlace predeterminada para que los paquetes devueltos pasen por el dispositivo NSX Edge.


Crear un perfil de aplicaciónUtilice perfiles de aplicación para mejorar el control sobre la administración del tráfico de red y así hará que las tareas de administración de tráfico sean más sencillas y eficientes.

Puede crear un perfil de aplicación para definir el comportamiento de un tipo de tráfico de red en particular. Después de configurar un perfil, este debe asociarse con un servidor virtual. A continuación, el servidor virtual procesa el tráfico según los valores especificados en el perfil.

Procedimiento





5 En el panel de navegación izquierdo, haga clic en Perfiles de aplicación (Application Profiles).


7 Escriba un nombre para el perfil y seleccione en el menú desplegable el tipo de tráfico para el que se está creando el perfil.

Tipo de tráfico Método de persistencia admitido

TCP IP de origen, MSRDP

HTTP Cookie, IP de origen

HTTPS Cookie, ID de sesión SSL (SSL Passthrough habilitado), IP de origen

UDP IP de origen

8 Introduzca la URL a la que quiere redireccionar el tráfico HTTP.

Por ejemplo, puede redirigir el tráfico de http://myweb.com a https://myweb.com.


VMware, Inc. 288

9 Especifique el tipo de persistencia para el perfil en el menú desplegable.

La persistencia realiza un seguimiento de los datos de la sesión, como el miembro del grupo específico que procesó una solicitud de cliente, y los almacena. Con la persistencia, las solicitudes del cliente se dirigen al mismo miembro del grupo durante toda una sesión o durante las sesiones posteriores.

n Seleccione la persistencia de la Cookie para insertar una única cookie que identifique la sesión la primera vez que un cliente acceda al sitio.

En las solicitudes posteriores se acude a la cookie para persistir en la conexión al servidor apropiado.

n Seleccione la persistencia de la IP de origen para hacer un seguimiento de las sesiones basado en la dirección IP de origen.

Cuando un cliente solicita una conexión a un servidor virtual que admite la persistencia de afinidad de una dirección de origen, el equilibrador de carga comprueba si ese cliente se conectó anteriormente y, si lo hizo, devuelve el cliente al mismo miembro del grupo.

n Seleccione la persistencia del protocolo del escritorio remoto de Microsoft MSRDP para mantener sesiones persistentes entre los clientes de Windows y los servidores que se están ejecutando en el servicio del protocolo del escritorio remoto de Microsoft (RDP).

El escenario recomendado para habilitar la persistencia de MSRDP es crear un grupo de equilibrio de carga que cuente con miembros que ejecuten Windows Server 2003 o Windows Server 2008, en el que todos los miembros pertenezcan a un clúster de Windows y participen en un directorio de sesiones de Windows.

10 Introduzca el nombre de una cookie y seleccione el modo en el que debe insertarse.


Insertar (Insert) NSX Edge envía una cookie.

Si el servidor envía una o varias cookies, el cliente recibe una cookie extra (la o las cookies del servidor + la cookie de Edge). Si el servidor no envía ninguna cookie, el cliente recibe la cookie de Edge.

Prefijo (Prefix) Se selecciona esta opción si el cliente no admite más de una cookie.

Nota Todos los navegadores aceptan varias cookies. Si cuenta con una aplicación propia que utilice un cliente propio que sea compatible con una sola cookie. El servidor web envía la cookie de la forma habitual. NSX Edge inyecta (a modo de prefijo) la información de su cookie en el valor de la cookie del servidor. Esta información agregada de la cookie se elimina cuando NSX Edge la envía al servidor.

Sesión de la aplicación El servidor no envía una cookie. En su lugar, envía información de sesión del usuario como una URL.

Por ejemplo, http://mysite.com/admin/UpdateUserServlet;jsessionid=OI24B9ASD7BSSD, donde jsessionid es la información de la sesión del usuario y se utiliza para la persistencia. No es posible ver la tabla de persistencia de Sesión de aplicación (App Session) para la solución de problemas.


VMware, Inc. 289

11 Introduzca el tiempo de caducidad de la persistencia en segundos. El valor predeterminado de la persistencia es de 300 segundos (cinco minutos). Tenga en cuenta que la tabla de persistencia es de tamaño limitado. Un valor de tiempo de espera de gran tamaño puede hacer que la tabla de persistencia se llene rápidamente si el tráfico es denso. Cuando se llena la tabla de persistencia, se elimina la entrada más antigua para aceptar la entrada más reciente.

La tabla de persistencia del equilibrador de carga mantiene las entradas para registrar que las solicitudes de los clientes se dirigen al mismo miembro del grupo.

n Si no se reciben nuevas solicitudes de conexión del mismo cliente dentro del tiempo de espera, la entrada de persistencia caducará y se eliminará.

n Si se recibe una nueva solicitud de conexión del mismo cliente dentro del tiempo de espera, se restablecerá el temporizador y se enviará la solicitud de cliente a un miembro estable del grupo.

n Una vez transcurrido el tiempo de espera, se enviarán nuevas solicitudes de conexión a un miembro del grupo asignado por el algoritmo de equilibrio de carga.

En el escenario de persistencia de la IP de origen de la TCP del equilibrio de carga de Capa 7, el tiempo de espera de la entrada de persistencia se agota si no se producen nuevas conexiones TCP durante un periodo de tiempo, aunque las conexiones existentes aún estén activas.

12 (opcional) Crear un perfil de aplicación para el tráfico HTTPS.

Patrones de tráfico HTTPS compatibles:

n Descarga SSL - Cliente > HTTPS -> LB (finalizar SSL) -> HTTP -> servidor

n Proxy SSL - Cliente > HTTPS -> LB (finalizar SSL) -> HTTPS -> servidor

n Passthrough SSL - Cliente > HTTPS -> LB (passthrough SSL) -> HTTPS -> servidor

n Cliente -> HTTP-> LB -> HTTP -> servidores

a (opcional) Seleccione el encabezado Insertar HTTP X-Forwarded-For (Insert X-Forwarded-For HTTP) para identificar la dirección IP originaria de un cliente que se conecte a un servidor web a través del equilibrador de carga.

b Seleccione Configurar certificado de servicio (Configure Service Certificate) para seleccionar el certificado de servicio, los certificados de CA y las listas CLR pertinentes que se utilizan para finalizar el tráfico HTTPS desde el cliente en el equilibrador de carga en la pestaña Certificados de servidor virtual (Virtual Server Certificates).

Esto es necesario solo si la conexión Cliente -> LB es HTTPS.


VMware, Inc. 290

c (opcional) Seleccione Habilitar SSL del grupo (Enable Pool Side SSL) para habilitar la comunicación HTTPS entre el equilibrador de carga y los servidores backend.

Se puede usar el SSL del grupo para configurar el SSL de un extremo a otro.

d (opcional) Seleccione Configurar certificado de servicio (Configure Service Certificate) para seleccionar el certificado de servicio, los certificados de CA y las listas CLR pertinentes que se utilizan para autenticar el equilibrador de carga desde el servidor en la pestaña Certificados grupo (Pool Certificates).

Esto es necesario solo para el patrón Cliente -> HTTPS -> LB -> HTTPS -> servidores.

Puede configurar el certificado de servicio si el equilibrador de carga de NSX Edge tiene un certificado de CA y de CRL ya configurado y necesita comprobar el certificado de servicio de los servidores backend. Esta opción también se puede utilizar para proporcionar el certificado del equilibrador de carga al servidor backend si dicho servidor necesita comprobar el certificado de servicio del equilibrador de carga.

13 Introduzca los algoritmos de cifrado o el conjunto de claves de cifrado negociado durante el protocolo de enlace SSL/TLS Se pueden agregar varios cifrados separados por dos puntos (:). Asegúrese de que el conjunto de claves de cifrado aprobado contiene la longitud de la clave DH superior o igual a 1024 bits.

Puede utilizar conjunto de cifrado aprobados como se indica debajo:

Valor de cifrado Nombre de cifrado

DEFAULT DEFAULT

ECDHE-RSA-AES128-GCM-SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

ECDHE-RSA-AES256-GCM-SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

ECDHE-RSA-AES256-SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

ECDHE-ECDSA-AES256-SHA TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

ECDH-ECDSA-AES256-SHA TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA

ECDH-RSA-AES256-SHA TLS_ECDH_RSA_WITH_AES_256_CBC_SHA

AES256-SHA TLS_RSA_WITH_AES_256_CBC_SHA

AES128-SHA TLS_RSA_WITH_AES_128_CBC_SHA

DES-CBC3-SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

14 Especifique en el menú desplegable si la autenticación del cliente se ignora o es necesaria.

Si selecciona que es necesaria, el cliente debe proporcionar un certificado tras la interrupción de la solicitud o del protocolo de enlace.


Agregar una regla de aplicaciónPuede escribir reglas de aplicaciones utilizando la sintaxis de HAProxy para manipular y administrar el tráfico de aplicaciones.


VMware, Inc. 291

Para obtener información sobre la sintaxis de las reglas de aplicaciones, consulte la documentación de HAProxy en http://cbonte.github.io/haproxy-dconv/.

Para obtener ejemplos de las reglas de aplicaciones más utilizadas, consulte Ejemplos de reglas de aplicación.

Procedimiento





5 En el panel de navegación izquierdo, haga clic en Reglas de aplicación (Application Rules).


7 Introduzca un nombre y un script para la regla.

8 Haga clic en Aceptar.

Ejemplos de reglas de aplicaciónReglas de aplicación utilizadas habitualmente.

Redireccionamiento de HTTP/HTTPS basado en condición

Un perfil de aplicación permite especificar una redirección HTTP/HTTPS, en la cual el tráfico se redirige siempre, independientemente de las direcciones URL de solicitud. También se obtiene flexibilidad para especificar las condiciones en las que se debe redirigir el tráfico HTTP/HTTPS.

move the login URL only to HTTPS.

acl clear dst_port 80

acl secure dst_port 8080

acl login_page url_beg /login

acl logout url_beg /logout

acl uid_given url_reg /login?userid=[^&]+

acl cookie_set hdr_sub(cookie) SEEN=1

redirect prefix https://mysite.com set-cookie SEEN=1 if !cookie_set

redirect prefix https://mysite.com if login_page !secure

redirect prefix http://mysite.com drop-query if login_page !uid_given

redirect location http://mysite.com/ if !login_page secure

redirect location / clear-cookie USERID= if logout


VMware, Inc. 292

http://cbonte.github.io/haproxy-dconv/

Enrutamiento por nombre de dominio

Es posible crear una regla de aplicación para dirigir las solicitudes a un grupo de equilibradores de carga específico según el nombre de dominio. La siguiente regla dirige las solicitudes de foo.com a pool_1 y las solicitudes de bar.com a pool_2.

acl is_foo hdr_dom(host) -i foo

acl is_bar hdr_dom(host) -i bar

use_backend pool_1 if is_foo

use_backend pool_2 if is_bar

Protección y equilibrio de carga RDP de Microsoft

En el siguiente escenario de prueba, el equilibrador de carga envía un nuevo usuario al servidor menos cargado y reanuda una sesión interrumpida. La dirección IP de la interfaz interna de NSX Edge para este escenario es 10.0.0.18, la dirección IP de la interfaz interna es 192.168.1.1 y los servidores virtuales son 192.168.1.100, 192.168.1.101, y 192.168.1.102.

1 Cree un perfil de aplicación para el tráfico de TCP con persistencia de Escritorio remoto de Microsoft (MSRDP).

2 Cree una supervisión de estado de TCP (tcp_monitor).

3 Cree un grupo (llamado rdp-pool) con 192.168.1.100:3389, 192.168.1.101:3389 y 192.168.1.102:3389 como miembros.

4 Asocie tcp_monitor con rdp-pool.

5 Cree la siguiente regla de aplicación.

tcp-request content track-sc1 rdp_cookie(mstshash) table rdp-pool

tcp-request content track-sc2 src table ipv4_ip_table

# each single IP can have up to 2 connections on the VDI infrastructure

tcp-request content reject if { sc2_conn_cur ge 2 }

# each single IP can try up to 5 connections in a single minute

tcp-request content reject if { sc2_conn_rate ge 10 }

# Each user is supposed to get a single active connection at a time, block the second one

tcp-request content reject if { sc1_conn_cur ge 2 }

# if a user tried to get connected at least 10 times over the last minute,

# it could be a brute force

tcp-request content reject if { sc1_conn_rate ge 10 }

6 Cree un servidor virtual (con el nombre rdp-vs).

7 Asocie el perfil de aplicación a este servidor virtual y agregue la regla de aplicación creada en el paso 4.

Esta regla aplicada recientemente en el servidor virtual protege los servidores RDP.


VMware, Inc. 293

Registro avanzado

De forma predeterminada, el equilibrador de carga de NSX es compatible con el inicio de sesión básico. Es posible crear una regla de aplicación mediante los siguientes pasos para ver mensajes de registro más detallados para la solución de problemas.

# log the name of the virtual server

capture request header Host len 32

# log the amount of data uploaded during a POST

capture request header Content-Length len 10

# log the beginning of the referrer

capture request header Referer len 20

# server name (useful for outgoing proxies only)

capture response header Server len 20

# logging the content-length is useful with "option logasap"

capture response header Content-Length len 10

# log the expected cache behaviour on the response

capture response header Cache-Control len 8

# the Via header will report the next proxy's name

capture response header Via len 20

# log the URL location during a redirection

capture response header Location len 20

Después de asociar la regla de aplicación al servidor virtual, los registros incluirán mensajes detallados como los que se muestran en el siguiente ejemplo.

2013-04-25T09:18:17+00:00 edge-187 loadbalancer[18498]: [org1]: 10.117.7.117 - - [25/Apr/

2013:09:18:16 +0000] "GET /favicon.ico HTTP/1.1" 404 1440 "" "" 51656 856 "vip-http-complete"

"pool-http-complete" "m2" 145 0 1 26 172 --NI 1 1 0 0 0 0 0 "" "" "10.117.35.187" "Mozilla/5.0

(Windows NT 6.1; WOW64) AppleWebKit/537.31

(KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31" "Apache/2.2.15 (Linux" ""

2013-04-25T09:18:17+00:00 edge-187 loadbalancer[18498]: [org1]: 10.117.7.117 - - [25/Apr/

2013:09:18:16 +0000] "GET /favicon.ico HTTP/1.1" 404 1440 "" "" 51657 856 "vip-http-complete"

"pool-http-complete" "m2" 412 0 0 2 414 --NI 0 0 0 0 0 0 0 "" "" "10.117.35.187" "Mozilla/5.0

(Windows NT 6.1; WOW64) AppleWebKit/537.31

(KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31" "Apache/2.2.15 (Linux" ""

Para solucionar problemas en el tráfico HTTPS, es posible que sea necesario agregar más reglas. La mayoría de las aplicaciones web utilizan respuestas 301/302 con un encabezado de ubicación para redirigir el cliente a una página (casi siempre después de un inicio de sesión o una llamada POST) y también requieren una cookie de aplicación. Es por eso que el servidor de aplicaciones puede tener dificultades para conocer la información de conexión del cliente y no pueda proporcionar las respuestas correctas; incluso puede impedir que la aplicación funcione.


VMware, Inc. 294

Para permitir que una aplicación web admita la descarga de SSL, agregue la siguiente regla.

# See clearly in the log if the application is setting up response for HTTP or HTTPS

capture response header Location len 32

capture response header Set-Cookie len 32

# Provide client side connection info to application server over HTTP header

http-request set-header X-Forwarded-Proto https if { ssl_fc }

http-request set-header X-Forwarded-Proto http if !{ ssl_fc }

El equilibrador de carga insertará el siguiente encabezado cuando la conexión se establezca mediante SSL.

X-Forwarded-Proto: https

El equilibrador de carga insertará el siguiente encabezado cuando la conexión se establezca mediante HTTP.

X-Forwarded-Proto: http

Bloquear URL específicas

Es posible bloquear solicitudes que tengan palabras clave específicas en la URL. La siguiente regla comprueba si la solicitud empieza por /private o /finance y bloquea las solicitudes que tienen dichos términos.

# Check if the request starts with "/private" or "/finance" (case insensitive)

acl block_url_list path_beg -i /private /finance

# If the request is part of the list forbidden urls,reply "Forbidden"(HTTP response code

403)

block if block_url_list

Redireccionamiento de autenticación HTTP si no hay cookies

Es posible redireccionar la solicitud de un cliente que no tenga cookies para obtener una autenticación. La siguiente regla comprueba si la solicitud de HTTP es auténtica y tiene cookies en el encabezado. Si la solicitud no tiene cookies, la regla redirecciona la solicitud a / authent.php para la autenticación.

acl authent_url url /authent.php

acl cookie_present hdr_sub(cookie) cookie1=

redirect prefix /authent.php if !authent_url !cookie_present

Redireccionamiento de la página predeterminada

Es posible redireccionar la solicitud del cliente / a una página predeterminada. La siguiente regla comprueba si la solicitud de HTTP es / y redirecciona la solicitud a la página de inicio de sesión predeterminada.

acl default_url url /

redirect location /login.php if default_url


VMware, Inc. 295

Redireccionamiento al sitio de mantenimiento

Cuando el grupo primario esté fuera de servicio, puede usar un grupo de servidores de mantenimiento y redireccionar la URL a la página web de mantenimiento.

redirect location http://maitenance.xyz.com/maintenance.htm

Autenticación NT LAN Manager (NTLM)

De forma predeterminada en el lado del servidor, NSX cierra la conexión TCP después de cada solicitud. Si no desea cerrar la sesión del servidor tras cada solicitud, puede mantener dicha sesión activa y segura con el protocolo NTLM.

no option http-server-close

De forma predeterminada en el lado del cliente, NSX mantiene la conexión TCP establecida entre las solicitudes. Sin embargo, con la opción "Reenvío de X" (X-Forwarded-For), la sesión se cierra después de cada solicitud. La siguiente opción mantiene abierta la conexión del cliente entre las solicitudes, incluso si XFF está configurado.

no option httpclose

Reemplazar el encabezado del servidor

Puede eliminar el encabezado del servidor de la respuesta existente y reemplazarlo por otro servidor. La siguiente regla de ejemplo elimina el encabezado del servidor y lo reemplaza por el servidor web NGINX que puede actuar como servidor proxy inverso para los protocolos HTTP, HTTPS, SMTP, POP3, y IMAP, la caché HTTP y un equilibrador de carga.

rspidel Server

rspadd Server:\ nginx

Volver a escribir el redireccionamiento

Puede cambiar el encabezado de ubicación de HTTP a HTTPS. La siguiente regla de ejemplo identifica el encabezado de ubicación y reemplaza HTTP por HTTPS.

rspirep ^Location:\ http://(.*) Location:\ https://\1

Seleccionar un grupo específico basado en un host

Puede redireccionar solicitudes con un host específico a los grupos definidos. La siguiente regla de ejemplo revisa la solicitud de los hosts específicos app1.xyz.com, app2.xyz.com y host_any_app3 y redirecciona estas solicitudes respectivamente a los grupos definidos pool_app1, o pool_app2 y pool_app3. El resto de las solicitudes se redireccionan a los grupos existentes definidos en el servidor virtual.

acl host_app1 hdr(Host) -i app1.xyz.com

acl host_app2 hdr(Host) -i app2.xyz.com

acl host_any_app3 hdr_beg(host) -i app3


VMware, Inc. 296

Use un grupo específico para cada nombre de host.

use_backend pool_app1 if host_app1

use_backend pool_app2 if host_app2

use_backend pool_app3 if host_any_app3

Seleccionar un grupo específico basado en URL

Puede redireccionar solicitudes con palabras clave de URL a los grupos específicos. La siguiente regla de ejemplo comprueba si la solicitud comienza por /private o /finance y las redirecciona a los grupos definidos, pool_private o pool_finance. El resto de las solicitudes se redireccionan a los grupos existentes definidos en el servidor virtual.

acl site_private path_beg -i /private

acl site_finance path_beg -i /finance

use_backend pool_private if site_private

use_backend pool_finance if site_finance

Redireccionar cuando el grupo principal está fuera de servicio

Si los servidores están fuera de servicio en el grupo principal, puede redireccionar usuarios para utilizar los servidores en el grupo secundario. La siguiente regla de ejemplo comprueba que pool_production está fuera de servicio y transfiere los usuarios a pool_sorry_server.

acl pool_production_down nbsrv(pool_production) eq 0

use_backend pool_sorry_server if pool_production_down

Conexión a TCP de la lista blanca

Puede bloquear las direcciones IP cliente para que no accedan al servidor. La siguiente regla de muestra bloquea la dirección IP definida y restablece la conexión si la dirección IP del cliente no está en la lista blanca.

acl whitelist src 10.10.10.0 20.20.20.0

tcp-request connection reject if !whitelist

Habilitar sslv3 y tlsv1

Las extensiones de supervisión de servicio sslv3 y tlsv1 están deshabilitadas de forma predeterminada. Puede habilitarlas mediante la siguiente regla de aplicación.

sslv3 enable

tlsv1 enable

Configurar el tiempo de espera de la sesión del cliente

El tiempo de espera de la sesión es el tiempo de inactividad de conexión máximo en el lado de cliente. El tiempo de espera de inactividad se aplica cuando se espera que el cliente confirme o envíe datos. En el modo HTTP, es importante considerar este tiempo de espera durante la primera fase, cuando el cliente envía la solicitud y durante la respuesta mientras el cliente está leyendo los datos enviados por el servidor. El valor del tiempo de espera por defecto es de cinco minutos.


VMware, Inc. 297

La siguiente regla de muestra establece el periodo de tiempo de espera en 100 segundos.

timeout client 100s

Se puede establecer el tiempo como número entero con milisegundos, segundos, minutos, horas o días.

Redireccionamiento al sitio HTTPS

Puede redirigir los clientes que llegan sobre HTTP a la misma página en HTTPS.

# Redirect all HTTP requests to same URI but HTTPS redirect scheme

https if !{ ssl_fc }

También dispone de otra opción:

rspirep ^Location:\ http://(.*) Location:\ https://\1

Redirigir los clientes no autenticados

Redirige las peticiones de clientes a "/authent.php" si no tienen una cookie.

# Check the HTTP request if request is "/authent.php"

acl authent_url url /authent.php

# Check the cookie "cookie1" is present

acl cookie_present hdr_sub(cookie) cookie1=

# If the request is NOT "/authent.php" and there is no cookie, then redirect to "/authent.php"

redirect prefix /authent.php if !authent_url !cookie_present

Reescritura de encabezado de respuesta HTTP

Sustituya el encabezado del servidor de respuesta "Servidor" (Server) por el valor "nginx".

# Delete the existing Response Server header "Server"

rspidel Server

# Add the Response Server header "Server" with the value "nginx"

rspadd Server:\ nginx

Servidor de respaldo

En caso de que todos los servidores del grupo principal estén inactivos, utilice los servidores del grupo secundario,

# detect if pool "pool_production" is still up

acl pool_production_down nbsrv(pool_production) eq 0

# use pool "pool_sorry_server" if "pool_production" is dead

use_backend pool_sorry_server if pool_production_down

# Option 1: # Redirect everything to maintenance site

redirect location http://maintenance.xyz.com/maintenance.htm


VMware, Inc. 298

# Option 2: #Use a specific maintenance server pool and rewrite all URLs to maintenance.php

acl match_all always_true

use_backend maint_pool if match_all

reqirep ^GET\(.*)\HTTP/(.*) GET\ /maintenance.php\ HTTP/\2

Agregar servidores virtualesEs posible agregar una interfaz interna o de vínculo superior de NSX Edge como un servidor virtual.

Requisitos previos

n Compruebe que está disponible el perfil de la aplicación. Consulte Crear un perfil de aplicación.

n Si está asociando una regla de una aplicación con el servidor virtual, consulte Crear un perfil de aplicación.

n Si está habilitando la aceleración para usar el equilibrador de carga rápido, se debe habilitar la aceleración cuando se configure el equilibrador de carga. Consulte Configurar el servicio de equilibrador de carga.

Procedimiento





5 En el panel de navegación izquierdo, haga clic en Servidores virtuales (Virtual Servers).


7 Active Habilitar servidor virtual (Enable Virtual Server) para disponer de este servidor virtual para su uso.

8 (opcional) Active Habilitar aceleración (Enable Acceleration) para que el equilibrador de carga de NSX Edge utilice el motor del equilibrador de carga de Capa 4 más rápido en lugar del motor del equilibrador de carga de Capa 7.

Nota Esta configuración requiere que el firewall esté habilitado en la instancia de Edge.

Si la configuración de un servidor virtual que incluya por ejemplo, reglas de aplicación, tipo de HTTP o persistencia de cookies, está utilizando el motor del equilibrador de carga de Capa 7, dicho motor se utiliza independientemente de que la aceleración esté o no activada. La opción Aceleración habilitada debe estar seleccionada bajo Configuración global (Global Configuration).

Puede usar el comando de la CLI show service loadbalancer virtual para confirmar el motor del equilibrador de carga que está en uso.


VMware, Inc. 299

9 Seleccione el perfil de aplicación que se asociará con el servidor virtual.

Se puede asociar un solo perfil de aplicación con el mismo protocolo que el servidor virtual que se desea agregar. Se mostrarán los servicios compatibles con el grupo seleccionado.

10 Introduzca un nombre y una descripción para el servidor virtual.

11 Haga clic en Seleccionar dirección IP (Select IP Address) para especificar la dirección IP en la que el equilibrador de carga escucha y el tipo de protocolo que el servidor virtual utilizará.

El cuadro de diálogo Seleccionar dirección IP (Select IP Address) muestra solo la dirección IP principal. Si está creando una VIP mediante una dirección IP secundaria, introdúzcala de forma manual.

12 En el menú desplegable, seleccione el protocolo que utiliza el servidor virtual.

13 Introduzca el número de puerto en el que el equilibrador de carga escucha.

También puede establecer un rango de puertos como por ejemplo, 80,8001-8004,443, para compartir la configuración del servidor virtual que incluya opciones tales como grupo de servidores, perfil de la aplicación y regla de aplicación.

Para utilizar FTP, el protocolo TCP debe tener asignado el puerto 21.

14 Seleccione la regla de aplicación.

15 Introduzca las conexiones concurrentes máximas que el servidor virtual puede procesar en la sección Límite de conexión (Connection Limit section).

16 Introduzca las solicitudes de nueva conexión entrante máximas por segundo en la sección de Límite de velocidad de conexión (Connection Rate Limit section).

17 (opcional) Haga clic en la pestaña Avanzado (Advanced) y agregue la regla de aplicación para asociarla con el servidor virtual.


Administrar perfiles de aplicacionesTras crear un perfil de aplicaciones y asociarlo a un servidor virtual, puede actualizar el perfil existente o bien eliminarlo para reducir el consumo de recursos del sistema.

Editar un perfil de aplicaciónEs posible editar un perfil de aplicación.

Procedimiento





VMware, Inc. 300

4 Haga clic en la pestaña Administrar (Manage) y, a continuación, en la pestaña Equilibrador de carga (Load Balancer).


6 Seleccione un perfil y haga clic en el icono Editar (Edit) ( ).

7 Realice los cambios apropiados de tráfico, persistencia, certificado o configuración de cifrado y haga clic en Finalizar (Finish).

Configurar la terminación SSL para un equilibrador de cargaSin tener configurada la terminación SSL, no se inspeccionan las solicitudes HTTP. El equilibrador de carga ve las direcciones IP de origen y de destino y los datos cifrados. Si desea inspeccionar las solicitudes HTTP, puede finalizar la sesión SSL del equilibrador de carga y crear una nueva sesión SSL a través del grupo de celdas.

Requisitos previos

Diríjase a Administrar > Configuración > Certificados (Manage > Settings > Certificates) para asegurarse de que existe un certificado válido. Puede cargar un certificado para el equilibrador de carga de las siguientes maneras:

n En formato PEM.

n Generando un CSR.

n Creando un certificado autofirmado.

Procedimiento

1 En el perfil de aplicación HTTPS a través de Administrar > Equilibrador de carga > Perfiles de aplicación (Manage > Load Balancer > Application Profiles).

2 Seleccione el tipo de HTTPS en el menú desplegable.

3 Compruebe que la opción Habilitar Passthrough SSL (Enable SSL Passthrough) no esté seleccionada.

4 Compruebe que la opción Configurar certificado de servicio está seleccionada.


VMware, Inc. 301

5 Seleccione el certificado apropiado en la lista.

Eliminar un perfil de aplicaciónEs posible eliminar un perfil de aplicación.

Procedimiento






6 Seleccione un perfil y haga clic en el icono Eliminar (Delete).

Administrar monitores de servicioEl monitor de servicio define los parámetros de comprobación de estado del equilibrador de carga.

Si usa el monitor de servicio del equilibrador de carga con high availability (HA), se debe habilitar HA en una interfaz dedicada.


VMware, Inc. 302

Después de crear un monitor de servicio y asociarlo a un grupo, puede actualizar el monitor de servicio existente o bien eliminarlo para ahorrar recursos del servidor.

Para obtener más información acerca de los monitores de servicio, consulte Crear un monitor de servicio.

Editar un monitor de servicioEs posible editar un monitor de servicio.

Procedimiento






6 Seleccione un monitor de servicio y haga clic en el icono Editar (Edit).


Eliminar un monitor de servicioEs posible eliminar un monitor de servicio.

Procedimiento






6 Seleccione un monitor de servicio y haga clic en el icono Eliminar (Delete).

Administrar grupos de servidoresTras agregar un grupo de servidores para administrar la distribución del equilibrador de carga, puede actualizar el grupo existente o eliminarlo para guardar recursos del sistema.

Editar un grupo de servidoresEs posible editar un grupo de servidores.


VMware, Inc. 303

Procedimiento





5 Asegúrese de estar en la pestaña Grupo (Pool).

6 Seleccione el grupo que desea editar.



Configurar un equilibrador de carga para utilizar el modo transparenteLa opción Transparente (Transparent) indica si las direcciones IP del cliente son visibles para los servidores backend. Cuando la opción Transparente (Transparent) no está seleccionada (valor predeterminado), los servidores backend ven la IP de origen del tráfico como una IP interna de equilibrio de carga. Si la opción Transparente está seleccionada, la IP de origen es la IP del cliente real y NSX Edge debe estar en la ruta de la respuesta del servidor. Un diseño típico debe tener NSX Edge como puerta de enlace predeterminada del servidor.

Para obtener más información, consulte Capítulo 15 Equilibrador de carga lógico.


VMware, Inc. 304

Procedimiento

u En la configuración del grupo de servidores en Administrar > Equilibrador de carga > Grupos (Manage > Load Balancer > Pools), habilite el modo transparente.

Eliminar un grupo de servidoresEs posible eliminar un grupo de servidores.

Procedimiento





5 Asegúrese de estar en la pestaña Grupo (Pool).

6 Seleccione el grupo que desea eliminar.


Mostrar estadísticas de grupoPuede ver el estado más reciente de un grupo y de los miembros asociados a dicho grupo.

Procedimiento



VMware, Inc. 305




5 En el panel de navegación izquierdo, haga clic en Grupos (Pools).

6 Seleccione el grupo requerido y a continuación haga clic en el vínculo Mostrar estadísticas de grupo (Show Pool Statistics).

El estado del grupo puede ser ACTIVO (UP) o INACTIVO (DOWN). El grupo se marca como INACTIVO (DOWN) cuando todos los miembros del grupo tienen dicho estado. De lo contrario, el estado del grupo será ACTIVO (UP).

El estado de los miembros será uno de los siguientes estados:

n ACTIVO (UP): el miembro está habilitado y su estado de mantenimiento es ACTIVO (UP). O no se ha definido el monitor en el grupo.

n INACTIVO (DOWN): el miembro está habilitado y su estado de mantenimiento es INACTIVO (DOWN).

n MANT. (MAINT): el miembro está deshabilitado.

n PURGA (DRAIN): el miembro está en estado de purga.

Administrar servidores virtualesTras agregar servidores virtuales, puede actualizar la configuración de los existentes o eliminarlos.

Editar un servidor virtualEs posible editar un servidor virtual.

Procedimiento





5 Haga clic en la pestaña Servidores virtuales (Virtual Servers).

6 Seleccione el servidor virtual que desea editar.


8 Realice los cambios adecuados y haga clic en Finalizar (Finish).


VMware, Inc. 306

Eliminar un servidor virtualEs posible eliminar un servidor virtual.

Procedimiento





5 Haga clic en la pestaña Servidores virtuales (Virtual Servers).

6 Seleccione el servidor virtual que desea eliminar.


Administrar reglas de aplicacionesTras crear reglas de aplicaciones para configurar el tráfico de aplicaciones, puede editar la regla existente o bien eliminarla.

Editar una regla de aplicaciónUtilice la sintaxis HAProxy para agregar o editar reglas de aplicaciones para manipular el tráfico de aplicaciones.

Para obtener información sobre la sintaxis de las reglas de aplicaciones, consulte la documentación de HAProxy en http://cbonte.github.io/haproxy-dconv/.

Para obtener ejemplos de las reglas de aplicaciones más utilizadas, consulte Ejemplos de reglas de aplicación.

Procedimiento





5 En el panel de navegación izquierdo, haga clic en Reglas de aplicación (Application Rules).

6 Seleccione una regla y haga clic en el icono Editar (Edit).



VMware, Inc. 307

http://cbonte.github.io/haproxy-dconv/

Eliminar una regla de aplicaciónEs posible eliminar una regla de aplicación.

Procedimiento






6 Seleccione un perfil y haga clic en el icono Eliminar (Delete).

Servidores web de equilibrio de carga que utilizan autenticación NTLMEl equilibrador de carga de NSX y la autenticación NTLM requieren que la conexión del servidor se mantenga activa.

De forma predeterminada, el equilibrador de carga de NSX cierra la conexión TCP del servidor tras cada solicitud de cliente, sin embargo, la autenticación NT LAN Manager (NTLM) de Windows requiere la misma conexión para la vida útil de la solicitud autenticada y las conexiones se mantienen activas durante el transcurso de las solicitudes.

Para mantener la conexión del servidor abierta entre solicitudes, agregue la siguiente regla de aplicación a la carga de IP virtual que equilibra a los servidores web mediante autenticación NTLM:

add # NTLM authentication and keep the server connection open between requests

no option http-server-close

Modos de conexión HTTP del equilibrador de carga

En NSX 6.1.5 y versiones posteriores, al habilitar x-forwarded-for, el modo de conexión HTTP cambia de cierre pasivo (option httpclose) al modo predeterminado cierre de servidor HTTP (option http-server-close). Esto mantiene abierta la conexión orientada al cliente, mientras que la conexión orientada al servidor se cierra tras recibir una respuesta del servidor. Antes de NSX 6.1.5, el equilibrador de carga de NSX no cerraba la conexión de forma proactiva, pero insertaba el encabezado de cierre de conexión "Connection:close" en ambas direcciones para indicar al cliente o al servidor que cerraran la conexión. Si una transacción de HTTP/HTTPS falla en el equilibrador de carga de NSX después de actualizar a NSX 6.1.5 o versiones posteriores, agregue una regla de aplicación con la opción de script httpclose y asóciela al servidor virtual que ya no está en funcionamiento.


VMware, Inc. 308

Cierre de servidor HTTP (opción predeterminada): la conexión orientada al servidor se cierra una vez que se recibe el final de la respuesta y la conexión orientada al cliente permanece abierta. Cierre de servidor HTTP proporciona latencia en el lado cliente (red lenta) y hace que la sesión se vuelva a utilizar de forma más rápida en el lado servidor para ahorrar recursos del servidor. También permite a los servidores que funcionan sin conexión keep-alive funcionar con este tipo de conexión desde un punto de vista de cliente. Este modo es adecuado en la mayoría de los casos, sobre todo con redes lentas orientadas al cliente y redes rápidas orientadas al servidor.

HTTP Keep Alive - Todas las solicitudes y las respuestas se procesan y las conexiones permanecen abiertas, pero inactivas entre las respuestas y las solicitudes. Las ventajas son menor latencia entre las transacciones y menor necesidad de capacidad de procesamiento en el lado servidor. Tenga en cuenta que los requisitos de memoria aumentarán para alojar al número de sesiones activas, que será mayor dado que las conexiones ya no se cierran después de cada solicitud. El tiempo de espera de inactividad orientado al cliente se puede configurar mediante la regla de aplicación "timeout http-persistentes [time]". De forma predeterminada, el tiempo de espera de inactividad es 1 segundo. Este modo es obligatorio cuando una aplicación requiere autenticación NTLM.

Túnel HTTP - Solo se procesan la primera solicitud y la primera respuesta y se establece un túnel entre el cliente y el servidor, lo que les permite comunicarse sin mayor análisis del protocolo HTTP. Una vez establecida, la conexión permanece tanto en el lado cliente como en el lado servidor. Para habilitar este modo, no se deben configurar ninguna de las opciones siguientes: modo de cierre pasivo, modo de cierre de servidor y modo de cierre forzado.

El modo de túnel HTTP afecta a las siguientes funciones y se aplica solo a la primera solicitud y a la primera respuesta de una sesión:

n no se generan registros

n análisis del encabezado HTTP

n manipulación de encabezado HTTP

n procesamiento de cookies

n conmutación de contenido

n inserción del encabezado X-Forwarded-For

Cierre pasivo de HTTP - Es igual que el modo de túnel, pero con un encabezado de cierre de conexión "Connection:close" agregado tanto en el lado cliente como en el lado servidor. Ambos extremos se cierran tras el primer intercambio de solicitud y de respuesta. Si se configura "option httpclose", el equilibrador de carga de NSX funciona en el modo de túnel y comprueba si hay un encabezado de cierre de conexión "Connection: close" en cada lado. Si el encabezado no está presente, se agregará un encabezado de cierre de conexión "Connection: close". A continuación, cada extremo cierra la conexión TCP de forma activa después de cada transferencia, lo que da lugar a un cambio al modo de cierre de HTTP. Se eliminará cualquier encabezado de conexión que no sea "close". Las aplicaciones que no puedan procesar correctamente la segunda solicitud ni las posteriores, como una cookie insertada por el equilibrador de carga de NSX y retirada por las siguientes solicitudes del cliente, pueden usar el modo de túnel o el modo de cierre pasivo.


VMware, Inc. 309

Algunos servidores HTTP no necesariamente cerrarán las conexiones al recibir la configuración "Connection: close" de "option httpclose". Si el cliente tampoco cierra la conexión, esta permanecerá abierta hasta que el tiempo de espera se agote. Esto crea un gran número de conexiones simultáneas en los servidores y muestra una larga duración de la sesión global en los registros. Por este motivo, no son compatibles con navegadores antiguos HTTP 1.0. Si esto ocurre, utilice "option forceclose", que cierra de forma activa la conexión de la solicitud una vez que el servidor responda. La opción "forceclose" también libera antes la conexión del servidor porque no tiene que esperar a que el cliente lo confirme.

Cierre forzado de HTTP - El equilibrador de carga de NSX cierra de forma activa tanto las conexiones del servidor como las del cliente tras la finalización de una respuesta. Algunos servidores HTTP no necesariamente cerrarán las conexiones al recibir la configuración "Connection: close" de "option httpclose". Si el cliente tampoco cierra la conexión, esta permanecerá abierta hasta que el tiempo de espera se agote. Esto crea un gran número de conexiones simultáneas en los servidores y muestra una larga duración de la sesión global en los registros. Cuando esto ocurre, "option forceclose" cerrará de forma activa el canal del servidor de salida en cuanto el servidor termine de responder y liberará algunos recursos antes de lo que se haría con "option httpclose".

NSX

Modo de conexión predeterminada

Modo de conexión cuando X-Forwarded-For está habilitado

Reglas de aplicación disponibles para cambiar el modo de conexión

6.0.x, 6.1.0, 6.1.1 Cierre de servidor HTTP

“option httpclose” se agrega automáticamente al servidor virtual para forzar que xff se agregue a todas las solicitudes según se especifica en el documento de HAProxy. El encabezado xff se agrega a cada solicitud del cliente cuando se realiza el envío a un servidor back-end.

No

6.1.2 - 6.1.4 Cierre de servidor HTTP

Cierre pasivo de HTTP (“option httpclose” se agrega automáticamente al servidor virtual)

“no option http-server-close”

“option httpclose”

“no option httpclose”

6.1.5 - 6.1.x 6.2.0 - 6.2.2 Cierre de servidor HTTP

El encabezado xff de cierre de servidor HTTP se agrega a cada solicitud del cliente cuando se realiza el envío al servidor back-end.




6.2.3-6.2.5 Cierre de servidor HTTP






VMware, Inc. 310

NSX

Modo de conexión predeterminada

Modo de conexión cuando X-Forwarded-For está habilitado

Reglas de aplicación disponibles para cambiar el modo de conexión

6.2.3-6.2.5 Cierre de servidor HTTP





6.2.5 - 6.2.x Cierre de servidor HTTP



“option http-keep-alive”

“option http-tunnel”


“option forceclose”

Escenarios de configuración del equilibrador de carga de NSXPuede utilizar los escenarios de configuración del equilibrador de carga de NSX para comprender el flujo de trabajo de extremo a extremo necesario.

Configurar un equilibrador de carga one-armedLa puerta de enlace de servicio de Edge (ESG) puede estar concebida como un proxy para el tráfico de cliente entrante.


VMware, Inc. 311

V

Fase 1

IP DST 192.168.1.20

DST 80

VLAN

192.168.1.20TCP 80

Fácil inserción No se detectala IP del cliente

Solución alternativa para el encabezado de HTTP

Reenvío de X (X-Forwarded-For HTTP)


192.168.1.2

192.168.1.1

Conmutadorlógico

(VXLAN)


Puerta de enlacede servicios de

NSX Edge

SRC 172.30.40.7

SRC 1025

TCP

Fase 4

IP DST 172.30.40.7

DST 1025

SRC 192.168.1.20

SRC 80

TCP

Fase 2 (DNAT + SNAT)

IP DST 192.168.1.3

DST 80

SRC 192.168.1.20

SRC 4099

TCP

Fase 3

IP DST 192.168.1.20

DST 4099

SRC 192.168.1.3

SRC 80

TCP

SLB


VMware, Inc. 312

En modo proxy, el equilibrador de carga utiliza su propia dirección IP como dirección de origen para enviar solicitudes a un servidor backend. El servidor backend ve todo el tráfico que se envía desde el equilibrador de carga y responde directamente al equilibrador de carga. Este modo también se conoce como modo SNAT o modo no transparente. Para obtener más información, consulte la Guía de administración de NSX.

Se implementa un equilibrador de carga one-armed de NSX en la misma subred con sus servidores backend, aparte del enrutador lógico. El servidor virtual del equilibrador de carga de NSX atiende a una IP virtual para las solicitudes entrantes del cliente y distribuye las solicitudes a los servidores backend. Para el tráfico de retorno, es necesario que el NAT inverso cambie la dirección IP de origen desde el servidor backend a una dirección IP virtual (VIP) y que luego envíe la dirección IP virtual al cliente. Sin esta operación, se interrumpirá la conexión con el cliente.

Después de que la ESG reciba el tráfico, realiza dos operaciones: Traducción de operaciones de red de destino, DNAT (Destination Network Address Translation), para cambiar la dirección VIP de la dirección IP en una de las máquinas de equilibrador de carga y Traducción de direcciones de red de origen, SNAT (Source Network Address Translation), para intercambiar la dirección IP del cliente con la dirección IP de ESG.

A continuación, el servidor de ESG envía el tráfico al equilibrador de carga y el servidor de este último envía la respuesta de vuelta a ESG y luego de vuelta al cliente. Es más sencillo configurar esta opción que configurar el modo en línea, pero tiene dos advertencias potenciales. La primera es que este modo necesita un servidor ESG dedicado y la segunda es que el servidor del equilibrador de carga no conoce la dirección IP del cliente original. Una solución alternativa para las aplicaciones HTTP/HTTPS es habilitar Insertar el reenvío de X (Insert X-Forwarded-For) en el perfil de la aplicación de HTTP para que lleve la dirección IP del cliente en el encabezado del reenvío de X (X-Forwarded-For) en la solicitud enviada al servidor backend.

Si es necesaria la visibilidad de la dirección IP del cliente en el servidor backend para aplicaciones que no sean HTTP/HTTPS, puede configurar el grupo de IP para que sean transparentes. En caso de que los clientes no estén en la misma subred que el servidor backend, se recomienda el modo en línea. De lo contrario, debe usar la dirección IP del equilibrador de carga como puerta de enlace predeterminada del servidor backend.

Nota Normalmente, existen tres métodos para garantizar la integridad de la conexión:

n Modo en línea/transparente

n SNAT/proxy/modo no transparente (mencionado anteriormente)

n Direct Server Return (DSR): no compatible actualmente

En el modo DSR, el servidor backend responde directamente al cliente. Actualmente, el equilibrador de carga de NSX no admite DSR.

Procedimiento

1 Como ejemplo, puede configurar un servidor virtual one-armed con descarga de SSL. Haga doble clic en Edge para crear un certificado y, a continuación, seleccione Administrar > Configuración > Certificado (Manage > Settings > Certificate).


VMware, Inc. 313

2 Habilite el servicio de equilibrador de carga mediante la selección de Administrar > Equilibrador de carga > Configuración global > Editar (Manage > Load Balancer > Global Configuration > Edit).

3 Cree un perfil de aplicación HTTPS mediante la selección de Administrar > Equilibrador de carga > Perfiles de aplicación (Manage > Load Balancer > Application Profiles).

Nota La captura de pantalla anterior utiliza certificados autofirmados solo para documentación.

4 De forma opcional, haga clic en Administrar > Equilibrador de carga > Supervisión del servicio (Manage > Load Balancer > Service Monitoring) y edite la supervisión del servicio por defecto para cambiarla de HTTP/HTTPS básicos a URL/URIs específicas, según sea necesario.


VMware, Inc. 314

5 Cree grupos de servidores mediante la selección de Administrar > Equilibrador de carga > Grupos (Manage > Load Balancer > Pools).

Para usar el modo SNAT, deje la casilla Transparente (Transparent) sin marcar en la configuración del grupo.

Compruebe que todas las máquinas virtuales están en la lista y habilitadas.

6 De forma opcional, haga clic en Administrar > Equilibrador de carga > Grupos > Mostrar estadísticas de grupo (Manage > Load Balancer > Pools > Show Pool Statistics) para revisar el estado.

Asegúrese de que el estado de miembro es LISTO (UP).

7 Cree un servidor virtual mediante la selección de Administrar > Equilibrador de carga > Servidores virtuales (Manage > Load Balancer > Virtual Servers).

Si quisiera utilizar el equilibrador de carga de Capa 4 para UDP o un rendimiento mayor de TCP, active Habilitar aceleración (Enable Acceleration). Si activa Habilitar aceleración (Enable Acceleration), asegúrese de que el estado del firewall es Habilitado (Enabled) en el equilibrador de carga de NSX Edge, porque se necesita un firewall para el SNAT de Capa 4.


VMware, Inc. 315

Compruebe que la dirección IP está unida al grupo de servidores.

8 De forma opcional, si utiliza una regla de aplicaciones, compruebe la configuración en Administrar > Equilibrador de carga > Reglas de aplicaciones (Manage > Load Balancer > Application Rules).

9 SI utiliza una regla de aplicaciones, asegúrese de que dicha regla está asociada con el servidor virtual en Administrar > Equilibrador de carga > Servidores virtuales > Avanzado (Manage > Load Balancer > Virtual Servers > Advanced).

Para ejemplos compatibles, consulte https://communities.vmware.com/docs/DOC-31772.


VMware, Inc. 316


En el modo no transparente, el servidor backend no puede consultar la IP del cliente, pero sí puede ver el equilibrador de carga de la dirección IP interna. Como solución alternativa al tráfico de HTTP/HTTPS, active el encabezado Insertar X-Forwarded-For HTTP (Insert X-Forwarded-For HTTP). Con esta opción activa, el equilibrador de carga de Edge agrega el encabezado "X-Forwarded-For" con el valor de la dirección IP de origen del cliente.

Escenario: configurar el equilibrador de carga de NSX para Plaftorm Services ControllerPlatform Services Controller (PSC) proporciona funciones de seguridad en infraestructuras, como vCenter Single Sign-On, la reserva de servidores, la administración de certificados y la concesión de licencias.

Cuando haya configurado el equilibrador de carga de NSX, puede proporcionar la dirección IP de la interfaz del vínculo superior del dispositivo NSX Edge para vCenter Single Sign-On.

Requisitos previos

n Realice las tareas de preparación de disponibilidad alta de PSC que se indican en la base de conocimientos. Consulte http://kb.vmware.com/kb/2113315.

n Guarde los archivos /ha/lb.crt y /ha/lb_rsa.key desde el primer nodo de PSC para configurar los certificados.

n Compruebe que haya un dispositivo NSX Edge configurado.

n Asegúrese de tener al menos un vínculo superior para configurar la VIP y una interfaz asociada al conmutador lógico interno.

Procedimiento

1 Agregue certificados de CA de PSC a la instancia de NSX Edge.

a Guarde el certificado y el archivo root.cer de PSC así como el RSA y la frase de contraseña generados por el comando OpenSSL.

b Haga doble clic en la instancia de Edge y seleccione Administrar (Manage) > Configuración (Settings) > Certificado (Certificate).

c Agregue el archivo guardado root.cer de contenido al contenido del certificado de CA.

d Agregue la frase de contraseña guardada a la sección de clave privada.


VMware, Inc. 317

http://kb.vmware.com/kb/2113315

2 Habilite el servicio del equilibrador de carga.

a Seleccione Administrar (Manage) > Equilibrador de carga (Load Balancer) > Editar (Edit).

b Marque las opciones Habilitar equilibrio de carga (Enable Load Balancing) y Registro (Logging).


VMware, Inc. 318

3 Cree perfiles de aplicaciones con los protocolos HTTPS y TCP.

a Seleccione Administrar (Manage) > Equilibrador de carga (Load Balancer) > Perfiles de aplicaciones (Application Profiles).

b Cree un perfil de aplicación TCP.

c Crear un perfil de aplicación de HTTPS.


VMware, Inc. 319

4 Crear grupos de aplicaciones para agregar nodos de PSC de miembros.

a Seleccione Administrar (Manage) > Equilibrador de carga (Load Balancer) > Grupos (Pools).

b Cree dos grupos de aplicaciones con el puerto de supervisión 443.

Utilice la dirección IP del nodo de PSC.

c Cree dos grupos de aplicaciones con el puerto de supervisión 389.

Utilice la dirección IP del nodo de PSC.


VMware, Inc. 320

5 Crear servidores virtuales para los protocolos HTTPS y TCP.

a Seleccione Administrar (Manage) > Equilibrador de carga (Load Balancer) > Servidores virtuales (Virtual Servers).

b Cree un servidor virtual para la VIP de TCP.

c Cree un servidor virtual para la VIP de HTTPS.

Escenario: descarga de SSLEdge termina el HTTPS cliente (sesiones SSL). Edge equilibra la carga de los clientes en HTTP a los servidores. Se pueden aplicar las reglas de aplicación de Capa 7.


VMware, Inc. 321

Procedimiento

1 Importe el certificado del servidor web.


b Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSX Edge (NSX Edges).

c Haga doble clic en una instancia de NSX Edge.

d Haga clic en Administrar (Manage) y a continuación seleccione la pestaña Configuración (Settings).

e En el panel de navegación izquierdo, haga clic en Certificados (Certificates).

f Haga clic en el icono Agregar (Add) ( ) y seleccione Certificado (Certificate). Para obtener más información detallada, consulte Trabajar con certificados.


VMware, Inc. 322

g Copie y pegue el contenido del certificado en el cuadro de texto Contenido del certificado (Certificate contents). El texto debería incluir "-----BEGIN xxx-----" y "-----END xxx-----".

En el caso de los certificados en cadena (certificado de servidor y un certificado de CA raíz o intermedio), seleccione la opción Certificado (Certificate). A continuación, se incluye un ejemplo del contenido de un certificado en cadena:


Server cert



Intermediate cert



Root cert


h Copie y pegue el contenido de la clave privada en el cuadro de texto Clave privada (Private Key).

A continuación se muestra un ejemplo del contenido de la clave privada:




El contenido del certificado (PEM para certificado o clave privada debe tener como prefijo una de las siguientes cadenas:

-----BEGIN PUBLIC KEY-----

-----BEGIN RSA PUBLIC KEY-----

-----BEGIN CERTIFICATE REQUEST-----

-----BEGIN NEW CERTIFICATE REQUEST-----


-----BEGIN PKCS7-----

-----BEGIN X509 CERTIFICATE-----

-----BEGIN X509 CRL-----

-----BEGIN ATTRIBUTE CERTIFICATE-----


-----BEGIN DSA PRIVATE KEY-----

-----BEGIN EC PARAMETERS-----

-----BEGIN EC PRIVATE KEY-----

Para ver ejemplos completos de clave privada y certificado, consulte el tema Ejemplo: certificado y clave privada.

Nota El siguiente prefijo no se admite en NSX Manager:

-----BEGIN ENCRYPTED PRIVATE KEY-----


VMware, Inc. 323

2 Cree el perfil de aplicación de HTTPS.




d Haga clic en Administrar (Manage) y seleccione la pestaña Equilibrador de carga (Load Balancer).

e En el panel de navegación izquierdo, haga clic en Perfil de aplicación (Application Profile). Para obtener más información detallada, consulte Administrar perfiles de aplicaciones.

f Cree un nuevo perfil de aplicación con los siguientes parámetros:

n En la lista, seleccione Tipo (Type) como HTTPS.

n Seleccione la casilla Configurar certificados de servicio (Configure Service Certificates).

n Seleccione el certificado de servicio configurado en el paso 1.

3 Cree un servidor virtual.





e En el panel de navegación izquierdo, haga clic en Servidores virtuales (Virtual Servers). Para obtener más información, consulte Administrar servidores virtuales.

f Cree un nuevo servidor virtual con los siguientes parámetros:

n Seleccione la casilla Habilitar servidor virtual (Enable Virtual Server) para que el servidor virtual quede disponible para ser utilizado.

n Como Protocolo (Protocol) seleccione HTTPS.

n Seleccione el grupo predeterminado que está compuesto por servidores HTTP (no servidores HTTPS).

n Seleccione el perfil de aplicación configurado en el paso 2.

Ejemplo: certificado y clave privadaA continuación se muestran ejemplos de certificados y clave privada.


VMware, Inc. 324

Certificado de servidor web


MIID0DCCArigAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MQswCQYDVQQGEwJGUjET

MBEGA1UECAwKU29tZS1TdGF0ZTEOMAwGA1UEBwwFUGFyaXMxDTALBgNVBAoMBERp

bWkxDTALBgNVBAsMBE5TQlUxEDAOBgNVBAMMB0RpbWkgQ0ExGzAZBgkqhkiG9w0B

CQEWDGRpbWlAZGltaS5mcjAeFw0xNDAxMjgyMDM2NTVaFw0yNDAxMjYyMDM2NTVa

MFsxCzAJBgNVBAYTAkZSMRMwEQYDVQQIDApTb21lLVN0YXRlMSEwHwYDVQQKDBhJ

bnRlcm5ldCBXaWRnaXRzIFB0eSBMdGQxFDASBgNVBAMMC3d3dy5kaW1pLmZyMIIB

IjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAvpnaPKLIKdvx98KW68lz8pGa

RRcYersNGqPjpifMVjjE8LuCoXgPU0HePnNTUjpShBnynKCvrtWhN+haKbSp+QWX

SxiTrW99HBfAl1MDQyWcukoEb9Cw6INctVUN4iRvkn9T8E6q174RbcnwA/7yTc7p

1NCvw+6B/aAN9l1G2pQXgRdYC/+G6o1IZEHtWhqzE97nY5QKNuUVD0V09dc5CDYB

aKjqetwwv6DFk/GRdOSEd/6bW+20z0qSHpa3YNW6qSp+x5pyYmDrzRIR03os6Dau

ZkChSRyc/Whvurx6o85D6qpzywo8xwNaLZHxTQPgcIA5su9ZIytv9LH2E+lSwwID

AQABo3sweTAJBgNVHRMEAjAAMCwGCWCGSAGG+EIBDQQfFh1PcGVuU1NMIEdlbmVy

YXRlZCBDZXJ0aWZpY2F0ZTAdBgNVHQ4EFgQU+tugFtyN+cXe1wxUqeA7X+yS3bgw

HwYDVR0jBBgwFoAUhMwqkbBrGp87HxfvwgPnlGgVR64wDQYJKoZIhvcNAQEFBQAD

ggEBAIEEmqqhEzeXZ4CKhE5UM9vCKzkj5Iv9TFs/a9CcQuepzplt7YVmevBFNOc0

+1ZyR4tXgi4+5MHGzhYCIVvHo4hKqYm+J+o5mwQInf1qoAHuO7CLD3WNa1sKcVUV

vepIxc/1aHZrG+dPeEHt0MdFfOw13YdUc2FH6AqEdcEL4aV5PXq2eYR8hR4zKbc1

fBtuqUsvA8NWSIyzQ16fyGve+ANf6vXvUizyvwDrPRv/kfvLNa3ZPnLMMxU98Mvh

PXy3PkB8++6U4Y3vdk2Ni2WYYlIls8yqbM4327IKmkDc2TimS8u60CT47mKU7aDY

cbTV5RDkrlaYwm5yqlTIglvCv7o=


Certificado de servidor web con cadena (incluyendo CA raíz)


MIID0DCCArigAwIBAgIBATANBgkqhkiG9w0BAQUFADB/MQswCQYDVQQGEwJGUjET



CQEWDGRpbWlAZGltaS5mcjAeFw0xNDAxMjgyMDM2NTVaFw0yNDAxMjYyMDM2NTVa

MFsxCzAJBgNVBAYTAkZSMRMwEQYDVQQIDApTb21lLVN0YXRlMSEwHwYDVQQKDBhJ

bnRlcm5ldCBXaWRnaXRzIFB0eSBMdGQxFDASBgNVBAMMC3d3dy5kaW1pLmZyMIIB

IjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAvpnaPKLIKdvx98KW68lz8pGa

RRcYersNGqPjpifMVjjE8LuCoXgPU0HePnNTUjpShBnynKCvrtWhN+haKbSp+QWX

SxiTrW99HBfAl1MDQyWcukoEb9Cw6INctVUN4iRvkn9T8E6q174RbcnwA/7yTc7p

1NCvw+6B/aAN9l1G2pQXgRdYC/+G6o1IZEHtWhqzE97nY5QKNuUVD0V09dc5CDYB

aKjqetwwv6DFk/GRdOSEd/6bW+20z0qSHpa3YNW6qSp+x5pyYmDrzRIR03os6Dau

ZkChSRyc/Whvurx6o85D6qpzywo8xwNaLZHxTQPgcIA5su9ZIytv9LH2E+lSwwID

AQABo3sweTAJBgNVHRMEAjAAMCwGCWCGSAGG+EIBDQQfFh1PcGVuU1NMIEdlbmVy

YXRlZCBDZXJ0aWZpY2F0ZTAdBgNVHQ4EFgQU+tugFtyN+cXe1wxUqeA7X+yS3bgw

HwYDVR0jBBgwFoAUhMwqkbBrGp87HxfvwgPnlGgVR64wDQYJKoZIhvcNAQEFBQAD

ggEBAIEEmqqhEzeXZ4CKhE5UM9vCKzkj5Iv9TFs/a9CcQuepzplt7YVmevBFNOc0

+1ZyR4tXgi4+5MHGzhYCIVvHo4hKqYm+J+o5mwQInf1qoAHuO7CLD3WNa1sKcVUV

vepIxc/1aHZrG+dPeEHt0MdFfOw13YdUc2FH6AqEdcEL4aV5PXq2eYR8hR4zKbc1

fBtuqUsvA8NWSIyzQ16fyGve+ANf6vXvUizyvwDrPRv/kfvLNa3ZPnLMMxU98Mvh

PXy3PkB8++6U4Y3vdk2Ni2WYYlIls8yqbM4327IKmkDc2TimS8u60CT47mKU7aDY

cbTV5RDkrlaYwm5yqlTIglvCv7o=



MIIDyTCCArGgAwIBAgIBADANBgkqhkiG9w0BAQUFADB/MQswCQYDVQQGEwJGUjET




VMware, Inc. 325

CQEWDGRpbWlAZGltaS5mcjAeFw0xNDAxMjgyMDI2NDRaFw0yNDAxMjYyMDI2NDRa

MH8xCzAJBgNVBAYTAkZSMRMwEQYDVQQIDApTb21lLVN0YXRlMQ4wDAYDVQQHDAVQ

YXJpczENMAsGA1UECgwERGltaTENMAsGA1UECwwETlNCVTEQMA4GA1UEAwwHRGlt

aSBDQTEbMBkGCSqGSIb3DQEJARYMZGltaUBkaW1pLmZyMIIBIjANBgkqhkiG9w0B

AQEFAAOCAQ8AMIIBCgKCAQEAuxuG4QeBIGXj/AB/YRLLtpgpTpGnDntVlgsycZrL

3qqyOdBNlwnvcB9etfY5iWzjeq7YZRr6i0dIV4sFNBR2NoK+YvdD9j1TRi7njZg0

d6zth0xlsOhCsDlV/YCL1CTcYDlKA/QiKeIQa7GU3Rhf0t/KnAkr6mwoDbdKBQX1

D5HgQuXJiFdh5XRebxF1ZB3gH+0kCEaEZPrjFDApkOXNxEARZdpBLpbvQljtVXtj

HMsvrIOc7QqUSOU3GcbBMSHjT8cgg8ssf492Go3bDQkIzTROz9QgDHaqDqTC9Hoe

vlIpTS+q/3BCY5AGWKl3CCR6dDyK6honnOR/8srezaN4PwIDAQABo1AwTjAdBgNV

HQ4EFgQUhMwqkbBrGp87HxfvwgPnlGgVR64wHwYDVR0jBBgwFoAUhMwqkbBrGp87

HxfvwgPnlGgVR64wDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAQEAVqYq

vhm5wAEKmvrKXRjeb5kiEIp7oZAFkYp6sKODuZ1VdkjMDD4wv46iqAe1QIIsfGwd

Dmv0oqSl+iPPy24ATMSZQbPLO5K64Hw7Q8KPos0yD8gHSg2d4SOukj+FD2IjAH17

a8auMw7TTHu6976JprQQKtPADRcfodGd5UFiz/6ZgLzUE23cktJMc2Bt18B9OZII

J9ef2PZxZirJg1OqF2KssDlJP5ECo9K3EmovC5M5Aly++s8ayjBnNivtklYL1VOT

ZrpPgcndTHUA5KS/Duf40dXm0snCxLAKNP28pMowDLSYc6IjVrD4+qqw3f1b7yGb

bJcFgxKDeg5YecQOSg==


Clave privada (sin frase de contraseña)


MIIEowIBAAKCAQEAvpnaPKLIKdvx98KW68lz8pGaRRcYersNGqPjpifMVjjE8LuC

oXgPU0HePnNTUjpShBnynKCvrtWhN+haKbSp+QWXSxiTrW99HBfAl1MDQyWcukoE

b9Cw6INctVUN4iRvkn9T8E6q174RbcnwA/7yTc7p1NCvw+6B/aAN9l1G2pQXgRdY

C/+G6o1IZEHtWhqzE97nY5QKNuUVD0V09dc5CDYBaKjqetwwv6DFk/GRdOSEd/6b

W+20z0qSHpa3YNW6qSp+x5pyYmDrzRIR03os6DauZkChSRyc/Whvurx6o85D6qpz

ywo8xwNaLZHxTQPgcIA5su9ZIytv9LH2E+lSwwIDAQABAoIBAFml8cD9a5pMqlW3

f9btTQz1sRL4Fvp7CmHSXhvjsjeHwhHckEe0ObkWTRsgkTsm1XLu5W8IITnhn0+1

iNr+78eB+rRGngdAXh8diOdkEy+8/Cee8tFI3jyutKdRlxMbwiKsouVviumoq3fx

OGQYwQ0Z2l/PvCwy/Y82ffq3ysC5gAJsbBYsCrg14bQo44ulrELe4SDWs5HCjKYb

EI2b8cOMucqZSOtxg9niLN/je2bo/I2HGSawibgcOdBms8k6TvsSrZMr3kJ5O6J+

77LGwKH37brVgbVYvbq6nWPL0xLG7dUv+7LWEo5qQaPy6aXb/zbckqLqu6/EjOVe

ydG5JQECgYEA9kKfTZD/WEVAreA0dzfeJRu8vlnwoagL7cJaoDxqXos4mcr5mPDT

kbWgFkLFFH/AyUnPBlK6BcJp1XK67B13ETUa3i9Q5t1WuZEobiKKBLFm9DDQJt43

uKZWJxBKFGSvFrYPtGZst719mZVcPct2CzPjEgN3Hlpt6fyw3eOrnoECgYEAxiOu

jwXCOmuGaB7+OW2tR0PGEzbvVlEGdkAJ6TC/HoKM1A8r2u4hLTEJJCrLLTfw++4I

ddHE2dLeR4Q7O58SfLphwgPmLDezN7WRLGr7Vyfuv7VmaHjGuC3Gv9agnhWDlA2Q

gBG9/R9oVfL0Dc7CgJgLeUtItCYC31bGT3yhV0MCgYEA4k3DG4L+RN4PXDpHvK9I

pA1jXAJHEifeHnaW1d3vWkbSkvJmgVf+9U5VeV+OwRHN1qzPZV4suRI6M/8lK8rA

Gr4UnM4aqK4K/qkY4G05LKrik9Ev2CgqSLQDRA7CJQ+Jn3Nb50qg6hFnFPafN+J7

7juWln08wFYV4Atpdd+9XQECgYBxizkZFL+9IqkfOcONvWAzGo+Dq1N0L3J4iTIk

w56CKWXyj88d4qB4eUU3yJ4uB4S9miaW/eLEwKZIbWpUPFAn0db7i6h3ZmP5ZL8Q

qS3nQCb9DULmU2/tU641eRUKAmIoka1g9sndKAZuWo+o6fdkIb1RgObk9XNn8R4r

psv+aQKBgB+CIcExR30vycv5bnZN9EFlIXNKaeMJUrYCXcRQNvrnUIUBvAO8+jAe

CdLygS5RtgOLZib0IVErqWsP3EI1ACGuLts0vQ9GFLQGaN1SaMS40C9kvns1mlDu

LhIhYpJ8UsCVt5snWo2N+M+6ANh5tpWdQnEK6zILh4tRbuzaiHgb



VMware, Inc. 326

Escenario: Importar un certificado SSLSSL de extremo a extremo: La instancia de NSX Edge termina el HTTPS cliente (sesiones SSL). Edge equilibra la carga del cliente en una nueva conexión HTTP a los servidores. Se pueden aplicar las reglas de aplicación de Capa 7.

Procedimiento

1 Importe el certificado del servidor web.




d Haga clic en Administrar (Manage) y a continuación seleccione la pestaña Configuración (Settings).

e En el panel de navegación izquierdo, haga clic en Certificados (Certificates).

f Haga clic en el icono Agregar (Add) ( ) y seleccione Certificado (Certificate). Para obtener más información detallada, consulte Trabajar con certificados.


VMware, Inc. 327

g Copie y pegue el contenido del certificado en el cuadro de texto Contenido del certificado (Certificate contents). El texto debería incluir "-----BEGIN xxx-----" y "-----END xxx-----".

En el caso de los certificados en cadena (certificado de servidor y un certificado de CA raíz o intermedio), seleccione la opción Certificado (Certificate). A continuación, se incluye un ejemplo del contenido de un certificado en cadena:


Server cert



Intermediate cert



Root cert


h Copie y pegue el contenido de la clave privada en el cuadro de texto Clave privada (Private Key).

A continuación se muestra un ejemplo del contenido de la clave privada:




El contenido del certificado (PEM para certificado o clave privada debe tener como prefijo una de las siguientes cadenas:

-----BEGIN PUBLIC KEY-----

-----BEGIN RSA PUBLIC KEY-----

-----BEGIN CERTIFICATE REQUEST-----

-----BEGIN NEW CERTIFICATE REQUEST-----


-----BEGIN PKCS7-----

-----BEGIN X509 CERTIFICATE-----

-----BEGIN X509 CRL-----

-----BEGIN ATTRIBUTE CERTIFICATE-----


-----BEGIN DSA PRIVATE KEY-----

-----BEGIN EC PARAMETERS-----

-----BEGIN EC PRIVATE KEY-----

Para ver ejemplos completos de clave privada y certificado, consulte el tema Ejemplo: certificado y clave privada.

Nota El siguiente prefijo no se admite en NSX Manager:

-----BEGIN ENCRYPTED PRIVATE KEY-----


VMware, Inc. 328









n Seleccione la casilla Habilitar SSL del grupo (Enable Pool Side SSL).

n Seleccione la casilla Configurar certificados de servicio (Configure Service Certificates).

n Seleccione el certificado de servicio configurado en el paso 1.






e En el panel de navegación izquierdo, haga clic en Servidores virtuales (Virtual Servers). Para obtener más información detallada, consulte Administrar servidores virtuales.




n Seleccione el grupo predeterminado que está compuesto por servidores HTTPS.


Escenario: Passthrough SSLEdge no termina HTTPS clientes (sesiones SSL). Edge equilibra la carga de las sesiones TCP en los servidores. Las sesiones SSL de cliente se terminan en los servidores (no en la instancia de Edge). No se pueden aplicar las reglas de aplicación de Capa 7.


VMware, Inc. 329

Requisitos previos

Nota No se requieren certificados para el escenario de Passthrough HTTPS.

Procedimiento









n Seleccione la casilla Habilitar Passthrough SSL (Enable SSL Passthrough).

n Para Persistencia (Persistence) seleccione el valor Ninguna (None).

Nota No se requieren certificados para el escenario de Passthrough HTTPS.






e En el panel de navegación izquierdo, haga clic en Servidores virtuales (Virtual Servers). Para obtener más información detallada, consulte Administrar servidores virtuales.




n Seleccione el grupo predeterminado que está compuesto por servidores HTTPS.


VMware, Inc. 330


Nota Si está seleccionada la casilla Habilitar aceleración (Enable Acceleration) y no hay configuraciones relacionadas de Capa 7, la instancia de Edge NO terminaría la sesión.

Si no está seleccionada la casilla Habilitar aceleración (Enable Acceleration), la sesión se trataría como un modo TCP de Capa 7 y la instancia de Edge la terminaría en dos sesiones.

Escenario: Autenticación SSL de cliente y servidorAutenticación SSL de cliente y servidor.

Autenticación de clienteEl cliente accede a la aplicación web mediante HTTPS. HTTPS se termina en la VIP de la instancia de Edge y solicita el certificado de cliente.

1 Importe el certificado del servidor web junto con el CA raíz. Para obtener más información, consulte Escenario: Importar un certificado SSL.

2 Cree el perfil de aplicación HTTPS con los siguientes parámetros:

a En la lista, seleccione Tipo (Type) como HTTPS.

b Seleccione la pestaña Certificados de servidor virtual (Virtual Server Certificates) y, a continuación, seleccione la pestaña Certificados de CA (CA Certificates). CA se utiliza para verificar el certificado de cliente.

c Seleccione el certificado de servicio configurado en el paso 1.

d Como Autenticación de cliente (Client Authentication) seleccione el valor Requerido (Required) de la lista.

Nota Si la opción Autenticación de cliente (Client Authentication) se ha establecido en Ignorar (Ignore), el equilibrador de carga ignora la autenticación del certificado de cliente.

3 Cree un servidor virtual. Para obtener más información, consulte Escenario: Importar un certificado SSL.

Nota Si está deshabilitada la opción Habilitar SSL del grupo (Enable Pool Side SSL) en el perfil de la aplicación, el grupo seleccionado está compuesto por servidores HTTP. Si está habilitada la opción Habilitar SSL del grupo (Enable Pool Side SSL) en el perfil de la aplicación, el grupo seleccionado está compuesto por servidores HTTPS.

4 Importe un certificado de cliente firmado por la CA raíz en el explorador.

5 a Vaya al sitio web https://www.sslshopper.com/ssl-converter.html.


VMware, Inc. 331

https://www.sslshopper.com/ssl-converter.html

b Convierta el certificado y la clave privada en el archivo pfx. Para ver ejemplos completos de clave privada y certificado, consulte el tema Ejemplo: certificado y clave privada.

c Importe el archivo pfx en el explorador.

Autenticación de servidorEl cliente accede a la aplicación web mediante HTTPS. HTTPS se termina en la VIP de la instancia de Edge. La instancia de Edge establece nuevas conexiones HTTPS con los servidores, solicita y verifica el certificado del servidor.

Edge solo acepta cifrados específicos.

1 Importe el certificado del servidor web y el certificado de CA raíz para la autenticación del certificado de servidor. Para obtener más información, consulte Escenario: Importar un certificado SSL.

2 Cree el perfil de aplicación HTTPS con los siguientes parámetros:

a En la lista, seleccione Tipo (Type) como HTTPS.

b Seleccione la casilla Habilitar SSL del grupo (Enable Pool Side SSL).

c Seleccione la pestaña Certificados de grupo (Pool Certificates) y, a continuación, seleccione la pestaña Certificados (Certificates). CA se utiliza para verificar el certificado de cliente desde el servidor HTTPS backend.

d Seleccione la casilla Autenticación de servidor (Server Authentication).

e Seleccione el certificado CA configurado en el paso 1.

f Seleccione el cifrado requerido en la lista Cifrados (Ciphers).

Nota Si el cifrado no se encuentra en un conjunto de cifrado aprobado, se restablece el valor Predeterminado (Default).

Tras actualizar a partir de una versión antigua, si el cifrado es nulo o está vacío o no se encuentra en el conjunto de cifrado aprobado en la versión anterior, se restablece el valor Predeterminado (Default).


VMware, Inc. 332

3 Cree un servidor virtual. Para obtener más información, consulte Escenario: Importar un certificado SSL.

Nota Si está deshabilitada la opción Habilitar SSL del grupo (Enable Pool Side SSL) en el perfil de la aplicación, el grupo seleccionado está compuesto por servidores HTTP. Si está habilitada la opción Habilitar SSL del grupo (Enable Pool Side SSL) en el perfil de la aplicación, el grupo seleccionado está compuesto por servidores HTTPS.


VMware, Inc. 333

Otros servicios Edge 16Una puerta de enlace NSX Services ofrece agrupación de direcciones IP, asignación uno a uno de direcciones IP estáticas y configuración de servidores DNS.

Para poder utilizar cualquiera de los servicios anteriores, debe tener una instancia de NSX Edge en funcionamiento. Para obtener información sobre cómo configurar NSX Edge, consulte Configuración de NSX Edge.


n Administrar servicio DHCP

n Configurar retransmisión de DHCP

n Configurar servidores DNS

Administrar servicio DHCPNSX Edge admite la agrupación de direcciones IP y la asignación de direcciones IP estáticas con una correspondencia uno a uno. El enlace de direcciones IP estáticas se basa en el identificador de la interfaz y el identificador del objeto administrado de vCenter del cliente que realiza la solicitud.

El servicio DHCP de NSX Edge adhiere a las instrucciones siguientes:

n Escucha en la interfaz interna de NSX Edge para la detección de DHCP.

n Utiliza la dirección IP de la interfaz interna en NSX Edge como la dirección de puerta de enlace predeterminada para todos los clientes (excepto para los grupos conectados de forma no directa) y los valores transmisión y máscara de subred de la interfaz interna para la red del contenedor.

Debe reiniciar el servicio DHCP en las máquinas virtuales de clientes en las situaciones siguientes:

n Si cambió o eliminó un grupo DHCP, una puerta de enlace predeterminada o un servidor DNS.

n Si cambió la dirección IP interna de la instancia de NSX Edge.

Agregar un grupo de direcciones IP de DHCPEl servicio DHCP requiere un grupo de direcciones IP.

VMware, Inc. 334

Un grupo de direcciones IP es un rango secuencial de direcciones IP dentro de la red. A las máquinas virtuales protegidas por NSX Edge que no tienen una dirección vinculante se les asigna una dirección IP desde este grupo. El rango de un grupo de direcciones IP no puede superponerse con otro, por lo que una dirección IP solo puede pertenecer a un grupo.

Procedimiento




4 Haga clic en la pestaña Administrar (Manage) y seleccione DHCP.


6 En la pestaña General, configure el grupo.

Opción Acción

Configuración automática de DNS (Auto Configure DNS)

Seleccione esta opción para utilizar la configuración del servicio DNS para el enlace DHCP.

La concesión nunca caduca (Lease never expires)

Seleccione esta opción para vincular la dirección MAC de la máquina virtual indefinidamente. Si selecciona esta opción, se deshabilita Tiempo de concesión (Lease Time).

IP inicial (Start IP) Introduzca la dirección IP inicial del grupo.

IP final (End IP) Introduzca la dirección IP final del grupo.

Nombre de dominio (Domain Name) Introduzca el nombre de dominio del servidor DNS. Esto es opcional.

Servidor de nombre principal (Primary Name Server)

Si no seleccionó Configurar automáticamente DNS (Auto Configure DNS), escriba el Servidor de nombre principal (Primary Name Server) para el servicio DNS. Debe introducir la dirección IP de un servidor DNS para la resolución de direcciones IP a nombre de host. Esto es opcional.

Servidor de nombre secundario (Secondary Name Server)

Si no seleccionó Configurar automáticamente DNS (Auto Configure DNS), escriba el Servidor de nombre secundario (Secondary Name Server) para el servicio DNS. Debe introducir la dirección IP de un servidor DNS para la resolución de direcciones IP a nombre de host. Esto es opcional.

Puerta de enlace predeterminada (Default Gateway)

Introduzca la dirección de la puerta de enlace predeterminada. Si no especificó la dirección IP de la puerta de enlace predeterminada, la interfaz interna de la instancia de NSX Edge se toma como puerta de enlace predeterminada. Esto es opcional.

Máscara de subred (Subnet Mask) Especifique la máscara de subred. La máscara de subred debe ser la misma de la interfaz Edge o del relé DHCP, en caso de que se utilice un enrutador distribuido.

Tiempo de concesión (Lease Time) Seleccione si desea arrendar la dirección para el cliente durante el tiempo predeterminado (1 día) o introduzca un valor en segundos. No puede especificar el tiempo de concesión si seleccionó La concesión nunca caduca (Lease never expires). Esto es opcional.


VMware, Inc. 335

7 (opcional) En la pestaña Opciones de DHCP (DHCP Options), configure las opciones de DHCP.

En NSX 6.2.5 y versiones posteriores, si se configura un grupo de DHCP en una puerta de enlace de servicios Edge con rutas estáticas sin clase y una puerta de enlace predeterminada, la puerta de enlace predeterminada se agregará como ruta estática sin clase.

Opción Acción

Próximo servidor Próximo servidor TFTP de arranque; lo utilizan el protocolo bootp o el arranque PXE.

Nombre del servidor TFTP (opción 66) Introduzca una dirección IPv4 de unidifusión o bien un nombre de host que el dispositivo debe utilizar para descargar el archivo especificado en el nombre de archivo de arranque (opción 67).

Dirección del servidor TFTP (opción 150)

Introduzca una o varias direcciones IPv4 del servidor TFTP.

Nombre del archivo de arranque (opción 67)

Introduzca el nombre de archivo del archivo de arranque que se descargará del servidor especificado en nombre del servidor TFTP (opción 66).

MTU de la interfaz (opción 26) La Unidad máxima de transferencia (MTU) es el tamaño máximo de trama que se puede enviar entre dos hosts sin fragmentación. Esta opción especifica el tamaño de MTU que se utilizará en la interfaz. Se puede establecer un tamaño de MTU (en bytes) para cada grupo y enlace estático. El valor mínimo de MTU es de 68 bytes y el máximo es de 65.535 bytes. Si no se configuró la MTU de la interfaz en el servidor DHCP, los clientes DHCP mantienen la configuración predeterminada del sistema operativo de la MTU de la interfaz.

Ruta estática sin clase (opción 121) Cada opción de ruta estática sin clase puede tener varias rutas con el mismo destino. Cada ruta incluye una subred de destino, una máscara de subred y un enrutador del salto siguiente. Tenga en cuenta que 0.0.0.0/0 no es una subred válida para una ruta estática. Para obtener información sobre las rutas estáticas sin clase y la opción 121, consulte la RFC 3442.


b Introduzca la dirección IP de destino y de enrutador del salto siguiente.


Habilitar el servicio DHCPHabilite el servicio DHCP para permitir que NSX Edge asigne automáticamente una dirección IP a una máquina virtual desde un grupo de direcciones IP definido.

Requisitos previos

Debe haber agregado un grupo de direcciones IP de DHCP.

Procedimiento





VMware, Inc. 336

4 Haga clic en la pestaña Administrar (Manage) y, a continuación, haga clic en la pestaña DHCP.


6 Seleccione Habilitar registro (Enable logging), si es necesario, y seleccione el nivel de registro.


Resultados

Nota VMware recomienda crear una regla de firewall para evitar que usuarios malintencionados introduzcan servidores DHCP no autorizados. Para hacerlo, agregue una regla de firewall que permita tráfico UDP solo en los puertos 67 y 68 cuando haya tráfico entrante o saliente en una dirección IP válida del servidor DHCP. Para obtener más información, consulte Trabajar con reglas de firewall.

Pasos siguientes

Cree un grupo de direcciones IP y enlaces.

Editar un grupo de direcciones IP de DHCPPuede editar el grupo de IP de DHCP para agregar o eliminar direcciones IP.

Procedimiento





5 Seleccione un grupo de DHCP y haga clic en el icono Editar (Edit).


Agregar un enlace DHCP estáticoSi tiene servicios en ejecución en una máquina virtual y no desea modificar la dirección IP, puede enlazarla a la dirección MAC de una máquina virtual. La dirección IP que enlace no debe superponerse con un grupo de direcciones IP.

Procedimiento





5 Seleccione Enlaces (Bindings) en el panel izquierdo.


VMware, Inc. 337


7 Configure el enlace.

Opción Acción

Configuración automática de DNS (Auto Configure DNS)

Seleccione esta opción para utilizar la configuración del servicio DNS para el enlace DHCP.

La concesión nunca caduca (Lease never expires)

Seleccione esta opción para vincular la dirección MAC de la máquina virtual indefinidamente.

Interfaz (Interface) Seleccione la interfaz de NSX Edge que desea enlazar.

Nombre de máquina virtual (VM Name)

Seleccione la máquina virtual que desea enlazar.

Índice de vNIC de máquina virtual (VM vNIC Index)

Seleccione la NIC de la máquina virtual para enlazar la dirección IP.

Nombre de host (Host Name) Escriba el nombre de host de la máquina virtual del cliente DHCP.

Dirección IP (IP Address) Escriba la dirección a la cual enlazar la dirección MAC de la máquina virtual seleccionada.

Máscara de subred (Subnet Mask) Especifique la máscara de subred. La máscara de subred debe ser la misma de la interfaz de Edge o del relé DHCP, en caso de que se utilice un enrutador distribuido.

Nombre de dominio (Domain Name) Escriba el nombre de dominio del servidor DNS.

Servidor de nombre principal (Primary Name Server)

Si no seleccionó Configurar automáticamente DNS (Auto Configure DNS), escriba el Servidor de nombre principal (Primary Name Server) para el servicio DNS. Debe introducir la dirección IP de un servidor DNS para la resolución de direcciones IP a nombre de host.

Servidor de nombre secundario (Secondary Name Server)

Si no seleccionó Configurar automáticamente DNS (Auto Configure DNS), escriba el Servidor de nombre secundario (Secondary Name Server) para el servicio DNS. Debe introducir la dirección IP de un servidor DNS para la resolución de direcciones IP a nombre de host.

Puerta de enlace predeterminada (Default Gateway)

Escriba la dirección de la puerta de enlace predeterminada. Si no especificó la dirección IP de la puerta de enlace predeterminada, la interfaz interna de la instancia de NSX Edge se toma como puerta de enlace predeterminada.

Tiempo de concesión (Lease Time) Si no seleccionó La concesión nunca caduca (Lease never expires), seleccione si desea concesionar la dirección para el cliente durante el tiempo predeterminado (1 día) o escriba un valor en segundos.



Editar enlace DHCPPuede asignar una dirección IP estática distinta que esté ligada a una dirección MAC de una máquina virtual.


VMware, Inc. 338

Procedimiento





5 Seleccione Enlaces (Bindings) en el panel izquierdo y haga clic en el enlace para editarlo.

6 Haga clic en el icono Editar (Edit).


Configurar retransmisión de DHCPLa retransmisión del protocolo Dynamic Host Configuration Protocol (DHCP) permite aprovechar la infraestructura de DHCP existente en NSX sin interrupciones para la administración de direcciones IP del entorno. Los mensajes DHCP se retransmiten desde las máquinas virtuales hasta los servidores DHCP designados en el mundo físico. Esto permite que las direcciones IP en NSX continúen sincronizadas con las direcciones IP de otros entornos.

La configuración de DHCP se aplica en el puerto del enrutador lógico y puede enumerar varios servidores DHCP. Las solicitudes se envían a todos los servidores enumerados. Mientras se retransmite la solicitud de DHCP desde el cliente, la retransmisión agrega una dirección IP de puerta de enlace a la solicitud. El servidor DHCP externo utiliza esta dirección de puerta de enlace para buscar coincidencias con un grupo y asignar una dirección IP a la solicitud. La dirección de la puerta de enlace debe pertenecer a una subred del puerto NSX en el que se ejecuta la retransmisión.

Es posible especificar un servidor DHCP diferente para cada conmutador lógico y configurar varios servidores DHCP en cada enrutador lógico para proporcionar compatibilidad con varios dominios IP.

Nota Si DHCP Offer contiene una dirección IP que no coincide con una interfaz lógica (LIF), el DLR no la devolverá a la máquina virtual. El paquete se descartará.

Cuando configure el grupo y el enlace en el servidor DHCP, asegúrese de que la máscara de subred del grupo/enlace de las consultas retransmitidas sea la misma que la de la interfaz de retransmisión de DHCP. La información de la máscara de subred debe proporcionarse en la API mientras el DLR actúa como retransmisión de DHCP entre las máquinas virtuales y la instancia de Edge que proporciona el servicio DHCP. Esta máscara de subred debe coincidir con la que está configurada en la interfaz de puerta de enlace de las máquinas virtuales en el DLR.


VMware, Inc. 339

Enrutadordistribuido

Conmutadorlógico

Conmutadorlógico

NSX

Servidor YDHCP

Relé

Servidor XDHCP

Servidor Y

Nota n La retransmisión de DHCP no admite la superposición del espacio de dirección IP (opción 82).

n La retransmisión de DHCP y el servicio DHCP no pueden ejecutarse en un puerto/una vNIC al mismo tiempo. Si un agente de retransmisión se configura en un puerto, no se puede configurar un grupo de DHCP en las subredes de ese puerto.

Agregar servidor de relé DHCPAgregue los servidores de relé externos a los cuales desea retransmitir los mensajes DHCP. El servidor de relé puede ser un grupo de direcciones IP, un bloque de direcciones IP, un dominio o una combinación de todos los anteriores. Los mensajes se retransmiten a cada uno de los servidores DHCP incluidos en el listado.

Requisitos previos

n La retransmisión de DHCP no admite la superposición del espacio de dirección IP (opción 82).

n La retransmisión de DHCP y el servicio DHCP no pueden ejecutarse en un puerto/una vNIC al mismo tiempo. Si un agente de retransmisión se configura en un puerto, no se puede configurar un grupo de DHCP en las subredes de ese puerto.

n Si DHCP Offer contiene una dirección IP que no coincide con una interfaz lógica (LIF), el DLR no la devolverá a la máquina virtual. El paquete se descartará.


VMware, Inc. 340

Procedimiento


2 Haga doble clic en la instancia de Edge correspondiente y asegúrese de que está en la pestaña Administrar (Manage) > DHCP.

3 Haga clic en Editar (Edit), junto a Configuración global de relé DHCP (DHCP Relay Global Configuration).

4 Para agregar un grupo de direcciones IP como servidor:

a Haga clic en el icono Agregar (Add) y seleccione el grupo de direcciones IP.

b Mueva el grupo de direcciones IP seleccionado al listado Objetos seleccionados (Selected

Objects) haciendo clic en el icono .


5 Para agregar direcciones IP o nombres de dominio, escriba la dirección o el nombre en el área correspondiente.


Agregar agentes de reléAgregue las interfaces Edge desde las cuales deben retransmitirse mensajes DHCP a los servidores de relé DHCP externos.

Procedimiento

1 En el área Agentes de relé DHCP (DHCP Relay Agents), haga clic en el icono Agregar (Add).

2 En vNIC, asegúrese de seleccionar una vNIC interna.

La opción Dirección IP de puerta de enlace (Gateway IP Address) muestra la dirección IP principal de la vNic seleccionada.


Configurar servidores DNSPuede configurar servidores DNS externos en una instancia de NSX Edge. La instancia de Edge reenvía las solicitudes de DNS de las aplicaciones cliente a los servidores DNS para resolver un nombre de red. La instancia de Edge también puede almacenar en caché la respuesta que recibe desde los servidores DNS. El servicio DNS es compatible con una puerta de enlace de servicios Edge, DLR y UDLR en un entorno de Cross-vCenter NSX.

Procedimiento



VMware, Inc. 341




5 En el panel Configuración de DNS (DNS Configuration), haga clic en Cambiar (Change).

6 Haga clic en Habilitar servicio DNS (Enable DNS Service) para habilitar el servicio DNS.

7 Introduzca las direcciones IP para los dos servidores DNS.

8 Si fuera necesario, cambie el tamaño predeterminado de la memoria caché.

9 Haga clic en Habilitar registro (Enable Logging) para registrar el tráfico de DNS y seleccionar el nivel de registro.

Los registros generados se enviarán al servidor de Syslog.



VMware, Inc. 342

Service Composer 17Service Composer permite aprovisionar y asignar los servicios de red y seguridad a las aplicaciones en una infraestructura virtual. Estos servicios se asignan a un grupo de seguridad y se aplican a las máquinas virtuales del grupo de seguridad.

Grupo de seguridad

En principio, debe crear un grupo de seguridad para definir los activos que desea proteger. Los grupos de seguridad pueden ser estáticos (incluidas máquinas virtuales específicas) o dinámicos, y la pertenencia puede definirse en una o varias de las siguientes formas:

n Contenedores vCenter (clústeres, grupos de puertos o centros de datos)

n Etiquetas de seguridad, IPset, MACset o incluso otros grupos de seguridad Por ejemplo, puede incluir un criterio para agregar al grupo de seguridad todos los miembros etiquetados con la etiqueta de seguridad especificada (como AntiVirus.virusFound).

n Grupos de Active Directory (si NSX Manager se registró con Active Directory)

n Expresiones regulares, como máquinas virtuales con el nombre VM1

Tenga en cuenta que la pertenencia al grupo de seguridad cambia constantemente. Por ejemplo, una máquina virtual que tiene la etiqueta AntiVirus.virusFound se mueve al grupo de seguridad para cuarentena. Cuando se borra el virus y se quita la etiqueta de la máquina virtual, vuelve a salir del grupo de seguridad para cuarentena.

Directiva de seguridad

Una directiva de seguridad es una recopilación de las siguientes configuraciones de servicios.

Tabla 17-1. Servicios de seguridad contenidos en una directiva de seguridad

Servicio (Service) Descripción Aplica a

Reglas de firewall

Reglas que definen el tráfico que se permitirá que circule desde, hacia o dentro del grupo de seguridad.

vNIC

Servicio de extremo

Servicios de un proveedor de soluciones de terceros, como servicios de administración de vulnerabilidad o antivirus.

máquinas virtuales

Servicios de introspección de red

Servicios que supervisan la red, como IPS. máquinas virtuales

VMware, Inc. 343

Durante la implementación de servicios en NSX, el proveedor de soluciones de terceros selecciona la categoría del servicio que se va a implementar. Para cada plantilla de proveedor se crea un perfil de servicios predeterminado.

Cuando los servicios del proveedor se actualizan a NSX 6.1, se crean perfiles de servicio predeterminados para las plantillas de proveedores que se van a actualizar. Las directivas de servicios existentes que incluyen reglas de Guest Introspection se actualizan para establecer una referencia con los perfiles de servicio creados durante la actualización.

Asignar una directiva de seguridad a un grupo de seguridad

Es posible asignar una directiva de seguridad (por ejemplo, DS1) a un grupo de seguridad (GS1). Los servicios configurados en DS1 se aplican a todas las máquinas virtuales que pertenecen a GS1.

Nota Si tiene muchos grupos de seguridad a los que debe aplicar la misma directiva de seguridad, cree un grupo de seguridad principal que incluya todos los grupos de seguridad secundarios y aplique la directiva de seguridad común al grupo principal. De este modo, se garantiza que Distributed Firewall de NSX utilice de forma eficiente la memoria del host ESXi.

Figura 17-1. Descripción general de Service Composer

Grupo de seguridad

Si una máquina virtual pertenece a más de un grupo de seguridad, los servicios que se aplican a la máquina virtual dependen de la prioridad de la directiva de seguridad asignada a los grupos de seguridad.

Los perfiles de Service Composer pueden exportarse e importarse como copias de seguridad o utilizarse en otros entornos. Este enfoque para la administración de servicios de red y seguridad permite la administración de directivas de seguridad reiterativa y que se puede accionar.


n Utilizar Service Composer

n Service Composer Canvas

n Trabajar con etiquetas de seguridad

n Ver servicios efectivos


VMware, Inc. 344

n Trabajar con directivas de seguridad

n Situaciones de Service Composer

n Importar y exportar configuraciones de directivas de seguridad

Utilizar Service ComposerService Composer permite consumir servicios de seguridad con facilidad.

Veamos un ejemplo para mostrar de qué modo Service Composer permite proteger la red de extremo a extremo. Imaginemos que cuenta con las siguientes directivas de seguridad definidas en su entorno:

n Una directiva de seguridad estatal inicial que incluye un servicio de examen de vulnerabilidades (InitStatePolicy).

n Una directiva de seguridad de corrección que incluye un servicio IPS de red además de reglas de firewall y un servicio antivirus (RemPolicy).

Asegúrese de que la directiva RemPolicy tenga mayor peso (prioridad) que la directiva InitStatePolicy.

También cuenta con los siguientes grupos de seguridad instalados:

n Un grupo de activos de aplicaciones que incluye las aplicaciones empresariales críticas del entorno (AssetGroup).

n Un grupo de seguridad de corrección definido por una etiqueta que indica la vulnerabilidad de la máquina virtual (VULNERABILITY_MGMT.VulnerabilityFound.threat=medium) denominado RemGroup.

Ahora puede asignar la directiva InitStatePolicy en el grupo de activos AssetGroup para proteger todas las aplicaciones empresariales críticas del entorno. También puede asignar la directiva RemPolicy en el grupo de corrección RemGroup para proteger las máquinas virtuales vulnerables.

Cuando se inicia un examen de vulnerabilidad, se examinan todas las máquinas virtuales del grupo de activos AssetGroup. Si el examen identifica una vulnerabilidad en una máquina virtual, aplica la etiqueta VULNERABILITY_MGMT.VulnerabilityFound.threat=medium en la máquina virtual.

Service Composer agrega de inmediato la máquina virtual etiquetada en el grupo RemGroup, donde ya hay una solución IPS de red para proteger esta máquina virtual vulnerable.


VMware, Inc. 345

Figura 17-2. Service Composer en acción

Solución de partners Solución de partners

Grupo de seguridadde aplicación

fundamental para el negocio

VULNERABILITY_MGMT,VulnerabilityFound.threat

=medium

Máquina virtual etiquetada


=medium

Grupo de seguridad de solución


=medium

Aplicación fundamental para el negocioExamen de

vulnerabilidades

En este tema ahora verá los pasos necesarios para consumir los servicios de seguridad que ofrece Service Composer.

Procedimiento

1 Crear un grupo de seguridad en Service Composer

Es posible crear un grupo de seguridad en el nivel de NSX Manager.

2 Crear una directiva de seguridad

Una directiva de seguridad es un conjunto de servicios de Guest Introspection, de firewall y de introspección de red que se puede aplicar a un grupo de seguridad. La ponderación asociada con la directiva determina el orden en que se muestran las directivas de seguridad lo determina. De forma predeterminada, a una directiva nueva se le asigna la ponderación más alta para ubicarla en la parte superior de la tabla. Sin embargo, se puede modificar la ponderación sugerida predeterminada para cambiar el orden asignado a la directiva nueva.

3 Aplicar una directiva de seguridad a un grupo de seguridad

Puede aplicar una directiva de seguridad a un grupo de seguridad para asegurar los escritorios virtuales, las aplicaciones esenciales del negocio y las conexiones entre ellos. También puede ver una lista de los servicios que no se aplicaron y el motivo por el cual no se los aplicó.


VMware, Inc. 346

Crear un grupo de seguridad en Service ComposerEs posible crear un grupo de seguridad en el nivel de NSX Manager.

Procedimiento

Procedimiento


2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, haga clic en Service Composer.

3 Haga clic en la pestaña Grupos de seguridad (Security Groups) y, a continuación, en el icono Agregar grupo de seguridad (Add Security Group).

4 Escriba un nombre y una descripción para el grupo de seguridad y haga clic en Siguiente (Next).

5 En la página Pertenencia dinámica (Dynamic Membership), defina los criterios que debe cumplir un objeto para que se pueda agregar al grupo de seguridad que va a crear.

Por ejemplo, puede incluir un criterio para agregar al grupo de seguridad todos los miembros etiquetados con la etiqueta de seguridad especificada (como AntiVirus.virusFound).

O bien puede agregar al grupo de seguridad todas las máquinas virtuales que contengan el nombre W2008 y las máquinas virtuales que estén en el conmutador lógico global_wire.

Las etiquetas de seguridad distinguen entre mayúsculas y minúsculas.

Nota Si define un grupo de seguridad por las máquinas virtuales que tienen cierta etiqueta de seguridad aplicada, puede crear un flujo de trabajo dinámico o condicional. En el momento en que se aplica la etiqueta a la máquina virtual, esta se agrega automáticamente al grupo de seguridad.


7 En la página Seleccionar objetos para incluir (Select objects to include), seleccione el tipo de objeto en el menú desplegable.

8 Haga doble clic en el objeto que desea agregar a la lista para incluir. Puede incluir los siguientes objetos en un grupo de seguridad.

n Otros grupos de seguridad para agrupar dentro del grupo de seguridad que se va a crear.

n Clúster

n Conmutador lógico

n Red

n Aplicación virtual

n Centro de datos

n Conjuntos de direcciones IP


VMware, Inc. 347

n Grupos de AD

Nota La configuración de AD para los grupos de seguridad de NSX es diferente de la configuración de AD para vSphere SSO. La configuración de AD de NSX está destinada a usuarios finales que acceden a las máquinas virtuales invitadas mientras que vSphere SSO es para los administradores que utilizan vSphere y NSX.

n Conjuntos de direcciones MAC

Nota Service Composer permite el uso de los grupos de seguridad que contienen conjuntos de direcciones MAC en las configuraciones de directivas. Sin embargo, Service Composer no puede aplicar reglas para ese conjunto específico de direcciones MAC. Service Composer funciona en la Capa 3 y no admite las construcciones de la Capa 2.

n Etiqueta de seguridad

n vNIC

n Máquina virtual

n Grupo de recursos

n Grupo de puertos virtuales distribuidos

Los objetos aquí seleccionados se incluyen siempre en el grupo de seguridad, independientemente de que coincidan o no con los criterios dinámicos.

Cuando se agrega un recurso a un grupo de seguridad, todos los recursos asociados se agregan automáticamente. Por ejemplo, cuando selecciona una máquina virtual, la vNIC asociada se agrega automáticamente al grupo de seguridad.

9 Haga clic en Siguiente (Next) y doble clic en los objetos que desea excluir del grupo de seguridad.

Los objetos aquí seleccionados se excluyen siempre del grupo de seguridad, aunque coincidan con los criterios dinámicos o estén seleccionados en la lista de inclusión.


Ejemplo

La pertenencia a un grupo de seguridad se determina de la siguiente manera:

{Resultado de la expresión (derivados de Paso paso 4) + Inclusiones (especificadas en Paso paso 7} - Exclusión (especificada en Paso paso 8)

lo cual significa que los elementos de inclusión se agregan primero al resultado de la expresión. A continuación, se restan los elementos de exclusión del resultado total.

Crear una directiva de seguridadUna directiva de seguridad es un conjunto de servicios de Guest Introspection, de firewall y de introspección de red que se puede aplicar a un grupo de seguridad. La ponderación asociada con la directiva determina el orden en que se muestran las directivas de seguridad lo determina. De forma predeterminada, a una directiva nueva se le asigna la ponderación más alta para ubicarla en la parte


VMware, Inc. 348

superior de la tabla. Sin embargo, se puede modificar la ponderación sugerida predeterminada para cambiar el orden asignado a la directiva nueva.

Requisitos previos

Asegúrese de que:

n Los servicios integrados de VMware requeridos (como Distributed Firewall y Guest Introspection) estén instalados.

n Los servicios de partners necesarios se hayan registrado con NSX Manager.

n La opción predeterminada que desee aplicar al valor se configura para las reglas del firewall de Service Composer. Consulte Editar la opción "Se aplica a" (Applied to) del firewall de Service Composer.

Procedimiento



3 Haga clic en la pestaña Directivas de seguridad (Security Policies).

4 Haga clic en el icono Crear directiva de seguridad (Create Security Policy) ( ).

5 En el cuadro de diálogo Agregar directiva de seguridad (Add Security Policy), escriba un nombre para la directiva de seguridad.

6 Escriba una descripción para la directiva de seguridad.

NSX asigna una ponderación predeterminada (la ponderación más alta +1.000) a la directiva. Por ejemplo, si la ponderación más alta en la directiva existente es 1.200, a la directiva nueva se le asignará la ponderación 2.200.

Las directivas de seguridad se aplican según su ponderación: una directiva con ponderación más alta tiene precedencia sobre una con ponderación más baja.

7 Seleccione Heredar directiva de seguridad de directiva especificada (Inherit security policy from specified policy) si desea que la directiva que va a crear reciba servicios de otra directiva de seguridad. Seleccione la directiva primaria.

La directiva nueva hereda todos los servicios de la directiva primaria.



VMware, Inc. 349

9 En la página Servicios de Guest Introspection (Guest Introspection Services), haga clic en el icono

Agregar servicio de Guest Introspection (Add Guest Introspection Service) ( ).

a En el cuadro de diálogo Agregar servicio de Guest Introspection (Add Guest Introspection Service), escriba un nombre y una descripción para el servicio.

b Especifique si desea aplicar el servicio o bloquearlo.

Cuando hereda una directiva de seguridad, puede elegir bloquear un servicio de la directiva primaria.

Si aplica un servicio, debe seleccionar un servicio y un perfil de servicio. Si bloquea un servicio, debe seleccionar el tipo de servicio que se debe bloquear.

c Si elige bloquear el servicio, seleccione el tipo de servicio.

d Si eligió aplicar el servicio de Guest Introspection, seleccione el nombre del servicio.

Se muestra el perfil de servicio predeterminado del servicio seleccionado, que incluye información sobre los tipos de funcionalidad de servicios admitidos por la plantilla de proveedor asociada.

e En Estado (State), especifique si desea habilitar el servicio de Guest Introspection o deshabilitarlo.

Puede agregar servicios de Guest Introspection como marcadores de posición para habilitar los servicios más adelante. Esto resulta particularmente útil en los casos en los que los servicios se deben aplicar a petición (por ejemplo, aplicaciones nuevas).

f Seleccione si se debe aplicar el servicio de Guest Introspection (es decir, no se puede anular). Si el perfil de servicio seleccionado es compatible con varios tipos de funcionalidad de servicios, esto se establece en Aplicar (Enforce) de forma predeterminada y no se puede cambiar.

Si aplica un servicio de Guest Introspection en una directiva de seguridad, otras directivas que heredan esta directiva de seguridad requerirían que esta directiva se aplique antes que otras directivas secundarias. Si no se aplica este servicio, una selección de herencia agregaría la directiva primaria una vez aplicadas las directivas secundarias.

g Haga clic en Aceptar (OK).

Es posible agregar servicios de Guest Introspection adicionales con los pasos anteriores. Los servicios de Guest Introspection se pueden administrar por medio de los iconos ubicados arriba de la tabla de servicios.

Si desea exportar o copiar los servicios en esta página, haga clic en el icono en la parte inferior derecha de la página Servicios de Guest Introspection (Guest Introspection Services).



VMware, Inc. 350

11 En la página Firewall, haga clic en el icono Agregar regla de firewall (Add Firewall Rule) ( ).

Aquí define las reglas de firewall de los grupos de seguridad a los que se aplicará esta directiva de seguridad.

a Escriba un nombre y una descripción para la regla de firewall que está por agregar.

b Seleccione Permitir (Allow) o Bloquear (Block) para indicar si la regla debe permitir o bloquear el tráfico hacia el destino seleccionado.

c Seleccione el origen para la regla. De forma predeterminada, la regla se aplica al tráfico que proviene de los grupos de seguridad a los que se aplica esta directiva. Para cambiar el origen predeterminado, haga clic en Cambiar (Change) y seleccione los grupos de seguridad adecuados.

d Seleccione el destino para la regla.

Nota El origen o el destino, o ambos, deben ser grupos de seguridad a los se aplica esta directiva.

Supongamos que crea una regla con el Origen (Source) predeterminado, especifica el Destino (Destination) como Nómina (Payroll) y selecciona Negar destino (Negate Destination). Después, aplica esta directiva de seguridad al grupo de seguridad Ingeniería (Engineering). Esto permitiría que Ingeniería (Engineering) acceda a todo excepto al servidor de Nómina (Payroll).

e Seleccione los servicios o los grupos de servicios a los que se aplica la regla.

f Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para especificar el estado de la regla.

g Seleccione Registrar (Log) para registrar las sesiones que coincidan con esta regla.

Si el registro se habilita, el rendimiento puede verse afectado.


Es posible agregar reglas de firewall adicionales con los pasos anteriores. Es posible administrar las reglas de firewall por medio de los iconos ubicados arriba de la tabla de firewall.

Si desea exportar o copiar las reglas en esta página, haga clic en el icono en la parte inferior derecha de la página Firewall.

Las reglas de firewall que agrega aquí se muestran en la tabla de firewall. VMware recomienda no editar las reglas de Service Composer en la tabla de firewall. Si debe hacerlo para solucionar problemas en una emergencia, debe volver a sincronizar las reglas de Service Composer con las de firewall. Para ello, seleccione Sincronizar reglas de firewall (Synchronize Firewall Rules) en el menú Acciones (Actions) de la pestaña Políticas de seguridad (Security Policies).


La página Servicios de introspección de red (Network Introspection Services) muestra los servicios de NetX que se integraron con el entorno virtual de VMware.


VMware, Inc. 351

13 Haga clic en el icono Agregar servicio de introspección de red (Add Network Introspection

Service) ( ).

a En el cuadro de diálogo Agregar servicio de introspección de red (Add Network Introspection Service), escriba un nombre y una descripción para el servicio que va a agregar.

b Seleccione si desea redirigir el servicio o no.

c Seleccione el nombre y el perfil del servicio.

d Seleccione el origen y el destino.

e Seleccione el servicio de red que desea agregar.

Puede realizar selecciones adicionales según el servicio que seleccionó.

f Seleccione si desea habilitar o deshabilitar el servicio.

g Seleccione Registrar (Log) para registrar las sesiones que coincidan con esta regla.


Es posible agregar servicios de introspección de red adicionales con los pasos anteriores. Los servicios de introspección de red se pueden administrar por medio de los iconos sobre la tabla de servicios.

Si desea exportar o copiar los servicios en esta página, haga clic en el icono en la parte inferior derecha de la página Servicios de introspección de red (Network Introspection Services).

Nota Se sobrescribirán los enlaces creados manualmente para los perfiles de servicio utilizados en las directivas de Service Composer.


La directiva de seguridad se agrega a la tabla de directivas. Puede hacer clic en el nombre de la directiva y seleccionar la pestaña adecuada para ver un resumen de los servicios asociados con la directiva, ver los errores de servicio o editar un servicio.

Pasos siguientes

Asigne la directiva de seguridad a un grupo de seguridad.

Editar la opción "Se aplica a" (Applied to) del firewall de Service ComposerEs posible establecer la opción "Se aplica a" (Applied to) para todas las reglas del firewall creadas a través de Service Composer para el Distributed Firewall o las directivas de los grupos de seguridad. De forma predeterminada, "Se aplica a" (Applied to) se configura para el Distributed Firewall.

Cuando las reglas del firewall de Service Composer tienen una opción de "Se aplica a" (Applied to) para configurar el firewall distribuido, las reglas se aplican a todos los clústeres en los que dicho firewall esté instalado. Si se configuraron las reglas del firewall para aplicarse a los grupos de seguridad de la directiva, cuenta con más control granular sobre las reglas del firewall, pero puede necesitar varias directivas de seguridad o reglas del firewall para conseguir el resultado deseado.,


VMware, Inc. 352

Procedimiento


2 Haga clic en Redes y seguridad (Networking & Security), en Service Composer y, por último, en la pestaña Directivas de seguridad (Security Policies).

3 Haga clic en Acciones > Editar configuración de directiva de firewall (Actions > Edit Firewall Policy Settings). Seleccione una configuración predeterminada para "Se aplica a" (Applied to) y haga clic en Aceptar (OK).


Distributed Firewall Las reglas del firewall se aplican a todos los clústeres en los que el Distributed Firewall está instalado.

Directivas de grupos de seguridad Las reglas del firewall se aplican a los grupos de seguridad a los que se aplique la directiva de seguridad.

La configuración predeterminada de "Se aplica a" (Applied to) también se puede ver y se puede cambiar a través de la API. Consulte la Guía de NSX API.

Ejemplo: Comportamiento de "Se aplica a" (Applied to)

En este escenario de ejemplo, la acción predeterminada de la regla de firewall está configurada para el bloqueo. Existen dos grupos de seguridad: web-servers y app-servers, que contienen las máquinas virtuales. Cree una directiva de seguridad, allow-ssh-from-web, que incluya la siguiente regla de firewall y aplíquela a app-servers del grupo de seguridad.

n Nombre: allow-ssh-from-web

n Origen: web-servers

n Destino: directivas de grupos de seguridad

n Servicio: ssh

n Acción: permitir

Si la regla de firewall se aplica al Distributed Firewall, podrá realizar la acción ssh desde una máquina virtual en web-servers del grupo de seguridad a una máquina virtual de app-servers del grupo de seguridad.

Si la regla del firewall se aplica al grupo de seguridad de la directiva, no podrá realizar la acción ssh ya que el tráfico se bloquea para alcanzar los servidores de la aplicación. Será necesario crear una directiva de seguridad adicional para permitir la acción ssh para los servidores de la aplicación y aplicar esta directiva a web-servers del grupo de seguridad.

n Nombre: allow-ssh-to-app

n Origen: grupo de seguridad de la directiva

n Destino: app-servers

n Servicio: ssh

n Acción: permitir


VMware, Inc. 353

Aplicar una directiva de seguridad a un grupo de seguridadPuede aplicar una directiva de seguridad a un grupo de seguridad para asegurar los escritorios virtuales, las aplicaciones esenciales del negocio y las conexiones entre ellos. También puede ver una lista de los servicios que no se aplicaron y el motivo por el cual no se los aplicó.

Procedimiento



3 Haga clic en la pestaña Directiva de seguridad (Security Policy).

4 Seleccione una directiva de seguridad y haga clic en el icono Aplicar directiva de seguridad (Apply

Security Policy) ( ).

5 Seleccione el grupo de seguridad en el que desea aplicar la directiva.

Si selecciona un grupo de seguridad definido por máquinas virtuales que tienen una cierta etiqueta de seguridad aplicada, puede crear un flujo de trabajo dinámico o condicional. En el momento en que se aplica la etiqueta a la máquina virtual, esta se agrega automáticamente a dicho grupo de seguridad.

Las reglas de introspección de red y las reglas de extremo asociadas con la directiva no surtirán efecto en los grupos de seguridad que contienen miembros IPSet o MacSet.

6 Haga clic en el icono Vista previa de estado del servicio (Preview Service Status) para ver los servicios que no se pueden aplicar al grupo de seguridad seleccionado y los motivos.

Por ejemplo, el grupo de seguridad puede incluir una máquina virtual que pertenece a un clúster en el que uno de los servicios de la directiva no se instaló. Debe instalar ese servicio en el clúster adecuado para que la directiva de seguridad funcione como se pretende.


Service Composer CanvasLa pestaña Service Composer Canvas ofrece una vista gráfica donde se muestran todos los grupos de seguridad del NSX Manager seleccionado. La vista también muestra detalles como los miembros de cada grupo de seguridad y la directiva de seguridad aplicada.

En este tema se presenta Service Composer desde un sistema parcialmente configurado de modo que se puedan visualizar las asignaciones entre los grupos de seguridad y los objetos de la directiva de seguridad en un nivel alto de la vista de lienzo.

Procedimiento



VMware, Inc. 354


3 Haga clic en la pestaña Lienzo (Canvas).

Se muestran todos los grupos de seguridad de la instancia de NSX Manager seleccionada (que no están incluidos en otro grupo de seguridad) junto con las directivas aplicadas en ellos. El menú desplegable NSX Manager muestra todas las instancias de NSX Manager donde tiene un rol asignado el usuario cuya sesión está iniciada actualmente.

Figura 17-3. Vista del nivel superior del lienzo de Service Composer

Resultados

Cada casilla rectangular del lienzo representa un grupo de seguridad y los iconos dentro del rectángulo representan los miembros del grupo de seguridad y los detalles de la directiva de seguridad asignada.

Figura 17-4. Grupo de seguridad

El número junto a cada icono indica la cantidad de instancias; por ejemplo, indica que ese grupo de seguridad tiene asignada una directiva de seguridad.


VMware, Inc. 355

Icono Haga clic para mostrar

Los grupos de seguridad anidados en el grupo de seguridad principal.

Las máquinas virtuales que actualmente forman parte del grupo de seguridad principal, así como los grupos de seguridad anidados. Haga clic en la pestaña Errores (Errors) para ver las máquinas virtuales con errores en el servicio.

Las directivas de seguridad efectivas asignadas al grupo de seguridad.

n Para crear una nueva directiva de seguridad, haga clic en el icono Crear directiva de seguridad (Create Security

Policy) ( ). El objeto de la directiva de seguridad recién creada se asigna automáticamente al grupo de seguridad.

n Para asignar otras directivas de seguridad al grupo de seguridad, haga clic en el icono Aplicar directiva de

seguridad (Apply Security Policy) ( ).

Los servicios Effective Endpoint asociados con la directiva de seguridad asignada al grupo de seguridad. Imaginemos que tiene dos directivas aplicadas en un grupo de seguridad y que ambas tienen configurada la misma categoría de servicio Endpoint. El recuento de servicios Effective Endpoint en este caso es 1 (dado que se anula el segundo servicio en prioridad más baja).

Los errores en el servicio Endpoint, si los hay, se indican con un icono de alerta. Haga clic en el icono para ver el error.

Las reglas de firewall de Effective Endpoint asociadas con la directiva de seguridad asignada al grupo de seguridad.

Los errores en el servicio, si los hay, se indican con un icono de alerta. Haga clic en el icono para ver el error.

Los servicios de introspección de red efectiva asociados con la directiva de seguridad asignada al grupo de seguridad.

Los errores en el servicio, si los hay, se indican con un icono de alerta. Haga clic en el icono para ver el error.

Haga clic en el icono para ver un cuadro de diálogo con los detalles correspondientes.

Figura 17-5. Detalles que aparecen al hacer clic en un icono del grupo de seguridad

Puede buscar los grupos de seguridad por su nombre. Por ejemplo, si escribe PCI en el campo de búsqueda en la esquina superior derecha de la vista de lienzo, solo aparecerán los grupos de seguridad que tengan PCI en el nombre.

Para ver la jerarquía de los grupos de seguridad, haga clic en el icono Nivel superior (Top Level) ( ) ubicado en la esquina superior izquierda de la ventana y seleccione el grupo de seguridad que desea

mostrar. Si un grupo de seguridad contiene grupos de seguridad anidados, haga clic en para ver los grupos anidados. La barra superior muestra el nombre del grupo de seguridad primario y los iconos de la barra muestran la cantidad total de directivas de seguridad, servicios Endpoint, servicios de firewall y servicios de introspección de red aplicables al grupo principal. Puede desplazarse de vuelta hacia el nivel


VMware, Inc. 356

superior: haga clic en el icono Subir un nivel (Go up one level) (icono ) ubicado en la parte superior izquierda de la ventana.

Para hacer zoom para acercar o alejar la vista de lienzo lentamente, mueva el control deslizante del zoom en la esquina superior derecha de la ventana. El cuadro Navegador (Navigator) muestra una vista alejada del lienzo completo. Si el lienzo es muy grande y no cabe en la pantalla, aparecerá un cuadro alrededor del área que sigue viéndose, que podrá mover para cambiar la sección del lienzo que desea mostrar.

Pasos siguientes

Ahora que vimos cómo funciona la asignación entre grupos de seguridad y directivas de seguridad, puede empezar a crear directivas de seguridad para definir los servicios de seguridad que desea aplicar en sus grupos de seguridad.

Asignar grupo de seguridad a directiva de seguridadPuede asignar el grupo de seguridad seleccionado a una directiva de seguridad.

Procedimiento

1 Seleccione la directiva de seguridad que desea aplicar en el grupo de seguridad.

2 Para crear una directiva nueva, seleccione Nuevo grupo de seguridad (New Security Group).

Consulte Crear una directiva de seguridad.

3 Haga clic en Guardar (Save).

Trabajar con etiquetas de seguridadPuede ver las etiquetas de seguridad aplicadas a una máquina virtual o crear una etiqueta de seguridad definida por el usuario.

Las etiquetas de seguridad son etiquetas que se pueden asociar a una máquina virtual. Se puede crear un gran número de etiquetas de seguridad para identificar una carga de trabajo específica. El criterio de coincidencia de un grupo de seguridad puede ser una etiqueta de seguridad y una carga de trabajo que esté etiquetada se puede colocar automáticamente dentro de un Grupo de seguridad.

Se pueden agregar o eliminar etiquetas de seguridad en una máquina virtual de forma dinámica como respuesta a varios criterios, como los análisis de vulnerabilidad o antivirus y los sistemas de prevención de intrusiones. Los administradores también pueden agregar o eliminar las etiquetas de forma manual.

En un entorno cross-vCenter NSX, las etiquetas de seguridad universales se crean en la instancia principal de NSX Manager y se pueden marcar para la sincronización universal con instancias secundarias de NSX Manager. Las etiquetas de seguridad universales se pueden asignar a las máquinas virtuales de forma estática, en función de la selección de ID únicos.


VMware, Inc. 357

Selección de ID únicoEl criterio de selección de ID único permite asignar etiquetas a máquinas virtuales en implementaciones en espera activas.

NSX Manager utiliza los ID únicos cuando una máquina virtual (VM) pasa de una implementación en espera a una activa. Los ID únicos se pueden basar en una instancia de VM UUID, VM BIOS UUID, el nombre de la VM, o bien una combinación de estas opciones. Tenga en cuenta que si los criterios cambian (como un cambio de nombre de la VM) después de que las etiquetas de seguridad universales se hayan creado y vinculado a las máquinas virtuales, la etiqueta de seguridad se deberá desvincular y volver a vincular a las máquinas virtuales.

Procedimiento

1 En vSphere Web Client, desplácese hasta Inicio > Redes y seguridad > Instalación (Home > Networking & Security > Installation), y seleccione la pestaña Administración (Management).

2 Haga clic en la instancia de NSX Manager principal. A continuación, seleccione Acciones > Criterios de selección de ID único (Actions > Unique ID Selection Criteria).

3 Seleccione una o varias de las opciones de ID único:

n Utilizar la instancia de máquina virtual UUID (recomendado): la instancia de VM UUID es generalmente única dentro de un dominio VC, aunque existen excepciones, como en el caso de las implementaciones realizadas a través de instantáneas. Si la instancia de VM UUID no es única, recomendamos usar la VM BIOS UUID en combinación con el nombre de la VM.

n Utilizar la máquina virtual BIOS UUID: no se garantiza que BIOS UUID sea única dentro de un dominio VC, pero siempre se preserva en caso de desastre. Recomendamos usar BIOS UUID en combinación con el nombre de la VM.

n Utilizar el nombre de la máquina virtual: si todos los nombres de las VM en un entorno son únicos, entonces se pueden usar para identificar las máquinas virtuales en distintas instancias de vCenter. Recomendamos usar el nombre de la VM en combinación con VM BIOS UUID.


Pasos siguientes

A continuación, cree etiquetas de seguridad.

Ver etiquetas de seguridad aplicadasPuede ver las etiquetas de seguridad aplicadas a las máquinas virtuales del entorno.

Requisitos previos

Deberá haberse ejecutado un examen antivirus y deberá haberse aplicado una etiqueta en la máquina virtual correspondiente.

Nota Consulte la documentación de la solución de terceros para ver los detalles de las etiquetas que aplican estas soluciones.


VMware, Inc. 358

Procedimiento




4 Haga clic en la pestaña Etiquetas de seguridad (Security Tags).

Se muestra una lista de etiquetas aplicadas al entorno, junto con los detalles de las máquinas virtuales en las que se aplicaron esas etiquetas. Anote el nombre exacto de la etiqueta si desea agregar un grupo de seguridad para incluir máquinas virtuales con una etiqueta específica.

5 Haga clic en la cantidad en la columna Recuento de máquinas virtuales (VM Count) para ver las máquinas virtuales en las que se aplicó la etiqueta de esa fila.

Crear una etiqueta de seguridadPuede crear una etiqueta de seguridad y aplicarla a una máquina virtual. En un entorno cross-vCenter, las etiquetas de seguridad se sincronizan entre las instancias primaria y secundaria de NSX Manager.

Requisitos previos

Si crea una etiqueta de seguridad universal en un escenario de implementación en espera activo, en primer lugar establezca los criterios de selección de ID único en la instancia de NSX Manager principal.

Procedimiento





5 Haga clic en el icono Nueva etiqueta de seguridad (New Security Tag).

6 (opcional) Para crear una etiqueta de seguridad universal para utilizarla en entornos cross-vCenter NSX, seleccione Marcar este objeto para sincronización universal (Mark this object for universal synchronization).

7 Escriba un nombre y una descripción para la etiqueta, y haga clic en Aceptar (OK).

Pasos siguientes

Asigne máquinas virtuales a la etiqueta de seguridad.


VMware, Inc. 359

Asignar una etiqueta de seguridadAdemás de crear un flujo de trabajo condicional con una etiqueta de seguridad dinámica basada en pertenencia, es posible asignar manualmente una etiqueta de seguridad a máquinas virtuales.

Las etiquetas de seguridad se pueden utilizar como el criterio de coincidencia en los grupos de seguridad. En un entorno cross-vCenter, las etiquetas de seguridad se sincronizan entre las instancias primaria y secundaria de NSX Manager.

Procedimiento





5 Haga clic con el botón secundario en una etiqueta de seguridad y seleccione Asignar etiqueta de seguridad (Assign Security Tag).

Se mostrará la ventana Asignar etiqueta de seguridad a máquina virtual (Assign Security Tag to Virtual Machine), rellenada con las VM disponibles.

6 Haga doble clic en una o varias máquinas virtuales para moverlas a la columna Objetos seleccionados (Selected Objects). Haga clic en Aceptar (OK).

Se mostrará la pestaña Etiquetas de seguridad (Security Tags) con un recuento de VM actualizado para la etiqueta de seguridad.

Editar una etiqueta de seguridadEs posible editar una etiqueta de seguridad definida por el usuario. Si un grupo de seguridad se basa en la etiqueta que está editando, los cambios en la etiqueta pueden afectar la pertenencia al grupo de seguridad.

Procedimiento





5 Haga clic en una etiqueta de seguridad y seleccione Editar etiqueta de seguridad (Edit Security Tag).



VMware, Inc. 360

Eliminar una etiqueta de seguridadEs posible eliminar una etiqueta de seguridad definida por el usuario. Si un grupo de seguridad está basado en la etiqueta que va a eliminar, los cambios en la etiqueta pueden afectar la pertenencia al grupo de seguridad.

Procedimiento





5 Seleccione una etiqueta de seguridad y haga clic en el icono Eliminar etiqueta de seguridad

(Delete Security Tag) ( ).

Ver servicios efectivosPuede ver los servicios efectivos en un objeto de una directiva de seguridad o en una máquina virtual.

Ver servicios efectivos en una directiva de seguridadPuede ver los servicios efectivos en una directiva de seguridad, incluidos los servicios heredados de una directiva primaria.

Procedimiento




4 Haga clic en una directiva de seguridad en la columna Nombre (Name).

5 Asegúrese de estar en la pestaña Administrar (Manage) > Seguridad de la información (Information Security).

Resultados

Cada una de las tres pestañas (Servicios Endpoint [Endpoint Services], Firewall, y Servicios de introspección de red [Network Introspection Services]) muestra los correspondientes servicios de la directiva de seguridad.

Los servicios que no están efectivos aparecen atenuados. La columna Anulados (Overridden) muestra los servicios que en efecto se aplicaron a la directiva de seguridad y la columna Heredados de (Inherited from) muestra la directiva de seguridad de la cual se heredan los servicios.


VMware, Inc. 361

Ver errores de servicios en una directiva de seguridadPuede ver los servicios asociados con una directiva de seguridad que no pudo aplicarse a los grupos de seguridad asignados a la directiva.

Procedimiento




4 Haga clic en una directiva de seguridad en la columna Nombre (Name).

5 Asegúrese de estar en la pestaña Supervisar (Monitor) > Errores del servicio (Service Errors).

Si hace clic en el vínculo de la columna Estado (Status), llegará a la página Implementación del servicio (Service Deployment), donde puede corregir los errores del servicio.

Ver servicios efectivos en una máquina virtualPuede ver los servicios efectivos en una máquina virtual. Si se están aplicando varias directivas de seguridad en una máquina virtual (es decir, la máquina virtual integra varios grupos de seguridad con directivas asignadas), entonces esta vista enumerará todos los servicios efectivos en estas directivas, en el orden en que se aplicaron. La columna del estado del servicio muestra el estado de cada servicio.

Procedimiento


2 Haga clic en vCenter y, a continuación, en Máquinas virtuales (Virtual Machines).

3 Haga clic en una máquina virtual de la columna Nombre (Name).

4 Asegúrese de estar en la pestaña Supervisar (Monitor) > Service Composer.

Trabajar con directivas de seguridadUna directiva de seguridad es un grupo de servicios de red y seguridad.

Los siguientes servicios de red y seguridad pueden agruparse en una directiva de seguridad:

n Servicios de endpoint: administración de vulnerabilidad y antivirtus

n Reglas de Distributed Firewall.

n Servicios de introspección de red: IPS de red y análisis forense de la red.

Administrar la prioridad de las directivas de seguridadLas directivas de seguridad se aplican según su ponderación: una directiva con ponderación más alta tiene más prioridad. Cuando mueve una directiva hacia arriba o abajo en la tabla, la ponderación se ajusta acorde al movimiento.


VMware, Inc. 362

Se pueden aplicar varias directivas de seguridad a una máquina virtual, ya sea porque el grupo de seguridad que contiene la máquina virtual está asociado con varias directivas o porque la máquina virtual es parte de varios grupos de seguridad asociados con distintas directivas. Si hay un conflicto entre los servicios agrupados con cada directiva, la ponderación de la directiva determina los servicios que se aplicarán a la máquina virtual. Por ejemplo, supongamos que la directiva 1 bloquea el acceso a Internet y tiene un valor de ponderación de 1000, mientras que la directiva 2 permite el acceso a Internet y tiene un valor de ponderación de 2000. En este caso en particular, la directiva 2 tiene mayor ponderación y, por lo tanto, la máquina virtual podrá acceder a Internet.

Procedimiento




4 Haga clic en el icono Administrar precedencia (Manage Precedence) ( ).

5 En el cuadro de diálogo Administrar precedencia (Manage Precedence), seleccione la directiva de seguridad a la que desea modificarle la precedencia y haga clic en el icono Mover hacia arriba (Move Up) ( ) o Mover hacia abajo (Move Down) ( ).


Editar directiva de seguridadEs posible editar el nombre o la descripción de una directiva de seguridad, al igual que las reglas y los servicios asociados.

Procedimiento




4 Seleccione la directiva de seguridad que desea editar y haga clic en el icono Editar directiva de

seguridad (Edit Security Policy) ( ).

5 En el cuadro de diálogo Editar directiva de seguridad (Edit Security Policy), realice los cambios adecuados y haga clic en Finalizar (Finish).

Eliminar una directiva de seguridadEs posible eliminar una directiva de seguridad.


VMware, Inc. 363

Procedimiento




4 Seleccione la directiva de seguridad que desea eliminar y haga clic en el icono Eliminar directiva de

seguridad (Delete Security Policy) ( ).

Situaciones de Service ComposerEsta sección muestra algunas situaciones hipotéticas para Service Composer. Se da por sentado que al administrador de cada situación se le asignó el rol Administrador de seguridad.

Situación de máquinas infectadas en cuarentenaService Composer puede identificar si hay sistemas infectados en la red con soluciones antivirus de terceros y ponerlos en cuarentena para evitar otras infecciones.

Nuestro caso de muestra explica cómo proteger los escritorios de extremo a extremo.


VMware, Inc. 364

Figura 17-6. Configurar Service Composer

Tareas del administrador

Crear directivade seguridad para escritorios

(DesktopPolicy)

Crear directiva de seguridadpara examinar escritorios

(DesktopPolicy)

Crear directiva de seguridadpara aislar sistemas infectados

(QuarantinePolicy)

Crear directiva de seguridad paramáquinas virtuales infectadas

(QuarantinePolicy)

Asignar Cuarentena aQuarantineSecurityGroup

Ejecutar exploración desoluciones del partner

Asignar DesktopPolicy aDesktopSecurityGroup


VMware, Inc. 365

Figura 17-7. Flujo de trabajo condicional de Service Composer

Tareas del administrador

Acción automática por parte de Service Composer

Exploraciónde administración

de vulnerabilidades

VM etiquetada agregada al instante a

QuarantineSecurityGroup

VM enQuarantineSecurityGroupprotegida mediante IPS

VM vulnerableetiquetada

Requisitos previos

Estamos al tanto de que las etiquetas de Symantec infectaron las máquinas virtuales con la etiqueta AntiVirus.virusFound.

Procedimiento

1 Instale, registre e implemente la solución Symantec Antimalware.

2 Cree una directiva de seguridad para los escritorios.

a Haga clic en la pestaña Directivas de seguridad (Security Policies) y, a continuación, en el icono Agregar directiva de seguridad (Add Security Policy).

b En Nombre (Name), escriba DesktopPolicy.

c En Descripción (Description), escriba Antivirus scan for all desktops.

d Cambie el promedio a 51.000. La prioridad de la directiva se establece como alta para garantizar que se aplique antes que las demás directivas.

e Haga clic en Siguiente (Next).


VMware, Inc. 366

f En la página Agregar servicio de extremo (Add Endpoint Service), haga clic en y complete los siguientes valores.

Opción Valor

Acción (Action) No modifique el valor predeterminado

Tipo de servicio (Service Type) Antivirus

Nombre del servicio (Service Name) Symantec Antimalware

Configuración del servicio (Service Configuration)

Silver

Estado (State) No modifique el valor predeterminado

Aplicar (Enforce) No modifique el valor predeterminado

Nombre (Name) AV del escritorio

Descripción (Description) Directiva obligatoria para aplicar en todos los escritorios.

g Haga clic en Aceptar (OK).

h No agregue ningún servicio de introspección de red o firewall y haga clic en Finalizar (Finish).

3 Cree una directiva de seguridad para las máquinas virtuales infectadas.


b En Nombre (Name), escriba QuarantinePolicy.

c En Descripción (Description), escriba Policy to be applied to all infected systems.

d No cambie el promedio predeterminado.


f En la página Agregar servicio de extremo (Add Endpoint Service), no realice ninguna acción y haga clic en Siguiente (Next).

g En Firewall, agregue tres reglas: una para bloquear todo el tráfico saliente, la siguiente para bloquear todo el tráfico con los grupos y la última para permitir el tráfico entrante solo desde las herramientas de corrección.

h No agregue ningún servicio de introspección de red y haga clic en Finalizar (Finish).

4 Mueva QuarantinePolicy al principio de la tabla de directivas de seguridad para garantizar que se aplique antes que las demás directivas.

a Haga clic en el icono Administrar prioridades (Manage Priority).

b Seleccione QuarantinePolicy y haga clic en el icono Subir (Move Up).


VMware, Inc. 367

5 Cree un grupo de seguridad para todos los escritorios del entorno.


b Haga clic en Redes y seguridad (Networking & Security) y, a continuación, haga clic en Service Composer.

c Haga clic en la pestaña Grupos de seguridad (Security Groups) y, a continuación, en el icono Agregar grupo de seguridad (Add Security Group).

d En Nombre (Name), escriba DesktopSecurityGroup.

e En Descripción (Description), escriba All desktops.

f Haga clic en Siguiente (Next) en las próximas páginas.

g Revise sus selecciones en la página Listo para finalizar (Ready to Complete) y haga clic en Finalizar (Finish).

6 Cree un grupo de seguridad para cuarentena donde colocará las máquinas virtuales infectadas.

a Haga clic en la pestaña Grupos de seguridad (Security Groups) y, a continuación, en el icono Agregar grupo de seguridad (Add Security Group).

b En Nombre (Name), escriba QuarantineSecurityGroup.

c En Descripción (Description), escriba Dynamic group membership based on infected VMs identified by the antivirus

scan.

d En la página Definir criterios de pertenencia (Define membership Criteria), haga clic en y agregue los siguientes criterios.

e No realice ninguna acción en las páginas Seleccionar objetos para incluir (Select objects to include) o Seleccionar objetos para excluir (Select objects to exclude) y haga clic en Siguiente (Next).

f Revise sus selecciones en la página Listo para finalizar (Ready to Complete) y haga clic en Finalizar (Finish).


VMware, Inc. 368

7 Asigne la directiva DesktopPolicy al grupo de seguridad DesktopSecurityGroup.

a En la pestaña Directivas de seguridad (Security Policies), asegúrese de que se haya seleccionado la directiva DesktopPolicy.

b Haga clic en el icono Aplicar directiva de seguridad (Apply Security Policy) ( ) y seleccione el grupo SG_Desktops.


Esta asignación garantiza que todos los escritorios (parte de DesktopSecurityGroup) se analicen al activar un análisis antivirus.

8 Desplácese hasta la vista de lienzo para confirmar que QuarantineSecurityGroup aún no incluya ninguna máquina virtual.

a Haga clic en la pestaña Seguridad de la información (Information Security).

b Confirme que haya 0 máquinas virtuales en el grupo ( )

9 Asigne QuarantinePolicy a QuarantineSecurityGroup.

Esta asignación garantiza que no circule tráfico hacia los sistemas infectados.

10 Desde la consola de Symantec Antimalware, active una exploración en la red.

La exploración detecta las máquinas virtuales infectadas y les asigna la etiqueta de seguridad AntiVirus.virusFound. Las máquinas virtuales etiquetadas se agregan de inmediato a QuarantineSecurityGroup. La directiva QuarantinePolicy permite que no circule tráfico por los sistemas infectados.

Realizar copias de seguridad de la configuración de seguridadService Composer puede ser una herramienta útil para realizar una copia de seguridad de la configuración de seguridad y restaurarla en otro momento.

Procedimiento

1 Instale, registre e implemente la solución Rapid 7 Vulnerability Management.

2 Cree un grupo de seguridad para el primer nivel de la aplicación SharePoint, los servidores web.


b Haga clic en Redes y seguridad (Networking & Security) y, a continuación, haga clic en Service Composer.

c Haga clic en la pestaña Grupos de seguridad (Security Groups) y, a continuación, en el icono Agregar grupo de seguridad (Add Security Group).

d En Nombre (Name), escriba SG_Web.

e En Descripción (Description), escriba Security group for application tier.


VMware, Inc. 369

f No realice ningún cambio en la página Definir criterios de pertenencia (Define membership Criteria) y haga clic en Siguiente (Next).

g En la página Seleccionar objetos para incluir (Select objects to include), seleccione las máquinas virtuales del servidor web.

h No realice ningún cambio en la página Seleccionar objetos para excluir (Select objects to exclude) y haga clic en Siguiente (Next).

i Revise sus selecciones en la página Listo para finalizar (Ready to Complete) y haga clic en Finalizar (Finish).

3 Ahora, cree un grupo de seguridad para la base de datos y uno para los servidores SharePoint Server, y asígneles los nombres SG_Database y SG_Server_SharePoint, respectivamente. Incluya los objetos apropiados en cada grupo.

4 Cree un grupo de seguridad de nivel superior para los niveles de aplicación y asígnele el nombre SG_App_Group. Agregue SG_Web, SG_Database y SG_Server_SharePoint a este grupo.

5 Cree una directiva de seguridad para los servidores web.


b En Nombre (Name), escriba SP_App.

c En Descripción (Description), escriba SP for application web servers.

d Cambie el peso a 50000. La prioridad de la directiva es bastante alta para garantizar que se aplique por sobre la mayoría de las otras directivas (a excepción de la cuarentena).


f En la página Servicios Endpoint (Endpoint Services), haga clic en (Agregar) y complete los siguientes valores.

Opción Valor

Acción (Action) No modifique el valor predeterminado

Tipo de servicio (Service Type) Administración de la vulnerabilidad

Nombre del servicio (Service Name) Rapid 7

Configuración del servicio (Service Configuration)

Silver

Estado (State) No modifique el valor predeterminado

Aplicar (Enforce) No modifique el valor predeterminado

g No agregue ningún servicio de introspección de red o firewall y haga clic en Finalizar (Finish).

6 Asigne SP_App a SG_App_Group.


VMware, Inc. 370

7 Desplácese hasta la vista de lienzo para confirmar que SP_App se haya asignado a SG_App_Group.

a Haga clic en la pestaña Seguridad de la información (Information Security).

b Haga clic en el número junto al icono para ver si se asignó SP_App.

8 Exporte la directiva SP_App.

a Haga clic en la pestaña Directivas de seguridad (Security Policies) y seleccione el icono

Exportar plano técnico (Export Blueprint) .

b En Nombre (Name), escriba Template_ App_ y, en Prefijo (Prefix), escriba FromAppArchitect.

c Haga clic en Siguiente (Next).

d Seleccione la directiva SP_App y haga clic en Siguiente (Next).

e Revise las selecciones y haga clic en Finalizar (Finish).

f Seleccione el directorio de su equipo donde desea descargar el archivo exportado y haga clic en Guardar (Save).

Se exportará la directiva de seguridad junto con todos los grupos de seguridad en los que se aplicó esta directiva (en este caso, el grupo de seguridad Aplicación [Application] y los tres grupos de seguridad anidados en él).

9 Para probar el funcionamiento de la directiva exportada, elimine la directiva SP_App.

10 A continuación, restaure la directiva Template_ App_ DevTest que exportó en el paso 7.

a Haga clic en Acciones (Actions) y, a continuación, haga clic en el icono Importar configuración de servicios (Import Service Configuration).

b Seleccione el archivo FromAppArtchitect_Template_App en el escritorio (lo guardó en el paso 7).

c Haga clic en Siguiente (Next).

d La página Listo para finalizar (Ready to complete) muestra las directivas de seguridad, junto con los objetos asociados (grupos de seguridad en los que se han aplicado estas directivas, además de servicios de extremo, reglas de firewall y servicios de introspección de red) que se importarán.

e Haga clic en Finalizar (Finish).

La configuración y los objetos asociados se importarán al inventario de vCenter y se podrán ver en la vista de lienzo.

Importar y exportar configuraciones de directivas de seguridadPuede usar Service Composer para exportar la configuración de directivas de seguridad con un formado de archivo específico desde una instancia de NSX Manager e importar la configuración exportada a otra instancia de NSX Manager.


VMware, Inc. 371

No puede exportar directamente grupos de seguridad en Service Composer. Primero, debe asegurarse de que se haya asignado una directiva de seguridad a un grupo de seguridad y, a continuación, exportar esa directiva. Se exportará todo el contenido de la directiva de seguridad, como las reglas del DFW, las reglas de introspección del invitado y de red, así como los grupos de seguridad vinculados a la directiva de seguridad.

Cuando un grupo de seguridad contenedor incluye grupos de seguridad anidados, también se exporta la información anidada. Podrá agregar un prefijo a la directiva durante la exportación. Este prefijo se aplicará al nombre de la directiva, el nombre de las acciones de la directiva y el nombre del grupo de seguridad.

Podrá especificar un sufijo al importar la configuración a otra instancia de NSX Manager, Este sufijo se aplicará al nombre de la directiva, el nombre de las acciones de la directiva y el nombre del grupo de seguridad. Si ya existe un grupo de seguridad o una directiva de seguridad con ese nombre en la instancia de NSX Manager en la que se está llevando a cabo la importación, no se podrá completar la importación de la configuración de la directiva de seguridad.

Exportar la configuración de una directiva de seguridadPuede exportar la configuración de una directiva de seguridad y guardarla en el escritorio. La configuración guardada puede usarse como copia de seguridad para situaciones donde se puede eliminar por accidente la configuración de una directiva, o bien puede exportarse para utilizarla en otro entorno de NSX Manager.

Procedimiento




4 Seleccione la directiva de seguridad que desea exportar.

5 Haga clic en Acciones (Actions) y, a continuación, en Exportar configuración (Export Configuration).

6 Escriba un nombre y una descripción para la configuración que se va a exportar.

7 Si fuera necesario, introduzca el prefijo que se debe agregar a las políticas de seguridad y los grupos de seguridad que se van a exportar.

Si especifica un prefijo, este se agrega a los nombres de las directivas de seguridad de destino para garantizar que tengan nombres únicos.


9 En la página Seleccionar directivas de seguridad (Select security policies), seleccione la directiva de seguridad que desea exportar y haga clic en Siguiente (Next).


VMware, Inc. 372

10 La página Listo para finalizar (Ready to complete) muestra las directivas de seguridad, los servicios de endpoint, las reglas de firewall y los servicios de introspección de red que se deben exportar.

En esta página también se muestran los grupos de seguridad a los que se aplican las directivas de seguridad.


12 Seleccione el directorio en el equipo donde desea descargar la configuración de referencia exportada y haga clic en Guardar (Save).

El archivo de configuración de la directiva de seguridad se guardará en la ubicación especificada.

Importar la configuración de una directiva de seguridadPuede exportar la configuración de una directiva de seguridad guardada como copia de seguridad o para restablecer una configuración similar en otra instancia de NSX Manager.

Al importar la configuración, se crea un grupo de seguridad vacío. Todos los servicios, los perfiles de servicio, las aplicaciones y los grupos de aplicaciones deben estar presentes en el entorno de destino o no se podrán importar.

Procedimiento




4 Haga clic en Acciones (Actions) y, a continuación, haga clic en el icono Importar configuración de servicios (Import Service Configuration).

5 Seleccione el archivo de configuración que desea importar.

6 Si fuera necesario, introduzca el sufijo que se debe agregar a las políticas de seguridad y los grupos de seguridad que se van a importar.

Si especifica un sufijo, este se agrega a los nombres de las directivas de seguridad que se importan, para garantizar que tengan nombres únicos.


Service Composer comprueba que todos los servicios mencionados en la configuración estén disponibles en el entorno de destino. Si no lo están, aparecerá la página Administrar servicios faltantes (Manage Missing Services) en la que puede asignar los servicios faltantes a servicios de destino disponibles.

La página Listo para finalizar (Ready to complete) muestra las directivas de seguridad, los servicios de endpoint, las reglas de firewall y los servicios de introspección de red que se deben exportar. En esta página también se muestran los grupos de seguridad a los que se aplican las directivas de seguridad.


VMware, Inc. 373


La configuración de la directiva de seguridad importada se agrega a la parte superior de la tabla de directivas de seguridad (encima de las directivas existentes) en la instancia de destino de NSX Manager. El orden original de las reglas importadas y los servicios de seguridad se conserva en la directiva de seguridad.


VMware, Inc. 374

Guest Introspection 18Guest Introspection descarga el procesamiento antivirus y antimalware en un dispositivo virtual protegido y exclusivo que ofrecen los partners de VMware. Dado que el dispositivo virtual protegido (a diferencia de una máquina virtual invitada) no se desconecta, puede actualizar continuamente firmas antivirus y, de este modo, ofrecer protección ininterrumpida para las máquinas virtuales del host. Asimismo, las nueva máquinas virtuales (o las existentes que se desconectaron) quedan protegidas de inmediato con las firmas antivirus más actuales al volver a conectarse.

El estado de mantenimiento de Guest Introspection se transmite mediante el uso de alarmas que aparecen en rojo en la consola de vCenter Server. Por otra parte, puede recopilarse más información del estado desde los registros de eventos.

Importante Su entorno debe estar correctamente configurado para la seguridad de Guest Introspection:

n Todos los hosts del grupo de recursos que contienen máquinas virtuales protegidas deben estar preparados para Guest Introspection, de modo que las máquinas virtuales sigan protegidas cuando se las mueva mediante vMotion desde un host ESXi a otro dentro del grupo de recursos.

n Las máquinas virtuales deben tener instalado Thin Agent de Guest Introspection para estar protegidas por la solución de seguridad de Guest Introspection. No todos los sistemas operativos invitados son compatibles. Las máquinas virtuales con sistemas operativos no compatibles no quedan protegidas por la solución de seguridad.


n Instalar Guest Introspection en los clústeres de host

n Instalar Thin Agent de Guest Introspection en máquinas virtuales de Windows

n Instalar Thin Agent de Guest Introspection en máquinas virtuales Linux

n Ver el estado de Guest Introspection

n Mensajes de auditoría de Guest Introspection

n Recopilar información para solucionar problemas de Guest Introspection

n Desinstalar un módulo de Guest Introspection

VMware, Inc. 375

Instalar Guest Introspection en los clústeres de hostAl instalar Guest Introspection se instalan automáticamente un nuevo VIB y una máquina virtual de servicio en cada host del clúster. Se requiere Guest Introspection para la supervisión de actividad y varias soluciones de seguridad de terceros.

Nota No es posible migrar una máquina virtual de servicios (SVM) usando vMotion/SvMotion. Para que las máquinas virtuales de servicios funcionen correctamente, se deben mantener en el host en el que se implementaron.

Requisitos previos

Las instrucciones de instalación a continuación dan por sentado que se cuenta con el siguiente sistema:

n Un centro de datos con versiones compatibles de vCenter Server y ESXi instalado en cada host del clúster.

n Si los hosts de los clústeres se actualizaron de vCenter Server versión 5.0 a la versión 5.5, debe abrir los puertos 80 y 443 en esos hosts.

n Los hosts del clúster donde quiere instalar Guest Introspection deben estar preparados para NSX. Consulte cómo preparar el clúster del host para NSX (Prepare the Host Cluster for NSX) en Guía de instalación de NSX. Guest Introspection no puede instalarse en hosts independientes. Si utiliza NSX para implementar y administrar Guest Introspection solo para la capacidad de descarga antivirus, no es necesario que prepare los hosts para NSX, acción que no está permitida por la licencia de NSX para vShield Endpoint.

n NSX Manager instalado y en ejecución.

n Asegúrese de que NSX Manager y los hosts preparados que ejecuten los servicios de Guest Introspection estén vinculados con el mismo servidor NTP y que la hora esté sincronizada. Un error al realizar esta acción puede provocar que las máquinas virtuales no estén protegidas por los servicios de antivirus, aunque el estado del clúster aparezca en verde para Guest Introspection y cualquier servicio de terceras partes.

Si se agrega un servidor NTP, VMware recomienda que se vuelva a implementar Guest Introspection y cualquier servicio de terceras partes.

Si desea asignar una dirección IP a la máquina virtual de servicio de Guest Introspection desde un grupo de IP, cree el grupo de IP antes de instalar NSX Guest Introspection. Consulte cómo trabajar con grupos IP en la Guía de administración de NSX.

vSphere Fault Tolerance no funciona con Guest Introspection.

Procedimiento

1 En la pestaña Instalación (Installation), haga clic en Implementaciones de servicios (Service Deployments).

2 Haga clic en el icono Nueva implementación de servicios (New Service Deployment) ( ).


VMware, Inc. 376

3 En el cuadro de diálogo Implementar servicios de red y seguridad (Deploy Network and Security Services), seleccione Guest Introspection.

4 En Especificar programación (Specify schedule) (en la parte inferior del cuadro de diálogo), seleccione Implementar ahora (Deploy now) para implementar Guest Introspection en cuanto esté instalado, o bien seleccione una fecha y una hora para la implementación.


6 Seleccione el centro de datos y los clústeres donde desea instalar Guest Introspection y haga clic en Siguiente (Next).

7 En la página Seleccionar red de administración y almacenamiento (Select storage and Management Network), seleccione el almacén de datos donde desea agregar el almacenamiento de las máquinas virtuales de servicio, o bien seleccione Especificado en el host (Specified on host). Se recomienda utilizar las redes y los almacenes de datos compartidos en lugar de la opción "Especificado en el host" (Specified on host) de modo que los flujos de trabajo de la implementación se automaticen.

El almacén de datos seleccionado debe estar disponible en todos los hosts del clúster elegido.

Si seleccionó Especificado en el host (Specified on host), siga los pasos a continuación para cada host del clúster.

a En la página de inicio de vSphere Web Client, haga clic en vCenter y, a continuación, en Hosts.

b Haga clic en un host en la columna Nombre (Name) y, a continuación, en la pestaña Administrar (Manage).

c Haga clic en Máquinas virtuales agente (Agent VMs) y, a continuación, en Editar (Edit).

d Seleccione el almacén de datos y haga clic en Aceptar (OK).

8 Seleccione el grupo de puertos virtuales distribuidos donde se alojará la interfaz de administración. Si se estableció el almacén de datos en la opción Especificado en el host (Specified on host), la red también debe establecerse en la opción Especificado en el host.

El grupo de puertos seleccionado debe poder comunicarse con el grupo de puertos de NSX Manager y estar disponible en todos los hosts del clúster seleccionado.

Si seleccionó Especificado en el host (Specified on host), siga los subpasos del paso 7 para seleccionar una red del host. Para agregar un host (o varios hosts) al clúster, el almacén de datos y la red deben establecerse antes de agregar cada host al clúster.

9 En la asignación de direcciones IP, seleccione una de las siguientes opciones:

Seleccionar Para

DHCP Asignar una dirección IP a la máquina virtual de servicio de NSX Guest Introspection mediante el protocolo de configuración dinámica de host (DHCP). Seleccione esta opción si los hosts se encuentran en diferentes subredes.

Grupo de direcciones IP Asignar una dirección IP a la máquina virtual de servicio de NSX Guest Introspection a partir del grupo de direcciones IP seleccionado.


VMware, Inc. 377

10 Haga clic en Siguiente (Next) y, a continuación, en Finalizar (Finish) en la página Listo para finalizar (Ready to complete).

11 Supervise la implementación hasta que la columna Estado de instalación (Installation Status) muestre Correcto (Succeeded).

12 Si la columna Estado de instalación (Installation Status) muestra Con errores (Failed), haga clic en el icono junto a Con errores. Se muestran todos los errores de implementación. Haga clic en Resolver (Resolve) para solucionar los errores. En algunos casos, al resolver los errores aparecen otros nuevos. Realice la acción requerida y haga clic de nuevo en Resolver (Resolve).

Instalar Thin Agent de Guest Introspection en máquinas virtuales de WindowsPara proteger las máquinas virtuales mediante una solución de seguridad de Guest Introspection, debe instalar en ellas Thin Agent de Guest Introspection, también conocido como controladores de Guest Introspection. Los controladores de Guest Introspection se incluyen con VMware Tools para Windows, pero no forman parte de la instalación predeterminada. Para instalar Guest Introspection en una máquina virtual Windows, debe realizar una instalación personalizada y seleccionar los controladores.

n Si utiliza vSphere 5.5 o 6.0, consulte estas instrucciones para instalar VMware Tools: http://pubs.vmware.com/vsphere-60/index.jsp?topic=%2Fcom.vmware.vsphere.vm_admin.doc%2FGUID-391BE4BF-89A9-4DC3-85E7-3D45F5124BC7.html.

n Si utiliza vSphere 6.5, consulte estas instrucciones para instalar VMware Tools:https://www.vmware.com/support/pubs/vmware-tools-pubs.html.

Las máquinas virtuales de Windows con controladores de Guest Introspection instalados quedan automáticamente protegidas cuando se inicien en un host ESXi con la solución de seguridad instalada. Las máquinas virtuales protegidas mantienen la protección de seguridad durante los apagados y reinicios e incluso después del traslado de vMotion a otro host ESXi con la solución de seguridad instalada.

Para obtener instrucciones sobre Linux, consulte Instalar Thin Agent de Guest Introspection en máquinas virtuales Linux.

Requisitos previos

Asegúrese de que una máquina virtual invitada tenga una versión compatible de Windows instalada. Los sistemas operativos de Windows siguientes son compatibles con NSX Guest Introspection:

n Windows XP SP3 y posteriores (32 bit)

n Windows Vista (32 bit)

n Windows 7 (32/64 bit)

n Windows 8 (32/64 bit) -- solo vSphere 5.5

n Windows 8.1 (32/64) -- a partir de vSphere 5.5 Revisión 2 y posteriores

n Windows 10


VMware, Inc. 378

http://pubs.vmware.com/vsphere-60/index.jsp?topic=%2Fcom.vmware.vsphere.vm_admin.doc%2FGUID-391BE4BF-89A9-4DC3-85E7-3D45F5124BC7.html



https://www.vmware.com/support/pubs/vmware-tools-pubs.html

https://www.vmware.com/support/pubs/vmware-tools-pubs.html

n Windows 2003 SP2 y posteriores (32/64 bit)

n Windows 2003 R2 (32/64 bit)

n Windows 2008 (32/64 bit)

n Windows 2008 R2 (64 bit)

n Win2012 (64) -- solo vSphere 5.5

n Win2012 R2 (64) -- a partir de vSphere 5.5 Revisión 2 y posteriores

Procedimiento

1 Comience la instalación de VMware Tools y siga las instrucciones de su versión de vSphere. Seleccione la instalación personalizada.

2 Expanda la sección Controlador VMCI (VMCI Driver).

Las opciones disponibles varían en función de la versión de VMware Tools.

Controlador Descripción

Controladores de vShield Endpoint Instala los controladores de introspección de archivos (vsepflt) e introspección de red (vnetflt).

Controladores de Guest Introspection Instala los controladores de introspección de archivos (vsepflt) e introspección de red (vnetflt).

Controlador de introspección de archivos de NSX y controlador de introspección de red de NSX

Seleccione el controlador de introspección de archivos de NSX para instalar vsepflt.

También puede seleccionar el controlador de introspección de red de NSX para instalar vnetflt (vnetWFP en Windows 10).

Nota Seleccione el controlador de introspección de red de NSX solo si utiliza las funciones de firewall de identidad o supervisión de endpoints.

3 En el menú desplegable situado junto a los controladores que desea agregar, seleccione Esta función se instalará en el disco duro local (This feature will be installed on the local hard drive).

4 Siga los pasos restantes del procedimiento.

Pasos siguientes

Compruebe que se esté ejecutando la instancia de Thin Agent utilizando el comando fltmc con privilegios administrativos. La columna Nombre de filtro (Filter Name) de la salida enumera la instancia de Thin Agent con una entrada vsepflt.

Instalar Thin Agent de Guest Introspection en máquinas virtuales LinuxGuest Introspection es compatible con la introspección de archivos en Linux solo para antivirus. Para proteger las máquinas virtuales Linux con una solución de seguridad de Guest Introspection, debe instalar Thin Agent de Guest Introspection.


VMware, Inc. 379

La instancia de Thin Agent de GI está disponible como parte de los paquetes específicos del sistema operativo (OSP) de VMware Tools. No es necesario instalar VMware Tools. La instalación y actualización de la instancia de Thin Agent de GI no está relacionada con la instalación y actualización de NSX. Asimismo, el Administrador de Enterprise o Seguridad (Administrador no de NSX) puede instalar el agente en las máquinas virtuales invitadas fuera de NSX.

Para instalar la instancia de Thin Agent de GI en sistemas Linux RHEL o SLES, utilice el paquete RPM. Para instalar la instancia de Thin Agent de GI en sistemas Linux Ubuntu, utilice el paquete DEB.

Para obtener instrucciones sobre Windows, consulte Instalar Thin Agent de Guest Introspection en máquinas virtuales de Windows.

Requisitos previos

n Asegúrese de que la máquina virtual invitada tenga una versión compatible de Linux instalada:

n Red Hat Enterprise Linux (RHEL) 7 GA (64 bits)

n SUSE Linux Enterprise Server (SLES) 12 GA (64 bits)

n Ubuntu 14.04 LTS (64 bits)

n Compruebe que GLib 2.0 esté instalado en la máquina virtual Linux.

n Descargue el paquete de Thin Agent de GI (vmware-nsx-gi-file) del repositorio de paquetes de VMware en https://packages.vmware.com/packages/index.html.

Procedimiento

u Según su sistema operativo Linux, realice los siguientes pasos con privilegios de raíz:

n Para sistemas Ubuntu:

a Obtenga e importe las clave públicas de empaquetado de VMware mediante los siguientes comandos:

curl -O https://packages.vmware.com/tools/keys/VMWARE-PACKAGING-GPG-RSA-KEY.pub

apt-key add VMWARE-PACKAGING-GPG-RSA-KEY.pub

b Cree un archivo llamado vm.list en /etc/apt/sources.list.d.

c Edite el archivo con el siguiente contenido:

vi /etc/apt/sources.list.d/vm.list

deb https://packages.vmware.com/packages/ubuntu/ trusty main

d A continuación, instale el paquete de la siguiente forma:

apt-get update

apt-get install vmware-nsx-gi-file


VMware, Inc. 380

https://packages.vmware.com/packages/index.html

n Para sistemas RHEL7:



rpm --import VMWARE-PACKAGING-GPG-RSA-KEY.pub

b Cree un archivo llamado vm.repo en /etc/yum.repos.d.

c Edite el archivo con el siguiente contenido:

vi /etc/yum.repos.d/vm.repo

[vm]

name = VMware

baseurl = https://packages.vmware.com/packages/rhel7/x86_64

enabled = 1

gpgcheck = 1

metadata_expire = 86400

ui_repoid_vars = basearch

d A continuación, instale el paquete de la siguiente forma:

yum install vmware-nsx-gi-file

u Para sistemas SLES:



rpm --import VMWARE-PACKAGING-GPG-RSA-KEY.pub

b Agregue el siguiente repositorio:

zypper ar -f "https://packages.vmware.com/packages/sle12/x86_64/" VMware

c A continuación, instale el paquete de la siguiente forma:

zypper install vmware-nsx-gi-file

Pasos siguientes

Compruebe que se esté ejecutando la instancia de Thin Agent utilizando el comando service vsepd status con privilegios administrativos. El estado debería ser ejecutándose.


VMware, Inc. 381

Ver el estado de Guest IntrospectionLa supervisión de una instancia de Guest Introspection implica verificar el estado de los componentes de Guest Introspection: la máquina virtual de seguridad (SVM), el módulo de Guest Introspection que reside en el host ESXi y la instancia de Thin Agent que reside en la máquina virtual protegida.

Procedimiento

1 En vSphere Web Client, haga clic en Listas de inventario de vCenter (vCenter Inventory Lists) y, a continuación, en Centros de datos (Datacenters).

2 En la columna Nombre (Name), haga clic en un centro de datos.

3 Haga clic en Supervisar (Monitor) y, a continuación, haga clic en Guest Introspection.

La página Estado y alarmas de Guest Introspection (Guest Introspection Health and Alarms) muestra el estado de los objetos del centro de datos seleccionado, así como las alarmas activas. Los cambios en el estado de mantenimiento se ven reflejados al minuto de ocurrido el evento que activó el cambio.

Mensajes de auditoría de Guest IntrospectionLos mensajes de auditoría incluyen errores irrecuperables y otros mensajes importantes de auditoría, y se registran en vmware.log.

Las siguientes condiciones se registran como mensajes de auditoría (AUDIT):

n Inicialización correcta de Thin Agent (y número de versión).

n Inicialización de Thin Agent con errores.

n Primera comunicación establecida con la SVM.

n Error al establecer la comunicación con la SVM (cuando ocurre el primer error).

Los mensajes de registro generados tienen las siguientes subcadenas cerca del comienzo de cada mensaje de registro: vf-AUDIT, vf-ERROR, vf-WARN, vf-INFO, vf-DEBUG.

Recopilar información para solucionar problemas de Guest IntrospectionEl soporte técnico de VMware solicita de forma rutinaria información del diagnóstico o un paquete de soporte cuando se gestiona una solicitud de soporte. La información del diagnóstico contiene archivos de registro y de configuración de las máquinas virtuales.

Información para solucionar problemas del firewall de identidadSi el entorno del firewall basado en identidad utiliza Guest Introspection, la información de diagnóstico se encuentra en Guía para solucionar problemas de NSX y Eventos del sistema y de registro de NSX.


VMware, Inc. 382

Desinstalar un módulo de Guest IntrospectionAl desinstalar Guest Introspection se extrae un VIB de los hosts del clúster y se extrae la máquina virtual de servicio de cada host del clúster. Se requiere Guest Introspection para el Firewall de identidad (Identity Firewall), la Supervisión de endpoint (Endpoint Monitoring) y varias soluciones de seguridad de terceros. La desinstalación de Guest Introspection puede traer consecuencias de amplio alcance.

Precaución Antes de desinstalar un módulo de Guest Introspection del clúster, deberá desinstalar todos los productos de terceros que están utilizando Guest Introspection en los hosts de ese clúster. Siga las instrucciones del proveedor de la solución.

Se pierde la protección de las máquinas virtuales del clúster de NSX. Debe mover las máquinas virtuales mediante vMotion fuera del clúster antes de desinstalar.

Para desinstalar Guest Introspection:

1 En vCenter, desplácese hasta Inicio > Redes y seguridad > Instalación (Home > Networking & Security > Installation) y seleccione la pestaña Implementaciones de servicios (Service Deployments).

2 Seleccione una instancia de Guest Introspection y haga clic en el icono de eliminación.

3 Puede eliminarla ahora o programar la eliminación para más adelante.

Desinstalar Guest Introspection para LinuxPuede desinstalar la instancia de Thin Agent de Linux para Guest Introspection desde la máquina virtual invitada.

Requisitos previos

Guest Introspection para Linux está instalada. Tiene privilegios raíz en el sistema Linux.

Procedimiento

u Para desinstalar un paquete desde el sistema Ubuntu, ejecute el comando apt-get remove vmware-nsx-gi-file.

u Para desinstalar el paquete desde el sistema RHEL7, ejecute el comando yum remove vmware-nsx-gi-file.

u Para desinstalar el paquete desde el sistema SLES, ejecute el comando zypper remove vmware-nsx-gi-file.


VMware, Inc. 383

Resultados

La instancia de Thin Agent instalada en la máquina virtual Linux se desinstala.


VMware, Inc. 384

Extensibilidad de la red 19Las redes de centros de datos involucran generalmente una amplia variedad de servicios de red, incluidos la conmutación, el enrutamiento, el firewall, el equilibrio de carga, etc. En la mayoría de los casos, estos servicios son proporcionados por distintos proveedores. En el mundo físico, la conexión de estos servicios en la red es una práctica complicada de organización en bastidores y apilación de dispositivos de red físicos, establecimiento de conectividad física y administración de estos servicios por separado. NSX simplifica la experiencia de conexión de los servicios adecuados en las rutas de acceso de tráfico correctas y puede ayudar a crear redes complejas dentro de un único host ESX Server o en varios hosts ESX Server con fines de producción, prueba o desarrollo.

Cualquier hardware de red

Superponer transporte

vSphere

Cualquier aplicación

NSX

NSX API

Inserción deservicio Edge

Redes virtuales

Extensiones desocios de HW

Cargas de trabajo físicaso virtuales

Guest Introspectiony red

Extensiones desocios de SW

Existen varios métodos de implementación para insertar servicios de terceros en NSX.

VMware, Inc. 385


n Inserción de servicio distribuido

n Inserción de servicio basado en Edge

n Integrar servicios de terceros

n Implementar un servicio de partner

n Consumir servicios del proveedor mediante Service Composer

n Redireccionar el tráfico a la solución de un proveedor mediante el firewall lógico

n Usar el equilibrador de carga de un partner

n Eliminar integración de terceros

Inserción de servicio distribuidoEn la inserción de servicio distribuido, un host único tiene todos los módulos de servicio, los módulos de kernel y las implementaciones de máquina virtual en una única máquina física. Todos los componentes del sistema interactúan con los componentes dentro del host físico. Esto permite una comunicación módulo a módulo más veloz y modelos de implementación compactos. Se puede replicar la misma configuración en los sistemas físicos de la red a los fines de escalado, y mantener el control y el tráfico del plano de datos hacia y desde los módulos de servicio al vmkernel en el mismo sistema físico. Durante la ejecución de vMotion en las máquinas virtuales protegidas, la máquina de seguridad del partner mueve el estado de la máquina virtual del host de origen al de destino.

Las soluciones de proveedores que utilizan este tipo de inserción de servicios incluyen servicio de prevención de intrusiones (IPS)/servicio de detección de intrusiones (IDS), firewall, antivirus, supervisión de identidad de archivos (FIM) y administración de vulnerabilidad.

Inserción de servicio basado en EdgeNSX Edge se implementa como una máquina virtual en el clúster de servicios Edge junto con otros servicios de red. NSX Edge tiene la capacidad de redirigir tráfico específico a servicios de red de terceros.

Las soluciones de proveedores que utilizan este tipo de inserción de servicios incluyen dispositivos ADC o de equilibrio de carga.

Integrar servicios de tercerosEste es un flujo de trabajo de alto nivel genérico para insertar un servicio de terceros en la plataforma de NSX.


VMware, Inc. 386

Procedimiento

1 Registre el servicio de terceros con NSX Manager en la consola del proveedor.

Necesita las credenciales de inicio de sesión de NSX para registrar el servicio. Para obtener más información, consulte la documentación del proveedor.

2 Implemente el servicio en NSX. Consulte Implementar un servicio de partner.

Una vez implementado, el servicio de terceros se muestra en la ventana Definiciones de servicios de NSX (NSX Service Definitions) y está listo para utilizarse. El procedimiento para utilizar el servicio en NSX depende del tipo de servicio insertado.

Por ejemplo, puede habilitar un servicio de firewall basado en el host creando una directiva de seguridad en Service Composer o creando una regla de firewall para redirigir el tráfico al servicio. Consulte Consumir servicios del proveedor mediante Service Composer o Redireccionar el tráfico a la solución de un proveedor mediante el firewall lógico. Para obtener información sobre cómo utilizar un servicio basado en Edge, consulte Usar el equilibrador de carga de un partner.

Implementar un servicio de partnerSi la solución del partner incluye un dispositivo virtual host-residente, podrá implementar el servicio una vez que la solución esté registrada en NSX Manager.

Requisitos previos

Asegúrese de que:

n La solución del partner se registra en NSX Manager.

n NSX Manager puede acceder a la consola de administración de la solución del partner.

n Se asignó la edición de la licencia necesaria. Consulte https://kb.vmware.com/kb/2145269.

Procedimiento


2 Haga clic en la pestaña Implementaciones de servicios (Service Deployments) y haga clic en el

icono Nueva implementación de servicios (New Service Deployments) ( ).

3 En el cuadro de diálogo Implementar servicios de red y seguridad (Deploy Network and Security Services), seleccione las soluciones adecuadas.

4 En Especificar programación (Specify schedule) (en la parte inferior del cuadro de diálogo), seleccione Implementar ahora (Deploy now) para implementar la solución inmediatamente o seleccionar una fecha y una hora de implementación.


6 Seleccione el centro de datos y los clústeres en los que desea implementar la solución y haga clic en Siguiente (Next).


VMware, Inc. 387


7 Seleccione el almacén de datos en el que desea agregar el almacenamiento de máquinas virtuales del servicio de soluciones o bien seleccione Especificado en el host (Specified on host).

El almacén de datos seleccionado debe estar disponible en todos los hosts del clúster elegido.

Si seleccionó Especificado en el host (Specified on host), el almacén de datos del host ESX debe especificarse en la opción Configuración de máquinas virtuales de agente (AgentVM Settings) del host antes de agregarse al clúster. Consulte la documentación de vSphere API/SDK.

8 Seleccione el grupo de puertos virtuales distribuidos donde se alojará la interfaz de administración. Este grupo de puertos debe poder comunicarse con el grupo de puertos de NSX Manager.

Si la red está establecida en Especificado en el host (Specified on host), la red que se utilizará debe especificarse en la propiedad Configuración de máquina virtual agente > Red (Agent VM Settings > Network) de cada host del clúster. Consulte la documentación de vSphere API/SDK.

Debe establecer la propiedad de la red de la máquina virtual de agente en un host antes de agregarlo a un clúster. Acceda a Administrar > Configuración > Configuración de máquina virtual agente > Red (Manage > Settings > Agent VM Settings > Network) y haga clic en Editar (Edit) para establecer la red de la máquina virtual de agente.

El grupo de puertos seleccionado debe estar disponible en todos los hosts del clúster seleccionado.

9 En la asignación de direcciones IP, seleccione una de las siguientes opciones:

Seleccionar Para

DHCP Asigne una dirección IP a la máquina virtual de servicios a través del protocolo Dynamic Host Configuration Protocol (DHCP).

Grupo de direcciones IP Asigne una dirección IP a la máquina virtual de servicios desde el grupo de direcciones IP seleccionado.

10 Haga clic en Siguiente (Next) y, a continuación, en Finalizar (Finish) en la página Listo para finalizar

(Ready to complete).

11 Supervise la implementación hasta que Estado de instalación (Installation Status) muestre Correcto (Successful). Si el estado muestra Con errores (Failed), haga clic en el icono junto a Con errores (Failed) y complete las acciones necesarias para solucionar el error.

Pasos siguientes

Ahora puede consumir el servicio del partner a través de la interfaz de usuario de NSX o NSX API.

Consumir servicios del proveedor mediante Service ComposerLos servicios del proveedor externo incluyen el redireccionamiento de tráfico, el equilibrador de carga y los servicios de seguridad invitados, como prevención de pérdida de datos, antivirus, etc. Service Composer permite aplicar estos servicios a un conjunto de objetos de vCenter.


VMware, Inc. 388

Un grupo de seguridad es un conjunto de objetos de vCenter, como clústeres, máquinas virtuales, vNIC y conmutadores lógicos. Una directiva de seguridad es un conjunto de servicios de Guest Introspection, reglas de firewall y servicios de introspección de red.

Cuando se asigna una directiva de seguridad a un grupo de seguridad, se crean las reglas de redireccionamiento en el perfil de servicios del proveedor externo correspondiente. A medida que el tráfico circula desde las máquinas virtuales pertenecientes a ese grupo de seguridad, se redirecciona a los servicios de proveedor externo registrados que determinan cómo procesar ese tráfico. Para obtener más información sobre Service Composer, consulte Utilizar Service Composer.

Redireccionar el tráfico a la solución de un proveedor mediante el firewall lógicoPuede agregar reglas de firewall para redireccionar el tráfico a soluciones de proveedores registradas. A continuación, el servicio del proveedor procesa el tráfico redireccionado.

Requisitos previos

n El servicio de terceros debe estar registrado en NSX Manager y debe estar implementado en NSX.

n Si la acción de regla de firewall predeterminada está establecida en Bloquear (Block), debe agregar una regla para permitir que se redireccione el tráfico.

Procedimiento


2 Haga clic en la pestaña Servicios de seguridad de partners (Partner security services).

3 En la sección donde desea agregar una regla, haga clic en el icono Agregar regla (Add rule) ( ).

Se agregará una nueva regla de permiso "any any" en la parte superior de la sección.

4 Coloque el puntero sobre la celda Nombre (Name) de la nueva regla, haga clic en y escriba un nombre para la regla.

5 Especifique las categorías Origen (Source), Destino (Destination) y Servicio (Service) de la regla. Para obtener más información, consulte Agregar una regla de firewall distribuido

6 Coloque el puntero sobre la celda Acción (Action) de la nueva regla y haga clic en .

a En Acción (Action), seleccione Redireccionar (Redirect).

b En Redireccionar a (Redirect To), seleccione el perfil de servicio y el conmutador lógico o el grupo de seguridad donde desea vincular el perfil de servicio.

El perfil de servicio se aplica a las máquinas virtuales que están conectadas al conmutador lógico o al grupo de seguridad seleccionado o incluidas allí.


VMware, Inc. 389

c Indique si el tráfico redireccionado debe registrarse y escriba comentarios, si los hubiera.


El perfil de servicio seleccionado se muestra como un vínculo en la columna Acción (Action). Al hacer clic en el vínculo del perfil de servicios se muestran los enlaces del perfil.


Usar el equilibrador de carga de un partnerPuede utilizar un equilibrador de carga de terceros para equilibrar el tráfico de una instancia de NSX Edge específica.

Requisitos previos

El equilibrador de carga de terceros debe estar registrado en NSX Manager y debe estar implementado en NSX.

Procedimiento




4 Haga clic en Editar (Edit) junto a Configuración global del equilibrador de carga (Load balancer global configuration).

5 Seleccione Habilitar el equilibrador de carga (Enable Load Balancer) y Habilitar inserción del servicio (Enable Service Insertion).

6 En Definición del servicio (Service Definition) seleccione el equilibrador de carga del partner correspondiente.

7 En Configuración del servicio (Service Configuration) seleccione la configuración de servicio correspondiente.

8 Complete los campos restantes e instale el equilibrador de carga; para eso, agregue un monitor de servicio, un grupo de servidores, un perfil de aplicación, reglas de aplicación y un servidor virtual. Cuando agregue el servidor virtual, seleccione la plantilla proporcionada por el proveedor. Para obtener más información, consulte Configurar equilibrio de carga.

Resultados

La consola de administración del proveedor externo equilibra la carga del tráfico de la instancia Edge especificada.


VMware, Inc. 390

Eliminar integración de tercerosEn este ejemplo se describe cómo eliminar una solución de integración de terceros de NSX.

Existe un orden correcto de software a la hora de eliminar cualquier solución de software de terceros. Si no se sigue esta secuencia y específicamente si se desinstala o elimina la solución de terceros antes de que se haya anulado su registro con NSX Manager, no se podrá realizar la operación de eliminación. Consulte https://kb.vmware.com/kb/2126678 para obtener instrucciones sobre cómo resolverlo.

Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad > Service Composer (Networking & Security > Service Composer) y elimine las reglas (o las directivas de seguridad) que redirigen el tráfico a la solución de terceros.

2 Desplácese hasta Definiciones de servicios (Service Definitions) y haga doble clic en el nombre de la solución de terceros.

3 Haga clic en Objetos relacionados (Related Objects) y elimine los objetos relacionados.

4 Desplácese hasta Instalación > Implementaciones de servicios (Installation > Service Deployments) y elimine la implementación de terceros.

Esta acción desinstala las máquinas virtuales asociadas.

5 Regrese a Definiciones de servicios (Service Definitions) y elimine cualquier subcomponente de la definición.

6 En la instancia del servicio, elimine el perfil del servicio.

7 Elimine la instancia del servicio.

8 Elimine la definición del servicio.

Resultados

La solución de integración de terceros se elimina de NSX.

Pasos siguientes

Tome nota de la configuración y, a continuación, quite NSX de la solución de terceros. Por ejemplo, es posible que deba eliminar reglas que hacen referencia a otros objetos y, a continuación, eliminar los objetos.


VMware, Inc. 391


Administración de usuarios 20En muchas organizaciones, las operaciones de redes y seguridad están a cargo de diferentes equipos o miembros. Estas organizaciones pueden requerir una forma de limitar ciertas operaciones a determinados usuarios. En este tema se describen las opciones que ofrece NSX para configurar este control de acceso.

NSX también admite Single Sign-On (SSO), que habilita a NSX para que autentique a los usuarios desde otros servicios de identidad, como Active Directory, NIS y LDAP.

La administración de usuarios en vSphere Web Client está separada de la administración de usuarios en la CLI de cualquier componente de NSX.


n Usuarios y permisos de NSX según la función

n Configurar inicio de sesión único

n Administrar derechos de usuario

n Administrar la cuenta de usuario predeterminado

n Asignar una función a un usuario de vCenter

n Crear un usuario con acceso a la interfaz web mediante la CLI

n Editar una cuenta de usuario

n Cambiar un rol de usuario

n Deshabilitar o habilitar una cuenta de usuario

n Eliminar una cuenta de usuario

Usuarios y permisos de NSX según la funciónPara implementar y administrar NSX, se necesitan algunos permisos de vCenter. NSX ofrece permisos amplios de lectura, así como de lectura y escritura para varios usuarios y varias funciones.

VMware, Inc. 392

Lista de funciones con funciones y permisos

Función Descripción Funciones

Auditor

Administrador de seguridad

Administrador de NSX

Administrador de Enterprise

Administrador (Administrator)

Configuración Configuración de vCenter y SSO con NSX

L L L, E L, E

Actualización Sin acceso Sin acceso L, E L, E

Eventos del sistema Eventos del sistema L L, E L, E L, E

Registros de auditoría Registros de auditoría L L L L

Administración de cuentas de usuario (URM) (User Account Management —URM—)

Administración de cuentas de usuario

Administración de usuarios Sin acceso Sin acceso L L, E

Control de acceso a objetos

Sin acceso Sin acceso L L

Control de acceso a funciones

Sin acceso Sin acceso L L

Edge

Sistema Sistema hace referencia a los parámetros generales del sistema

L L L, E L, E

Dispositivo Diferentes factores de forma de NSX Edge (Compacto/Grande/Extra grande/Cuádruple)

L L L, E L, E

High availability L L L, E L, E

vNic Configuración de interfaz en NSX Edge

L L, E L, E L, E

DNS L L, E L L, E

SSH Configuración SSH en NSX Edge L L, E L, E L, E

Fontanería automática L L, E L L, E

Estadísticas L L L L, E

NAT Configuración NAT en NSX Edge L L, E L L, E

DHCP L L, E L L, E

Equilibrio de carga L L, E L L, E

VPN L L, E L L, E

Syslog Configuración de Syslog en NSX Edge

L L, E L, E L, E

Soporte técnico Sin acceso L, E L, E L, E


VMware, Inc. 393


Auditor




Enrutamiento Todo enrutamiento estático y dinámico (BGP/OSPF) en NSX Edge

L L, E L L, E

Firewall Configuración de firewall en NSX Edge

L L, E L L, E

Puenteo L L, E L L, E

Certificado (Certificate) L L, E L L, E

Control del sistema El control del sistema hace referencia a los parámetros kernel del sistema, como límites máximo, reenvío de IP, redes y configuración del sistema. Por ejemplo:

ysctl.net.ipv4.conf.vNic_1.rp_filter

sysctl.net.netfilter.nf_conntrack_tcp_timeout_established

L L, E L, E L, E

Firewall distribuido

Configuración de firewall Reglas de firewall de capa 3 (General) y de capa 2 (Ethernet)

L L, E Sin acceso L, E

Flujos La supervisión de flujos permite supervisar los flujos de tráfico del sistema. También se pueden supervisar los flujos activos.


Configuración de IPFix Habilitar/deshabilitar IPFix y asignar recopiladores


ForceSync ForceSync realiza la sincronización completa desde la página Instalación > Preparación de host (Installation > Host Preparation)

L L Sin acceso L, E

Instalar DFW (preparación de host)

Instalar varios VIB en clústeres L L L, E L, E

Configuraciones guardadas (borradores)

Cada publicación guardará de forma automática la configuración de DFW en forma de borrador


Lista de exclusión Agregar VM a la lista de exclusión para que DFW no las proteja o eliminarlas


Soporte técnico de DFW Recopilar un paquete de soporte técnico de DFW desde un host (solo shell de configuración de NSX)

Sin acceso L, E Sin acceso L, E


VMware, Inc. 394


Auditor




Temporizadores de sesión de DFW

Configurar la configuración de tiempo de espera de conexión de TCP/UDP/otro protocolo


Detección de IP (Sondeo DHCP/ARP)

Detección de IP cuando no se están ejecutando VMware Tools en VM invitadas


Administrador de reglas de aplicaciones (Application Rule Manager)

Se recopilan flujos para el conjunto de aplicaciones seleccionado. Por tanto, las reglas de firewall se crean en función de los flujos recopilados.


Espacio de nombres (NameSpace)

Configuración L L L, E L, E

SpoofGuard

Configuración SpoofGuard publica en modo manual o TOFU


Seguridad de endpoints (EPSEC) (Endpoint Security —EPSEC—)

Informes L L L, E L, E

Registro Administrar [Registrar, Eliminar del registro, Consultar soluciones registradas, Activar] soluciones

L Sin acceso L, E L, E

Supervisión de estado Recuperar el estado de VM, SVM para NSX Manager

Sin acceso L L L

Directiva Administrar directivas de seguridad [Crear, Leer actualización, Eliminar]

L L, E L, E L, E

Programación de análisis

L Sin acceso L, E L, E

Biblioteca (Library)

Preparación del host Acción de preparación de host en el clúster

Sin acceso Sin acceso L, E L, E

Agrupar Conjunto de IP, conjunto de direcciones MAC, grupo de seguridad, servicio, grupo de servicios

L L, E L L, E

Etiquetado Etiqueta de seguridad (por ejemplo, conecte o desconecte VM)

L L, E L L, E

Instalar (Install)


VMware, Inc. 395


Auditor




Aplicación Sin acceso L L, E L, E

EPSEC Sin acceso L L, E L, E

DLP Sin acceso L L, E L, E

VDN

Configurar NSM Configurar el administrador de seguridad de la red

L L L, E L, E

Aprovisionar L L L, E L, E

Administrador de agentes de ESX (EAM) (ESX Agent Manager —EAM—)

Instalar Administrador de agentes de ESX Sin acceso L L, E L, E

Inserción de servicios (Service Insertion)

Servicio L L, E L, E L, E

Perfil de servicio L L L, E L, E

Almacén de confianza (Trust Store)

trustentity_management Administración de certificados de NSX

L L, E L, E L, E

Administración de direcciones IP (IP Address Management —IPAM—)

Configuración Configuración de grupo de direcciones IP

L L, E L, E L, E

Asignación de IP Asignación y liberación de dirección IP

L L, E L, E L, E

Tejido de seguridad (Security Fabric)

Implementar Implementar servicio o VM de seguridad en el clúster utilizando la página Implementación de servicios (Service Deployment)

L L L, E L, E

Alarmas Desde la página Implementación de servicios (Service Deployment ), administre las alarmas generadas por la VM de seguridad.

L L L, E L, E

Estado de agente Administración de estado de agente mediante llamada rest, utilizada principalmente por las VM de partners.

L L, E L, E L, E

Mensajes (Messaging)


VMware, Inc. 396


Auditor




Mensajes Marco de trabajo de mensajes utilizado por NSX Edge y Guest Introspection para comunicarse con NSX Manager.

L L, E L, E L, E

Replicador Configuración vCenter múltiple con la instancia secundaria de NSX Manager) (Replicator —Multi vCenter setup with secondary NSX Manager—)

Configuración Seleccione o anule la selección de la función Principal para NSX Manager y agregue o elimínela instancia secundaria de NSX Manager

L L L, E L, E

Directiva de seguridad (Security Policy)

Configuración Configurar la directiva de seguridad para crear, actualizar, editar o eliminar.


Enlazado de grupo de seguridad

Asocie un grupo de seguridad a una directiva de seguridad


Configurar inicio de sesión únicoSSO hace que vSphere y NSX sean más seguros, ya que permite que distintos componentes se comuniquen entre sí mediante un mecanismo de intercambio de token seguro, en lugar de solicitar que cada componente autentique un usuario por separado.

Puede configurar un servicio de búsqueda en NSX Manager y proporcionar las credenciales de administrador de SSO para registrar NSX Management Service como usuario de SSO. La integración del servicio Single Sign-On (SSO) con NSX mejora la seguridad de la autenticación de usuarios en vCenter y permite que NSX autentique usuarios de otros servicios de identidad, como AD, NIS y LDAP. Con SSO, NSX admite la autenticación mediante tokens autenticados de lenguaje de marcado de aserción de seguridad (SAML) de una fuente confiable mediante llamadas API de REST. NSX Manager también puede adquirir tokens de autenticación SAML para utilizarlos con las soluciones de VMware.

NSX almacena en la memoria caché la información grupal de los usuarios de SSO. Los cambios en los miembros de grupos tardan hasta 60 minutos en propagarse desde el proveedor de identidad (por ejemplo, Active Directory) hasta NSX.

Requisitos previos

n Para utilizar SSO en NSX Manager, es necesario tener la versión vCenter Server 5.5 o posterior, y el servicio de autenticación Single Sign-On (SSO) debe estar instalado en vCenter Server. Tenga en cuenta que esto aplica al servicio SSO integrado. En cambio, la implementación debe utilizar un servidor SSO externo centralizado.


VMware, Inc. 397

Para obtener información sobre los servicios SSO que ofrece vSphere, consulte http://kb.vmware.com/kb/2072435 y http://kb.vmware.com/kb/2113115.

n Debe especificarse el servidor NTP para que la hora del servidor SSO y la hora de NSX Manager estén sincronizadas.

Por ejemplo:

Procedimiento

1 Inicie sesión en el dispositivo virtual NSX Manager.

En un explorador web, desplácese hasta la GUI del dispositivo NSX Manager en https://<nsx-manager-ip> o https://<nsx-manager-hostname> e inicie sesión como administrador con la contraseña que configuró al instalar NSX Manager.


3 En la página de inicio, haga clic en Administrar configuración de dispositivos (Manage Appliance Settings) > Servicio de administración de NSX (NSX Management Service).

4 Haga clic en Editar (Edit) en la sección URL de servicio de búsqueda (Lookup Service URL).

5 Escriba el nombre o la dirección IP del host que tiene el servicio de búsqueda.

6 Escriba el número de puerto.

Escriba 443 si va a utilizar vSphere 6.0. Para la versión vSphere 5.5, escriba el número de puerto 7444.

Se mostrará la URL de Lookup Service según el host y el puerto especificados.

7 Introduzca el nombre de usuario y la contraseña del Administrador SSO y haga clic en Aceptar (OK).

Se mostrará la huella digital del certificado del servidor SSO.

8 Compruebe si la huella digital del certificado coincide con el certificado del servidor SSO.

Si instaló un certificado firmado por la entidad de certificación en el servidor de la entidad de certificación, verá la huella digital del certificado firmado por la entidad de certificación. De lo contrario, verá un certificado autofirmado.


VMware, Inc. 398




9 Confirme que el estado de Lookup Service sea Conectado (Connected).

Por ejemplo:

Pasos siguientes

Consulte Asignar una función a un usuario de vCenter en la Guía de administración de NSX.

Administrar derechos de usuarioEl rol de un usuario define las acciones que tiene permitidas realizar el usuario en un recurso dado. El rol determina las actividades autorizadas del usuario en el recurso dado, asegura que un usuario tenga acceso solo a las funciones necesarias para completar las funciones correspondientes. Esto permite el control del dominio en recursos específicos, o control en todo el sistema si su derecho no tiene restricciones.

Se aplican las reglas siguientes:

n Un usuario puede tener un solo rol.

n No puede agregar un rol a un usuario o quitar un rol asignado de un usuario. Puede, sin embargo, cambiar el rol asignado de un usuario.

Tabla 20-1. Roles de usuario de NSX Manager

Derecho Permisos

Administrador empresarial Funcionamiento y seguridad de NSX.

Administrador de NSX (NSX Administrator)

Solo funcionamiento de NSX: por ejemplo, instalar dispositivos virtuales, configurar grupos de puertos.

Administrador de seguridad (Security Administrator)

Solo seguridad de NSX: por ejemplo, definir reglas de firewall distribuido, configurar los servicios del equilibrador de carga y NAT.

Auditor Solo lectura.

Solo se pueden asignar las funciones de administrador empresarial y administrador de NSX a usuarios de vCenter.

Administrar la cuenta de usuario predeterminadoLa interfaz de usuario de NSX Manager incluye una cuenta de usuario que tiene derechos de acceso a todos los recursos. No puede editar los derechos de este usuario ni eliminarlo. El nombre del usuario predeterminado es admin y la contraseña predeterminada es default o la contraseña que especificó durante la instalación de NSX Manager.

Puede administrar el usuario admin del dispositivo NSX Manager solo a través de comandos de CLI.


VMware, Inc. 399

Asignar una función a un usuario de vCenterCuando se asigna un rol a un usuario de SSO, vCenter autentica al usuario mediante el servicio de identidad configurado en el servidor SSO. Si el servidor SSO no se configuró o no se encuentra disponible, se autentica al usuario de forma local o mediante Active Directory según la configuración de vCenter.




4 Haga clic en Usuarios (Users).


Se abrirá la ventana Asignar función (Assign Role).

6 Haga clic en Especificar un usuario de vCenter (Specify a vCenter user) o en Especificar un grupo de vCenter (Specify a vCenter group).

7 Especifique el nombre de Usuario (User) o Grupo (Group) de vCenter para el usuario.

Consulte el siguiente ejemplo para obtener más información.

Nombre de dominio: corp.vmware.com

Alias: corp

Nombre de grupo: [email protected]

Nombre de usuario: [email protected]

Cuando se asigna una función a un grupo en NSX Manager, cualquier usuario de ese grupo puede iniciar sesión en la interfaz de usuario de dicho producto.

Para asignar un rol a un usuario, escriba el alias de usuario. Por ejemplo, user1@corp.


9 Seleccione el rol para el usuario y haga clic en Siguiente (Next). Para obtener más información sobre los roles disponibles, consulte Administrar derechos de usuario.


Se mostrará la cuenta de usuario en la tabla Usuarios (Users).


VMware, Inc. 400

Información sobre la asignación de roles según el grupoLas organizaciones crean grupos de usuarios para administrar correctamente los usuarios. Después de la integración con SSO, NSX Manager puede obtener detalles sobre los grupos a los que pertenece el usuario. En lugar de asignar roles a usuarios individuales que pueden pertenecer al mismo grupo, NSX Manager asigna roles a los grupos. En las siguientes situaciones se muestra la forma en que NSX Manager asigna los roles.

Ejemplo: Situación de control de acceso basado en rolesEn esta situación se otorga a Sally Moore (ingeniera de redes de TI) acceso a los componentes de NSX en el siguiente entorno.

Dominio de AD: corp.local, grupo de vCenter: [email protected], nombre de usuario: [email protected]

Requisitos previos: vCenter Server registrado en NSX Manager y SSO configurado. Tenga en cuenta que el servicio SSO es obligatorio solo para grupos.

1 Asigne un rol a Sally.


b Haga clic en Redes y seguridad (Networking & Security) y seleccione Instancias de NSX Manager (NSX Managers).

c Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestaña Administrar (Manage).

d Haga clic en Usuarios (Users) y seleccione Agregar (Add).

Se abrirá la ventana Asignar función (Assign Role).

e Haga clic en Especificar un grupo de vCenter (Specify a vCenter group) y escriba [email protected] en Grupo (Group).

f Haga clic en Siguiente (Next).

g En Seleccionar roles (Select Roles), haga clic en Administrador de NSX (NSX Administrator) y seleccione Siguiente (Next).

2 Otorgue permiso a Sally para acceder al centro de datos.

a Haga clic en el icono Inicio (Home) y seleccione Inicio de vCenter (vCenter Home) > Centros de datos (Datacenters).

b Seleccione un centro de datos y haga clic en Acciones (Actions) > Todas las acciones de vCenter (All vCenter Actions) > Agregar permiso (Add Permission).

c Haga clic en Agregar (Add) y seleccione el dominio CORP.

d En Usuarios y grupos (Users and Groups), seleccione Mostrar grupos primero (Show Groups First).

e Seleccione Ing. redes (NetEng) y haga clic en Aceptar (OK).


VMware, Inc. 401

f En Rol asignado (Assigned Role), seleccione Solo lectura (Read-only), anule la selección de Propagar a objetos secundarios (Propagate to children) y haga clic en Aceptar (OK).

3 Cierre la sesión de vSphere Web Client y vuelva a iniciar sesión como [email protected].

Sally solo podrá realizar operaciones de NSX. Por ejemplo, instalar dispositivos virtuales, crear conmutadores lógicos, etc.

Ejemplo: Situación de herencia de permisos mediante pertenencia de grupo o de usuario

Opción de grupo Valor

Nombre G1

Rol asignado Auditor (solo lectura)

Recursos Raíz global

Opción de usuario Valor

Nombre John

Pertenece al grupo G1

Rol asignado Ninguno

John pertenece al grupo G1, al que se le ha asignado el rol Auditor. John hereda los permisos sobre recursos y el rol de ese grupo.

Ejemplo: Situación de usuario miembro de varios grupos


Nombre G1

Rol asignado Auditor (solo lectura)



Nombre G2

Rol asignado Administrador de seguridad (lectura y escritura)

Recursos Centro de datos 1


Nombre Joseph

Pertenece al grupo G1, G2

Rol asignado Ninguno


VMware, Inc. 402

Joseph pertenece a los grupos G1 y G2, y hereda una combinación de los derechos y los permisos incluidos en los roles Auditor y Administrador de seguridad. Por ejemplo, Joseph posee los siguientes permisos:

n Lectura y escritura (rol Administrador de seguridad) para Centro de datos 1

n Solo lectura (Auditor) para raíz global

Ejemplo: Situación de usuario miembro de varios roles


Nombre G1

Rol asignado Administrador empresarial



Nombre Bob

Pertenece al grupo G1

Rol asignado Administrador de seguridad (lectura y escritura)

Recursos Centro de datos 1

Se asignó el rol Administrador de seguridad a Bob; es por eso que no hereda los permisos de los roles del grupo. Bob posee los siguientes permisos:

n Lectura y escritura (rol Administrador de seguridad) para Centro de datos 1 y sus recursos secundarios

n Rol Administrador empresarial en Centro de datos 1.

Crear un usuario con acceso a la interfaz web mediante la CLIPuede crear un usuario de NSX que tenga acceso a la interfaz web mediante la CLI. Puede utilizar esta cuenta de usuario para acceder y utilizar diferentes complementos o utilizarla para auditar.

Procedimiento

1 Crear una cuenta de usuario de la CLI. Puede crear una cuenta de usuario de la CLI para cada dispositivo virtual de NSX. Para crear una cuenta de usuario de la CLI, realice los siguientes pasos:

a Inicie sesión en vSphere Web Client y seleccione un dispositivo virtual de NSX Manager.

b Haga clic en la pestaña Consola (Console) para abrir una sesión de CLI.


VMware, Inc. 403

c Inicie sesión en la sesión de CLI con la cuenta de administrador y la contraseña que especificó al instalarNSX Manager. Por ejemplo,

nsx-mgr> enable

Password:

nsx-mgr>

d Cambie del modo básico al modo con privilegios mediante el comando enable del siguiente modo:

nsx-mgr> enable

Password:

nsx-mgr#

e Cambie del modo con privilegios al modo de configuración mediante el comando configure terminal del siguiente modo:

nsx-mgr# configure terminal

nsx-mgr(config)#

f Agregue una cuenta de usuario de la CLI mediante el comando user username password (hash | plaintext) password. Por ejemplo,

nsx-mgr(config)# user cliuser password plaintext abcd1234

Nota El nombre de usuario no puede empezar con mayúscula.

g Guarde la configuración de la siguiente forma:

nsx-mgr(config)# write memory

Configuration saved

[OK]

2 Ahora, proporcione el privilegio de la interfaz web que habilitará al usuario para iniciar sesión en el dispositivo virtual de NSX Manager y permite la ejecución de las REST API de administración de dispositivos del siguiente modo:

a Compruebe que está en modo de configuración del siguiente modo:

nsx-mgr# configure terminal

nsx-mgr(config)#

b Permita que el usuario CLI creado ejecute las llamadas de REST API mediante el comando user username privilege web-interface. Por ejemplo:

nsx-mgr(config)# user userName privilege web-interface

nsx-mgr(config)# user cliuser privilege web-interface


VMware, Inc. 404

3 (opcional) Puede comprobar la configuración de ejecución del siguiente modo:

nsx-mgr# show running-config

Building configuration...

Current configuration:

!

user cliuser

!

ntp server 192.168.110.1

!

ip name server 192.168.110.10

!

hostname nsxmgr-01a

!

interface mgmt

ip address 192.168.110.15/24

!

ip route 0.0.0.0/0 192.168.110.1

!

web-manager

4 Salga de la sesión de CLI.

nsx-mgr#(config)# exit

nsx-mgr# exit

El usuario creado no aparece en la pestaña Redes y Seguridad (Networking & Security) > Administrador de NSX (NSX Managers)“Seleccione su administrador de NSX" (Select your NSX Manager) > Administrar (Manage) > Usuarios (Users). Además, no hay ninguna función asignada al usuario.

5 Asigne la función necesaria al usuario mediante la REST API. Puede asignar la función de auditor (auditor), de administrador de seguridad (security_admin), o de administrador del sistema (super_user) del siguiente modo:

POST - https://<NSX-IP>/api/2.0/services/usermgmt/role/<username>?isCli=true

<accessControlEntry>

<role>auditor</role> # Enter the required role #

<resource>

<resourceId>globalroot-0</resourceId>

</resource>

</accessControlEntry>

Resultados

El usuario de la CLI de NSX se creó con acceso a la interfaz web.

Pasos siguientes

Puede iniciar sesión en vSphere Web Client con las credenciales proporcionadas al crear el usuario.


VMware, Inc. 405

Para obtener más información sobre la CLI, consulte Referencia de la interfaz de línea de comandos de NSX.

Para obtener más información sobre la API, consulte Guía de NSX API.

Editar una cuenta de usuarioEs posible editar una cuenta de usuario para cambiar el rol o el ámbito. No se puede editar la cuenta admin.

Procedimiento


2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redes y seguridad (Networking & Security Inventory), haga clic en NSX Managers.



5 Seleccione el usuario que desea editar.


7 Realice los cambios necesarios

8 Haga clic en Finalizar (Finish) para guardar los cambios.

Cambiar un rol de usuarioEs posible cambiar la asignación de roles de todos los usuarios, excepto el usuario admin.

Procedimiento





5 Seleccione el usuario cuyo rol desea cambiar.

6 Haga clic en Cambiar rol (Change Role).

7 Realice los cambios necesarios

8 Haga clic en Finalizar (Finish) para guardar los cambios.


VMware, Inc. 406

Deshabilitar o habilitar una cuenta de usuarioEs posible deshabilitar una cuenta de usuario para evitar que ese usuario inicie sesión en NSX Manager. No se pueden deshabilitar el usuario admin o un usuario que se encuentre conectado a NSX Manager.

Procedimiento





5 Seleccione una cuenta de usuario.

6 Haga clic en el icono Habilitar (Enable) o Deshabilitar (Disable).

Eliminar una cuenta de usuarioEs posible eliminar cualquier cuenta de usuario creada. No se puede eliminar la cuenta admin. Los registros de auditoría de los usuarios eliminados se mantienen en la base de datos y se puede hacer referencia a ellos en un informe de registro de auditoría.

Procedimiento





5 Seleccione una cuenta de usuario.

6 Haga clic en Eliminar (Delete).

7 Haga clic en Aceptar (OK) para confirmar la eliminación.

Si elimina una cuenta de usuario de vCenter, solo se elimina la asignación de rol de NSX Manager. No se elimina la cuenta de usuario en vCenter.


VMware, Inc. 407

Objetos de seguridad y red 21En esta sección se describen los contenedores de seguridad y red personalizados. Estos contenedores se pueden utilizar en un Distributed Firewall y Service Composer. En un entorno de Cross-vCenter NSX, puede crear contenedores de seguridad y red universales para utilizarlos en las reglas de Distributed Firewall universales. No puede utilizar objetos de seguridad y red universales en Server Composer.

Nota Cuando se crea un grupo con ámbito universal, se permiten nombres duplicados. Puede utilizar nombres duplicados si selecciona la opción Marcar este objeto para sincronización universal (Mark this object for Universal Synchronization) al crear los siguientes grupos:

n Grupo de direcciones IP

n Grupo de direcciones MAC

n Grupo de seguridad

n Servicios y grupo de servicios


n Trabajar con grupos de direcciones IP

n Trabajar con grupos de direcciones MAC

n Trabajar con grupos de direcciones IP

n Trabajar con grupos de seguridad

n Trabajar con servicios y grupos de servicios

Trabajar con grupos de direcciones IP

Crear un grupo de direcciones IPEs posible crear un grupo de direcciones IP y, a continuación, agregar este grupo como el origen o el destino en una regla de firewall. Dicha regla puede servir de ayuda para proteger las máquinas físicas desde las virtuales o viceversa.

VMware, Inc. 408

Requisitos previos

VMware Tools debe estar instalado en cada máquina virtual o debe disponerse de un método de detección de IP habilitado (sondeo DHCP o ARP, o ambos) cuando se utilicen objetos de grupo en lugar de direcciones IP. Para obtener más información detallada, consulte Detección de IP para máquinas virtuales.

Procedimiento




u Debe seleccionar la instancia de NSX Manager principal si necesita administrar grupos de direcciones IP universales.

4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Conjuntos de direcciones IP (IP Sets).


6 Escriba un nombre para el grupo de direcciones.

7 (opcional) Escriba una descripción para el grupo de direcciones.

8 Escriba las direcciones IP o un rango de direcciones IP que desee incluir en el grupo.

Precaución Al introducir rangos de direcciones IPv6 en los conjuntos de direcciones IP, asegúrese de dividir los rangos de direcciones en /64. De lo contrario, se produciría un error al publicar las reglas del firewall.

9 (opcional) Seleccione Habilitar herencia para tener visibilidad en ámbitos subyacentes (Enable inheritance to allow visibility at underlying scopes).

10 (opcional) Seleccione Marcar este objeto para sincronización universal (Mark this object for Universal Synchronization) para crear un grupo de direcciones IP universal.


Editar un grupo de direcciones IP

Requisitos previos

Procedimiento




VMware, Inc. 409




5 Seleccione el grupo que desea editar y haga clic en el icono Editar (Edit) ( ).

6 En el cuadro de diálogo Editar conjuntos de direcciones IP (Edit IP Sets), realice los cambios adecuados.


Eliminar un grupo de direcciones IP

Procedimiento






5 Seleccione el grupo que desea eliminar y haga clic en el icono Eliminar (Delete) ( ).

Trabajar con grupos de direcciones MAC

Crear un grupo de direcciones MACPuede crear un grupo de direcciones MAC compuesto por un rango de direcciones MAC y, a continuación, agregar este grupo como origen o destino en una regla de Distributed Firewall. Dicha regla puede servir de ayuda para proteger las máquinas físicas de las virtuales o viceversa.

Procedimiento




VMware, Inc. 410


u Debe seleccionar la instancia de NSX Manager principal si necesita administrar grupos de direcciones MAC universales.

4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Conjuntos de direcciones MAC (MAC Sets).


6 Escriba un nombre para el grupo de direcciones.

7 (opcional) Escriba una descripción para el grupo de direcciones.

8 Escriba las direcciones MAC que se deben incluir en el grupo.


10 (opcional) Seleccione Marcar este objeto para sincronización universal (Mark this object for Universal Synchronization) para crear un grupo de direcciones MAC universal.


Editar un grupo de direcciones MAC

Procedimiento







6 En el cuadro de diálogo Editar conjunto de direcciones MAC (Edit MAC Set), realice los cambios adecuados.


Eliminar un grupo de direcciones MAC


VMware, Inc. 411

Procedimiento







Trabajar con grupos de direcciones IPPuede crear un grupo de direcciones IP para especificar un rango de direcciones IP.

Crear un grupo de direcciones IP

Procedimiento




4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Grupo de direcciones IP (IP Pool).

5 Haga clic en el icono Agregar grupo de direcciones IP nuevo (Add New IP Pool).

6 Escriba un nombre para el grupo de direcciones IP y escriba la longitud del prefijo y la puerta de enlace predeterminados.

7 (opcional) Escriba los DNS principal y secundario y el sufijo DNS.

8 Escriba los rangos de direcciones IP que se deben incluir en el grupo y haga clic en Aceptar (OK).

Editar un grupo de direcciones IPEs posible editar un grupo de direcciones IP, pero no la puerta de enlace o CIDR.

Procedimiento



VMware, Inc. 412



4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Grupos de direcciones IP (IP Pools).

5 Seleccione un grupo de direcciones IP y haga clic en el icono Editar (Edit).


Eliminar grupo de direcciones IP

Procedimiento




4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Grupo de direcciones IP (IP Pool).

5 Seleccione el grupo de direcciones IP que desea eliminar y haga clic en el icono Eliminar (Delete).

Trabajar con grupos de seguridadUn grupo de seguridad es una recopilación de activos u objetos agrupados del inventario de vSphere.

Los grupos de seguridad son contenedores que pueden contener varios tipos de objeto, incluidos conmutadores lógicos, vNIC, IPset y máquina virtual. Los grupos de seguridad pueden tener criterios de pertenencia dinámica basados en etiquetas de seguridad, nombre de VM o nombre de conmutador lógico. Por ejemplo, todas las VM que tengan la etiqueta de seguridad "web" se agregarán automáticamente a un grupo de seguridad específico destinado para servidores web. Tras crear un grupo de seguridad, se aplica una directiva de seguridad a ese grupo.

En un entorno cross-vCenter NSX, los grupos de seguridad universal se definen en la instancia principal de NSX Manager y se marcan para la sincronización universal con instancias secundarias de NSX Manager. Los grupos de seguridad universal no pueden tener definidos criterios de pertenencia dinámica salvo que estén marcados para ser utilizados en un escenario de implementación en espera activo.

En un entorno cross-vCenter NSX con un escenario de implementación en espera activo, SRM crea una máquina virtual de marcador en el sitio de recuperación para cada máquina virtual protegida en el sitio activo. Las máquinas virtuales de marcador no están activas y se encuentran en el modo de espera. Cuando la máquina virtual protegida se desactiva, las máquinas virtuales de marcador del sitio de recuperación se encienden y toman el control de las tareas de la máquina virtual protegida. Los usuarios


VMware, Inc. 413

crean reglas de firewall distribuido con grupos de seguridad universal que incluyen etiquetas de seguridad universales en el sitio activo. NSX Manager replica la regla de firewall distribuido con los grupos de seguridad universal que incluyen etiquetas de seguridad universales en las máquinas virtuales de marcador. Además, cuando estas máquinas virtuales se enciendan, las reglas de firewall replicadas con los grupos y las etiquetas de seguridad universales se aplicarán correctamente.

Nota n Los grupos de seguridad universal creados antes de la versión 6.3 no se pueden editar para su uso

en una implementación en espera activa.

Crear un grupo de seguridadEs posible crear un grupo de seguridad en el nivel de NSX Manager.

Los grupos de seguridad universal se utilizan en dos tipos de implementación: entornos Cross-vCenter NSX activos activos y entornos Cross-vCenter NSX en espera activos, donde un sitio está activo en un momento determinado y el resto se encuentra en espera.

n Los grupos de seguridad universal en un entorno activo activo pueden contener sólo los siguientes objetos incluidos: grupos de seguridad, conjuntos de direcciones IP, conjuntos de direcciones MAC. No puede configurar la pertenencia dinámica ni los objetos excluidos.

n Los grupos de seguridad universal en un entorno en espera activo pueden incluir los siguientes objetos: conjuntos de grupos de seguridad, direcciones IP, conjuntos de direcciones MAC, etiquetas de seguridad universal. También puede configurar la pertenencia dinámica solo mediante el nombre de máquina virtual. No puede configurar objetos excluidos.

Nota Los grupos de seguridad universal creados antes de la versión 6.3 no se pueden editar para su uso en una implementación en espera activa.

Requisitos previos

Si crea un grupo de seguridad basado en objetos de grupos de Active Directory, asegúrese de que haya uno o varios dominios registrados en NSX Manager. NSX Manager obtiene información del grupo y del usuario, así como de la relación existente entre estos elementos, desde cada dominio con el que está registrado. Consulte Registrar un dominio de Windows con NSX Manager.

Procedimiento




u Debe seleccionar la instancia de NSX Manager principal si necesita administrar grupos de seguridad universales.


VMware, Inc. 414

4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Grupo de seguridad (Security Group) y en el icono Agregar grupo de seguridad (Add Security Group).

5 Escriba un nombre y, de manera opcional, una descripción para el grupo de seguridad.

6 (opcional) Si está creando un grupo de seguridad universal, seleccione Marcar este objeto para sincronización universal (Mark this object for universal synchronization).

7 (opcional) Si está creando un grupo de seguridad universal para usarlo en una implementación en espera activa, seleccione Marcar este objeto para sincronización universal (Mark this object for universal synchronization) y Utilizar para implementaciones en espera activas (Use for active standby deployments). La pertenencia dinámica para grupos de seguridad universales con implementación en espera activa se basa en el nombre de la máquina virtual


9 En la página Pertenencia dinámica (Dynamic Membership), defina los criterios que debe cumplir un objeto para que se pueda agregar al grupo de seguridad que va a crear. Al definir un filtro de criterios con una serie de parámetros compatibles con los criterios de búsqueda, se pueden incluir máquinas virtuales.

Nota Si crea un grupo de seguridad universal, el paso Definir pertenencia dinámica (Define dynamic membership) no está disponible para las implementaciones activas activas. Está disponible en las implementaciones en espera activas, únicamente en función del nombre de la máquina virtual.

Por ejemplo, puede incluir un criterio para agregar al grupo de seguridad todas las máquinas virtuales etiquetadas con la etiqueta de seguridad específica (como AntiVirus.virusFound). Las etiquetas de seguridad distinguen entre mayúsculas y minúsculas.

O bien puede agregar al grupo de seguridad todas las máquinas virtuales que contengan el nombre W2008 y las máquinas virtuales que estén en el conmutador lógico global_wire.



VMware, Inc. 415

11 En la página Seleccionar los objetos que se van a incluir (Select objects to include), seleccione la pestaña del recurso que desea agregar y, a continuación, seleccione uno o varios recursos para agregarlos al grupo de seguridad. Puede incluir los siguientes objetos en un grupo de seguridad.

Tabla 21-1. Objetos que pueden incluirse en grupos de seguridad y grupos de seguridad universales.

Grupo de seguridad Grupo de seguridad universal

n Otros grupos de seguridad para agrupar dentro del grupo de seguridad que se va a crear.

n Clúster

n Conmutador lógico

n Red

n Aplicación virtual

n Centro de datos

n Conjuntos de direcciones IP

n Grupos de directorios

Nota La configuración de Active Directory para los grupos de seguridad de NSX es diferente de la configuración de Active Directory para vSphere SSO. La configuración de grupos de AD de NSX es para los usuarios finales que acceden a máquinas virtuales invitadas, mientras que vSphere SSO es para los administradores que utilizan vSphere y NSX. Para utilizar estos grupos de directorio debe sincronizarse con Active Directory. Consulte Capítulo 11 Introducción al firewall de identidad.

n Conjuntos de direcciones MAC

n Etiqueta de seguridad

n vNIC

n Máquina virtual

n Grupo de recursos

n Grupo de puertos virtuales distribuidos

n Otros grupos de seguridad universales para agrupar dentro del grupo de seguridad universal que se va a crear.

n Conjuntos de direcciones IP universales

n Conjuntos de direcciones MAC universales

n Etiqueta de seguridad universal (solo para implementaciones en espera activas)

Los objetos seleccionados aquí siempre se incluyen en el grupo de seguridad, más allá de si coinciden o no con los criterios mencionados en el Paso Paso 8.

Cuando se agrega un recurso a un grupo de seguridad, todos los recursos asociados se agregan automáticamente. Por ejemplo, cuando selecciona una máquina virtual, la vNIC asociada se agrega automáticamente al grupo de seguridad.

12 Haga clic en Siguiente (Next) y seleccione los objetos que desea excluir del grupo de seguridad.

Nota Si crea un grupo de seguridad universal, el paso Seleccionar los objetos que se van a excluir (Select objects to exclude) no está disponible.

Los objetos seleccionados aquí siempre se excluyen del grupo de seguridad, más allá de si coinciden o no con los criterios dinámicos.


VMware, Inc. 416


Se muestra la ventana Listo para completar (Ready to Complete) con un resumen del grupo de seguridad.


Ejemplo

La pertenencia a un grupo de seguridad se determina de la siguiente manera:

{Resultado de la expresión [derivado de Definir pertenencia dinámica(Define dynamic membership)] + inclusión [especificado en Seleccionar objetos para incluir(Select objects to include)]} - Exclusión [especificado en Seleccionar objetos para excluir(Select objects to exclude)]

Esto significa que los elementos de inclusión se agregan primero al resultado de la expresión. A continuación, se restan los elementos de exclusión del resultado total.

Editar un grupo de seguridad

Procedimiento





4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Grupo de seguridad (Security Group).

Tenga en cuenta que los grupos de seguridad universal creados antes de la versión 6.3 no se pueden editar para su uso en implementaciones en espera activas.


6 En el cuadro de diálogo Editar grupo de seguridad (Edit Security Group), realice los cambios adecuados.


Eliminar un grupo de seguridad

Procedimiento



VMware, Inc. 417




4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Grupo de seguridad (Security Group).


Trabajar con servicios y grupos de serviciosUn servicio es una combinación de puerto y protocolo, mientras que un grupo de servicios es un grupo que incluye servicios u otros grupos de servicios.

Crear un servicioEs posible crear un servicio y, a continuación, definir reglas para ese servicio.

Procedimiento




u Debe seleccionar la instancia de NSX Manager principal si necesita administrar servicios universales.

4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Servicio (Service).


6 Escriba un Nombre (Name) para identificar el servicio.

7 (opcional) Escriba una Descripción (Description) para el servicio.

8 Seleccione un Protocolo (Protocol).

a Según el protocolo seleccionado, es posible que se le solicite introducir más información, como el puerto de destino.



VMware, Inc. 418

10 (opcional) Seleccione Marcar este objeto para sincronización universal (Mark this object for Universal Synchronization) para crear un servicio universal.


Resultados

El servicio aparece en la tabla Servicios (Services).

Crear un grupo de serviciosEs posible crear un grupo de servicios y, a continuación, definir reglas para ese grupo de servicios.

Procedimiento




u Debe seleccionar la instancia de NSX Manager principal si necesita administrar grupos de servicio universales.

4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Grupos de servicios (Service Groups).


6 Escriba un Nombre (Name) para identificar el grupo de servicios.

7 (opcional) Escriba una Descripción (Description) para el grupo de servicios.

8 (opcional) Seleccione Marcar este objeto para sincronización universal (Mark this object for Universal Synchronization) para crear un grupo de servicios universal.

9 En Miembros (Members), seleccione los servicios o los grupos de servicios que desea agregar al grupo.



Editar un servicio o un grupo de serviciosEs posible editar servicios o grupos de servicios.

Procedimiento




VMware, Inc. 419


u Debe seleccionar la instancia de NSX Manager principal si necesita administrar servicios o grupos de servicio universales.

4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Servicio (Service) o Grupos de servicios (Service Groups).

5 Seleccione un servicio o un grupo de servicios personalizado y haga clic en el icono Editar (Edit)

( ).



Eliminar un servicio o un grupo de serviciosEs posible eliminar servicios o un grupo de servicios.

Procedimiento




u Debe seleccionar la instancia de NSX Manager principal si necesita administrar servicios o grupos de servicio universales.

4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Servicio (Service) o Grupos de servicios (Service Groups).

5 Seleccione un servicio o un grupo de servicios personalizados y haga clic en el icono Eliminar

(Delete) ( ).


Se eliminan el servicio o el grupo de servicios.


VMware, Inc. 420

Operaciones y administración 22Este capítulo incluye los siguientes temas:

n Utilizar el panel de control de NSX

n Comprobar estado del canal de comunicación

n NSX Controller

n Cambiar el puerto de VXLAN

n Programa de mejora de la experiencia de cliente

n Acerca de los registros de NSX

n Registros de auditoría

n Eventos del sistema

n Configuración del sistema de administración

n Copia de seguridad y restauración de NSX

n Flow Monitoring

n Administrador de reglas de aplicaciones (Application Rule Manager)

n Supervisión de actividad

n Recopilación de datos de supervisión de endpoints

n Traceflow

Utilizar el panel de control de NSXEl panel de control de NSX proporciona información sobre el estado general de los componentes de NSX en una vista centralizada. El panel de control de NSX simplifica la solución de problemas al mostrar el estado de diferentes componentes de NSX, como NSX Manager, los conmutadores lógicos, la preparación del host, la implementación del servicio, la copia de seguridad, así como las notificaciones de Edge.


2 Haga clic en Redes y seguridad (Networking & Security) y seleccione Panel de control (Dashboard). Se muestra la página Panel (Dashboard).

VMware, Inc. 421

3 En un entorno Cross-vCenter NSX, seleccione NSX Manager con la función principal o el secundaria.

El panel de control proporciona la siguiente información:

n Infraestructura de NSX: se supervisa el estado de los componentes de NSX Manager para los siguientes servicios:

n Servicio de base de datos (vPostgres).

n Servicio de bus de mensajería (RabbitMQ).

n Servicio de replicación: también supervisa los errores de replicación (si se habilita Cross-vCenter NSX).

n Uso de disco de NSX Manager:

n El color amarillo indica más del 80 % del disco utilizado.

n El color rojo indica más del 90 % del disco utilizado.

n Infraestructura de NSX: estado de NSX Controller:

n Estado del nodo del controlador. activo/inactivo/en ejecución/implementando/eliminando/error/desconocido (up/down/running/deploying/removing/failed/unknown).

n Se muestra el estado de conectividad de los controladores en el mismo nivel. Si los controladores están inactivos y aparecen en rojo, los controladores en el mismo nivel aparecen en amarillo.

n Estado de la máquina virtual del controlador (apagada/eliminada) (powered off/deleted).

n Alertas de latencia del disco del controlador.

n Estado de la copia de seguridad deNSX Manager:

n Programación de copia de seguridad (Backup schedule).


VMware, Inc. 422

n Estado de la última copia de seguridad (Last backup status): puede ser Error (Failed), Correcta (Successful) o No programada (Not scheduled) e incluye la fecha.

n Último intento de copia de seguridad (Last backup attempt), con información sobre la fecha y la hora.

n Última copia de seguridad correcta (Last successful backup), con información sobre la fecha y la hora.

n Infraestructura de NSX: se supervisa el estado de host para los siguientes servicios:

n Relacionado con la implementación:

n Número de clústeres que presentan un estado de error en la instalación.

n Número de clústeres que necesitan actualizarse.

n Número de clústeres en los que la instalación está en curso.

n Número de clústeres no preparados.

n Firewall:

n Número de clústeres con el firewall deshabilitado.

n Número de clústeres en los que el estado del firewall aparece en rojo o amarillo:

n El color amarillo indica que el firewall distribuido está deshabilitado en algún clúster.

n El color rojo indica que el firewall distribuido no pudo instalarse en algún host o clúster.

n VXLAN:

n Número de clústeres en los que VXLAN no se configuró.

n Número de clústeres en los que el estado de VXLAN aparece en verde, amarillo o rojo:

n El color verde indica que la función se configuró correctamente.


VMware, Inc. 423

n El color amarillo indica un estado ocupado cuando la configuración VXLAN está en curso.

n El rojo (error) indica, por ejemplo, un estado en el que se produjo un error de creación de VTEP, que VTEP no encontró la dirección IP o que se le asignó la dirección IP LinkLocal.

n Infraestructura de NSX: estado de implementación de servicios

n Errores de implementación: estado de instalación de los errores de implementación.

n Estado de servicio: se aplica a todos los servicios con error.

n Infraestructura de NSX: notificaciones de NSX Edge

El panel de control de notificaciones de Edge destaca las alarmas activas de determinados servicios. Supervisa una lista de eventos críticos que se incluyen a continuación y realiza un seguimiento de estos hasta que el problema está sin resolver. Las alarmas se resuelven automáticamente cuando se informa del evento de recuperación, o bien Edge se actualiza, se vuelve a implementar o se fuerza su sincronización.

n Equilibrador de carga (estado del servidor del equilibrador de carga de Edge):

n El servidor backend del equilibrador de carga de Edge está inactivo.

n Estado de advertencia del servidor backend del equilibrador de carga de Edge.

n VPN (estado del canal de IPSec o del túnel de IPSec):

n El canal de IPSec de Edge está inactivo.

n El túnel de IPSec de Edge está inactivo.

n Dispositivo (máquina virtual de Edge, puerta de enlace de Edge, sistema de archivos de Edge, NSX Manager y estados de informes de puerta de enlace de servicios de Edge):

n Falta el pulso de la comprobación de estado de la puerta de enlace de servicios de Edge.

n Se desconectó la máquina virtual de Edge.

n Falta el pulso de la comprobación de estado de la máquina virtual de Edge.

n El estado de NSX Edge no es correcto.

n NSX Manager notifica que el estado de la puerta de enlace de servicios de Edge no es correcto.

n La máquina virtual de Edge no aparece en el inventario de VC.


VMware, Inc. 424

n Se detectó una situación de cerebro dividido de alta disponibilidad.

Nota Las alarmas de VPN y del equilibrador de carga no se eliminan automáticamente al actualizar la configuración. Una vez que se soluciona el problema, debe eliminarlas manualmente con una API utilizando el comando alarm-id. A continuación se muestra un ejemplo de API que puede utilizar para borrar las alarmas. Para obtener más información, consulte la Guía de NSX API.

GET https://<<NSX-IP>>/api/2.0/services/alarms/{source-Id}

POST https://<<NSX-IP>>/api/2.0/services/alarms?action=resolve

GET https://<<NSX-IP>>/api/2.0/services/systemalarms/<alarmId>

POST https://<<NSX-IP>>/api/2.0/services/systemalarms/<alarmId>?action=resolve

n Servicios de NSX: estado de publicación del firewall:

n Número de hosts en los que el estado de publicación del firewall aparece con errores. El estado aparece en rojo cuando un host no se aplica de forma correcta la configuración del firewall distribuido publicado.

n Servicios de NSX: estado de la red lógica:

n Número de conmutadores lógicos en los que aparece el estado Error (Error) o Advertencia (Warning).

n Indica si el grupo de puertos virtuales distribuidos admitidos se elimina de vCenter Server.

Comprobar estado del canal de comunicaciónNSX comprueba el estado de la comunicación entre NSX Manager y el agente de firewall, NSX Manager y el agente de plano de control, y el agente de plano de control y las controladoras.

Procedimiento



VMware, Inc. 425

2 Seleccione un clúster o expanda los clústeres y seleccione un host. Haga clic en Acciones (Actions)

y seleccione Estado de canal de comunicación (Communication Channel Health).

Se mostrará información sobre el estado del canal de comunicación.

NSX ControllerPuede administrar instancias de NSX Controller.

Para obtener información sobre solucionar problemas de clúster de controladores, incluyendo la eliminación de controladores de forma segura, consulte la sección NSX Controller de la Guía para solucionar problemas de NSX.

Cambiar la contraseña del controladorPara garantizar la seguridad, es posible cambiar las contraseñas de las instancias de NSX Controller.

Procedimiento



3 En Administración (Management), seleccione la controladora cuya contraseña desea cambiar.

4 Haga clic en Acciones (Actions) y seleccione Cambiar contraseña de clúster de la controladora (Change Controller Cluster Password).


VMware, Inc. 426

5 Introduzca una contraseña nueva y haga clic en Aceptar (OK).

Se cambiará la contraseña de la controladora.

Descargar registros de soporte técnico para NSX ControllerPuede descargar los registros de soporte técnico para cada instancia de NSX Controller. Estos registros específicos del producto contienen información de diagnóstico para su análisis.

Para recopilar registros de NSX Controller:

Procedimiento



3 En Administración (Management), seleccione el controlador de la que quiera descargar los registros.

4 Haga clic en Descargar registros de soporte técnico (Download tech support logs).

5 Haga clic en Descargar (Download).

NSX Manager comienza a descargar el registro de NSX Controller y adquiere el bloqueo.

Nota Descargue los registros de NSX Controller de uno en uno. Una vez que descargara el primero, comience a descargar el otro. Si descarga registros de varios controladores al mismo tiempo, podría producirse un error.

6 Una vez listo el registro, haga clic en Guardar (Save) para descargar el registro en el escritorio.

El registro se comprime y tiene la extensión de archivo .gz.

Resultados

Ahora puede analizar los registros descargados.

Pasos siguientes

Si quiere actualizar la información de diagnóstico para el soporte técnico de VMware, consulte el artículo 2070100 de la Knowledge Base.

Configurar un servidor syslog para NSX ControllerSi configura un servidor syslog para instancias de NSX Controller, NSX Manager envía todos los registros de auditoría y los eventos del sistema al servidor syslog. Los datos de Syslog son útiles para solucionar problemas y revisar los datos registrados durante la instalación y la configuración. El único método compatible para configurar el servidor syslog en las instancias de NSX Controller es mediante la NSX API. VMware recomienda utilizar UDP como el protocolo para Syslog.


VMware, Inc. 427



Procedimiento

1 Para habilitar Syslog en NSX Controller, utilice la siguiente NSX API. Agrega el exportador de Syslog del controlador y configura un exportador de Syslog en el nodo del controlador especificado.

Request

POST https://<nsxmgr-ip>/api/2.0/vdn/controller/{controller-id}/syslog

Request Body:

<controllerSyslogServer>

<syslogServer>10.135.14.236</syslogServer>

<port>514</port>

<protocol>UDP</protocol>

<level>INFO</level>

</controllerSyslogServer>

2 Puede consultar el exportador de Syslog del controlador y recuperar detalles sobre el exportador de Syslog configurado en el nodo de controlador especificado utilizando la siguiente NSX API.

Request

GET https://<nsxmgr-ip>/api/2.0/vdn/controller/{controller-id}/syslog

Response Body:

<?xml version="1.0" encoding="UTF-8"?>

<controllerSyslogServer>

<syslogServer>10.135.14.236</syslogServer>

<port>514</port>

<protocol>UDP</protocol>

<level>INFO</level>

</controllerSyslogServer>

3 Si no se requiere, puede eliminar el exportador de Syslog de controlador en el nodo de controlador especificado mediante la siguiente NSX API.

Request

DELETE https://<nsxmgr-ip>/api/2.0/vdn/controller/{controller-id}/syslog

Pasos siguientes

Para obtener más detalles sobre la API, consulte Guía de NSX API.

Cambiar el puerto de VXLANEs posible cambiar el puerto utilizado para el tráfico de VXLAN.

En NSX 6.2.3 y versiones posteriores, el puerto VXLAN predeterminado es el 4789, el puerto estándar que asigna la IANA. Antes de NSX 6.2.3, el número de puerto UDP de VXLAN predeterminado era el 8472.

Las instalaciones nuevas de NSX utilizarán el puerto UDP 4789 para VXLAN.


VMware, Inc. 428

Si actualiza la versión NSX 6.2.2 o una versión anterior a la versión NSX 6.2.3 o a una versión posterior y en la instalación se utilizó el puerto antiguo predeterminado (8472) o un número de puerto personalizado predeterminado (por ejemplo, el 8888) antes de la actualización, dicho puerto seguirá utilizándose tras la actualización a menos que realice los pasos necesarios para cambiarlo.

Si la instalación que actualizó utiliza o utilizará puertas de enlace de VTEP de hardware (puertas de enlace ToR), debe cambiar al puerto 4789 de VXLAN.

No es necesario que utilice el puerto 4789 para el puerto VXLAN en Cross-vCenter NSX; sin embargo, todos los hosts de un entorno de Cross-vCenter NSX deben estar configurados para usar el mismo puerto VXLAN. Si cambia al puerto 4789, garantiza que las nuevas instalaciones de NSX agregadas al entorno de Cross-vCenter NSX utilizan el mismo puerto que las implementaciones de NSX.

El cambio del puerto de VXLAN se realiza en un proceso de tres fases y no interrumpirá el tráfico de VXLAN.

1 NSX Manager configura todos los hosts para que escuchen el tráfico de VXLAN tanto en el puerto antiguo como en el nuevo. Los hosts seguirán enviando tráfico de VXLAN a través del antiguo puerto.

2 NSX Manager configura todos los hosts para que envíen tráfico a través del nuevo puerto.

3 NSX Manager configura todos los hosts para que dejen de escuchar en el antiguo puerto. Todo el tráfico se envía y se recibe a través del nuevo puerto.

En un entorno cross-vCenter NSX debe iniciar el cambio de puerto en la instancia principal de NSX Manager. Para cada etapa los cambios en la configuración se realizan en todos los hosts en el entorno Cross-vCenter NSX antes de pasar a la siguiente etapa.

Requisitos previos

n Compruebe que un firewall no bloquee el puerto que desea utilizar para VXLAN.

n Compruebe que la preparación del host no se esté ejecutando a la vez que cambia el puerto de VXLAN.

Procedimiento

1 Haga clic en la pestaña Preparación de red lógica (Logical Network Preparation) y, a continuación, haga clic en Transporte de VXLAN (VXLAN Transport).

2 Haga clic en el botón Cambiar (Change) en el panel del puerto de VXLAN. Introduzca el puerto al que desee cambiar. El puerto 4789 es el que asigna la IANA para VXLAN.

El cambio de puerto tardará un breve periodo de tiempo en propagarse a todos los hosts.


VMware, Inc. 429

3 (opcional) Compruebe el progreso del cambio de puerto con la solicitud API de GET /api/2.0/vdn/config/vxlan/udp/port/taskStatus.

GET https://nsxmgr-01a/api/2.0/vdn/config/vxlan/udp/port/taskStatus


<vxlanPortUpdatingStatus>

<prevPort>8472</prevPort>

<targetPort>4789</targetPort>

<taskPhase>PHASE_TWO</taskPhase>

<taskStatus>PAUSED</taskStatus>

</vxlanPortUpdatingStatus>

...


<vxlanPortUpdatingStatus>

<prevPort>8472</prevPort>

<targetPort>4789</targetPort>

<taskPhase>FINISHED</taskPhase>

<taskStatus>SUCCEED</taskStatus>

</vxlanPortUpdatingStatus>

Programa de mejora de la experiencia de clienteNSX participa en el programa de mejora de la experiencia de cliente (CEIP) de VMware.

Los detalles relacionados con los datos recopilados mediante el CEIP, así como los fines para los que VMware los utiliza, se pueden encontrar en el Centro de seguridad y confianza en https://www.vmware.com/solutions/trustvmware/ceip.html.

Si desea unirse o abandonar el CEIP de NSX o editar la configuración del programa, consulte Editar la opción del programa de mejora de la experiencia de cliente.

Editar la opción del programa de mejora de la experiencia de clienteCuando se instala o actualiza NSX Manager, se puede seleccionar unirse al CEIP. Puede unirse al CEIP o bien salir posteriormente. También se puede definir la frecuencia y los días en los que la información se recopilará.

Requisitos previos

n Compruebe que NSX Manager está conectado y se puede sincronizar con vCenter Server.

n Compruebe que DNS está configurado en NSX Manager.

n Compruebe que NSX está conectado a una red pública para subir datos.

Procedimiento



VMware, Inc. 430

https://www.vmware.com/solutions/trustvmware/ceip.html

https://www.vmware.com/solutions/trustvmware/ceip.html

2 Seleccione Redes y seguridad (Networking & Security).

3 En el inventario de redes y seguridad (Networking & Security Inventory), seleccione NSX Managers.

4 Haga doble clic en la instancia de NSX Manager que desee modificar.

5 Haga clic en la pestaña Resumen (Summary).

6 Haga clic en Editar (Edit) en el cuadro de diálogo del programa de mejora de la experiencia de cliente.

7 Seleccione o desmarque la opción Unirse al programa de mejora de la experiencia de cliente de VMware (Join the VMware Customer Experience Improvement Program).

8 (opcional) Configure los ajustes de periodicidad.


Acerca de los registros de NSXPuede configurar el servidor syslog y ver registros de soporte técnico para cada componente de NSX. Existen registros de planos de administración disponibles en NSX Manager y registros de planos de datos disponibles en vCenter Server. Por ese motivo, se recomienda especificar el mismo servidor syslog para el componente de NSX y vCenter Server, a fin de tener un panorama completo al ver los registros en el servidor syslog.Para obtener información sobre la configuración de un servidor syslog para hosts administrados mediante un vCenter Server, consulte la versión adecuada de la documentación de vSphere en https://docs.vmware.com.

Nota Los servidores syslog o de salto que se utilizan para recopilar registros y acceder a la máquina virtual de control del enrutador lógico distribuido (DLR) de NSX no pueden estar en el conmutador lógico que está directamente conectado a las interfaces lógicas de ese DLR.

Tabla 22-1. Registros de NSX

Componente Descripción

Registros de ESXi Estos registros se recopilan como parte del paquete de soporte técnico de las máquinas virtuales que se generan desde vCenter Server.

Para obtener más información sobre los archivos de registro de ESXi, consulte la documentación de vSphere.

Registros de NSX Edge Utilice el comando show log [follow | reverse] de la CLI de NSX Edge.

Descargue el paquete de registros de soporte técnico a través de la IU de NSX Edge.

Registros de NSX Manager Utilice el comando show log de la CLI de NSX Manager.

Descargue el paquete de registros de soporte técnico a través de la IU del dispositivo virtual de NSX Manager.

Registros de enrutamiento Consulte la guía Eventos del sistema y de registro de NSX.

Registros de firewall Consulte guía Eventos del sistema y de registro de NSX.

Registros de Guest Introspection Consulte guía Eventos del sistema y de registro de NSX.


VMware, Inc. 431

https://docs.vmware.com

https://docs.vmware.com

NSX ManagerPara especificar un servidor syslog, consulte Configurar un servidor syslog para NSX Manager.

Para descargar registros de soporte técnico, consulte Descargar registros de soporte técnico para NSX.

NSX EdgePara especificar un servidor syslog, consulte Configure los servidores de Syslog para NSX Edge.

Para descargar registros de soporte técnico, consulte Descargar registros de soporte técnico para NSX Edge.

NSX ControllerPara especificar un servidor syslog, consulte Configurar un servidor syslog para NSX Controller.

Para descargar registros de soporte técnico, consulte Descargar registros de soporte técnico para NSX Controller.

FirewallPara obtener más información detallada, consulte Registros de firewall.

Registros de auditoríaLos registros de auditoría de las operaciones registradas en un ticket incluyen el identificador de ticket. A través de la característica NSX Ticket Logger, con un identificador de ticket puede hacer un seguimiento de los cambios realizados.

Usar NSX Ticket LoggerNSX Ticket Logger permite hacer un seguimiento de los cambios de infraestructura realizados. Todas las operaciones están etiquetadas con el identificador de ticket especificado, y los registros de auditoría de estas operaciones incluyen el identificador de ticket. Los archivos de registro de estas operaciones están etiquetados con el mismo identificador de ticket.

Procedimiento


2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en la pestaña Administrar (Manage).

3 Haga clic en Editar (Edit) junto a Configuración de NSX Ticket Logger (NSX Ticket Logger Settings).


VMware, Inc. 432

4 Escriba el identificador de un ticket y haga clic en Activar (Turn On).

Aparecerá el panel Registro de tickets de NSX (NSX Ticket Logging) en el lateral derecho de la ventana de vSphere Web Client. Los registros de auditoría de las operaciones realizadas en la sesión actual de la interfaz de usuario incluyen el identificador de ticket en la columna Etiquetas de operación (Operation Tags).

Figura 22-1. Panel de NSX Ticket Logger

Si vSphere Web Client está administrando varias instancias de vCenter Server, el identificador de ticket se utiliza para conectarse a todas las instancias correspondientes de NSX Manager.

Pasos siguientes

El registro de tickets está basado en la sesión. Si el registro de tickets está activado y se cierra la sesión o si se pierde la sesión, se desactivará el registro de tickets de forma predeterminada cuando vuelva a iniciar sesión en la interfaz de usuario. Para completar las operaciones de un ticket, desactive el registro repitiendo los pasos 2 y 3, y haga clic en Desactivar (Turn Off).

Ver el registro de auditoríaLa pestaña Registros de auditoría (Audit Logs) proporciona una vista de las acciones realizadas por todos los usuarios de NSX Manager. NSX Manager conserva hasta 100.000 de registros de auditoría.

Procedimiento



3 En la columna Nombre (Name), haga clic en un servidor NSX y, a continuación, en la pestaña Supervisar (Monitor).

4 Haga clic en la pestaña Registros de auditoría (Audit Logs).


VMware, Inc. 433

5 Cuando hay detalles disponibles sobre un registro de auditoría, se puede hacer clic en el texto de la columna Operación (Operation) de ese registro. Para ver los detalles de un registro de auditoría, haga clic en el texto de la columna Operación (Operation).

6 En Detalles de cambios en los registros de auditoría (Audit Log Change Details), seleccione Filas con cambios (Changed Rows) para ver solo aquellas propiedades cuyos valores cambiaron en la operación de este registro de auditoría.

Eventos del sistemaLos eventos del sistema son eventos que están relacionados con operaciones de NSX. Se elevan para dar detalles de cada evento operativo. Los eventos incluso pueden relacionarse con el funcionamiento básico (Informativo) o con un error crítico (Crítico).

Ver el informe de eventos del sistemaDesde vSphere Web Client puede ver los eventos del sistema para todos los componentes administrados por NSX Manager.

Procedimiento



3 Haga clic en una instancia de NSX Manager en la columna Nombre (Name) y, a continuación, en la pestaña Supervisar (Monitor).

4 Haga clic en la pestaña Eventos del sistema (System Events).

Puede hacer clic en las flechas de los encabezados de las columnas para ordenar eventos, o utilizar el cuadro de texto Filtrar (Filter) para filtrar eventos.

Formato de un evento del sistemaSi especifica un servidor syslog, NSX Manager envía todos los eventos del sistema al servidor syslog.

Estos mensajes tienen un formato similar al mensaje que se muestra a continuación:

Jan 8 04:35:00 NSXMGR 2017-01-08 04:35:00.422 GMT+00:00

INFO TaskFrameworkExecutor-18 SystemEventDaoImpl:133 -

[SystemEvent] Time:'Tue Nov 08 04:35:00.410 GMT+00:00 2016',

Severity:'High', Event Source:'Security Fabric', Code:'250024',

Event Message:'The backing EAM agency for this deployment could not be found.

It is possible that the VC services may still be initializing.

Please try to resolve the alarm to check existence of the agency.

In case you have deleted the agency manually, please delete the deployment

entry from NSX.', Module:'Security Fabric', Universal Object:'false


VMware, Inc. 434

El evento del sistema incluye la información siguiente.

Event ID and Time

Severity: Possible values include informational, low, medium, major, critical, high.

Event Source: Source where you should look to resolve the reported event.

Event Code: Unique identifier for the event.

Event Message: Text containing detailed information about the event.

Module: Event component. May be the same as event source.

Universal Object: Value displayed is True or False.

AlarmasLas alarmas son notificaciones que se activan en respuesta a un evento, a un conjunto de condiciones o al estado de un objeto. En el panel de control de NSX y en otras pantallas de la interfaz de usuario de vSphere Web Client se muestran alarmas así como otras alertas.

La API GET api/2.0/services/systemalarms permite ver las alarmas de los objetos de NSX.

NSX admite dos métodos para utilizar una alarma:

n La alarma corresponde a un evento del sistema y tiene una resolución asociada que intentará solucionar el problema que activa la alarma. Este enfoque está diseñado para la implementación de tejido de red y seguridad (por ejemplo, EAM, bus de mensajería, complemento de implementación) y también es compatible con Service Composer. Estas alarmas utilizan el código de evento como código de alarma. Para obtener más información detallada, consulte el documento Eventos del sistema y de registro de NSX.

n Las alarmas de notificaciones de Edge tienen la estructura de par de alarma de activación y resolución. Este método es compatible con varias funciones de Edge, entre ellas, VPN de IPsec, equilibrador de carga, alta disponibilidad, comprobación de estado, sistema de archivos de Edge y reserva de recursos. Estas alarmas utilizan un código de alarma único que no es el mismo que el código de evento. Para obtener más información detallada, consulte el documento Eventos del sistema y de registro de NSX.

Por lo general, el sistema elimina automáticamente una alarma si la condición de error se rectifica. Algunas alarmas no se borran automáticamente al actualizar la configuración. Una vez resuelto el problema, deberá borrar las alarmas de forma manual.

A continuación se muestra un ejemplo de la API que puede utilizar para borrar las alarmas.

Puede obtener alarmas para un origen específico, por ejemplo, un clúster, un host, un grupo de recursos, un grupo de seguridad o NSX Edge. Puede ver las alarmas para un origen mediante sourceId:

GET https://<<NSX-IP>>/api/2.0/services/alarms/{sourceId}

Puede resolver todas las alarmas para un origen mediante sourceId:

POST https://<<NSX-IP>>/api/2.0/services/alarms/{sourceId}?action=resolve


VMware, Inc. 435

Puede ver las alarmas de NSX, entre ellas, el bus de mensajería, el complemento de implementación, Service Composer y las alarmas de Edge:

GET https://<<NSX-IP>>/api/2.0/services/systemalarms

Puede ver una alarma específica de NSX mediante alarmId:

GET https://<<NSX-IP>>/api/2.0/services/systemalarms/<alarmId>

Puede resolver una alarma específica de NSX mediante alarmId:

POST https://<<NSX-IP>>/api/2.0/services/systemalarms/<alarmId>?action=resolve

Para obtener más información sobre la API, consulte la Guía de NSX API.

Formato de una alarmaEl formato de una alarma se puede ver a través de una API.

El formato de una alarma incluye la información siguiente.

Event ID and Time

Severity: Possible values include informational, low, medium, major, critical, high.

Event Source: Source where you should look to resolve the reported event.

Event Code: Unique identifier for the event.

Message: Text containing detailed information about the event.

Alarm ID: ID of an alarm.

Alarm Code: Event code which uniquely identifies the system alarm.

Alarm Source: Source where you should look to resolve the reported event.

Trabajar con traps SNMPNSX Manager recibe eventos del sistema que son informativos, de advertencia y críticos de, por ejemplo, NSX Edge y el hipervisor. Los agentes SNMP reenvían las traps SNMP con los OID al receptor SNMP.

Los traps SNMP deben tener la versión SNMPv2c. Los traps deben estar asociados con una base de datos de información de la administración (MIB) para que el receptor SNMP pueda procesar los traps con identificadores de objetos (OID).

De forma predeterminada, el mecanismo de traps SNMP está deshabilitado. Habilitar el trap SNMP solo activa las notificaciones críticas y de gravedad alta para que el administrador SNMP no reciba un gran volumen de notificaciones. Una dirección IP o el nombre de un host define el destino del trap. Para que el nombre del host funcione en el destino del trap, el dispositivo debe estar configurado para solicitar un servidor de Sistema de nombres de dominio (DNS).

Cuando habilita el servicio SNMP, la primera vez se envía un trap coldStart con el OID 1.3.6.1.6.3.1.1.5.1. Posteriormente se envía un trap warmStart con el OID 1.3.6.1.6.3.1.1.5.2 en cada inicio y parada de los receptores SNMP configurados.


VMware, Inc. 436

Si el servicio SNMP continúa habilitado, cada cinco minutos se envía un trap latido vmwHbHeartbeat con el OID 1.3.6.1.4.1.6876.4.190.0.401. Cuando deshabilita el servicio, se envía un trap vmwNsxMSnmpDisabled con el OID 1.3.6.1.4.1.6876.90.1.2.1.0.1. El proceso detiene la ejecución del trap vmwHbHeartbeat y deshabilita el servicio.

Cuando agrega, modifica o elimina un valor del receptor de SNMP, se envían un trap warmStart con el OID 1.3.6.1.6.3.1.1.5.2 y un trap vmwNsxMSnmpManagerConfigUpdated con el OID 1.3.6.1.4.1.6876.90.1.2.1.0.2 a las nuevas configuraciones o actualizaciones de los receptores SNMP.

Nota El polling de SNMP no es compatible.

Configurar los ajustes de SNMPPuede habilitar los ajustes de SNMP y configurar los receptores de destino para enviar traps que sean críticos, avanzados o informativos.

Requisitos previos

n Familiarícese con el mecanismo de trap de SNMP. Consulte Trabajar con traps SNMP.

n Compruebe esté configurado un receptor SNMP.

n Descargue e instale el módulo MIB para NSX Manager de forma que el receptor SNMP pueda procesar los traps con OID. Consulte http://kb.vmware.com/kb/1013445.

Procedimiento


2 Seleccione Redes y seguridad > Inventario de redes y seguridad > NSX Managers (Networking & Security > Networking & Security Inventory > NSX Managers).

3 Seleccione una dirección IP de NSX Manager.

4 Seleccione las pestañas Administrar > Eventos del sistema (Manage > System Events).


VMware, Inc. 437


5 Haga clic en Editar (Edit) para configurar las opciones de SNMP.


Servicio (Service) Enviar trap de SNMP.

De forma predeterminada, esta opción está deshabilitada.

Notificaciones de grupo Opciones predefinidas de grupos para algunos eventos del sistema que se utilizan para agregar los eventos que puedan ocurrir. De forma predeterminada, esta opción está habilitada.

Por ejemplo, si un evento del sistema pertenece a un grupo, el trap de esos eventos agrupados está retenido. Cada cinco minutos se envía un trap detallando el número de eventos del sistema que se recibieron de NSX Manager. Si se envían menos traps, se ahorran recursos del receptor SNMP.

Receptores Puede configurar hasta cuatro receptores para que se envíen los traps.

Debe completar las siguientes secciones cuando agregue un receptor SNMP.

Dirección de receptor: dirección IP o el nombre de plenamente cualificado del host receptor.

Puerto del receptor: el puerto UDP predeterminado del receptor SNMP es 162.

Cadena de comunidad: se debe enviar la información como parte del trap de notificación.

Habilitar: indica si el receptor está enviando un trap.


Resultados

El servicio SNMP está habilitado y los traps se envían a los receptores.

Pasos siguientes

Comprobar si la configuración del SNMP funciona. Consulte Comprobar la configuración del trap de SNMP.

Comprobar la configuración del trap de SNMPAntes de empezar a editar un trap del sistema, debe comprobar si el servicio SNMP recién habilitado o el SNMP actualizado funcionan correctamente.

Requisitos previos

Compruebe que el SNMP está configurado. Consulte Configurar los ajustes de SNMP.


VMware, Inc. 438

Procedimiento

1 Compruebe la conexión del receptor y la configuración de SNMP.

a Seleccione las pestañas Administrar > Eventos del sistema (Manage > System Events).

b Haga clic en Editar (Edit) para configurar las opciones de SNMP.

No cambie las opciones del cuadro de diálogo.


Se enviará un trap warmStart con el OID 1.3.6.1.6.3.1.1.5.2 a todos los receptores SNMP.

2 Depure la configuración de SNMP o solucione los problemas del receptor.

a Si el receptor SNMP no recibe los traps, compruebe que el receptor SNMP se esté ejecutando en un puerto configurado.

b Compruebe la precisión de la información del receptor en la sección Configuración de SNMP (SNMP settings).

c Si el receptor SNMP deja de recibir un trap vmwHbHeartbeat con el OID 1.3.6.1.4.1.6876.4.190.0.401 cada cinco minutos, compruebe si el dispositivo NSX Manager o el agente SNMP de NSX Manager funcionan.

d Si el trap latido se detiene, compruebe si el servicio SNMP está deshabilitado o si la conectividad de red entre NSX Manager y el receptor SNMP funciona.

Editar los traps del sistemaEs posible editar un trap del sistema para aumentar o disminuir la gravedad y la habilitación de un trap para que dichos traps se envían a los receptores o bien se retienen.

Si el valor de la columna habilitada del trap del módulo, OID o SNMP aparece como --, significa que no se asignó a dichos eventos una OID de trap. Por lo tanto, no se enviará ningún trap para dichos eventos.

Un trap del sistema tiene varias columnas en las que se muestran distintos aspectos de un evento del sistema.


Código de evento Código de evento estático asociado a un evento.

Descripción Resumen que describe el evento.

Módulo Subcomponentes que activan un evento.

Gravedad El nivel de un evento puede ser informativo, bajo, medio, principal, crítico o alto.

De forma predeterminada, cuando se habilita el servicio SNMP, se envían los traps solo para los eventos de gravedad crítica y alta para resaltar los traps que necesitan atención inmediata.

OID de SNMP Representa la OID individual que se envía cuando ocurre un evento en el sistema.

La notificación del grupo está habilitada de forma predeterminada. Cuando las notificaciones del grupo están habilitadas, el evento o los traps que estén en este grupo muestran la OID del grupo al que el evento o el trap pertenecen.

Por ejemplo, la OID de la notificación de grupo clasificada en el grupo de la configuración tiene la OID 1.3.6.1.4.1.6876.90.1.2.0.1.0.1.


VMware, Inc. 439


Trap de SNMP habilitado

Muestra si el envío del trap para este evento está habilitado o no.

Es posible alternar el icono para activar de forma individual la habilitación de un trap o un evento. Cuando la notificación de grupo esté habilitada, no se puede alternar la habilitación del trap.

Filtrar Buscar términos para filtrar los traps del sistema.

Requisitos previos

Compruebe que la configuración de SNMP está disponible. Consulte Configurar los ajustes de SNMP.

Procedimiento


2 Seleccione Redes y seguridad > Inventario de redes y seguridad > NSX Managers (Networking & Security > Networking & Security Inventory > NSX Managers).

3 Seleccionar una dirección IP de NSX Manager.

4 Seleccione las pestañas Administrar > Eventos del sistema (Manage > System Events).

5 Seleccione un evento del sistema en la sección de Traps del sistema (System Traps).


No se puede editar la habilitación de un trap si la notificación de grupo está habilitada. Es posible cambiar la habilitación de traps que no pertenecen a un grupo.

7 Puede cambiar la gravedad del evento del sistema en el menú desplegable.

8 Si cambia la gravedad de informativo a crítico, active la casilla de verificación Habilitar como captura de SNMP (Enable as SNMP Trap).


10 (opcional) Haga clic en el icono Habilitar ( ) o el icono Deshabilitar ( ) en el encabezado para habilitar o deshabilitar el envío de un trap del sistema.

11 (opcional) Haga clic en el icono Copiar ( ) para copiar una o más filas de eventos en el portapapeles.

Configuración del sistema de administraciónPuede editar vCenter Server, el servidor NTP y DNS, y el servidor Lookup que especificó durante el primer inicio de sesión. NSX Manager necesita comunicación con vCenter Server y los servicios como DNS y NTP para brindar detalles sobre el inventario de VMware Infrastructure.

Iniciar sesión en el dispositivo virtual de NSX ManagerDespués de haber instalado y configurado la máquina virtual de NSX Manager, inicie sesión en el dispositivo virtual de NSX Manager para revisar la configuración especificada durante la instalación.


VMware, Inc. 440

Procedimiento

1 Abra una ventana del explorador web y escriba la dirección IP asignada a NSX Manager. Por ejemplo, https://192.168.110.42.

Se abre la interfaz de usuario de NSX Manager en una ventana del explorador web con SSL.

2 Acepte el certificado de seguridad.

Nota Puede utilizar un certificado SSL para la autenticación.

Aparece la pantalla de inicio de sesión de NSX Manager.

3 Inicie sesión en el dispositivo virtual de NSX Manager con el nombre de usuario admin y la contraseña que estableció durante la instalación.

4 Haga clic en Iniciar sesión (Log In).

Eventos del dispositivo virtual NSX Manager

Los siguientes eventos son específicos del dispositivo virtual de NSX Manager.

Tabla 22-2. Eventos del dispositivo virtual NSX Manager

Apagado Encendido Interfaz desactivada Interfaz activada

CLI local Ejecute el comando show log follow.

Ejecute el comando show log follow.



Interfaz gráfica de usuario

No corresponde No corresponde No corresponde No corresponde

Tabla 22-3. Eventos del dispositivo virtual NSX Manager

CPU Memoria Almacenamiento

CLI local Ejecute el comando show process monitor.

Ejecute el comando show system memory.

Ejecute el comando show filesystem.

Interfaz gráfica de usuario

No corresponde No corresponde No corresponde

Editar fecha y hora de NSX ManagerPuede cambiar el servidor NTP especificado durante el primer inicio de sesión.

Procedimiento

1 Inicie sesión en el dispositivo virtual de NSX Manager.

2 En Administración de dispositivos (Appliance Management), haga clic en Administrar configuración de dispositivos (Manage Appliance Settings).

3 Haga clic en Editar (Edit) junto a Configuración de hora (Time Settings).


VMware, Inc. 441



6 Reinicie NSX Manager.

Configurar un servidor syslog para NSX ManagerSi especifica un servidor syslog, NSX Manager envía todos los registros de auditoría y los eventos del sistema al servidor syslog.

Los datos de Syslog son útiles para solucionar problemas y revisar los datos registrados durante la instalación y la configuración.

NSX Edge es compatible con dos servidores syslog. NSX Manager y las instancias de NSX Controller son compatibles con un servidor syslog.

Procedimiento


En un explorador web, desplácese hasta la GUI del dispositivo NSX Manager en https://<nsx-manager-ip> o https://<nsx-manager-hostname> e inicie sesión como administrador con la contraseña que configuró al instalar NSX Manager.

2 En la página de inicio, haga clic en Administrar configuración de dispositivos (Manage Appliance Settings) > General (General).

3 Haga clic en Editar (Edit) junto a Servidor syslog (Syslog Server).

4 Escriba el nombre del host o la dirección IP, el puerto y el protocolo del servidor syslog.

Por ejemplo:


Resultados

Se habilita el registro remoto en NSX Manager y los registros se almacenan en el servidor syslog independiente.


VMware, Inc. 442

Cambiar la configuración de TLS y el modo FIPS en NSX ManagerAl habilitar el modo FIPS, toda comunicación segura con NSX Manager (entrante o saliente) utiliza algoritmos y protocolos criptográficos permitidos por los estándares Federal Information Processing Standards (FIPS) de los Estados Unidos.

n En un entorno Cross-vCenter NSX, debe habilitar el modo FIPS en cada NSX Manager por separado.

n Si un NSX Manager no está configurado para FIPS, aún debe asegurarse de que utiliza un método de comunicación segura que cumpla los estándares FIPS.

n Los NSX Manager principales y secundarios deben tener la misma versión TLS de sincronización universal para que funcionen correctamente.

Importante Si se cambia el modo FIPS, se reiniciará el dispositivo virtual de NSX Manager.

Requisitos previos

n Verifique que todas las soluciones de los partners tengan un certificado para el modo FIPS. Consulte la Guía de compatibilidad de VMware en http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security.

n Si actualizó desde una versión anterior de NSX, no habilite el modo FIPS hasta que se complete la actualización a NSX 6.3.0. Consulte más información sobre el modo FIPS y la actualización de NSX en la Guía de actualización de NSX.

n Verifique que NSX Manager tenga NSX 6.3.0 o una versión posterior.

n Verifique que el clúster de NSX Controller tenga NSX 6.3.0 o una versión posterior.

n Verifique que todos los clústeres de host que ejecuten cargas de trabajo de NSX estén preparados con NSX 6.3.0 o una versión posterior.

n Verifique que todos los dispositivos de NSX Edge tengan la versión 6.3.0 o una posterior, y que el modo FIPS se haya habilitado en los dispositivos NSX Edge necesarios. Consulte Cambiar el modo FIPS en NSX Edge.

Procedimiento



3 En el panel Configuración (Settings), haga clic en General.


VMware, Inc. 443



4 Haga clic en Editar (Edit), que se encuentra junto a Configuración del modo FIPS y TLS (FIPS Mode and TLS settings).

5 Para habilitar el modo FIPS, seleccione la casilla Habilitar modo FIPS (Enable FIPS Mode).

6 Para Servidor (Server) y Cliente (Client), seleccione las casillas de la versión de protocolo TLS requerida.

Nota Si el modo FIPS está habilitado, NSX Manager deshabilita los protocolos TLS que no son compatibles con los estándares FIPS.


El dispositivo de NSX Manager se reinicia y el modo FIPS se habilita.

Editar servidores DNSPuede cambiar los servidores DNS especificados durante la instalación de Manager.

Procedimiento



3 En el panel Configuración (Settings), haga clic en Red (Network).

4 Haga clic en Editar (Edit) junto a Servidores DNS (DNS Servers).



Editar detalles de Lookup ServiceEs posible cambiar los detalles de Lookup Service especificados durante el primer inicio de sesión.

Procedimiento



VMware, Inc. 444


3 En el panel Configuración (Settings), haga clic en Servicio de administración de NSX (NSX Management Service).

4 Haga clic en Editar (Edit) junto a Lookup Service.



Editar vCenter ServerPuede cambiar la instancia de vCenter Server con la cual registró NSX Manager durante la instalación. Debe hacerlo únicamente si cambia la dirección IP de la instancia actual de vCenter Server.

Procedimiento

1 Si inició sesión en vSphere Web Client, cierre la sesión.



4 En el panel Configuración (Settings), haga clic en Servicio de administración de NSX (NSX Management Service).

5 Haga clic en Editar (Edit) junto a vCenter Server.



Descargar registros de soporte técnico para NSXEs posible descargar los registros del sistema NSX Manager y de Web Manager en el escritorio.

Procedimiento



3 Haga clic en y, a continuación, en Descargar registro de soporte técnico (Download Tech Support Log).

4 Haga clic en Descargar (Download).

5 Una vez listo el registro, haga clic en Guardar (Save) para descargar el registro en el escritorio.

Se comprime el registro y tiene la extensión de archivo .gz.


VMware, Inc. 445

Pasos siguientes

Puede abrir el registro con una utilidad de descompresión; para ello, busque Todos los archivos (All Files) en el directorio en el que guardó el archivo.

Certificación SSL de NSX ManagerNSX Manager requiere un certificado firmado para autenticar la identidad del servicio web de NSX Manager y para cifrar la información que se envía al servidor web de NSX Manager. El proceso implica generar una solicitud de firma de certificado (CSR), hacerla firmar por una entidad de certificación e importar el certificado SSL firmado en NSX Manager. La práctica recomendada de seguridad indica utilizar la opción de generación de certificados para generar una clave pública y una clave privada; esta última se guarda en NSX Manager.

Para obtener un certificado de NSX Manager, puede utilizar el generador de CSR integrado de NSX Manager u otra herramienta, como OpenSSL.

La CSR generada mediante el generador de CSR integrado de NSX Manager no puede contener atributos extendidos, como un nombre alternativo de sujeto (SAN). Si desea incluir atributos extendidos, debe utilizar otra herramienta para generar las CSR. Si utiliza otra herramienta, como OpenSSL, para generar la CSR, el proceso implicará 1) generar la CSR, 2) hacerla firmar y 3) seguir con la sección Convertir el archivo de certificado de NSX Manager a formato PKCS 12.

Utilizar el generador de CSR integradoUn método para obtener los certificados SSL en NSX Manager es utilizar el generador de CSR integrado.

Este método es limitado, ya que la solicitud CSR no puede contener atributos extendidos, como un nombre alternativo de sujeto (SAN). Si desea incluir atributos extendidos, deberá utilizar otra herramienta para generar las solicitudes CSR. Si está utilizando otra herramienta para generar solicitudes CSR, omita este procedimiento.

Procedimiento


2 Haga clic en Manage Appliance Settings (Administrar configuración de dispositivo).

3 En el panel Configuración (Settings), haga clic en Certificados SSL (SSL Certificates).

4 Haga clic en Generar CSR (Generate CSR).


VMware, Inc. 446

5 Complete el formulario llenando los siguientes campos:

Opción Acción

Tamaño de clave (Key Size) Seleccione la longitud de clave utilizada en el algoritmo seleccionado.

Nombre común (Common Name) Escriba la dirección IP o el nombre de dominio completo (Fully Qualified Domain Name, FQDN) de NSX Manager. VMware recomienda introducir el FQDN.

Unidad de organización (Organization Unit)

Introduzca el departamento de la empresa que está solicitando el certificado.

Nombre de organización (Organization Name)

Introduzca la razón social completa de la empresa.

Nombre de la ciudad (City Name) Introduzca el nombre completo de la ciudad donde está ubicada la empresa.

Nombre del estado (State Name) Introduzca el nombre completo del estado donde está ubicada la empresa.

Código de país (Country Code) Introduzca el código de dos dígitos que representa al país. Por ejemplo, para EE. UU. es US.


7 Envíe la solicitud CSR a la entidad de certificación para que la firme.

a Para descargar la solicitud generada, haga clic en Descargar CSR (Download CSR).

Mediante este método, la clave privada nunca sale de NSX Manager.

b Envíe la solicitud a la entidad de certificación.

c Obtenga el certificado firmado, así como los certificados de una entidad de certificación raíz o intermedia en formato PEM.

d Para convertir los certificados con formato CER/DER en formato PEM, utilice el siguiente comando OpenSSL:

openssl x509 -inform der -in Cert.cer -out 4-nsx_signed.pem

e Concatene todos los certificados (de servidor, intermediarios y raíz) en un archivo de texto.

f En la interfaz de usuario de NSX Manager, haga clic en Importar (Import) y desplácese hasta el archivo de texto con todos los certificados.

g Una vez que la importación se haya realizado correctamente, el certificado de servidor y todos los certificados de la entidad de certificación aparecerán en la página Certificados de SSL (SSL Certificates).

Pasos siguientes

Importe el certificado SSL firmado en NSX Manager.

Convertir el archivo de certificado de NSX Manager a formato PKCS 12Si utilizó otra herramienta, como OpenSSL, para crear el certificado de NSX Manager, asegúrese de que el certificado y la clave privada tengan el formato PKCS 12. Si el certificado de NSX Manager y la clave


VMware, Inc. 447

privada no tienen el formato PKCS 12, deberá convertirlos a PKCS 12 y, a continuación, importar el archivo de certificado PKCS 12 a NSX Manager.

Requisitos previos

n Compruebe que OpenSSL esté instalado en el sistema. Puede descargar openssl desde http://www.openssl.org.

n Genere un par de claves pública y privada. Por ejemplo, ejecute el siguiente comando de OpenSSL:

openssl req -x509 -days [number of days] -newkey rsa:2048 -keyout my-key.pem -out my-cert.pem

Procedimiento

u Después de recibir el certificado firmado por un firmante autorizado, ejecute un comando de OpenSSL para generar un archivo de almacén de claves PKCS 12 (.pfx o .p12) desde el archivo de certificado público y su clave privada.

Por ejemplo:

openssl pkcs12 -export -in my-cert.pem -inkey my-key.pem -out nsx-manager.p12

Donde:

n my-cert.pem es el certificado firmado.

n my-key.pem es la clave privada.

n nsx-manager.p12 es el nombre del archivo de salida generado después de la conversión al formato PKCS 12.

Pasos siguientes

Importe el archivo de certificado PKCS 12 a NSX Manager.

Importar un certificado SSLPuede importar un certificado SSL preexistente o firmado por la entidad de certificación para que lo utilice NSX Manager.

Requisitos previos

Cuando instale un certificado en NSX Manager, solo se admite el formato de almacén de claves PKCS#12, y debe contener una sola clave privada y su correspondiente certificado o cadena de certificados firmados.

Procedimiento


2 Haga clic en Manage Appliance Settings (Administrar configuración de dispositivo).

3 En el panel Configuración (Settings), haga clic en Certificados SSL (SSL Certificates).


VMware, Inc. 448

http://www.openssl.org

http://www.openssl.org

4 Haga clic en Cargar almacén de claves PKCS#12 (Upload PKCS#12 Keystore).

5 Haga clic en Elegir archivo (Choose File) para ubicar el archivo.

6 Haga clic en Importar (Import).

7 Para aplicar el certificado, reinicie el dispositivo NSX Manager.

Resultados

El certificado se almacena en NSX Manager.

Copia de seguridad y restauración de NSXRealizar copias de seguridad apropiadas de todos los componentes de NSX es crucial para restaurar el sistema a su estado funcional en caso de errores.

La copia de seguridad de NSX Manager contiene toda la configuración de vShield, incluidas las controladoras, la conmutación lógica, las entidades en red, la seguridad, las reglas de firewall y todo lo que configure dentro de la UPI o la API de NSX Manager. Se debe realizar una copia de seguridad por separado de la base de datos de vCenter y los elementos relacionados como por ejemplo, los conmutadores virtuales.

Como mínimo, recomendamos realizar copias de seguridad regulares de NSX Manager y vCenter. La frecuencia y la programación de las copias de seguridad pueden variar según las necesidades comerciales y los procedimientos operativos. Recomendamos realizar copias de seguridad de NSX con frecuencia en momentos de cambios de configuración continuos.

Las copias de seguridad de NSX Manager pueden realizarse a petición o por hora, por día o por semana.

Recomendamos realizar copias de seguridad en las siguientes situaciones:

n Antes de una actualización de NSX o vCenter.

n Después de una actualización de NSX o vCenter.

n Después de una implementación desde cero y de la configuración inicial de componentes de NSX. Por ejemplo, después de crear controladoras NSX Controller, conmutadores lógicos, enrutadores lógicos, puertas de enlace de servicios Edge y directivas de seguridad y firewall.

n Después de cambios de infraestructura o topología.

n Después de cualquier cambio importante de día 2.


VMware, Inc. 449

Para proporcionar el estado de todo un sistema al que se pueda revertir en un momento determinado, se recomiendan sincronizar las copias de seguridad de los componentes de NSX (por ejemplo, NSX Manager) con la programación de copias de seguridad de otros componentes con los que exista interacción, como vCenter, sistemas de administración en la nube, herramientas operativas, etc.

Copia de seguridad y restauración de NSX ManagerLa copia de seguridad y la restauración de NSX Manager pueden configurarse desde la interfaz web del dispositivo virtual de NSX Manager o a través de la API de NSX Manager Las copias de seguridad pueden programarse por hora, por día o por semana.

El archivo de copia de seguridad se guarda en una ubicación de FTP o SFTP remota a la que tenga acceso NSX Manager. Los datos de NSX Manager incluyen tablas de configuración, eventos y registros de auditoría. Las tablas de configuración se incluyen en todas las copias de seguridad.

La restauración solo se admite en la misma versión de NSX Manager que la versión de la copia de seguridad. Por este motivo, es importante crear un archivo de copia de seguridad antes y después de actualizar NSX: una para la versión anterior de la copia de seguridad y otra para la nueva.

Hacer copias de seguridad de los datos de NSX ManagerPara hacer copias de seguridad de los datos de NSX Manager, puede hacer una copia de seguridad a petición o una copia de seguridad programada.

Procedimiento


2 Haga clic en Copia de seguridad y restauración (Backup & Restore).

3 Para especificar la ubicación de la copia de seguridad, haga clic en Cambiar (Change), junto a Configuración de servidor FTP (FTP Server Settings).

a Introduzca la dirección IP o el nombre de host del sistema de copia de seguridad.

b En el menú desplegable Protocolo de transferencia (Transfer Protocol), seleccione SFTP o FTP, según lo que admita el destino.

c Si es necesario, edite el puerto predeterminado.

d Introduzca el nombre de usuario y la contraseña requeridos para iniciar sesión en el sistema de copia de seguridad.


VMware, Inc. 450

e En el cuadro de texto Directorio de copia de seguridad (Backup Directory), introduzca la ruta absoluta en la que se deben almacenar las copias de seguridad.

Nota Si no indica un directorio de copia de seguridad, esta se almacenará en el directorio predeterminado (directorio principal) del servidor FTP.

Para determinar la ruta de acceso absoluta, inicie sesión en el servidor FTP, desplácese hasta el directorio que desea utilizar y ejecute el comando del directorio actualmente en funcionamiento (pwd). Por ejemplo:

PS C:\Users\Administrator> ftp 192.168.110.60

Connected to 192.168.110.60.

220 server-nfs FTP server ready.

User (192.168.110.60:(none)): admin

331 Password required for admin.

Password:

230 User admin logged in.

ftp> ls

200 PORT command successful.

150 Opening BINARY mode data connection for 'file list'.

datastore-01

226 Transfer complete.

ftp: 22 bytes received in 0.00Seconds 22000.00Kbytes/sec.

ftp> cd datastore-01

250 CWD command successful.

ftp> pwd

257 "/datastore-01" is current directory.

f Introduzca una cadena de texto en Prefijo del nombre de archivo (Filename Prefix).

Este texto se antepondrá a cada nombre de archivo de copia de seguridad para que pueda identificar fácilmente el archivo en el sistema de copia de seguridad. Por ejemplo, si introduce ppdb, la copia de seguridad resultante se denominará ppdbHH_MM_SS_AAAA_Mes_Día.

Nota Los archivos del Directorio de copia de seguridad (Backup Directory) se deben limitar a 100. Si el número de archivos del directorio supera este límite, se mostrará un mensaje de advertencia.

g Introduzca una frase de contraseña para proteger la copia de seguridad.

Se necesita esta información para restaurar la copia de seguridad.


Por ejemplo:

Opción Ejemplo

Nombre de host/IP 192.168.110.60

Protocolo de transferencia FTP

Puerto 21


VMware, Inc. 451

Opción Ejemplo

Nombre de usuario (User name) administrador

Contraseña (Password) *****

Directorio de copia de seguridad (Backup Directory) /datastore-01

Prefijo de nombre de archivo (Filename Prefix) nsxmgr-copiadeseguridad

Frase de contraseña (Pass Phrase) *****

4 En el caso de una copia de seguridad a petición, haga clic en Copia de seguridad (Backup).

Se agrega un archivo nuevo en Historial de copias de seguridad (Backup History).

5 (Requerido) En el caso de una copia de seguridad programada, haga clic en Cambiar (Change), junto a Programación (Scheduling).

a En el menú desplegable Frecuencia de copia de seguridad (Backup Frequency), seleccione Por hora (Hourly), Por día (Daily) o Por semana (Weekly). Los menús desplegables Día de la semana (Day of Week), Hora del día (Hour of Day) y Minuto (Minute) se deshabilitan según la frecuencia seleccionada. Por ejemplo, si selecciona Por día (Daily), se deshabilitará el menú desplegable Día de la semana (Day of Week), ya que este menú desplegable no se puede aplicar a una frecuencia diaria.

b Para las copias de seguridad por semana, seleccione el día de la semana en que debe realizarse una copia de seguridad de los datos.

c Para las copias de seguridad por semana o por día, seleccione la hora en que debe iniciarse la copia de seguridad.

d Seleccione el minuto en que desea comenzar y haga clic en Programar (Schedule).

Opción Ejemplo

Frecuencia de copia de seguridad (Backup Frequency) Por semana (Weekly)

Día de la semana (Day of week) Viernes (Friday)

Hora del día (Hour of day) 15

Minutos (Minute) 45

6 Para excluir datos de registros y flujos de la copia de seguridad, haga clic en Cambiar (Change), junto a Excluir (Exclude).

a Seleccione los elementos que desea excluir de la copia de seguridad.


7 Guarde la dirección IP o el nombre del host, las credenciales, los detalles de directorio y la frase de contraseña del servidor FTP. Se necesita esta información para restaurar la copia de seguridad.

Restaurar una copia de seguridad de NSX ManagerLa restauración de NSX Manager provoca que se cargue un archivo de copia de seguridad en un dispositivo NSX Manager. El archivo de copia de seguridad debe guardarse en una ubicación de FTP o


VMware, Inc. 452

SFTP remota a la que tenga acceso NSX Manager. Los datos de NSX Manager incluyen tablas de configuración, de eventos y de registros de auditoría.

Importante Haga una copia de seguridad de los datos actuales antes de restaurar un archivo de copia de seguridad.

Requisitos previos

Antes de restaurar los datos de NSX Manager, se recomienda volver a instalar el dispositivo NSX Manager. Ejecutar la operación de restauración en un dispositivo NSX Manager existente también podría ser efectivo, pero no se admite. Se da por sentado que el dispositivo NSX Manager existente posee errores y, en consecuencia, se implementa un nuevo dispositivo NSX Manager.

La práctica recomendada consiste en anotar la configuración actual del dispositivo NSX Manager antiguo para utilizarla en el momento de especificar la información relativa a la dirección IP y a la ubicación de las copias de seguridad del dispositivo NSX Manager recientemente implementado.

Procedimiento

1 Anote toda la configuración del dispositivo NSX Manager existente. Asimismo, anote la configuración del servidor FTP.

2 Implemente un nuevo dispositivo NSX Manager.

La versión debe ser igual a la del dispositivo NSX Manager de la copia de seguridad.

3 Inicie sesión en el dispositivo NSX Manager nuevo.

4 En Administración de dispositivos (Appliance Management), haga clic en Copias de seguridad y restauración (Backups & Restore).

5 En Configuración del servidor FTP (FTP Server Settings), haga clic en Cambiar (Change) y agregue la configuración del servidor FTP.

En los campos Dirección IP de host (Host IP Address), Nombre de usuario (User Name), Contraseña (Password), Directorio de copia de seguridad (Backup Directory), Prefijo de nombre de archivo (Filename Prefix) y Frase de contraseña (Pass Phrase) en la pantalla Ubicación de copia de seguridad (Backup Location) se debe poder identificar la ubicación de la copia de seguridad que se desea restaurar.

La sección Historial de copias de seguridad (Backup History) muestra la carpeta para las copias de seguridad.

Nota Si la carpeta de copias de seguridad no aparece en la sección Historial de copias de seguridad, compruebe la configuración del servidor FTP. Compruebe si puede conectarse al servidor FTP y ver la carpeta de copias de seguridad.

6 En la sección Historial de copias de seguridad, seleccione la carpeta de copias de seguridad requerida que desea restaurar y haga clic en Restaurar (Restore).

Comienza el proceso de restauración de los datos de NSX Manager.


VMware, Inc. 453

Resultados

La configuración de NSX se restaura a NSX Manager.

Precaución Después de restaurar una copia de seguridad de NSX Manager, es posible que tenga que tomar medidas adicionales para garantizar el funcionamiento correcto de los dispositivos NSX Edge y de los conmutadores lógicos. Consulte Restaurar los NSX Edge y Solucionar errores de sincronización en conmutadores lógicos.

Restaurar los NSX EdgeSe hacen copias de seguridad de todas las configuraciones de NSX Edge (enrutadores lógicos y puertas de enlace de servicios Edge) como parte de las copias de seguridad de datos de NSX Manager.

No se admite la realización de copias de seguridad individuales de NSX Edge.


VMware, Inc. 454

Si tiene una configuración de NSX Manager intacta, puede volver a crear una máquina virtual de dispositivo Edge inaccesible o con errores volviendo a implementar NSX Edge (haga clic en Volver a

implementar NSX Edge [Redeploy NSX Edge] [ ] en vSphere Web Client). Consulte "Volver a implementar NSX Edge" en la Guía de administración de NSX.


VMware, Inc. 455

Precaución Después de restaurar una copia de seguridad de NSX Manager, es posible que tenga que tomar medidas adicionales para garantizar el funcionamiento correcto de los dispositivos NSX Edge.

n Los dispositivos de Edge que se crearon después de la última copia de seguridad no se eliminan durante la restauración. Debe eliminar la máquina virtual manualmente.

n Los dispositivos de Edge que se eliminaron después de la última copia de seguridad no se restauran a menos que se vuelvan a implementar.

n Si no existen ni las ubicaciones configuradas ni las actuales de un dispositivo NSX Edge almacenadas en la copia de seguridad cuando se restaura la copia de seguridad, se producirán errores en operaciones como la reimplementación, la migración, la habilitación o la deshabilitación de HA. Debe editar la configuración del dispositivo y proporcionar información de ubicación válida. Utilice PUT /api/4.0/edges/{edgeId}/appliances para editar la configuración de ubicación del dispositivo (resourcePoolId, datastoreId, hostId y vmFolderId según sea necesario). Consulte "Trabajar con la configuración del dispositivo NSX Edge" en la Guía de NSX API.

Si se produjo alguno de los siguientes cambios desde la última copia de seguridad de NSX Manager, la configuración restaurada de NSX Manager y la configuración presente en el dispositivo NSX Edge serán diferentes. Debe Forzar sincronización (Force Sync) de NSX Edge para revertir estos cambios en el dispositivo y asegurar que NSX Edge funcione correctamente. Consulte "Forzar sincronización de NSX Edge con NSX Manager" en la Guía de administración de NSX.

n Cambios realizados a través de Distributed Firewall en preRules del firewall de NSX Edge.

n Cambios en la pertenencia de los objetos de grupo.

Si se produjo alguno de los siguientes cambios desde la última copia de seguridad de NSX Manager, la configuración restaurada de NSX Manager y la configuración presente en el dispositivo NSX Edge serán diferentes. Debe Volver a implementar (Redeploy) NSX Edge para revertir los cambios en el dispositivo y asegurar que NSX Edge funcione correctamente. Consulte "Volver a implementar NSX Edge" en la Guía de administración de NSX.

n Cambios en la configuración del dispositivo de Edge:

n HA habilitado o deshabilitado

n dispositivo que pasó de estado implementado a sin implementar

n dispositivo que pasó de estado sin implementar a implementado

n configuración de reserva de recursos cambiada

n Cambios en la configuración de vNic del dispositivo de Edge:

n agregar, quitar o desconectar vNic

n grupos de puertos

n puertos troncales

n parámetros de contención

n directiva de catalogación


VMware, Inc. 456

Solucionar errores de sincronización en conmutadores lógicosSi se producen cambios en los conmutadores lógicos entre la realización de una copia de seguridad de NSX Manager y la restauración de la misma, es posible que estos conmutadores no se sincronicen correctamente.

Procedimiento


2 Vaya a Redes y seguridad > Conmutadores lógicos (Networking & Security > Logical Switches).

3 Si esto es así, haga clic en el vínculo No sincronizado (Out of sync) de la columna Estado (Status) para mostrar información detallada de los errores.

4 Haga clic en Resolver (Resolve) para volver a crear los grupos de puertos de respaldo que faltan para el conmutador lógico.

Hacer copias de seguridad de conmutadores distribuidos de vSpherePuede exportar la configuración de un conmutador distribuido de vSphere y de un grupo de puertos distribuidos a un archivo.

El archivo conserva los valores de red válidos, lo que permite la distribución de estos valores a otras implementaciones.

La configuración de conmutador distribuido de vSphere y la configuración del grupo de puertos se incluyen en la importación.

La práctica recomendada consiste en exportar la configuración de conmutador distribuido de vSphere antes de preparar el clúster para VXLAN. Para obtener instrucciones detalladas, consulte http://kb.vmware.com/kb/2034602.

Hacer una copia de seguridad de vCenterPara proteger la implementación de NSX, es importante hacer una copia de seguridad de la base de datos de vCenter y crear instantáneas de las máquinas virtuales.

Consulte la documentación de su versión de vCenter para conocer los procedimientos y las prácticas recomendadas de copias de seguridad y restauraciones de vCenter.

Para las instantáneas de máquinas virtuales, consulte http://kb.vmware.com/kb/1015180.

Vínculos útiles para vCenter 5.5:

n http://kb.vmware.com/kb/2057353


n http://www.vmware.com/files/pdf/techpaper/vmware-vcenter-server-availability-guide.pdf


VMware, Inc. 457






http://www.vmware.com/files/pdf/techpaper/vmware-vcenter-server-availability-guide.pdf

Vínculos útiles para vCenter 6.0:

n https://pubs.vmware.com/vsphere-60/topic/com.vmware.vsphere.install.doc/GUID-539B47B4-114B-49BC-9736-F14058127ECA.html


Flow MonitoringFlow monitoring es una herramienta de análisis de tráfico que proporciona una vista detallada del tráfico hacia y desde las máquinas virtuales protegidas. Cuando la opción Flow monitoring está habilitada, el resultado define qué máquinas están intercambiando datos y por medio de qué aplicación. Estos datos incluyen la cantidad de sesiones y los paquetes que se transmiten por sesión. Los detalles de la sesión incluyen los orígenes, los destinos, las aplicaciones y los puertos que se están utilizando. Los detalles de la sesión pueden utilizarse para crear un firewall para permitir o bloquear reglas.

Puede ver los datos de flujo de varios tipos de protocolo diferentes, incluidos TCP, UDP, ARP, ICMP, etc. Puede supervisar en tiempo real las conexiones TCP y UDP desde y hacia una vNIC seleccionada. También puede excluir flujos por medio de la especificación de filtros.

Por lo tanto, Flow monitoring puede utilizarse como una herramienta forense para detectar servicios maliciosos y examinar sesiones salientes.

Ver datos de Flow MonitoringPuede ver las sesiones de tráfico de las máquinas virtuales en un período determinado. De forma predeterminada se muestran los datos de las últimas 24 horas; el período mínimo es una hora y el máximo es dos semanas.

Requisitos previos

Los datos de Flow Monitoring solo están disponibles en las máquinas virtuales de clústeres que tienen instalados componentes de virtualización de red y un firewall habilitado. Consulte la Guía de instalación de NSX.

Procedimiento


2 Seleccione Redes y seguridad (Networking & Security) en el panel de navegación izquierdo y, a continuación, seleccione Flow Monitoring.

3 Asegúrese de estar en la pestaña Panel (Dashboard).


VMware, Inc. 458

https://pubs.vmware.com/vsphere-60/topic/com.vmware.vsphere.install.doc/GUID-539B47B4-114B-49BC-9736-F14058127ECA.html

https://pubs.vmware.com/vsphere-60/topic/com.vmware.vsphere.install.doc/GUID-539B47B4-114B-49BC-9736-F14058127ECA.html


4 Haga clic en Flow Monitoring.

La página puede tardar varios segundos en cargarse. La parte superior de la página muestra el porcentaje de tráfico permitido, el tráfico bloqueado por reglas de firewall y el tráfico bloqueado por SpoofGuard. El gráfico de varias líneas muestra el flujo de datos de cada servicio del entorno. Cuando se señala un servicio en el área de leyendas, el trazado de ese servicio aparece resaltado.

Las estadísticas de tráfico se muestran en tres pestañas:

n Flujos principales (Top Flows) muestra el tráfico total entrante y saliente por cada servicio en el período especificado, en función del valor total de bytes (y no de sesiones/paquetes). Se muestran los principales cinco servicios. Los flujos bloqueados no se tienen en cuenta para calcular los flujos principales.

n Destinos principales (Top Destinations) muestra el tráfico entrante por cada destino en el período especificado. Se muestran los principales cinco destinos.

n Orígenes principales (Top Sources) muestra el tráfico saliente por cada origen en el período especificado. Se muestran los principales cinco orígenes.

5 Haga clic en la pestaña Detalles por servicio (Details by Service).

Se muestran los detalles de todo el tráfico relacionado con el servicio seleccionado. La pestaña Flujos permitidos (Allowed Flows) muestra las sesiones de tráfico permitido y la pestaña Flujos bloqueados (Blocked Flows) muestra el tráfico bloqueado.


VMware, Inc. 459

Puede buscar por los nombres del servicio.

6 Haga clic en un elemento de la tabla para ver las reglas que permitieron o bloquearon el flujo de tráfico.

7 Haga clic en Identificador de regla (Rule Id) para mostrar los detalles de la regla.

Cambiar el intervalo de fechas de los gráficos de Flow MonitoringEs posible cambiar el intervalo de fechas de los datos de Flow Monitoring en las pestañas Panel (Dashboard) y Detalles (Details).

Procedimiento



3 Haga clic en junto a Intervalo de tiempo (Time interval).

4 Seleccione un período o introduzca fechas de inicio y de finalización nuevas.

El alcance máximo de la vista con los datos de Flow Monitoring es dos semanas atrás.



VMware, Inc. 460

Agregar o editar una regla de firewall desde el informe de Flow MonitoringAl explorar en profundidad los datos de tráfico, es posible evaluar el uso de los recursos y enviar información sobre la sesión a Distributed Firewall con el fin de crear una nueva regla de permiso o bloqueo en cualquier nivel.

Procedimiento



3 Haga clic en la pestaña Detalles por servicio (Details by Service).

4 Haga clic en un servicio para ver el flujo de tráfico para ese servicio.

Según la pestaña seleccionada, se mostrarán las reglas por las que se permitió o se denegó el tráfico en este servicio.

5 Haga clic en el identificador de una regla para ver los detalles de la regla.

6 Realice una de las siguientes acciones:

n Para editar una regla:

1 Haga clic en Editar regla (Edit Rule) en la columna Acciones (Actions).

2 Cambie el nombre, la acción o los comentarios para la regla.


n Para agregar una regla:

1 Haga clic en Agregar regla (Add Rule) en la columna Acciones (Actions).

2 Complete el formulario para agregar una regla. Para obtener información sobre la manera de completar el formulario de reglas de firewall, consulte Agregar una regla de firewall distribuido.


La regla se agregará a la parte superior de la sección de reglas de firewall.

Ver flujo en tiempo realPuede ver las conexiones de UDP y TCP con una vNIC seleccionada. Para ver el tráfico que circula entre dos máquinas virtuales, puede ver el tráfico directo de una máquina virtual en un equipo y la otra máquina en un segundo equipo. Puede ver el tráfico de dos vNIC por host y de cinco vNIC por infraestructura, como máximo.

La visualización de flujos directos puede afectar el rendimiento de NSX Manager y de la correspondiente máquina virtual.


VMware, Inc. 461

Procedimiento



3 Haga clic en la pestaña Flujo directo (Live Flow).

4 Haga clic en Explorar (Browse) y seleccione una vNIC.

5 Haga clic en Inicio (Start) para empezar a ver el flujo directo.

La página se actualizará cada cinco segundos. Puede seleccionar otra frecuencia desde el menú desplegable Velocidad de actualización (Refresh Rate).

6 Haga clic en Detener (Stop) cuando termine la depuración o la solución de problemas a fin de evitar que se afecte el rendimiento de NSX Manager o de la máquina virtual seleccionada.

Configurar recopilación de datos de Flow MonitoringDespués de ver y filtrar los datos de Flow Monitoring que se desean recopilar, es posible configurar la recopilación de datos. Para filtrar los datos que se muestran, se puede especificar un criterio de exclusión. Por ejemplo, es posible que se desee excluir un servidor proxy para evitar ver flujos duplicados. O bien al ejecutar una exploración Nessus en las máquinas virtuales de un inventario, es posible evitar que se recopilen los flujos de exploración. Se puede configurar IPFix de modo que la información de flujos específicos se exporte directamente de un firewall a un recopilador de flujos. Los gráficos de Flow Monitoring no incluyen los flujos de IPFix. Esos flujos se muestran en la interfaz del recopilador de IPFix.

Procedimiento



3 Seleccione la pestaña Configuración (Configuration).

4 Asegúrese de que la opción Estado de la recopilación global de flujos (Global Flow Collection Status) se encuentre Habilitada (Enabled).

Se recopilarán todos los flujos relacionados con el firewall en el inventario, excepto los objetos especificados en Configuración de exclusión (Exclusion Settings).


VMware, Inc. 462

5 Para especificar criterios de filtrado, haga clic en Exclusión de flujos (Flow Exclusion) y siga los pasos a continuación.

a Haga clic en la pestaña correspondiente a los flujos que desea excluir.

b Especifique la información obligatoria.

Si seleccionó Especifique esta información

Recopilar flujos bloqueados (Collect Blocked Flows)

Seleccione No para excluir los flujos bloqueados.

Recopilar flujos de Capa 2 (Collect Layer2 Flows)

Seleccione No para excluir los flujos de la Capa 2.

Origen (Source) No se recopilarán los flujos para los orígenes especificados.


2 En Ver (View), seleccione el contenedor apropiado.

3 Seleccione los objetos que desea excluir.

Destino (Destination) No se recopilarán los flujos para los destinos especificados.


2 En Ver (View), seleccione el contenedor apropiado.

3 Seleccione los objetos que desea excluir.

Puertos de destino (Destination ports)

Se excluirán los flujos a los puertos especificados.

Escriba los números de los puertos que desea excluir.

Servicio (Service) Se excluirán los flujos para los servicios y los grupos de servicios especificados.


2 Seleccione los servicios o los grupos de servicios apropiados.

c Haga clic en Guardar (Save).


VMware, Inc. 463

6 Para configurar la recopilación de flujos, haga clic en IPFix y siga los pasos descritos en IPFIX para Distributed Firewall.


Configurar IPFIXIPFIX (Internet Protocol Flow Information Export) es un protocolo IETF que define el estándar de la exportación de información de flujos desde un dispositivo final hasta un sistema de supervisión. NSX admite IPFIX para exportar la información de flujos IP a un recopilador.

Puede habilitar IPFIX en:

n vSphere Distributed Switch (VDS)

n Distributed Firewall (DFW)

En el entorno de vSphere, vSphere Distributed Switch es el exportador, mientras que el recopilador es cualquier herramienta de supervisión disponible de cualquier proveedor de red.

El estándar IPFIX especifica cómo se presenta y se transfiere la información de flujos IP desde un exportador hasta un recopilador.

Después de habilitar IPFIX en vSphere Distributed Switch, este enviará periódicamente los mensajes a la herramienta de recopilación. El contenido de estos mensajes se define mediante las plantillas. Para obtener más información sobre las plantillas, consulte Plantillas IPFIX.

IPFIX para Distributed FirewallPuede habilitar IPFIX en un firewall distribuido. Distributed Firewall implementa un seguimiento de los flujos mediante su estado, es decir, que los flujos pasan por una serie de cambios de estado. IPFIX se puede usar para exportar datos sobre el estado de un flujo. Se indican los siguientes eventos de los flujos: creación, denegación, actualización y anulación.


VMware, Inc. 464

Conmutador lógico (Logical Switch)

Virtual (superposición)

Físico (subyacente)

Recopilador de flujos

RedTOR1

IPFIX (DFW)Túnel superpuesto

TOR4TOR2 TOR3

HV1/vSwitch HV2/vSwitch

Para habilitar una exportación de flujo para IPFIX en un firewall distribuido, siga estos pasos:


2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Herramientas (Tools), haga clic en Flow Monitoring.

3 Seleccione la pestaña Configuración (Configuration).

4 Asegúrese de que la opción Estado de la recopilación global de flujos (Global Flow Collection Status) se encuentre Habilitada (Enabled).

5 Para configurar la recopilación de flujos, haga clic en IPFix y siga los pasos anteriores.

a Haga clic en la opción Editar (Edit) junto a Configuración de IPFix (IPFix Configuration) y seleccione Habilitar configuración de IPFix (Enable IPFix Configuration).

b En Identificador de dominio de observación (Observation DomainID), introduzca un identificador de 32 bits con el cual el recopilador de flujos identifique al exportador del firewall. El intervalo válido es de 0 a 65535.

c En Tiempo de espera de exportación de flujos activos (Active Flow Export Timeout), introduzca el tiempo (en minutos) después del cual se exportarán los flujos activos al recopilador de flujos. El valor predeterminado es cinco. Por ejemplo, si el flujo permanece activo por 30 minutos y el tiempo de espera de exportación es cinco minutos, el flujo se exportará siete veces durante su vida útil. Una para cada creación y eliminación y cinco veces durante el periodo activo.


VMware, Inc. 465

d En IP de recopilador (Collector IPs), haga clic en el icono Agregar (Add) e introduzca la dirección IP y el puerto UDP del recopilador de flujos. Consulte la documentación del recopilador de NetFlow para determinar el número de puerto.



IPFIX de conmutador lógicoPuede habilitar IPFIX en vSphere Distributed Switch.

Conmutador lógico (Logical Switch)

Virtual (superposición)

Físico (subyacente)

Recopilador de flujos

RedTOR1

IPFIX (vNic)

Túnel superpuesto

TOR4TOR2 TOR3

HV1/vSwitch HV2/vSwitch

IPFIX (pNic)

Para habilitar IPFIX en un conmutador lógico, siga estos pasos:

1 Configure el recopilador de NetFlow en vSphere Distributed Switch indicando la zona de transporte de NSX (conmutador lógico). Para obtener más información sobre cómo configurar el recopilador de NetFlow, consulte el tema "Configurar opciones de NetFlow para vSphere Distributed Switch" de la Guía de redes de vSphere.

2 Puede habilitar la supervisión de NetFlow en el grupo de puertos distribuidos correspondiente al conmutador lógico. Si la zona de transporte de NSX abarca varios vSphere Distributed Switch (VDS), repita estos pasos para cada grupo de puertos distribuidos/de VDS. Para obtener más información sobre cómo habilitar la supervisión de NetFlow, consulte el tema "Habilitar o deshabilitar la supervisión de NetFlow en un puerto distribuido o en un grupo de puertos distribuidos" en la documentación de vSphere.


VMware, Inc. 466

En entornos NSX, el tráfico de datos de las máquinas virtuales en un conmutador lógico que atraviesan el vínculo superior de NSX se encapsula en VXLAN. Si NetFlow está habilitado en el vínculo superior del host, los registros del flujo IP se exportan mediante una plantilla de registro de flujos IPFIX personalizada. La plantilla incluye la información del encabezado IP/UDP de VXLAN externo y la información del paquete de IP encapsulado interno. Como resultado, este registro de flujos proporciona visibilidad en el VTEP que encapsula el paquete (encabezado externo) y los detalles de la máquina virtual que generó tráfico entre hosts (encabezado interno) en un conmutador lógico de NSX (VXLAN).

Para obtener más información sobre las plantillas IPFIX de vSphere Distributed Switch, consulte Plantillas IPFIX.

Plantillas IPFIX

Las plantillas IPFIX proporcionan la visibilidad a flujos VXLAN y de otro tipo. Las plantillas tienen parámetros adicionales que proporcionan más información sobre el tráfico encapsulado.

vSphere Distributed Switch (exportador) admite estas plantillas. El soporte de vSphere Distributed Switch para IPFIX proporciona la visibilidad necesaria en los flujos de máquinas virtuales y los flujos VXLAN. Si utiliza cualquier herramienta de recopilación de terceros, puede utilizar la información adicional disponible en las plantillas para proporcionar una correlación entre los flujos internos y externos y las conexiones del puerto.

Plantilla IPv4

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv4)

IPFIX_TEMPLATE_FIELD(sourceIPv4Address, 4)

IPFIX_TEMPLATE_FIELD(destinationIPv4Address, 4)

IPFIX_TEMPLATE_FIELD(octetDeltaCount, 8)

IPFIX_TEMPLATE_FIELD(packetDeltaCount, 8)

IPFIX_TEMPLATE_FIELD(flowStartSysUpTime, 8)

IPFIX_TEMPLATE_FIELD(flowEndSysUpTime, 8)

IPFIX_TEMPLATE_FIELD(sourceTransportPort, 2)

IPFIX_TEMPLATE_FIELD(destinationTransportPort, 2)

IPFIX_TEMPLATE_FIELD(ingressInterface, 4)

IPFIX_TEMPLATE_FIELD(egressInterface, 4)

IPFIX_TEMPLATE_FIELD(vxlanId, 8)

IPFIX_TEMPLATE_FIELD(protocolIdentifier, 1)

IPFIX_TEMPLATE_FIELD(flowEndReason, 1)

IPFIX_TEMPLATE_FIELD(tcpFlags, 1)

IPFIX_TEMPLATE_FIELD(IPv4TOS, 1)

IPFIX_TEMPLATE_FIELD(maxTTL, 1)

IPFIX_TEMPLATE_FIELD(flowDir, 1)

// Specify the Interface port- Uplink Port, Access port,N.A

IPFIX_VMW_TEMPLATE_FIELD(ingressInterfaceAttr, 2)

IPFIX_VMW_TEMPLATE_FIELD(egressInterfaceAttr, 2)

IPFIX_VMW_TEMPLATE_FIELD(vxlanExportRole, 1)

IPFIX_TEMPLATE_PADDING(paddingOctets, 1)

IPFIX_TEMPLATE_END()


VMware, Inc. 467

Plantilla IPv4 VXLAN

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv4_VXLAN)


















IPFIX_VMW_TEMPLATE_FIELD(tenantSourceIPv4, 4)

IPFIX_VMW_TEMPLATE_FIELD(tenantDestIPv4, 4)

IPFIX_VMW_TEMPLATE_FIELD(tenantSourcePort, 2)

IPFIX_VMW_TEMPLATE_FIELD(tenantDestPort, 2)

IPFIX_VMW_TEMPLATE_FIELD(tenantProtocol, 1)




// TUNNEL-GW or no.



Plantilla IPv4 ICMP VXLAN

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv4_ICMP_VXLAN)




















VMware, Inc. 468





// TUNNEL-GW or no.




Plantilla IPv4 ICMP

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv4_ICMP)















// Specify the Interface port- Uplink Port, Access Port,or NA.






Plantilla IPv6 ICMP VXLAN

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv6_ICMP_VXLAN)







IPFIX_VMW_TEMPLATE_FIELD(sourceTransportPort, 2)

IPFIX_VMW_TEMPLATE_FIELD(destinationTransportPort, 2)








//VXLAN Specific




VMware, Inc. 469



// Specify the Interface port- Uplink Port, Access Port, or NA.



// TUNNEL-GW or no.




Plantilla IPv6 ICMP

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv6_ICMP)





















Plantilla IPv6

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv6)















IPFIX_TEMPLATE_FIELD(IPv6TOS,1)



VMware, Inc. 470


// Specify the Interface port- Uplink Port, Access Port, or NA.






Plantilla IPv6 VXLAN

















//VXLAN specific




IPFIX_VMW_TEMPLATE_FIELD(tenantSourcePort, 2)

IPFIX_VMW_TEMPLATE_FIELD(tenantDestPort, 2)





// TUNNEL-GW or no.



Parámetros adicionales

A continuación se incluyen parámetros adicionales:

1 Parámetros específicos de VXLAN: los campos específicos del arrendatario son las IP de flujo interior, los puertos y la información del protocolo.

n tenantSourceIPv4

n tenantSourceIPv6

n tenantDestIPv4

n tenantDestIPv6

n tenantSourcePort


VMware, Inc. 471

n tenantDestPort

n tenantProtocol

n Parámetros del puerto de la interfaz

2 Parámetros del puerto de la interfaz: estos parámetros pueden utilizarse para plantillas VXLAN y de otro tipo.

n ingressInterfaceAttr

n egressInterfaceAttr

n vxlanExportRole

Los atributos de interfaz de ingreso y egreso pueden tomar los siguientes valores en función del tipo de puerto:

n IPFIX_UPLINK_PORT 0X01

n IPFIX_ACCESS_PORT 0X02

n IPFIX_VXLAN_TUNNEL_PORT 0X03

vxlanExportRole define si el exportador es un host ESXi o cualquier otro dispositivo de red. IPFIX_END_POINT 0X01 significa que el host exporta los datos. Si otros dispositivos exportan las plantillas IPFIX, este campo podría tener un valor diferente (no definido todavía).

Flujos supervisados por el IPFIX para vSphere Distributed Switch

Los diagramas anteriores muestran la comunicación entre dos máquinas virtuales que se ejecutan en dos hosts diferentes y los flujos supervisados por la función IPFIX para vSphere Distributed Switch.


VMware, Inc. 472

Figura 22-2. Flujo en el host 1

vSphere

tenantProtocol: TCP

tenantSourceIPv4:IP1

tenantDestIPv4:IP2

tenantSourcePort:10000

tenantDestPort:80

IngressInterfaceAttr:0x03 - Management port

EgressIngerfaceAttr:0x01 - dvuplink

vxlanExportRole:01

VTEP1 VTEP2

Flujo 1: Plantilla IPv4

Elementos estándar...

IngressInterfaceAttr:0x02 - port1

EgressIngerfaceAttr:0x03 - Management port

vxlanExportRole:01

Flujo 2: Plantilla IPv4 VXLAN


vxlanID:5003

Conmutador físico

VDS

1312

2

IP2

VDS

1110

1

IP1

Host 2Host 1

vSphere

La Figura 22-2. Flujo en el host 1 muestra los flujos que se recopilan del host 1. La plantilla de IPv4 contiene información adicional sobre el ingreso y el egreso, así como de los elementos estándar.

El cuadro de texto ingressInterfaceAttr0x02 indica que es un puerto de acceso al que está conectada la máquina virtual. El número de puerto de acceso se asigna al parámetro ingressInterface en la plantilla.

El valor de egressInterfaceAttr0x03 indica que es un puerto de túnel VXLAN y que el número de puerto asociado a él es un puerto VMKNic de administración. Este número de puerto se asigna al parámetro egressInterface en la plantilla.


VMware, Inc. 473

Por otro lado, la plantilla de IPv4 VXLAN contiene información adicional sobre el identificador VXLAN, el origen interno, el protocolo, la IP y el puerto de destino. Las interfaces de ingreso y egreso son puertos de túnel VXLAN y dvuplink, respectivamente.

Figura 22-3. Flujo en el host 2

tenantProtocol: TCP

tenantSourceIPv4:IP1

tenantDestIPv4:IP2

tenantSourcePort:10000

tenantDestPort:80

IngressInterfaceAttr:0x01 - dvuplink

EgressIngerfaceAttr:0x03 - Management port

vxlanExportRole:01

VTEP1 VTEP2

Conmutador físico

Flujo 4: Plantilla IPv4


IngressInterfaceAttr:0x03 - Management port

EgressIngerfaceAttr:0x02 – port3

vxlanExportRole:01

Flujo 3: Plantilla IPv4 VXLAN


vxlanID:5003

Host 2

VDS

1312

3

IP2

vSphere

Host 1

VDS

1110

1

IP1

vSphere

La Figura 22-2. Flujo en el host 1 muestra los flujos en el host 2.

Las plantillas de la Figura 22-2. Flujo en el host 1 solo se diferencian de la Figura 22-2. Flujo en el host 1 en los atributos de ingreso y egreso y en los números de puerto.

La información adicional proporcionada a través de esta plantilla ayuda a los proveedores de la herramienta de recopilación a correlacionar los flujos VXLAN externos y los flujos de máquinas virtuales internos.


VMware, Inc. 474

Información relevante para el proveedor de la herramienta de recopilación

El soporte de vSphere Distributed Switch para IPFIX proporciona la visibilidad necesaria en los flujos de máquinas virtuales y los flujos VXLAN. Si utiliza cualquier proveedor de la herramienta de recopilación, puede utilizar la información adicional disponible en las plantillas para proporcionar una correlación entre los flujos internos y externos y las conexiones del puerto.

En la siguiente sección se explica cómo descodificar los nuevos parámetros que se agreguen a las plantillas VXLAN. IANA define los elementos de información de IPFIX y los identificadores de sus elementos. Puede consultar la lista de identificadores de elemento estándar en http://www.iana.org/assignments/ipfix/ipfix.xml.

Todos los elementos nuevos definidos como parte de la plantilla VXLAN tienen sus identificadores de nuevo elemento.

Estos elementos o parámetros personalizados proporcionan información adicional sobre la VXLAN y los flujos internos. A continuación se indican los elementos y sus identificadores:

Tabla 22-4. Parámetros personalizados

ID de elemento Nombre del parámetro Tipo de datos Unidad

880 tenantProtocol unsigned8 1 byte

881 tenantSourceIPv4 ipv4Address 4 bytes

882 tenantDestIPv4 ipv4Address 4 bytes

883 tenantSourceIPv6 ipv6Address 16 bytes

884 tenantDestIPv6 ipv6Address 16 bytes

886 tenantSourcePort unsigned16 2 bytes

887 tenantDestPort unsigned16 2 bytes

888 egressInterfaceAttr unsigned16 2 bytes

889 vxlanExportRole unsigned8 1 byte

890 ingressInterfaceAttr unsigned16 2 bytes

Nota El identificador de empresa se agrega a todos los elementos personalizados definidos anteriormente. El identificador de empresa de VMware es el 6876.

En la siguiente tabla se muestra un ejemplo de una lista completa de identificadores de elementos. Puede consultar el tipo de datos y la unidad de los identificadores de elementos estándar en http://www.iana.org/assignments/ipfix/ipfix.xml.

ID de elemento Nombre del parámetro

1 octetDeltaCount

2 packetDeltaCount

4 protocolIdentifier

5 IPv4TOS

5 IPv6TOS


VMware, Inc. 475

http://www.iana.org/assignments/ipfix/ipfix.xml




ID de elemento Nombre del parámetro

6 tcpFlags

7 sourceTransportPort

8 sourceIPv4Address

10 ingressInterface

11 destinationTransportPort

12 destinationIPv4Address

14 egressInterface

15 nextHopIPv4

27 sourceIPv6Address

28 destinationIPv6Address

53 maxTTL

61 flowDir

136 flowEndReason

152 flowStartSysUpTime

153 flowEndSysUpTime

210 paddingOctets

351 vxlanId

880 tenantProtocol

881 tenantSourceIPv4

882 tenantDestIPv4

883 tenantSourceIPv6

884 tenantDestIPv6

886 tenantSourcePort

887 tenantDestPort

888 egressInterfaceAttr

889 vxlanExportRole

890 ingressInterfaceAttr

Administrador de reglas de aplicaciones (Application Rule Manager)La herramienta Administrador de reglas de aplicaciones (Application Rule Manager) simplifica el proceso de microsegmentar una aplicación mediante la creación de grupos de seguridad y reglas de firewall para aplicaciones existentes.

La supervisión de flujo se utiliza para la recopilación de datos a largo plazo en todo el sistema, mientras que el administrador de reglas de aplicaciones se utiliza para el modelado específico de una aplicación.


VMware, Inc. 476

Hay tres pasos en el flujo de trabajo del administrador de reglas de aplicación:

1 Seleccione las máquinas virtuales (VM) que forman la aplicación y deben supervisarse. Una vez que se realice su configuración, se supervisan todos los flujos entrantes y salientes para un conjunto definido de VNIC (Tarjetas de interfaz de red virtualizada) en las VM. Puede haber hasta cinco sesiones recopilando flujos al mismo tiempo.

2 Detenga la supervisión para generar las tablas de flujo. Los flujos se analizan para revelar la interacción entre las VM. Los flujos se pueden filtrar para llevar los registros de flujo a un espacio de trabajo limitado.

3 Utilice tablas de flujo para crear objetos de grupo, como grupos de seguridad, conjuntos de direcciones IP, servicios y grupos de servicios, y reglas de firewall.

Crear una sesión de supervisiónUna sesión de supervisión recopila todos los flujos entrantes y salientes de hasta 30 vNIC en una sesión determinada.

Requisitos previos

Antes de iniciar una sesión de supervisión, debe definir las VM y las vNIC que se deben supervisar.

VMware Tools debe estar actualizado y en ejecución en las máquinas virtuales de escritorio de Windows.

Las VM seleccionadas deben estar en un clúster que tenga habilitado el firewall (no pueden estar en la lista de exclusión).

Se debe crear una regla de firewall predeterminada "any allow" que se aplique a las vNIC seleccionadas mientras dure la sesión de supervisión, de forma que los flujos que llegan a las vNIC y que salen de ellas no se dejen fuera debido a otra regla de firewall.

Procedimiento

1 Inicie sesión en vSphere Web Client y a continuación seleccione Redes y seguridad (Networking & Security) en el panel de navegación izquierdo.

2 Seleccione Flow Monitoring.

3 Seleccione la pestaña Administrador de reglas de aplicaciones (Application Rule Manager).

4 Haga clic en Iniciar nueva sesión (Start New Session).

5 En el cuadro de diálogo Iniciar nueva sesión (Start New Session), escriba un nombre para la sesión.

6 Como tipo de objetivo, seleccione vNIC o VM.

La columna Objetos disponibles (Available Objects) se rellena con los objetos disponibles.

7 Haga doble clic en las vNIC o VM que quiera someter a supervisión. Las vNIC o VM seleccionadas se moverán a la columna Objetos seleccionados (Selected Objects).


VMware, Inc. 477

8 Haga clic en Aceptar (OK) para comenzar a recopilar flujos.

El estado pasará a Recopilando datos (Collecting Data). El último conjunto de flujos recopilado se muestra en la tabla de flujo.

9 Haga clic en Detener (Stop) para dejar de recopilar flujos.

Resultados

Se creó una sesión de supervisión de flujos para las vNIC y VM seleccionadas.

Pasos siguientes

Tras recopilar los flujos, analícelos.

Analizar flujosUna vez que se ha recopilado una sesión de supervisión de flujos, los resultados se analizan y se pueden filtrar para utilizarlos en objetos de grupos y reglas de firewall.

Se puede aplicar filtros a los flujos analizados para limitar el número de flujos en un espacio de trabajo. El icono de la opción de filtro se encuentra junto al menú desplegable Vista procesada (Processed View) a la derecha.

Requisitos previos

Antes del análisis, se debe haber recopilado una sesión de supervisión de flujos a partir de las vNIC o VM seleccionadas.

Procedimiento

1 Una vez que se hayan recopilado los flujos, haga clic en Analizar (Analyze).

Los servicios definidos se resuelven, comienza la traducción de la dirección IP a la VM y se eliminan los duplicados.

2 Una vez que se ha completado el análisis, se proporcionan los siguientes datos a los flujos:

Campo Opciones

Dirección (Direction)

DENTRO (IN) - el flujo entra en una de las VM y VNIC seleccionadas como parte de la inicialización de entrada.

FUERA (OUT) - el flujo se genera a partir de una de las VM y VNIC seleccionadas como parte de la inicialización de entrada.

INTERNO (INTRA): el flujo se produce entre la VM y la VNIC seleccionada como parte de la inicialización de entrada.

Origen (Source)

Nombre de VM (VM Name), si la dirección I de origen del registro de flujos se resuelve en una VM en el inventario de NSX. Tenga en cuenta que la dirección IP se puede resolver en VM únicamente si las herramientas de VM se han habilitado en dichas VM.

IP sin formato (Raw IP), si no se ha encontrado ninguna VM para esta dirección I de origen en el inventario de NSX. Tenga en cuenta que las direcciones IP de multidifusión y difusión no se resolverán en VM.

Número de VM (Number of VMs) (p. ej., 2 máquinas virtuales) si la dirección IP es una dirección IP superpuesta asignada a varias VM en redes diferentes, el usuario debe resolver las máquinas virtuales en la máquina virtual correcta relacionada con este registro de flujos.


VMware, Inc. 478

Campo Opciones

Destino (Destination)

Mismo valor que el campo Origen (Source).

Servicio (Service)

Servicio definido por NSX para el protocolo/puerto.

Protocolo/puerto sin formato, si no se ha definido ningún servicio en NSX Manager.

Número de servicios. Si hay más de un servicio asignado al mismo protocolo/puerto y el usuario debe resolverlo en un servicio aplicable al registro de flujos.

Pasos siguientes

Los flujos analizados se pueden modificar para personalizarlos aún más. A continuación, utilice los flujos analizados para crear reglas de firewall.

Consolidación y personalización de flujos

Una vez que se ha completado el análisis del sistema, la tabla de flujos analizados se muestra disponible en Vista procesada (Processed View). Los usuarios puede consolidar aún más los flujos cambiando los campos de Origen (Source), Destino (Destination) y Servicio (Service). Consulte Personalizar servicios en registros de flujos y Personalizar el origen y el destino en registros de flujos .

Nota Vista procesada (Processed View)

Los flujos recopilados se muestran en una tabla con las siguientes columnas:

Campo Opciones

Dirección (Direction)

DENTRO (IN): el flujo entra en una de las VM o vNIC seleccionadas como parte de la inicialización de entrada.

FUERA (OUT): el flujo se genera a partir de una de las VM o vNIC seleccionadas como parte de la inicialización de entrada.

INTERNO (INTRA): el flujo se produce entre la VM o la vNIC seleccionada como parte de la inicialización de entrada.

Origen (Source)

Nombre de VM (VM Name), si la dirección I de origen del registro de flujos se resuelve en una VM en el inventario de NSX.

IP sin formato (Raw IP), si no se ha encontrado ninguna VM para esta dirección I de origen en el inventario de NSX. Tenga en cuenta que las IP de multidifusión y difusión no se resolverán en VM.

Número de VM si la dirección IP es una dirección IP superpuesta asignada a varias VM en distintas redes. El usuario debe resolver varias VM en una VM relacionada con este registro de flujos.

Destino (Destination)

Mismo valor que el campo Origen (Source).

Servicio (Service)

Servicio definido por NSX para el protocolo/puerto.

Protocolo/puerto sin formato, si no se ha definido ningún servicio en NSX Manager.

Número de servicios. Si hay más de un servicio asignado al mismo protocolo/puerto y el usuario debe resolverlo en un servicio aplicable al registro de flujos.


VMware, Inc. 479

Se pueden editar las tablas de flujos y consolidar los flujos para facilitar la creación de reglas. Por ejemplo, el campo origen (source) se puede reemplazar por CUALQUIERA (ANY). Varias VM que reciban flujos con HTTP y HTTPs se pueden reemplazar por el grupo de servicio "Servicio web" (WEB-Service), que incluye los servicios HTTP y HTTPs. Al hacerlo, puede que varios flujos tengan aspecto similar y que emerjan patrones de flujo que se puedan traducir fácilmente en una regla de firewall.

Tenga en cuenta que aunque se puede modificar cada una de las celdas de la tabla de flujos, estas no se rellenan automáticamente. Por ejemplo, si se agrega la dirección 196.1.1.1 al conjunto de IP de servidor DHCP, las posteriores instancias de dicha IP no se rellenan automáticamente para mostrar el grupo Servidor DHCP (DHCP-Server). Se muestra un mensaje que le pregunta si desea reemplazar todas las instancias de la dirección IP por el conjunto de IP. Esto ofrece la flexibilidad necesaria para hacer que esa IP forme parte de varios grupos de conjuntos de IP.

Nota Vista consolidada (Consolidated View)

Desde la lista desplegable que se muestra en la esquina derecha, se puede acceder a la Vista consolidada (Consolidated View). La vista consolidada elimina los flujos duplicados y muestra el número mínimo de flujos. Esta vista se puede utilizar para crear reglas de firewall.

Al hacer clic en la flecha situada a la izquierda de la columna Dirección (Direction), se muestra la información de flujo sin formato correspondiente:

n para flujos internos, se muestran los datos sin formato correspondientes a los flujos IN y OUT

n los valores originales de la IP de origen, la IP de destino, el puerto y el protocolo en todos los flujos sin formato que se consolidaron en el registro

n para los flujos ALG, se muestran los flujos de datos correspondientes al flujo de control

Personalizar servicios en registros de flujosEl usuario puede modificar de forma individual las celdas de flujos de servicios.

Tras el análisis de los flujos, los usuarios pueden asociar cualquier combinación de protocolo/puerto no definido y crear un servicio. Se pueden crear grupos de servicios para cualquiera de los servicios enumerados en los flujos recopilados. Para obtener más información sobre la modificación de registros de flujos, consulte Consolidación y personalización de flujos.

Requisitos previos

Los datos de flujo deben recopilarse desde un conjunto de vNIC y VM. Consulte Crear una sesión de supervisión.


VMware, Inc. 480

Procedimiento

u Después de que el estado de flujo sea Análisis completado (Analysis Completed), la tabla de flujos se rellena de datos en la Vista procesada (Processed View). Para personalizar los datos de una celda, pase el cursor sobre ella. Se mostrará un icono de engranaje en la esquina derecha de la celda. Haga clic en el icono de engranaje en la columna Servicio (Service) y seleccione una de las siguientes opciones:


Resolver servicios (Resolve Services) Si se han traducido el puerto y el protocolo a varios servicios, utilice esta opción para seleccionar el servicio adecuado.

Crear servicios y reemplazar (Create Services and Replace)

Para agregar un servicio:

a Introduzca un nombre (name) para el servicio.

b Seleccione el protocolo en la lista desplegable.

c Introduzca los puertos de destino para el servicio.

d Haga clic en Opciones avanzadas (Advanced options) para acceder a los puertos de origen del servicio. El puerto de origen se utiliza para realizar el seguimiento de nuevas conexiones entrantes y flujos de datos.

e Opcional: seleccione la casilla Habilitar herencia para tener visibilidad en ámbitos subyacentes (Enable inheritance to allow visibility at underlying scopes) para crear un criterio o grupo comunes que se puedan volver a usar en edges individuales.

f Haga clic en Aceptar (OK) y un nuevo servicio se creará y rellenará en la columna Service (Servicio). Tenga en cuenta que si hay otros registros de flujos con la misma combinación de puertos y protocolos no definidos, se le pedirá que confirme que se reemplazarán todos por el servicio que se acaba de crear. Esto solo sucede en el caso de los flujos con servicios no definidos en la fase de Análisis.

Crear grupo de servicios y reemplazar (Create Services Group and Replace)

Puede crear un nuevo grupo de servicios con el servicio a partir del flujo incluido en él. A continuación, el nuevo grupo de servicios sustituirá al servicio. Para agregar un grupo de servicios:

a Introduzca un nombre (name) para el grupo de servicios.

b Opcional: introduzca una descripción del grupo de servicios.

c Seleccione el Tipo de objeto (Object type).

d Seleccione los objetos disponibles que quiera que se agreguen al grupo de servicios y haga clic en la flecha para mover el objeto a la columna Objetos seleccionados (Selected Objects).

e Se creará un nuevo grupo de servicios y se rellenará en la columna Servicio (Service).

Reemplazar servicio por cualquiera (Replace Service with Any)

Reemplaza el servicio especifico por otro servicio cualquiera.

Reemplazar servicio por grupo de servicios (Replace Service with Service Group)

Si el servicio seleccionado es miembro de varios grupos de servicios, seleccione el grupo de servicios específico que quiera aplicar.

a Haga clic en el grupo de servicios que desee en la lista de objetos disponibles.


Revertir protocolo y puerto (Revert Protocol and Port)

Revierte cualquier modificación de celda a los datos originales.


VMware, Inc. 481

Resultados

El registro del flujo modificado tiene una barra rosa en el lateral. Al pasar el cursor sobre cualquier celda modificada, se mostrará una marca de verificación verde. Al hacer clic en esta marca de verificación, se mostrará una ventana emergente con el valor anterior y el nuevo valor de la celda. El registro de flujos modificado es más fácil de traducir a reglas de firewall.

Pasos siguientes

A continuación, se puede utilizar el registro de flujos para crear reglas de firewall.

Una vez que se hayan modificado los flujos, se pueden agrupar aún más para obtener el espacio de trabajo distinto más pequeño. La opción Vista procesada (Processed View) permite crear grupos de servicios y conjuntos de IP, así como modificar los flujos. La opción Vista consolidada (Consolidated view) comprime estos flujos modificados para facilitar la creación de reglas de firewall.

Personalizar el origen y el destino en registros de flujosEl usuario puede modificar de forma individual las celda de flujos de origen y destino.

El usuario puede personalizar las celdas de flujos una vez que se haya completado el análisis de flujos.

Requisitos previos

Los datos de flujo deben recopilarse desde un conjunto de vNIC y VM. Consulte Crear una sesión de supervisión

Procedimiento

u Después de que el estado de flujo muestre Análisis completado (Analysis Completed), la tabla de flujos se rellena de datos. Para personalizar los datos de una celda, pase el cursor sobre ella. Se mostrará un icono de engranaje en la esquina derecha de la celda. Haga clic en el icono de engranaje en la columnaOrigen (Source) o Destino (Destination) y seleccione una de las siguientes opciones:


Resolver VM (Resolve VMs) Esta opción está disponible si varias VM tienen la misma dirección IP. Esta opción se utiliza para elegir el nombre de la VM aplicable para el registro de flujos.

Reemplazar por cualquiera (Replace with any)

Si todos deben poder acceder al origen, cualquier dirección IP de origen es la opción adecuada. En el resto de casos, debe especificar la dirección de origen. No se recomienda configurar un valor de destino cualquiera para la dirección IP de destino.

Reemplazar por pertenencia (Replace with Membership)

Si la VM forma parte de Grupos de seguridad (Security Groups), se mostrarán aquí y pueden reemplazar al nombre de la VM.


VMware, Inc. 482


Crear grupo de seguridad (Create Security Group)

a Introduzca un nombre y una descripción (opcional) para el grupo de seguridad.

b Haga clic en Siguiente (Next).

c Defina los criterios que debe cumplir un objeto para que se agregue al grupo de seguridad que va a crear. Al definir un filtro de criterios con una serie de parámetros compatibles con los criterios de búsqueda, se pueden incluir máquinas virtuales.

d Seleccione uno o varios recursos para agregar al grupo de seguridad. Tenga en cuenta que al agregar un recurso a un grupo de seguridad, todos los recursos asociados se agregan automáticamente. Por ejemplo, cuando selecciona una máquina virtual, la vNIC asociada se agrega automáticamente al grupo de seguridad. Puede incluir los siguientes objetos en un grupo de seguridad:

Clúster

Conmutador lógico

Grupo de puertos heredados

vApp

Centro de datos


f Seleccione los objetos que excluir del grupo de seguridad. Los objetos seleccionados aquí siempre se excluyen del grupo de seguridad, independientemente de si coinciden o no con los criterios dinámicos.

g Haga clic en Siguiente (Next).

h Revise los detalles del Grupo de seguridad en la ventana Listo para completar (Ready to complete). Haga clic en Finalizar (Finish).

Agregar al Grupo de seguridad existente y reemplazar (Add to existing Security Group and Replace)

Para las VM, si la VM seleccionada es miembro de varios grupos de seguridad, seleccione el grupo de seguridad específico que quiera aplicar. Esta opción no está disponible si la dirección IP está presente en los campos de origen o de destino. Para direcciones IP sin formato, use la opción Agregar a conjunto de IP existente y reemplazar (Add to existing IPset and Replace).

a Haga clic en el grupo de servicios que desee en la lista de objetos disponibles.


Crear conjunto de IP y reemplazar (Create IPSet and Replace)

Un conjunto de IP le permite aplicar una regla de firewall a todo un conjunto de direcciones IP a la vez.

a Introduzca un nombre para el conjunto de IP.

b Opcional: introduzca una descripción.

c Introduzca una dirección IP de rango de direcciones en el nuevo conjunto de IP.


Agregar a conjunto de IP existente y reemplazar (Add to existing IPset and Replace)

Una dirección IP puede formar parte de varios conjuntos de IP. Utilice esta opción para reemplazar la dirección IP que se muestra y reemplazarla por otro.

a Seleccione el conjunto de IP que desee en la lista Objetos disponibles (Available Objects).


Revertir a datos iniciales (Revert to initial data)

Revierte cualquier modificación de celda a los datos originales.


VMware, Inc. 483

Pasos siguientes

Cree una regla de firewall basada en la supervisión de flujos.

Crear reglas de firewall desde el Administrador de reglas de aplicaciones (Application Rule Manager)Las reglas de firewall se pueden editar, eliminar y mover hacia arriba y hacia abajo como parte del Administrador de reglas de aplicaciones (Application Rule Manager).

Requisitos previos

Una vez que se haya analizado el registro de flujos, podrá crear reglas de firewall.

Procedimiento

1 Abra una sesión de flujos. Si está en la Vista procesada (Processed View). Si desea seleccionar una sola celda, haga clic en ella. Si desea seleccionar varias, deje pulsada la tecla Shift y haga clic en la primera y la última celda del rango de celdas que desee seleccionar. A continuación, haga clic con el botón secundario. Si está en la Vista consolidada (Consolidated View), seleccione una celda de flujo y haga clic en el icono Acción (Action). Seleccione Crear regla de firewall (Create Firewall rule).

La ventana emergente Nueva regla de firewall (New Firewall Rule ) aparece con todas las celdas rellenadas basándose en los datos de las filas seleccionadas. Si se seleccionaron varias celdas, todos los objetos de origen, destino y servicio se agregan a los campos correspondientes de la regla.

2 Escriba un nombre para la nueva regla.

3 (opcional) Para seleccionar un origen o destino diferente, haga clic en Seleccionar (Select) junto al cuadro Origen (Source) o Destino (Destination). Especifique un nuevo origen o destino a partir de los objetos disponibles y haga clic en Aceptar (OK).

4 (opcional) Para seleccionar otro servicio, haga clic en Seleccionar (Select) en el cuadro Servicio (Service). Distributed Firewall admite ALG (Application Level Gateway) para los siguientes protocolos: FTP, CIFS, ORACLE TNS, MS-RPC y SUN-RPC. Edge admite solo ALG para FTP. Especifique un nuevo servicio de los objetos disponibles y haga clic en Aceptar (OK).


VMware, Inc. 484

5 (opcional) Para aplicar la regla a otro ámbito, haga clic en Seleccionar (Select) junto al cuadro Se aplica a (Applied To). Realice las selecciones correspondientes según se describe en la siguiente tabla y haga clic en Aceptar (OK). De forma predeterminada, la regla se aplica a las vNIC en las que originalmente hizo clic con el botón secundario.

Para aplicar una regla a Hacer lo siguiente

Todos los clústeres preparados en el entorno Seleccione Aplicar esta regla en todos los clústeres donde está habilitado el Distributed Firewall (Apply this rule on all clusters on which Distributed Firewall is enabled). Después de hacer clic en Aceptar (OK), la columna Se aplica a (Applied To) para esta regla muestra Distributed Firewall (Distributed Firewall).

Uno o varios clústeres, centros de datos, grupos de puertos virtuales distribuidos, instancias de NSX Edge, redes, máquinas virtuales, vNIC o conmutadores lógicos

1 En Tipo de contenedor (Container type), seleccione el objeto apropiado.

2 En la lista Disponibles (Available), seleccione uno o varios

objetos y haga clic en (add).

Si la regla contiene máquinas virtuales y vNIC en los campos de origen y destino, debe agregar las máquinas virtuales y vNIC de origen y destino a Se aplica a (Applied To) para que la regla funcione correctamente.

6 Seleccione la Acción (Action) descrita en la siguiente tabla.

Acción Resultado






7 Especifique la Dirección (Direction) de la regla haciendo clic en la flecha desplegable.


Pasos siguientes

Publique las reglas de firewall. Consulte Publicar y administrar reglas de firewall desde el Administrador de reglas de aplicaciones (Application Rule Manager).

Publicar y administrar reglas de firewall desde el Administrador de reglas de aplicaciones (Application Rule Manager)Las reglas de firewall se pueden editar y publicar desde el Administrador de reglas de aplicaciones (Application Rule Manager).


VMware, Inc. 485

Una vez que se hayan creado las reglas de firewall, se pueden administrar en la pestaña Reglas de firewall (Firewall Rules) del Administrador de reglas de aplicaciones (Application Rule Manager).

Requisitos previos

Cree reglas de firewall desde una sesión de supervisión de flujos.

Procedimiento

u Una vez que haya creado reglas de firewall a partir de una sesión de supervisión de flujos, aparecerán en la pestaña Reglas de firewall (Firewall Rules). Seleccione una de las siguientes opciones:


Publicar (Publish) a Haga clic en Publicar (Publish) para publicar las reglas de firewall creadas. Las reglas se publican como una nueva sección.

b Escriba un Nombre de sección (Section Name) para la regla de firewall.

c Seleccione el lugar en el que se insertará la nueva sección de firewall en la configuración de firewall existente.


Editar (Edit) Seleccione el icono del lápiz para editar las reglas de firewall.

Eliminar (Delete) Seleccione el icono X de color rojo para eliminar la regla de firewall.

Flecha hacia abajo Seleccione el icono de la flecha hacia abajo para mover la regla hacia abajo.

Flecha hacia arriba Seleccione el icono de la flecha hacia arriba para mover la regla hacia arriba.

Nota Cuando se publican reglas de firewall desde el Administrador de reglas de aplicaciones (Application Rule Manager), el nombre de sección se agrega al botón Publicar (Publish). Cualquier publicación posterior que se realice desde el Administrador de reglas de aplicaciones (Application Rule Manager) invalidará la sección existente en la Configuración de Firewall con las reglas que estén disponibles en ese momento en el Administrador de reglas de aplicaciones (Application Rule Manager).

Supervisión de actividadLa supervisión de actividad ofrece visibilidad en las aplicaciones en uso en máquinas virtuales de escritorio Windows administradas por vCenter. Esta visibilidad ayuda a garantizar que se apliquen correctamente las directivas de seguridad en la organización.

Nota Desde la versión 6.3.0 de NSX, la función de supervisión de actividad de NSX pasó a estar obsoleta. Puede seguir utilizando esta función, pero tenga en cuenta que se eliminará de NSX en versiones futuras. A partir de la versión 6.3.0, recomendamos utilizar la supervisión de endpoints en lugar de la supervisión de actividad.


VMware, Inc. 486

Una directiva de seguridad puede establecer quién puede acceder a determinadas aplicaciones. El administrador de la nube puede generar informes de supervisión de actividad para determinar si la regla de firewall basada en dirección IP que estableció tiene el efecto deseado. Al ofrecer detalles en el nivel del usuario y de la aplicación, la supervisión de actividad traduce directivas de seguridad de alto nivel en implementaciones de bajo nivel basadas en red y dirección IP.

Figura 22-4. El entorno virtual actual

VMware ESXi NSX Manager

Origen

172.16.254.1 172.16.112.2

Destino

Active directoryJohn

Una vez que habilite la recopilación de datos para Supervisión de actividad, podrá ejecutar informes para ver el tráfico entrante (como máquinas virtuales a las que acceden los usuarios) y el tráfico saliente (utilización de recursos, interacción entre contenedores de inventario y grupos de AD que accedieron a un servidor).

Figura 22-5. El entorno virtual con Supervisión de actividad

VMware ESXi

Endpointépico Endpoint Endpoint

NSX Manager

Usuario

John

Grupo de AD

Doctores

Nombre de la aplicación

Nombre de máquina virtual

de origen

Epic.exe DoctorsWS13

Nombre de máquina virtual

de destino

EpicSVR3

IP de origen

172.16.254.1

IP de destino

172.16.112.2

Active directoryJohn

Importante La supervisión de actividad no es compatible con máquinas virtuales Linux.

Configurar la supervisión de actividadPara que la supervisión de actividad funcione, deben realizarse varios procedimientos obligatorios, entre ellos, instalar el controlador de Guest Introspection, instalar las máquinas virtuales de Guest Introspection y habilitar la supervisión de actividad de NSX. Como opción, puede utilizar Service Composer para controlar qué máquinas virtuales se supervisarán.


VMware, Inc. 487

Requisitos previos

n NSX debe estar instalado y operativo.

n NSX Manager debe estar vinculado con el servidor de AD donde estarán los grupos a los cuales asignará usuarios de las máquinas virtuales de Windows.

n El inventario de vCenter debe contener una o más máquinas virtuales de escritorio de Windows.

n VMware Tools debe estar actualizado y en ejecución en las máquinas virtuales de escritorio de Windows.


VMware, Inc. 488

Procedimiento

1 Instale el controlador de Guest Introspection en las máquinas virtuales de Windows del inventario de vCenter, si aún no está instalado.

a Desplácese hasta Panel de control/Programas/Programas y características (Control Panel\Programs\Programs and Features), haga clic con el botón derecho en VMware Tools y seleccione Cambiar (Change).

b Seleccione Modificar (Modify).

c En Controlador VMCI (VMCI Driver), haga clic en Controladores de Guest Introspection > Se instalarán en el disco duro local (Guest Introspection Drivers > Will be installed on local hard drive).


VMware, Inc. 489

El controlador de Guest Introspection detecta cuáles son las aplicaciones que se están ejecutando en cada máquina virtual de Windows y envía esta información a la máquina virtual de Guest Introspection.

2 Instale las máquinas virtuales de Guest Introspection.

Cuando inicie por primera vez la instalación de VMware Tools, elija la opción Personalizado (Custom). En la carpeta VMCI, seleccione Controlador de Guest Introspection (Guest Introspection Driver). El controlador no está seleccionado de forma predeterminada.

Para agregarlo una vez que ya esté instalado VMware Tools:

a En vCenter Web Client, desplácese hasta Redes y seguridad > Instalación > Implementaciones de servicios (Networking & Security > Installation > Service Deployments).

b Agregue una nueva implementación de servicio.

c Seleccione Guest Introspection.

d Seleccione los clústeres de hosts que contienen máquinas virtuales de Windows.

e Seleccione los almacenes de datos, las redes y el mecanismo de generación de direcciones IP correspondientes. Si no está utilizando DHCP para las máquinas virtuales de Guest Introspection, cree y asigne un grupo de direcciones IP.

Se instalarán dos máquinas virtuales de Guest Introspection, una en cada host de cada clúster.


VMware, Inc. 490

3 Habilite la supervisión de actividad en las máquinas virtuales de Windows.

a En la vista Hosts y clústeres (Hosts and Clusters), seleccione la máquina virtual de Windows y la pestaña Resumen (Summary).

b En NSX Activity Monitoring, haga clic en Editar (Edit) y en Sí (Yes).

Repita este paso para todas las máquinas virtuales de Windows que desea supervisar.

4 (opcional) Modifique la lista de objetos de vCenter que se supervisan o defina una regla de pertenencia dinámica.

a En vCenter Web Client, desplácese hasta Redes y seguridad > Service Composer (Networking & Security > Service Composer).

b Edite el grupo de seguridad Recopilación de datos para supervisión de actividad (Activity Monitoring Data Collection).

c Defina una regla de pertenencia dinámica de modo que, a medida que se agreguen nuevas máquinas virtuales Windows al clúster, la máquina virtual se supervise automáticamente.

d Seleccione los objetos de vCenter que desea incluir o excluir del grupo de seguridad de supervisión de actividad.

Las máquinas virtuales en las que está habilitada la supervisión de actividad se incluyen automáticamente en el grupo de seguridad de supervisión de actividad.

En este ejemplo, todas las máquinas virtuales cuyo nombre empieza con "win" se agregan automáticamente al grupo de seguridad de supervisión de actividad. Esto significa que la característica de supervisión de actividad se habilitará en ellas automáticamente.


VMware, Inc. 491

Situaciones de supervisión de actividadEn esta sección se describen algunas situaciones hipotéticas para la supervisión de actividad.

Acceso de usuarios a las aplicacionesNuestra empresa imaginaria, ACME Enterprise, solo permite que usuarios autorizados accedan a determinadas aplicaciones de los activos corporativos.

Los términos de su directiva de seguridad son los siguientes:

n Se permite que únicamente los usuarios autorizados accedan a las aplicaciones empresariales críticas.

n Se permiten únicamente aplicaciones autorizadas en los servidores corporativos.

n Se permite el acceso únicamente a los puertos requeridos desde redes específicas.

Según lo anterior, la empresa debe controlar el acceso de los empleados en función de la identidad del usuario para proteger los activos corporativos. Como punto de partida, el operador de seguridad de ACME Enterprise debe poder comprobar que solo se permita el acceso administrativo a los servidores MS SQL.

Procedimiento


2 Haga clic en Redes y seguridad (Networking & Security y, a continuación, en Supervisión de actividad (Activity Monitoring).

3 Haga clic en la pestaña Actividad entrante (Inbound Activity).


VMware, Inc. 492

4 En Saliente desde (Outbound from), deje el valor como Todos los grupos de AD observados (All Observed AD Groups) para ver el acceso desde cualquier empleado.

5 En Donde la máquina virtual de destino (Where destination virtual machine), seleccione incluye (includes) y deje seleccionado todas las máquinas virtuales de destino observadas (all observed destination virtual machines).

6 En Y donde la aplicación de destino (And where destination application), seleccione incluye (includes), haga clic en todas las aplicaciones de destino observadas (all observed destination applications) y seleccione los servidores MS SQL.

7 Haga clic en Buscar (Search).

Los resultados de la búsqueda muestran que solo los usuarios administradores están accediendo a los servidores MS SQL. Tenga en cuenta que no hay grupos (como Finanzas o Recursos Humanos) que estén accediendo a estos servidores.

8 Ahora podemos invertir la consulta configurando el valor de Saliente desde (Outbound from) en los grupos de Recursos Humanos (HR) y Finanzas (Finance).


No se muestran registros, lo cual confirma que ningún usuario de ninguno de estos grupos puede acceder a los servidores MS SQL.

Aplicaciones en el centro de datosComo parte de sus directivas de seguridad, ACME Enterprise necesita visibilidad sobre todas las aplicaciones de centros de datos. Esto puede ayudar a identificar las aplicaciones maliciosas que recolectan información confidencial o desvían datos confidenciales a orígenes externos.

John, administrador de la nube de ACME Enterprise, desea confirmar que solo se pueda acceder a SharePoint Server a través de Internet Explorer y que ninguna aplicación maliciosa (como FTP o RDP) pueda acceder a este servidor.

Procedimiento



3 Haga clic en la pestaña Actividad de máquina virtual (VM Activity).

4 En Donde la máquina virtual de origen (Where source VM), seleccione incluya (includes) y deje seleccionada la opción Todas las máquinas virtuales observadas (All observed virtual machines) para capturar el tráfico procedente de todas las máquinas virtuales en el centro de datos.

5 En Donde la máquina virtual de destino (Where destination VM), seleccione incluya (includes), haga clic en Todas las máquinas virtuales observadas (All observed virtual machines) y seleccione SharePoint Server.



VMware, Inc. 493

Resultados

En la columna Nombre de producto de aplicación saliente (Outbound App Product Name) de los resultados de la búsqueda se mostrará que todo el acceso a SharePoint Server se realizó a través de Internet Explorer. Los resultados de la búsqueda relativamente homogéneos indican que se aplicó una regla de firewall a este servidor SharePoint Server para evitar cualquier otro método de acceso.

También se puede observar que los resultados de la búsqueda muestran el usuario de origen del tráfico observado en lugar del grupo de origen. Al hacer clic en la flecha de los resultados de la búsqueda, se mostrarán detalles sobre el usuario de origen como el grupo de AD al que pertenece el usuario.

Comprobar puertos abiertosUna vez que John Admin sabe que al servidor SharePoint de ACME Enterprise solo están accediendo las aplicaciones autorizadas, puede asegurarse de que la empresa permita que solo se abran los puertos requeridos en función del uso esperado.

Requisitos previos

En el escenario Aplicaciones en el centro de datos, John Admin había observado la circulación de tráfico hacia el servidor SharePoint de ACME Enterprise. Ahora quiere asegurarse de que todo el acceso desde el servidor SharePoint hacia el servidor MSSQL se realice mediante las aplicaciones y los protocolos esperados.

Procedimiento

1 Haga clic en el icono Ir a Inicio (Go Home).

2 Haga clic en Inicio de vCenter (vCenter Home) y, a continuación, en Máquinas virtuales (Virtual Machines).

3 Seleccione win_sharepoint y, a continuación, haga clic en la pestaña Supervisar (Monitor).

4 Haga clic en Supervisión de la actividad (Activity Monitoring).

5 En Donde destino (Where destination), seleccione win2K-MSSQL.


Resultados

Los resultados de la búsqueda muestran la circulación de tráfico desde el servidor SharePoint hacia el servidor MSSQL. Las columnas Usuario (User) y Aplicación saliente (Outbound App) muestran que solo los procesos del sistema se están conectando al servidor MSSQL, que es lo que espera ver John.

Las columnas Puerto entrante (Inbound Port) y Aplicación (App) muestran que todo el acceso está dirigido al servidor MSSQL que está ejecutándose en el servidor de destino.

Debido a que hay demasiados registros en los resultados de la búsqueda para que John los analice en un explorador web, puede exportar el conjunto entero de resultados y guardarlo en un archivo con

formato CSV. Para eso, deberá hacer clic en el icono en la esquina inferior derecha de la página.


VMware, Inc. 494

Habilitar recopilación de datosDebe habilitar la recopilación de datos de una o más máquinas virtuales en una instancia de vCenter Server antes de ejecutar un informe de Supervisión de actividad. Antes de ejecutar un informe, asegúrese de que las máquinas virtuales habilitadas estén activas y de que generen tráfico de red.

También debe registrar NSX Manager con la controladora de dominio de AD. Consulte Registrar un dominio de Windows con NSX Manager.

Tenga en cuenta que el servicio de supervisión de actividad (Activity Monitoring) solo hace un seguimiento de las conexiones activas. Los informes no reflejan el tráfico de máquina virtual que bloquean las reglas de firewall en el nivel de la vNIC.

Habilitar recopilación de datos en una sola máquina virtualDebe habilitar la recopilación de datos al menos cinco minutos antes de ejecutar un informe de Supervisión de actividad.

Requisitos previos

Procedimiento


2 Haga clic en vCenter y, a continuación, haga clic en Máquinas virtuales y plantillas (VMs and Templates).

3 Seleccione la máquina virtual en el panel de inventario de la izquierda.


5 Haga clic en NSX Activity Monitoring en el panel izquierdo.


7 En el cuadro de diálogo Editar configuración de recopilación de datos de NSX Activity Monitoring (Edit NSX Activity Monitoring Data Collection Settings), haga clic en Sí (Yes).

Habilitar recopilación de datos en varias máquinas virtualesEl grupo de seguridad Recopilación de datos de supervisión de actividad (Activity Monitoring Data Collection) es un grupo de seguridad predefinido. Puede agregar varias máquinas virtuales a la vez a este grupo de seguridad y la recopilación de datos se habilita en todas estas máquinas virtuales.

Debe habilitar la recopilación de datos al menos cinco minutos antes de ejecutar un informe de Supervisión de actividad.

Procedimiento




VMware, Inc. 495

3 Haga clic en la pestaña Grupos de seguridad (Security Groups).

4 Seleccione el grupo de seguridad Recopilación de datos de supervisión de actividad (Activity

Monitoring Data Collection) y haga clic en el icono Editar (Edit) ( ).

5 Siga los pasos del asistente para agregar máquinas virtuales al grupo de seguridad.

La recopilación de datos se habilita en todas las máquinas virtuales que agregó a este grupo de seguridad y se deshabilita en cualquier máquina virtual que haya excluido del grupo de seguridad.

Ver informe de actividad de la máquina virtualPuede ver el tráfico que circula hacia o desde una máquina virtual o un conjunto de máquinas virtuales del entorno.

Es posible hacer una consulta rápida mediante los criterios de búsqueda predeterminados si hace clic en Buscar (Search) o personalizar la búsqueda de acuerdo con sus requisitos.

Requisitos previos

n Guest Introspection debe estar instalado en el entorno.

n Debe tener un dominio registrado en NSX Manager. Para obtener información sobre el registro de dominios, consulte Registrar un dominio de Windows con NSX Manager.

n Debe estar habilitada la recopilación de datos en una o varias máquinas virtuales.

Procedimiento



3 Haga clic en la pestaña Actividad de máquina virtual (VM Activity).

4 Haga clic en el vínculo junto a Donde el origen (Where source). Seleccione las máquinas virtuales cuyo tráfico saliente desea ver. Indique si desea incluir o excluir la(s) máquina(s) virtual(es) seleccionada(s) del informe.

5 Haga clic en el vínculo junto a Donde el destino (Where destination). Seleccione las máquinas virtuales cuyo tráfico entrante desea ver. Indique si desea incluir o excluir la(s) máquina(s) virtual(es) seleccionada(s) del informe.

6 Haga clic en el icono Durante el período (During period) ( ) y seleccione el período de la búsqueda.


Resultados

Se muestran los resultados de la búsqueda filtrados por el criterio especificado. Haga clic en una fila para ver información detallada sobre el usuario de esa fila.


VMware, Inc. 496

Puede exportar un registro específico o todos los registros de la página y guardarlos en un directorio en

formato .csv; haga clic en el icono en la esquina inferior derecha de la página.

Ver actividad entrantePuede ver toda la actividad entrante en un servidor según el grupo de escritorios, el grupo de seguridad o el grupo de AD.

Figura 22-6. Ver actividad entrante

Grupo de escritorios

Grupo de seguridad

Grupo de AD


Requisitos previos




Procedimiento



3 Haga clic en la pestaña Actividad entrante (Inbound Activity).

4 Haga clic en el vínculo junto a Origen desde (Originating from).

5 Seleccione el tipo de grupo de usuarios cuya actividad desea ver.


VMware, Inc. 497

6 En Tipo de filtro (Filter type), seleccione uno o varios grupos y haga clic en Aceptar (OK).

7 En Donde la máquina virtual de destino (Where destination virtual machine) seleccione incluya (includes) o excluya (excludes) para indicar si las máquinas virtuales seleccionadas deben incluirse o excluirse en la búsqueda.

8 Haga clic en el vínculo junto a Y donde la máquina virtual de destino (And where destination virtual machine).

9 Seleccione una o varias máquinas virtuales y haga clic en Aceptar (OK).

10 En Y donde la aplicación de destino (And where destination application), seleccione incluya (includes) o excluya (excludes) para indicar si las aplicaciones seleccionadas deben incluirse o excluirse en la búsqueda.

11 Haga clic en el vínculo junto a Y donde la aplicación de destino (And where destination application).

12 Seleccione una o varias aplicaciones y haga clic en Aceptar (OK).



Resultados

Se muestran los resultados de la búsqueda filtrados por el criterio especificado. Haga clic en cualquier lugar de la tabla de resultados para ver información sobre los usuarios que accedieron a las aplicaciones y las máquinas virtuales especificadas.



Ver actividad salientePuede ver cuáles son las aplicaciones que está ejecutando un grupo de seguridad o un grupo de escritorios y, a continuación, ver los detalles en un informe para averiguar cuáles aplicaciones del cliente están estableciendo conexiones salientes mediante un grupo de usuarios en particular. También puede detectar todos los usuarios y grupos de usuarios que están accediendo a una aplicación determinada, lo cual permite determinar si se necesita ajustar el firewall de identidad del entorno.

Figura 22-7. Ver actividad saliente

VM VM VM VM

Requisitos previos



VMware, Inc. 498



Procedimiento



3 Asegúrese de que la pestaña Actividad saliente (Outbound Activity) esté seleccionada en el panel izquierdo.


Se muestran todos los grupos detectados mediante Guest Introspection.

5 Seleccione el tipo de grupo de usuarios cuya utilización de recursos desea ver.

6 En Filtro (Filter), seleccione uno o varios grupos y haga clic en Aceptar (OK).

7 En Donde la aplicación (Where application), seleccione incluya (includes) o excluya (excludes) para indicar si la aplicación seleccionada debe incluirse o excluirse en la búsqueda.

8 Haga clic en el vínculo junto a Donde la aplicación (Where application).

9 Seleccione una o varias aplicaciones y haga clic en Aceptar (OK).

10 En Y donde el destino (And where destination), seleccione incluya (includes) o excluya (excludes) para indicar si las máquinas virtuales seleccionadas deben incluirse o excluirse en la búsqueda.

11 Haga clic en el vínculo junto a Y donde el destino (And where destination).

12 Seleccione una o varias máquinas virtuales y haga clic en Aceptar (OK).



Desplácese hasta la derecha para ver toda la información presentada.

Resultados

Se muestran los resultados de la búsqueda filtrados por el criterio especificado. Haga clic en una fila para ver información sobre los usuarios del grupo de AD que utilizaron la aplicación especificada con el fin de acceder a las máquinas virtuales especificadas.




VMware, Inc. 499

Ver interacción entre contenedores de inventarioPuede ver el tráfico que circula entre los contenedores definidos, como grupos de AD, grupos de seguridad o grupos de escritorios. De este modo, puede identificar y configurar el acceso a servicios compartidos y resolver las relaciones mal configuradas entre las definiciones del contenedor del inventario, los grupos de escritorios y los grupos de AD.

Figura 22-8. Interacción entre contenedores

Grupo de ADde desarrolladores

Grupo de seguridadde desarrolladores


Requisitos previos




Procedimiento



3 Seleccione la pestaña Interacción entre contenedores (Inter Container Interaction) en el panel izquierdo.



5 Seleccione el tipo de grupo de usuarios cuya utilización de recursos desea ver.


7 En Donde el destino es (Where the destination is), seleccione es (is) o no es (is not) para indicar si el grupo seleccionado debe incluirse o excluirse de la búsqueda.

8 Haga clic en el vínculo junto a Donde el destino es (Where the destination is).

9 Seleccione el tipo de grupo.


VMware, Inc. 500




Resultados

Se muestran los resultados de la búsqueda filtrados por el criterio especificado. Haga clic en una fila para ver información sobre los usuarios que accedieron a los contenedores especificados.



Ejemplo: Consulta de interacción entre contenedores de inventarion Comprobar la comunicación permitida

Si se definieron contenedores en el inventario de vCenter y, luego, se agregó una regla para permitir la comunicación entre estos contenedores, se puede comprobar que la regla esté funcionando mediante la ejecución de esta consulta con dos contenedores especificados en los campos Origen desde (Originating from) y Donde el destino es (Where the destination is).

n Comprobar la comunicación denegada

Si se definieron contenedores en el inventario de vCenter y, luego, se agregó una regla para denegar la comunicación entre estos contenedores, se puede comprobar que la regla esté funcionando mediante la ejecución de esta consulta con dos contenedores especificados en los campos Origen desde (Originating from) y Donde el destino es (Where the destination is).

n Comprobar la comunicación denegada entre contenedores

Si se implementó una directiva que no permite la comunicación de los miembros de un contenedor con otros miembros del mismo contenedor, es posible ejecutar esta consulta para comprobar que la directiva esté funcionando. Seleccione el contenedor en los dos campos Origen desde (Originating from) y Donde el destino es (Where the destination is).

n Eliminar el acceso innecesario

Supongamos que se definieron contenedores en el inventario de vCenter y, luego, se agregó una regla para permitir la comunicación entre estos contenedores. Es posible que haya miembros en cada contenedor que no interactúen en absoluto con otro contenedor. Podrá optar, entonces, por quitar estos miembros del contenedor correspondiente a fin de optimizar el control de la seguridad. Para recuperar esta lista, seleccione los contenedores correspondientes en los campos Origen desde (Originating from) y Donde el destino es (Where the destination is). Seleccione no es (is not) junto al campo Donde el destino es (Where the destination is).


VMware, Inc. 501

Ver actividad de grupo de AD salientePuede ver el tráfico entre los miembros de los grupos de Active Directory definidos y puede utilizar estos datos para ajustar en detalle las reglas de firewall.


Requisitos previos




Procedimiento



3 Seleccione la pestaña Contenedores y grupos de AD (AD Groups & Containers) en el panel izquierdo.



5 Seleccione el tipo de grupo de usuarios que desea incluir en la búsqueda.


7 En Donde el grupo de AD (Where AD Group), seleccione incluya (includes) o excluya (excludes) para indicar si el grupo de AD seleccionado debe incluirse o excluirse en la búsqueda.

8 Haga clic en el vínculo junto a Donde el grupo de AD (Where AD Group).

9 Seleccione uno o varios grupos de AD y haga clic en Aceptar (OK).



Resultados

Se muestran los resultados de la búsqueda filtrados por el criterio especificado. Haga clic en una fila para ver información sobre los miembros del grupo de AD especificado que están accediendo a los recursos de red dentro del grupo de escritorios o el grupo de seguridad especificado.




VMware, Inc. 502

Anular recopilación de datosEn caso de que ocurra una emergencia, por ejemplo, una sobrecarga de red, puede desactivar la recopilación de datos a nivel global. De este modo, se anula cualquier otra configuración de recopilación de datos.

Procedimiento



3 Haga clic en la pestaña Configuración (Settings).

4 Seleccione la instancia de vCenter Server en la cual desea sobrescribir la recopilación de datos.


6 Desactive la casilla Recopilar datos de informes (Collect reporting data).


Recopilación de datos de supervisión de endpointsLa supervisión de endpoints permite a los usuarios asignar procesos específicos incluidos en el sistema operativo invitado a las conexiones de red que los procesos están utilizando.

Nota Una vez recopilados los datos, se eliminan diariamente a las 2:00 de la mañana. Durante la eliminación de datos, se comprueba el número de registros de flujo de todas las sesiones juntas y los registros que sobrepasen los 20 millones (o ~ 4 GB) se eliminan. La eliminación comienza por la sesión más antigua y continúa hasta que la cantidad de registros de flujo de la base de datos esté por debajo de los 15 millones de registros. Si hay alguna sesión en curso durante la eliminación de datos, es posible que algunos registros se pierdan.

Requisitos previos

n La supervisión de endpoints es compatible con los siguientes sistemas operativos de Windows:

Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows 2008, Windows 2008 R2, Windows 2012, Windows 10 y Windows 2016. No es compatible con Linux.

n Guest Introspection debe estar instalada en máquinas virtuales (VM).

n VMware Tools debe estar actualizado y en ejecución en las máquinas virtuales de escritorio de Windows.

n Se necesitan grupos de seguridad con 20 o menos VM para recopilar datos antes de que pueda empezar la supervisión de endpoints. Consulte Crear un grupo de seguridad para obtener más información.


VMware, Inc. 503

n La recopilación de datos debe habilitarse para una o varias máquinas virtuales en un vCenter Server antes de ejecutar un informe de supervisión de endpoints. Antes de ejecutar un informe, compruebe que las máquinas virtuales habilitadas estén activas y generen tráfico de red.

Procedimiento

1 Inicie sesión en vSphere Web Client y a continuación seleccione Redes y seguridad (Networking & Security) del panel de navegación izquierdo.

2 Seleccione Supervisión de endpoints (Endpoint Monitoring).

3 En la pestaña Resumen (Summary), haga clic en Comenzar a recopilar datos (Start Collecting Data).

4 En la ventana emergente Comenzar a recopilar datos para grupos de seguridad (Start Data Collection for Security Groups), seleccione los grupos de seguridad para los que desea recopilar los datos. Haga clic en Aceptar (OK).

Las VM se enumeran en el cuadro de campo.

5 Active la recopilación de datos (ON).


Se muestra la pantalla principal Supervisión de endpoints (Endpoint Monitoring). En la esquina inferior izquierda el estado es Recopilando datos (Collecting Data).

7 Haga clic en Detener recopilación de datos (Stop Collecting Data) para finalizar la recopilación de datos.

Se muestra la pantalla Supervisión de endpoints (EndPoint Monitoring) con la pestaña Resumen (Summary) rellenada de datos.

Supervisión de endpointsLa supervisión de endpoints permite la visibilidad de los procesos de aplicación específicos y sus conexiones de red asociadas.

.

Pestaña Resumen (Summary)Una vez que se haya completado la recopilación d datos, la pantalla de resumen mostrará los detalles de NSX Manager, el grupo de seguridad y el intervalo de tiempo de los datos recopilados. El número de máquinas virtuales (VM) en funcionamiento y el número total de procesos que generan tráfico se muestra en el primer cuadro. Si hace clic en el número de máquinas virtuales en funcionamiento, se abrirá la pestaña Flujos de VM (VM Flows), que se describe debajo. Si hace clic en el número de procesos que generan tráfico, accederá a la pestaña Flujos de procesos (Process Flows), que se describe debajo.

El segundo cuadro muestra un anillo con el número total de flujos. Un flujo es un flujo único de tráfico de red identificado por su tipo de paquetes, IP de origen y destino y puerto. Pase el cursor por encima de cada sección y se mostrará el número de flujos dentro o fuera del grupo de seguridad.


VMware, Inc. 504

Pestaña Flujos de VM (VM Flows Tab)Esta pantalla muestra los detalles de los flujos dentro de las VM, incluyendo:

n Nombre de VM (VM name): nombre de la VM que se está supervisando.

n Flujos dentro del grupo de seguridad (Flows within security group): tráfico que fluye entre las VM, donde el origen o destino se encuentra dentro del grupo de seguridad supervisado.

n Flujos fuera del grupo de seguridad (Flows outside security group): tráfico que fluye entre las VM, donde el origen o destino se encuentra fuera del grupo de seguridad supervisado.

n Flujos de servicios compartidos fuera del grupo (Shared service flows outside group): flujos de servicios compartidos, como DHCP, LDAP, DNS o NTP, fuera del grupo de seguridad supervisado.

n Flujos de servicios compartidos dentro del grupo de seguridad (Shared service flows inside security group): flujos de servicios compartidos, como DHCP, LDAP, DNS o NTP, dentro del grupo de seguridad supervisado.

Si se hace clic en el nombre de una VM determinada en la tabla, se muestra una gráfica de burbujas que indica lo siguiente:

n flujos entre VM en el mismo grupo de seguridad

n flujos que contienen servicios compartidos

n flujos entre diferentes grupos de seguridad

Haga clic en una burbuja para ver los detalles de la VM. La vista detallada de flujos incluye el nombre del proceso, la versión y el número de flujos que genera cada proceso. Si contiene servicios compartidos, se mostrará un icono especial. Si se hace clic en una línea entre dos burbujas de VM, se muestran los detalles de los flujos de procesos de los flujos que hay entre esas dos VM, incluyendo:

n Proceso de origen (Source process): nombre de la aplicación/archivo .exe que genera el tráfico e inicia el flujo.

n Versión de origen (Source version): versión del archivo de origen.

n Protocolo (Protocol): TCP.

n Proceso de destino (Destination process): nombre de la aplicación de servidor/archivo .exe del proceso que es el destino del flujo.

n Puerto de destino (Destination port): número de puerto de destino.

Pestaña Flujos de proceso (Process Flows Tab)En esta pantalla se muestra una lista de las aplicaciones que generan flujos. La tabla muestra lo siguiente:

n Nombre del proceso (Process Name): nombre de la aplicación que genera el tráfico.

n Nombre de máquina virtual

n Flujos dentro del grupo de seguridad (Flows within security group): tráfico que fluye entre las VM, donde el origen o destino se encuentra dentro del grupo de seguridad supervisado.


VMware, Inc. 505

n Flujos fuera del grupo de seguridad (Flows outside security group): tráfico que fluye entre las VM, donde el origen o destino se encuentra fuera del grupo de seguridad supervisado.

n Flujos compartidos dentro del grupo de seguridad (Shared flows within security group): Flujos compartidos dentro del grupo de seguridad supervisado.

n Flujos compartidos fuera del grupo de seguridad (Shared flows within security group): Flujos compartidos fuera del grupo de seguridad supervisado.

La gráfica de burbujas representa los flujos que se producen con el proceso o la aplicación en la VM seleccionada como el anclaje. Haga clic en cualquiera de las burbujas para ver la versión y el nombre del proceso. Haga clic en cualquier línea para que se muestre lo siguiente:

n VM de origen (Source VM): nombre de la VM de cliente que aloja el proceso de cliente.

n IP de origen (Source IP): dirección IP del flujo.

n Protocolo (Protocol): TCP.

n VM de destino (Destination VM): nombre de la VM de servidor que aloja el proceso de servidor.

n IP de destino (Destination IP): dirección IP de destino.

n Puerto de destino (Destination port): número de puerto de destino.

TraceflowTraceflow es una herramienta de solución de problemas que proporciona la capacidad de inyectar un paquete y observar dónde se lo ve a medida que circula por la red física y lógica. Las observaciones permiten determinar información sobre la red, como la identificación de un nodo que está fuera de servicio o una regla de firewall que está impidiendo que un paquete sea recibido en su destino.

Acerca de TraceflowTraceflow inyecta paquetes en el puerto de una instancia de vSphere Distributed Switch (VDS) y ofrece varios puntos de observación en toda la ruta que sigue el paquete en las entidades físicas y lógicas (como hosts ESXi, conmutadores lógicos y enrutadores lógicos) en las redes superpuestas y subordinadas. Esto permite identificar qué ruta (o rutas) toma un paquete para llegar a su destino o, de manera inversa, en qué parte del trayecto se descarta un paquete. Cada entidad informa sobre la entrega del paquete en la entrada y la salida, por lo que es posible determinar si se producen problemas al recibir un paquete o al reenviarlo.

Tenga en cuenta que una instancia de Traceflow no es lo mismo que la respuesta o la solicitud de ping que va de una pila de la máquina virtual invitada a otra. Lo que Traceflow hace es observar un paquete marcado mientras atraviesa la red superpuesta. Cada paquete se supervisa mientras atraviesa la red superpuesta hasta que llega a la máquina virtual invitada de destino y se pueda entregar en esta. Sin embargo, el paquete inyectado de Traceflow nunca se entrega a la máquina virtual invitada de destino. Esto significa que una instancia de Traceflow se puede entregar correctamente cuando la máquina virtual invitada esté apagada.


VMware, Inc. 506

Traceflow admite los siguientes tipos de tráfico:

n Unidifusión de Capa 2

n Unidifusión de Capa 3

n Difusión de Capa 2

n Multidifusión de Capa 2

Puede construir paquetes con campos de encabezado y tamaños de paquete personalizados. El origen de Traceflow siempre es una NIC de máquina virtual (vNIC). El extremo de destino puede ser cualquier dispositivo de la red superpuesta o subordinada de NSX. Sin embargo, no puede seleccionar un destino que esté por encima de una puerta de enlace de servicios de NSX Edge (ESG). El destino debe estar en la misma subred o debe ser accesible mediante enrutadores lógicos distribuidos de NSX.

La operación de Traceflow se considera de Capa 2 si las vNIC de origen y destino están en el mismo dominio de Capa 2. En NSX, esto significa que están en el mismo identificador de red de VXLAN (identificador de segmento o VNI). Esto sucede, por ejemplo, cuando hay dos máquinas virtuales conectadas al mismo conmutador lógico.

Si el puente de NSX se configura, los paquetes de Capa 2 desconocidos se envían siempre al puente. Normalmente, el puente reenvía estos paquetes a una VLAN e informa de que el paquete de Traceflow se ha entregado. El hecho de que un paquete se marque como entregado no implica necesariamente que el paquete de seguimiento se haya entregado al destino especificado.

Para el tráfico de unidifusión de Traceflow de Capa 3, los dos extremos están en conmutadores lógicos diferentes y tienen VNI diferentes conectadas a un enrutador lógico distribuido (Distributed Logical Router, DLR).

Para el tráfico de multidifusión, el origen es una vNIC de máquina virtual y el destino es una dirección de grupo de multidifusión.

Las observaciones de Traceflow pueden incluir las observaciones de los paquetes difundidos de Traceflow. El host ESXi difunde un paquete de Traceflow si no conoce las direcciones MAC del host de destino. Para el tráfico de difusión, el origen es una vNIC de máquina virtual. La dirección MAC de destino de Capa 2 para el tráfico de difusión es FF:FF:FF:FF:FF:FF. Si desea crear un paquete válido para la inspección de firewall, la operación de Traceflow de difusión requiere una longitud de prefijo de subred. La máscara de subred permite que NSX calcule una dirección de red IP para el paquete.

Precaución Según la cantidad de puertos lógicos en la implementación, las operaciones de difusión y multidifusión de Traceflow generan un alto volumen de tráfico.

Hay dos maneras de utilizar Traceflow: mediante la API y con la interfaz gráfica de usuario. La API es la misma que utiliza la interfaz gráfica de usuario, salvo que la API permite especificar la configuración exacta dentro del paquete, mientras que la interfaz gráfica de usuario tiene una configuración más limitada.

La interfaz gráfica de usuario permite establecer los siguientes valores:

n Protocolo: TCP, UDP, ICMP.


VMware, Inc. 507

n Tiempo de vida (TTL). El valor predeterminado es 64 saltos.

n Números de puerto de origen y destino TCP y UDP. El valor predeterminado es 0.

n Marcas TCP.

n Número de secuencia e identificador ICMP. De forma predeterminada, ambos valores son 0.

n Un tiempo de espera de expiración, en milisegundos (ms), para la operación de Traceflow. El valor predeterminado es 10.000 milisegundos.

n Tamaño de la trama Ethernet. El valor predeterminado es 128 bytes por trama. El tamaño de trama máximo es 1.000 bytes por trama.

n Codificación de carga útil. El valor predeterminado es Base64.

n Valor de carga útil.

Utilizar Traceflow para la solución de problemasHay varias situaciones donde Traceflow resulta útil.

Traceflow resulta útil en las siguientes situaciones:

n Solución de problemas y errores de redes para ver la ruta de acceso exacta del tráfico.

n Supervisión de rendimiento para ver la utilización de vínculos.

n Planificación de redes para ver cómo se comporta una red cuando está en producción.

Requisitos previos

n Las operaciones de Traceflow requieren la comunicación entre vCenter, NSX Manager, el clúster de NSX Controller y los agentes del ámbito del usuario netcpa de los hosts.

n Para que Traceflow trabaje correctamente, asegúrese de que el clúster del controlador está conectado y en buen estado.


VMware, Inc. 508

Procedimiento

1 En vCenter Web Client, desplácese hasta Inicio > Redes y seguridad > Traceflow (Home > Networking & Security > Traceflow).

2 Seleccione el tipo de tráfico: unidifusión, difusión o multidifusión.

3 Seleccione la vNIC de la máquina virtual de origen.

Si la máquina virtual se administra en la misma instancia de vCenter Server donde se está ejecutando Traceflow, puede seleccionar la máquina virtual y la vNIC de una lista.

4 Para el tipo de Traceflow con unidifusión, introduzca la información de la vNIC de destino.

El destino puede ser la vNIC de cualquier dispositivo en la superposición o subordinación de NSX, como un host, una máquina virtual, un enrutador lógico o una puerta de enlace de servicios Edge. Si el destino es una máquina virtual que está ejecutando VMware Tools y se administra en la misma instancia de vCenter Server donde se está ejecutando Traceflow, puede seleccionar la máquina virtual y la vNIC de la lista.

De lo contrario, deberá introducir la dirección IP de destino (y la dirección MAC de una instancia de Traceflow de Capa 2 y unidifusión). Puede recopilar esta información desde el propio dispositivo en la consola de dispositivos o desde una sesión de SSH. Por ejemplo, en una máquina virtual Linux, puede obtener la dirección IP o MAC si ejecuta el comando ifconfig en el terminal Linux. En un enrutador lógico o puerta de enlace de servicios de Edge, puede recopilar la información con el comando de la CLI show interface.

5 En una instancia de Traceflow de Capa 2 y difusión, introduzca la longitud del prefijo de subred.

El paquete se cambia únicamente en función de la dirección MAC. La dirección MAC de destino es FF:FF:FF:FF:FF:FF.

Se requieren tanto la dirección IP de origen como la de destino para que el paquete de IP sea válido para la inspección de firewall.


VMware, Inc. 509

6 En una instancia de Traceflow de Capa 2 y multidifusión, introduzca la dirección del grupo de multidifusión.

El paquete se cambia únicamente en función de la dirección MAC.

Se requieren tanto la dirección IP de origen como la de destino para que el paquete de IP sea válido. En el caso de una instancia de multidifusión, la dirección MAC se deduce de la dirección IP.

7 Configure otros parámetros opcionales y obligatorios.

8 Haga clic en Rastrear (Trace).

Ejemplo: SituacionesEl siguiente ejemplo muestra una instancia de Traceflow de Capa 2 donde participan dos máquinas virtuales que se están ejecutando en un único host ESXi. Las dos máquinas virtuales están conectadas a un único conmutador lógico.

El siguiente ejemplo muestra una instancia de Traceflow de Capa 2 donde participan dos máquinas virtuales que se están ejecutando en dos hosts ESXi diferentes. Las dos máquinas virtuales están conectadas a un único conmutador lógico.


VMware, Inc. 510

El siguiente ejemplo muestra una instancia de Traceflow de Capa 3. Las dos máquinas virtuales están conectadas a dos conmutadores lógicos diferentes que están separados por un enrutador lógico.


VMware, Inc. 511

El siguiente ejemplo muestra una instancia de Traceflow de difusión en una implementación que tiene tres máquinas virtuales conectadas a un único conmutador lógico. Dos de las máquinas virtuales están en un host (esx-01a) y la tercera está en otro host (esx-02a). La difusión se envía desde una de las máquinas virtuales del host 192.168.210.53.


VMware, Inc. 512

El siguiente ejemplo muestra qué sucede cuando se envía tráfico de multidifusión en una implementación que tiene configurada la multidifusión.


VMware, Inc. 513

El siguiente ejemplo muestra qué sucede cuando cae una instancia de Traceflow por una regla de Distributed Firewall que bloquea el tráfico ICMP enviado a la dirección de destino. Tenga en cuenta que el tráfico nunca sale del host original, incluso aunque la máquina virtual de destino esté en otro host.


VMware, Inc. 514

El siguiente ejemplo muestra qué sucede cuando una instancia de Traceflow de destino está del otro lado de la puerta de enlace de servicios Edge, como una dirección IP en Internet o cualquier destino interno que debe enrutarse a través de la puerta de enlace. No se permite Traceflow, por diseño, porque es compatible con destinos que están en la misma subred o a los que se pueden llegar a través de enrutadores lógicos distribuidos (DLR).

El siguiente ejemplo muestra qué sucede cuando la instancia de Traceflow de destino es una máquina virtual que se encuentra en otra subred y está apagada.


VMware, Inc. 515

Guía de administración de NSX - VMware NSX Data Center for ...€¦ · Ver el identificador de...

Documents

Transcript of Guía de administración de NSX - VMware NSX Data Center for ...€¦ · Ver el identificador de...