Guía de administraciónde NSXActualización 3Modificado el 20 de noviembre de 2017VMware NSX for vSphere 6.2
Guía de administración de NSX
VMware, Inc. 2
Puede encontrar la documentación técnica más actualizada en el sitio web de VMware en:
https://docs.vmware.com/es/
Si tiene algún comentario sobre esta documentación, envíelo a la siguiente dirección de correo electrónico:
Copyright © 2010 – 2017 VMware, Inc. Todos los derechos reservados. Copyright e información de marca registrada.
VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com
VMware, Inc.Paseo de la Castellana 141. Planta 8.28046 Madrid.Tel.:+ 34 91 418 58 01Fax: + 34 91 418 50 55www.vmware.com/es
Contenido
Guía de administración de NSX 8
1 Requisitos del sistema para NSX 9
2 Puertos y protocolos requeridos por NSX 11
3 Descripción general de NSX 15
Componentes de NSX 17
NSX Edge 20
NSX Services 22
4 Descripción general de Cross-vCenter Networking and Security 25
Beneficios de Cross-vCenter NSX 25
Cómo funciona Cross-vCenter NSX 26
Matriz de compatibilidad de NSX Services en Cross-vCenter NSX 28
Clúster de controladoras universal 29
Zona de transporte universal 29
Conmutadores lógicos universales 29
Enrutadores lógicos (distribuidos) universales 30
Reglas de firewall universal 30
Objetos de seguridad y red universal 31
Topologías de Cross-vCenter NSX 31
Modificar los roles de NSX Manager 36
5 Zonas de transporte 37
Agregar una zona de transporte 39
Ver y editar una zona de transporte 41
Expandir una zona de transporte 42
Contraer una zona de transporte 42
6 Conmutadores lógicos 43
Agregar un conmutador lógico 44
Conectar máquinas virtuales a un conmutador lógico 50
Probar la conectividad del conmutador lógico 50
Evitar la suplantación en un conmutador lógico 51
Editar un conmutador lógico 51
Escenario del conmutador lógico 52
VMware, Inc. 3
7 Configurar una puerta de enlace de hardware 57Escenario: configuración de ejemplo de puerta de enlace de hardware 58
8 Puentes L2 65
Agregar puente de Capa 2 66
Agregar un puente de Capa 2 a un entorno con enrutamiento lógico 66
9 Enrutamiento 68
Agregar un enrutador lógico (distribuido) 69
Agregar una puerta de enlace de servicios Edge 83
Especificar una configuración global 94
Configuración de NSX Edge 96
Agregar una ruta estática 115
Configurar OSPF en un enrutador lógico (distribuido) 116
Configurar el protocolo OSPF en una puerta de enlace de servicios Edge 123
Configurar BGP 131
Configurar el protocolo IS-IS 136
Configurar la redistribución de rutas 137
Ver el identificador de configuración local de NSX Manager 138
Configurar el identificador de configuración regional en un enrutador lógico universal (distribuido) 139
Configurar el identificador de configuración regional en un host o un clúster 140
10 Firewall lógico 141
Distributed Firewall 141
Firewall de Edge 144
Trabajar con secciones de reglas de firewall 144
Trabajar con reglas de firewall 146
Excluir las máquinas virtuales de la protección de firewall 162
Detección de IP para máquinas virtuales 163
Ver eventos de umbral de memoria y CPU del firewall 164
Registros de firewall 165
Trabajar con reglas de firewall de NSX Edge 167
11 Introducción al firewall de identidad 176
Flujo de trabajo del firewall de identidad 177
12 Trabajar con dominios de Active Directory 178
Registrar un dominio de Windows con NSX Manager 178
Sincronizar un dominio de Windows con Active Directory 180
Editar un dominio de Windows 180
Habilitar el acceso al registro de seguridad de solo lectura en Windows 2008 181
Comprobar los privilegios de Directory 182
Guía de administración de NSX
VMware, Inc. 4
13 Utilizar SpoofGuard 183
Crear una directiva SpoofGuard 184
Aprobar direcciones IP 185
Editar una dirección IP 186
Borrar una dirección IP 187
14 Redes privadas virtuales (VPN) 188
Descripción general de SSL VPN-Plus 188
Descripción general de IPsec VPN 218
Descripción general de VPN de Capa 2 225
15 Equilibrador de carga lógico 236
Configurar equilibrio de carga 237
Administrar perfiles de aplicaciones 256
Administrar monitores de servicio 258
Administrar grupos de servidores 259
Administrar servidores virtuales 260
Administrar reglas de aplicaciones 261
Servidores web de equilibrio de carga que utilizan autenticación NTLM 263
Escenarios de configuración del equilibrador de carga de NSX 263
16 Otros servicios Edge 274
Administrar servicio DHCP 274
Configurar retransmisión de DHCP 278
Configurar servidores DNS 280
17 Service Composer 282
Utilizar Service Composer 284
Vista gráfica de Service Composer 293
Trabajar con etiquetas de seguridad 296
Ver servicios efectivos 298
Trabajar con directivas de seguridad 300
Editar un grupo de seguridad 301
Situaciones de Service Composer 302
18 Guest Introspection 308
Instalar Guest Introspection 309
Ver el estado de Guest Introspection 313
Alarmas de Guest Introspection 313
Eventos de Guest Introspection 314
Mensajes de auditoría de Guest Introspection 315
Guía de administración de NSX
VMware, Inc. 5
Recopilar información para solucionar problemas de Guest Introspection 316
Desinstalar un módulo de Guest Introspection 316
19 Data Security 317
Instalar NSX Data Security 318
Roles del usuario de NSX Data Security 319
Definir una directiva de seguridad de datos 320
Ejecutar una exploración de Data Security 322
Ver y descargar informes 323
Crear expresiones regulares 323
Desinstalar NSX Data Security 324
20 Extensibilidad de la red 325
Inserción de servicio distribuido 326
Inserción de servicio basado en Edge 326
Integrar servicios de terceros 326
Implementar un servicio de partner 327
Consumir servicios del proveedor mediante Service Composer 328
Redireccionar el tráfico a la solución de un proveedor mediante el firewall lógico 329
Usar el equilibrador de carga de un partner 330
Quitar integración de terceros 330
21 Administración de usuarios 332
Usuarios y permisos de NSX según la función 332
Configurar Single Sign-On 347
Administrar derechos de usuario 349
Administrar la cuenta de usuario predeterminado 350
Asignar una función a un usuario de vCenter 350
Editar una cuenta de usuario 353
Cambiar un rol de usuario 354
Deshabilitar o habilitar una cuenta de usuario 354
Eliminar una cuenta de usuario 355
22 Objetos de seguridad y red 356
Trabajar con grupos de direcciones IP 356
Trabajar con grupos de direcciones MAC 358
Trabajar con grupos de direcciones IP 359
Trabajar con grupos de seguridad 361
Trabajar con servicios y grupos de servicios 365
23 Operaciones y administración 368
Cambiar la contraseña de la controladora 368
Guía de administración de NSX
VMware, Inc. 6
Recuperación de un error de NSX Controller 369
Cambiar el puerto de VXLAN 370
Comprobar estado del canal de comunicación 372
Programa de mejora de la experiencia de cliente 372
Eventos del sistema y registros de auditoría 373
Configuración del sistema de administración 379
Trabajar con traps SNMP 386
Copia de seguridad y restauración de NSX 390
Flow Monitoring 395
Supervisión de actividad 401
Traceflow 417
24 Ejemplos de configuración de la VPN de NSX Edge 427
Terminología 428
Fase 1 y fase 2 de IKE 428
Ejemplo de configuración del servicio IPsec VPN 430
Usar un enrutador de servicios integrados Cisco 2821 433
Usar Cisco ASA 5510 436
Configurar WatchGuard Firebox X500 438
Ejemplo de solución de problemas con la configuración de NSX Edge 439
Guía de administración de NSX
VMware, Inc. 7
Guía de administración de NSX
En la Guía de administración de NSX se describe cómo configurar, supervisar y mantener el sistemaVMware® NSX™ mediante la interfaz de usuario de NSX Manager y vSphere Web Client. La informaciónincluye instrucciones de configuración paso a paso y prácticas recomendadas.
Público objetivoEste manual está previsto para quienes desean instalar o utilizar NSX en un entorno de VMware vCenter.La información de este manual está escrita para administradores de sistemas con experiencia que esténfamiliarizados con la tecnología de máquinas virtuales y las operaciones de centros de datos. Estemanual da por sentado que el usuario está familiarizado con VMware Infrastructure 5.x, incluidosVMware ESX, vCenter Server y vSphere Web Client.
Glosario de publicaciones técnicas de VMwarePublicaciones técnicas de VMware proporciona un glosario de términos que podrían resultarledesconocidos. Si desea ver las definiciones de los términos que se utilizan en la documentación técnicade VMware, acceda a la página http://www.vmware.com/support/pubs.
VMware, Inc. 8
Requisitos del sistema para NSX 1Antes de instalar o actualizar NSX, tenga en cuenta los recursos y la configuración de red. Puede instalarun NSX Manager por cada vCenter Server, una instancia de Guest Introspection y Data Security porcada host ESX™ y varias instancias de NSX Edge por cada centro de datos.
HardwareTabla 1‑1. Requisitos de hardware
Dispositivo Memoria vCPU Espacio en disco
NSX Manager 16 GB (24 GB con ciertos tamañosde implementación de NSX*)
4 GB (8 GB con ciertostamaños de implementaciónde NSX*)
60 GB
NSX Controller 4 GB 4 20 GB
NSX Edge n Compacto: 512 MBn Grande: 1 GBn Cuádruple: 1 GBn Extra grande: 8 GB
n Compacto: 1n Grande: 2n Tamaño cuádruple: 4n Extra grande: 6
n Compacto: 1 disco de 500 MBn Grande: 1 disco de 500 MB + 1
disco de 512 MBn Cuádruple: 1 disco de 500 MB + 1
disco de 512 MBn Extra grande: 1 disco de 500 MB
+ 1 disco de 2 GB
GuestIntrospection
1 GB 2 4 GB
NSX DataSecurity
512 MB 1 6 GB por host ESXi
Como regla general, debe aumentar los recursos de NSX Manager a 8 vCPU y 24 GB de RAM si suentorno administrado de NSX contiene más de 256 hipervisores o más de 2.000 máquinas virtuales.
Para conocer los detalles de tamaño específicos, póngase en contacto con el servicio de soporte técnicode VMware.
Para obtener información sobre aumentar la asignación de memoria y vCPU para sus dispositivosvirtuales, consulte Asignar recursos de memoria y Cambiar el número de CPU virtuales enAdministración de máquinas virtuales de vSphere.
VMware, Inc. 9
SoftwarePara ver la información de interoperabilidad más reciente, consulte la sección sobre matrices deinteroperabilidad del producto en http://partnerweb.vmware.com/comp_guide/sim/interop_matrix.php.
Para conocer las versiones recomendadas de NSX, vCenter Server y ESXi, consulte las notas de laversión en https://docs.vmware.com/en/VMware-NSX-for-vSphere/index.html.
Tenga en cuenta que para que una instancia de NSX Manager participe en una implementación deCross-vCenter NSX, se deben dar las condiciones siguientes:
Componente Versión
NSX Manager 6.2 o posterior
NSX Controller 6.2 o posterior
vCenter Server 6.0 o posterior
ESXi n ESXi 6.0 o versiones posterioresn Clústeres de host que cuentan con NSX 6.2 o VIB
posteriores
Para administrar todas las instancias de NSX Manager en una implementación de Cross-vCenter NSXdesde una sola instancia de vSphere Web Client, debe conectar vCenter Server en Enhanced LinkedMode. Consulte Usar Modo vinculado mejorado (Enhanced Linked Mode) en Administración de vCenterServer y hosts .
Para comprobar la compatibilidad de las soluciones de partners con NSX, consulte la Guía decompatibilidad de VMware para Networking and Security en http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security.
Acceso de clientes y usuariosn Si agregó hosts ESXi por nombre al inventario de vSphere, compruebe que la resolución de nombres
directa o inversa está funcionando. De lo contrario, NSX Manager no puede resolver lasdirecciones IP.
n Permisos para agregar y encender máquinas virtuales.
n Acceda al almacén de datos en el que almacena archivos de máquina virtual y a los permisos decuenta para copiar los archivos en ese almacén de datos.
n Cookies habilitadas en el explorador web, para acceder a la interfaz de usuario de NSX Manager.
n En NSX Manager, compruebe que se puede acceder al puerto 443 desde el host ESXi, el servidorvCenter Server y los dispositivos NSX que se implementarán. Este puerto debe descargar el archivoOVF en el host ESXi para la implementación.
n Un navegador web que sea compatible con la versión de vSphere Web Client que está utilizando.Consulte Usar vSphere Web Client en la documentación de Administración de vCenter Server yhosts para obtener información detallada.
Guía de administración de NSX
VMware, Inc. 10
Puertos y protocolos requeridospor NSX 2Los puertos siguientes deben estar abiertos para que NSX funcione correctamente.
Tabla 2‑1. Puertos y protocolos requeridos por NSX
Origen Destino PuertoProtocolo(Protocol) Propósito Sensible TLS Autenticación
PC cliente NSX Manager 443 TCP Interfazadministrativa deNSX Manager
No Sí Autenticación PAM
PC cliente NSX Manager 80 TCP Acceso a VIB deNSX Manager
No No Autenticación PAM
Host ESXi vCenter Server 443 TCP Preparación delhost ESXi
No No
vCenter Server Host ESXi 443 TCP Preparación delhost ESXi
No No
Host ESXi NSX Manager 5671 TCP RabbitMQ No Sí Usuario ycontraseña deRabbitMQ
Host ESXi NSX Controller 1234 TCP Conexión delagente del ámbitodel usuario
No Sí
NSX Controller NSX Controller 2878,2888,3888
TCP Clúster decontroladores,sincronización deestado
No Sí IPsec
NSX Controller NSX Controller 7777 TCP Puerto RPC entrecontroladores
No Sí IPsec
NSX Controller NSX Controller 30865 TCP Clúster decontroladores,sincronización deestado
No Sí IPsec
NSX Manager NSX Controller 443 TCP Comunicación decontrolador aManager
No Sí Usuario/contraseña
NSX Manager vCenter Server 443 TCP vSphere WebAccess
No Sí
VMware, Inc. 11
Tabla 2‑1. Puertos y protocolos requeridos por NSX (Continua)
Origen Destino PuertoProtocolo(Protocol) Propósito Sensible TLS Autenticación
NSX Manager vCenter Server 902 TCP vSphere WebAccess
No Sí
NSX Manager Host ESXi 443 TCP Conexión deaprovisionamiento yadministración
No Sí
NSX Manager Host ESXi 902 TCP Conexión deaprovisionamiento yadministración
No Sí
NSX Manager Servidor DNS 53 TCP Conexión de clienteDNS
No No
NSX Manager Servidor DNS 53 UDP Conexión de clienteDNS
No No
NSX Manager Servidor syslog 514 TCP Conexión de Syslog No No
NSX Manager Servidor syslog 514 UDP Conexión de Syslog No No
NSX Manager Servidor horarioNTP
123 TCP Conexión de clienteNTP
No Sí
NSX Manager Servidor horarioNTP
123 UDP Conexión de clienteNTP
No Sí
vCenter Server NSX Manager 80 TCP Preparación delhost
No Sí
Cliente REST NSX Manager 443 TCP API de REST deNSX Manager
No Sí Usuario/contraseña
Guía de administración de NSX
VMware, Inc. 12
Tabla 2‑1. Puertos y protocolos requeridos por NSX (Continua)
Origen Destino PuertoProtocolo(Protocol) Propósito Sensible TLS Autenticación
Terminal de túnelde VXLAN(VTEP)
Terminal detúnel de VXLAN(VTEP)
8472(valorpredeterminadoantesdeNSX6.2.3)o 4789(valorpredeterminado enlasinstalacionesnuevas deNSX6.2.3 yversionesposteriores)
UDP Encapsulación dered de transporteentre VTEP
No Sí
Host ESXi Host ESXi 6999 UDP ARP en LIF deVLAN
No Sí
Host ESXi NSX Manager 8301,8302
UDP Sincronización deDVS
No Sí
NSX Manager Host ESXi 8301,8302
UDP Sincronización deDVS
No Sí
Máquina virtualde GuestIntrospection
NSX Manager 5671 TCP RabbitMQ No Sí Usuario ycontraseña deRabbitMQ
NSX Managerprincipal
NSX Managersecundario
443 TCP Servicio desincronizaciónUniversal de Cross-vCenter NSX
No Sí
NSX Managerprincipal
vCenter Server 443 TCP vSphere API No Sí
NSX Managersecundario
vCenter Server 443 TCP vSphere API No Sí
NSX Managerprincipal
Clúster decontroladoresuniversal deNSX
443 TCP API de REST deNSX Controller
No Sí Usuario/contraseña
Guía de administración de NSX
VMware, Inc. 13
Tabla 2‑1. Puertos y protocolos requeridos por NSX (Continua)
Origen Destino PuertoProtocolo(Protocol) Propósito Sensible TLS Autenticación
NSX Managersecundario
Clúster decontroladoresuniversal deNSX
443 TCP API de REST deNSX Controller
No Sí Usuario/contraseña
Host ESXi Clúster decontroladoresuniversal deNSX
1234 TCP Protocolo del planode control de NSX
No Sí
Host ESXi NSX Managerprincipal
5671 TCP RabbitMQ No Sí Usuario ycontraseña deRabbitMQ
Host ESXi NSX Managersecundario
5671 TCP RabbitMQ No Sí Usuario ycontraseña deRabbitMQ
Puertos para Cross-vCenter NSX y Enhanced Linked ModeSi tiene un entorno de Cross-vCenter NSX y los sistemas de vCenter Server están en modo EnhancedLinked Mode, cada dispositivo de NSX Manager debe tener la conectividad requerida por cada sistemade vCenter Server del entorno con el fin de administrar cualquier NSX Manager desde cualquier sistemade vCenter Server.
Guía de administración de NSX
VMware, Inc. 14
Descripción general de NSX 3Las organizaciones de TI han obtenido beneficios importantes como resultado directo de la virtualizaciónde servidores. La consolidación de servidores redujo la complejidad física, aumentó la eficienciaoperativa y la capacidad de reasignar dinámicamente los recursos subyacentes para cumplir, de formarápida y óptima, con las necesidades de las aplicaciones empresariales cada vez más dinámicas.
La arquitectura del centro de datos definido por software (SDDC) de VMware ahora extiende lastecnologías de virtualización a toda la infraestructura del centro de datos físico. VMware NSX®, laplataforma de virtualización de red, es un producto clave de la arquitectura de SDDC. Con NSX, lavirtualización aporta a las redes lo que ya se ofrece en términos de capacidad informática yalmacenamiento. De modo muy similar en que la virtualización del servidor crea, elimina, restaura deforma programática y crea instantáneas de máquinas virtuales basadas en software, la virtualización dered de NSX crea, elimina, restaura y crea instantáneas de redes virtuales basadas en software. Elresultado es un enfoque de redes completamente transformador que no solo permite que losadministradores del centro de datos alcancen muchísima mayor agilidad y mejor economía, sino quetambién permite la implementación de un modelo operativo muy simplificado para la red físicasubyacente. Gracias a que se puede implementar en cualquier red IP, incluidos los modelos de redestradicionales existentes y las arquitecturas de tejido de última generación de cualquier proveedor, NSXes una solución que no provoca interrupciones. En efecto, con NSX, la infraestructura de red físicaexistente es todo lo que se necesita para implementar un centro de datos definido por software.
VMware, Inc. 15
Aplicación
Aplicación
Carga de trabajo
Carga de trabajo
Carga de trabajo
Entorno x86
Máquinavirtual
Requisito: x86
Memoria y recursos informáticos físicos
Desacoplado
Redvirtual
Servicio de red de Capa 2,
Hipervisor del servidor Plataforma de virtualización de red
Red física
Requisito: transporte de IP
Aplicación
Máquinavirtual
Máquinavirtual
Capa 3, Capas 4-7
Redvirtual
Redvirtual
La imagen de arriba establece una analogía entre la virtualización informática y de red. Con lavirtualización del servidor, una capa de abstracción de software (hipervisor de servidor) reproduce losatributos conocidos de un servidor físico x86 (por ejemplo, CPU, RAM, disco, NIC) en el software; deeste modo, esos atributos pueden ensamblarse programáticamente en cualquier combinación arbitrariapara producir una única máquina virtual en cuestión de segundos.
Con la virtualización de red, el equivalente funcional de un hipervisor de red reproduce en el software elconjunto completo de servicios de red de Capa 2 a Capa 7 (por ejemplo, conmutación, enrutamiento,control de acceso, protección de firewall, calidad de servicio [QoS] y equilibrio de carga). Comoconsecuencia, estos servicios pueden ensamblarse programáticamente en cualquier combinaciónarbitraria, para producir redes virtuales únicas y aisladas en cuestión de segundos.
Con la virtualización de red se obtienen beneficios similares a los que ofrece la virtualización del servidor.Por ejemplo, así como las máquinas virtuales son independientes de la plataforma x86 subyacente ypermiten que TI trate los hosts físicos como un grupo con capacidad informática, las redes virtuales sonindependientes del hardware de red IP subyacente y permiten que TI trate la red física como un grupocon capacidad de transporte que puede consumirse y reasignarse a petición. A diferencia de lasarquitecturas heredadas, las redes virtuales pueden aprovisionarse, cambiarse, almacenarse, eliminarsey restaurarse de forma programática sin volver a configurar la topología o el hardware físico subyacente.Al combinar las capacidades y los beneficios que ofrecen las soluciones conocidas de virtualización dealmacenamiento y del servidor, este enfoque de redes transformador despliega todo el potencial delcentro de datos definido por software.
NSX puede configurarse mediante vSphere Web Client, una interfaz de línea de comandos (CLI) y unaAPI de REST.
Este capítulo cubre los siguientes temas:
n Componentes de NSX
n NSX Edge
Guía de administración de NSX
VMware, Inc. 16
n NSX Services
Componentes de NSXEn esta sección se describen los componentes de la solución NSX.
NSX Edge
vDSVXLAN Enrutador
lógico distribuidoFirewall
Módulos de extensión del hipervisor
NSX Manager
NSX vSwitch
NSX Controller
CMPConsumo
Planode administración
Plano de controlestado de tiempo de ejecución
Plano de datos
Tenga en cuenta que Cloud Management Platform (CMP) no es un componente de NSX, pero NSXproporciona la integración con casi cualquier CMP a través de la API de REST y la integración inmediatacon las CMP de VMware.
Plano de datosEl plano de datos de NSX consiste en NSX vSwitch, que se basa en vSphere Distributed Switch (VDS)con otros componentes que permiten habilitar servicios. Los módulos de kernel de NSX, los agentes deespacio de usuarios, los archivos de configuración y los scripts de instalación están empaquetados enVIB y se ejecutan dentro del kernel del hipervisor a fin de proveer servicios, como el enrutamientodistribuido y el firewall lógico, y habilitar capacidades de puente con VXLAN.
NSX vSwitch (basado en VDS) abstrae la red física y proporciona conmutación en el hipervisor en elnivel de acceso. Es fundamental para la virtualización de red, ya que habilita redes lógicas que sonindependientes de las construcciones físicas, como las VLAN. Algunos de los beneficios de vSwitch sonlos siguientes:
n Compatibilidad con redes de superposición con protocolos (como VXLAN) y configuración de redcentralizada Las redes de superposición habilitan las siguientes capacidades:
n Uso reducido de identificadores de VLAN en la red física
n Creación de una superposición de Capa 2 (L2) lógica flexible en las redes IP existentes de lainfraestructura física existente sin que sea necesario volver a establecer la arquitectura de lasredes del centro de datos
Guía de administración de NSX
VMware, Inc. 17
n Aprovisionamiento de comunicación (Este-Oeste y Norte-Sur) a la vez que se mantiene elaislamiento entre las empresas
n Cargas de trabajo y máquinas virtuales de aplicaciones que son independientes de la red desuperposición y funcionan como si estuvieran conectadas a una red física de Capa 2
n Escala masiva facilitada de hipervisores
n Varias características, como la creación de reflejo del puerto, NetFlow/IPFIX, la restauración y lacopia de seguridad de la configuración, la comprobación del estado de red y la calidad de servicio(QoS) y LACP, proporcionan un kit de herramientas integral para la administración del tráfico, lasupervisión y la solución de problemas de una red virtual
Los enrutadores lógicos pueden proporcionar un puente de Capa 2 desde el espacio de red lógica(VXLAN) hasta la red física (VLAN).
El dispositivo de puerta de enlace generalmente es un dispositivo virtual NSX Edge. NSX Edge ofreceservicios de Capa 2 y Capa 3, firewall perimetral, equilibrio de carga y otros, como SSL VPN y DHCP.
Plano de controlEl plano de control de NSX se ejecuta en el clúster de NSX Controller. NSX Controller es un sistema deadministración de estado avanzado que proporciona funciones en el plano de control para elenrutamiento y la conmutación lógica de NSX. Es el punto de control central para todos losconmutadores lógicos de una red, además de que conserva la información de todos los hosts,conmutadores lógicos (VXLAN) y enrutadores lógicos distribuidos.
El clúster de controladoras se encarga de administrar los módulos de conmutación y enrutamientodistribuido de los hipervisores. Por la controladora no pasa ningún tráfico del plano de datos. Los nodosde controladora se implementan en un clúster de tres miembros para habilitar la escala y la altadisponibilidad. Cualquier error en los nodos no afecta el tráfico del plano de datos.
NSX Controller funciona distribuyendo la información de red a los hosts. A fin de alcanzar un alto nivel deresiliencia, NSX Controller se integra en un clúster para ofrecer escalabilidad horizontal y HA. NSXController debe implementarse en un clúster de tres nodos. Los tres dispositivos virtuales proporcionan,mantienen y actualizan el estado de funcionamiento de las redes del dominio NSX. Se utiliza NSXManager para implementar los nodos de NSX Controller.
Los tres nodos de NSX Controller forman un clúster de control. El clúster de controladoras requierecuórum (también llamado mayoría) para poder evitar una situación de "cerebro dividido". En ese tipo desituaciones, las incoherencias de datos surgen del mantenimiento de dos conjuntos de datos distintosque se superponen. Las inconsistencias pueden deberse a condiciones de error y a problemas con lasincronización de datos. Al tener tres nodos de controladora se garantiza la redundancia de datos encaso de que ocurra un error en un nodo de NSX Controller.
Un clúster de controladoras tiene varias funciones, entre ellas:
n Proveedor de API
n Servidor de persistencia
n Administrador de conmutadores
Guía de administración de NSX
VMware, Inc. 18
n Administrador lógico
n Servidor de directorio
A cada función le corresponde un nodo de controladora maestro. Si se producen errores en un nodo decontroladora maestro para un rol, el clúster elige un nuevo nodo maestro para ese rol entre los nodosdisponibles de NSX Controller. El nuevo nodo maestro de NSX Controller para ese rol vuelve a asignarlas porciones perdidas de trabajo entre los nodos de NSX Controller restantes.
NSX admite tres modos para el plano de control de conmutadores lógicos: multidifusión, unidifusión ehíbrido. Al utilizar un clúster de controladoras para administrar los conmutadores lógicos basados enVXLAN deja de ser necesaria la compatibilidad de multidifusión de la infraestructura de red física. No esnecesario proporcionar direcciones IP para un grupo de multidifusión ni habilitar las características deenrutamiento de PMI o de intromisión de IGMP en los enrutadores o los conmutadores físicos. Por lotanto, los modos híbrido y de unidifusión desacoplan a NSX de la red física. Las VXLAN que están en elmodo de unidifusión del plano de control no requieren que la red física admita la multidifusión para poderadministrar el tráfico de difusión, de unidifusión desconocida y de multidifusión (BUM) dentro de unconmutador lógico. El modo de unidifusión replica todo el tráfico BUM localmente en el host y no requierela configuración de la red física. En el modo híbrido, parte de la replicación del tráfico BUM se descargaen el conmutador físico del primer salto para lograr un mejor rendimiento. El modo híbrido requiere laintromisión de IGMP en el conmutador del primer salto y el acceso a un solicitante de IGMP en cadasubred de VTEP.
Plano de administraciónLa creación del plano de administración de NSX se realiza mediante NSX Manager, el componente deadministración de red centralizada de NSX. Proporciona el único punto de configuración y los puntos deentrada de la API de REST.
NSX Manager se instala como dispositivo virtual en cualquier host ESX™ del entorno de vCenter Server.NSX Manager y vCenter tienen una relación uno a uno. Para cada instancia de NSX Manager, hay unade vCenter Server. Esto es cierto incluso en un entorno de Cross-vCenter NSX.
En un entorno de Cross-vCenter NSX, hay una instancia principal de NSX Manager y una o másinstancias secundarias de NSX Manager. La instancia principal de NSX Manager permite crear yadministrar conmutadores lógicos universales, enrutadores lógicos (distribuidos) universales y reglas defirewall universales. Las instancias secundarias de NSX Manager se utilizan para administrar servicios dered que corresponden localmente a la instancia específica de NSX Manager. Puede haber hasta sieteinstancias secundarias de NSX Manager asociadas con la instancia principal en un entorno de Cross-vCenter NSX.
Guía de administración de NSX
VMware, Inc. 19
Plataforma de consumoEl consumo de NSX puede impulsarse directamente desde la interfaz de usuario de NSX Manager,disponible en vSphere Web Client. En general, los usuarios finales unen la virtualización de red conCloud Management Platform (CMP) para implementar aplicaciones. NSX proporciona una integracióncompleta en prácticamente cualquier CMP a través de las API de REST. La integración inmediatatambién está disponible mediante VMware vCloud Automation Center, vCloud Director y OpenStack conel complemento Neutron para NSX.
NSX EdgePuede instalar NSX Edge como una puerta de enlace de servicios Edge (ESG) o un enrutador lógicodistribuido (DLR). La cantidad de dispositivos Edge, incluidos las ESG y los DLR, está limitada a 250 porhost.
Puerta de enlace de servicios EdgeLa ESG brinda acceso a todos los servicios de NSX Edge, como firewall, NAT, DHCP, VPN, equilibrio decarga y alta disponibilidad. Puede instalar varios dispositivos virtuales de ESG en un centro de datos.Cada dispositivo virtual de ESG puede tener un total de diez interfaces de red interna y vínculo superior.Con un tronco, una ESG puede tener hasta 200 subinterfaces. Las interfaces internas se conectan agrupos de puertos protegidos y actúan como puerta de enlace para todas las máquinas virtualesprotegidas del grupo de puertos. La subred asignada a la interfaz interna puede ser un espacio de IPenrutado públicamente o un espacio de direcciones privado (RFC 1918) con uso de NAT. Las reglas defirewall y otros servicios NSX Edge se aplican en el tráfico entre las interfaces de red.
Las interfaces de vínculo superior de las ESG se conectan a grupos de puertos de vínculo superior quetienen acceso a una red compartida de la empresa o a un servicio que proporciona redes de capa deacceso. Se pueden configurar varias direcciones IP externas para los servicios de NAT, VPN de sitio asitio y equilibrador de carga.
Enrutador lógico distribuidoEl DLR proporciona enrutamiento distribuido de Este a Oeste con espacio de dirección IP de empresa yaislamiento de ruta de acceso de datos. Las máquinas virtuales o cargas de trabajo que residen en elmismo host, en diferentes subredes, pueden comunicarse entre sí sin necesidad de atravesar unainterfaz de enrutamiento tradicional.
Un enrutador lógico puede tener ocho interfaces de vínculo superior y hasta mil interfaces internas. Unainterfaz de vínculo superior de un DLR generalmente se empareja con una ESG, con un conmutador detránsito lógico de Capa 2 interviniente entre el DLR y la ESG. Una interfaz interna de un DLR seempareja con una máquina virtual alojada en un hipervisor ESX, con un conmutador lógico intervinienteentre la máquina virtual y el DLR.
Guía de administración de NSX
VMware, Inc. 20
El DLR tiene dos componentes principales:
n El plano de control del DLR es un elemento que proporciona el dispositivo virtual del DLR (tambiéndenominado máquina virtual de control). Está máquina virtual es compatible con los protocolos deenrutamiento dinámico (BGP y OSPF), intercambia actualizaciones de enrutamiento con eldispositivo de salto de Capa 3 siguiente (generalmente, la puerta de enlace de servicios Edge) y secomunica con NSX Manager y el clúster de NSX Controller. La alta disponibilidad para el dispositivovirtual del DLR se admite mediante la configuración activo-en espera: se proporciona un par demáquinas virtuales que funcionan en los modos activo/en espera cuando se crea el DLR con lacaracterística HA habilitada.
n En el nivel del plano de datos, hay módulos de kernel del DLR (VIB) que se instalan en los hostsESXi que son parte del dominio NSX. Los módulos de kernel son similares a las tarjetas de línea deun chasis modular que admite el enrutamiento de Capa 3. Los módulos de kernel tienen una base deinformación de enrutamiento (RIB) (también conocida como tabla de enrutamiento) que se insertadesde el clúster de controladoras. Las funciones del plano de datos de búsqueda de rutas ybúsqueda de entradas de ARP se ejecutan mediante los módulos de kernel. Los módulos de kernelestán equipados con interfaces lógicas (denominadas LIF) que se conectan a diferentesconmutadores lógicos y a cualquier grupo de puertos respaldado por VLAN. Cada LIF tiene asignadauna dirección IP que representa la puerta de enlace IP predeterminada del segmento de Capa 2lógico al que se conecta y una dirección vMAC. La dirección IP es única para cada LIF, mientras quela misma vMAC se asigna a todas las LIF definidas.
Figura 3‑1. Componentes de enrutamiento lógico
1 Una instancia de DLR se crea a partir de la interfaz de usuario de NSX Manager (o con llamadasAPI) y se habilita el enrutamiento, con lo cual se aprovechan OSPF o BGP.
Guía de administración de NSX
VMware, Inc. 21
2 NSX Controller aprovecha el plano de control con los hosts ESXi para insertar la nueva configuracióndel DLR, incluidas las LIF y sus direcciones IP y vMAC asociadas.
3 Si asumimos que el protocolo de enrutamiento también está habilitado en el dispositivo de saltosiguiente (NSX Edge [ESG] en este ejemplo), el emparejamiento OSPF o BGP se establece entre laESG y la máquina virtual de control del DLR. Posteriormente, la ESG y el DLR pueden intercambiarinformación de enrutamiento:
n La máquina virtual de control del DLR se puede configurar para redistribuir en OSPF losprefijos IP de todas las redes lógicas conectadas (172.16.10.0/24 y 172.16.20.0/24 en esteejemplo). Como consecuencia, esta máquina virtual inserta esos anuncios de ruta en NSX Edge.Observe que el salto siguiente de esos prefijos no es la dirección IP asignada a la máquinavirtual de control (192.168.10.3), sino la dirección IP que identifica el componente del plano dedatos del DLR (192.168.10.2). La primera se conoce como la "dirección del protocolo" del DLR,mientras que la segunda es la "dirección de reenvío".
n NSX Edge inserta en la máquina virtual de control los prefijos para comunicarse con las redes IPde la red externa. En la mayoría de los casos, es posible que NSX Edge envíe una sola rutapredeterminada, porque representa el único punto de salida hacia la infraestructura de red física.
4 La máquina virtual de control del DLR inserta las rutas IP conocidas por NSX Edge en el clúster decontroladoras.
5 El clúster de controladoras es el responsable de distribuir las rutas conocidas de la máquina virtualde control del DLR a los hipervisores. Cada nodo de controladora del clúster es responsable dedistribuir la información de una instancia de enrutador lógico en particular. En una implementacióncon varias instancias de enrutador lógico implementadas, la carga se distribuye entre los nodos decontroladora. Una instancia de enrutador lógico distinta generalmente se asocia con cada empresaimplementada.
6 Los módulos de kernel de enrutamiento del DLR de los hosts controlan el tráfico de la ruta de accesode datos para la comunicación con la red externa mediante NSX Edge.
NSX ServicesLos componentes de NSX trabajan juntos para brindar los servicios funcionales siguientes.
Conmutadores lógicosUna implementación de nube o un centro de datos virtual tiene una variedad de aplicaciones en variasempresas. Estas aplicaciones y empresas requieren un aislamiento entre sí por motivos de seguridad,aislamiento de errores y direcciones IP que no se superpongan. NSX permite la creación de variosconmutadores lógicos, cada uno de los cuales es un dominio de difusión lógico único. Una máquinavirtual de aplicaciones o empresa se puede conectar de forma lógica a un conmutador lógico. Estopermite flexibilidad y velocidad de implementación, al mismo tiempo que brinda todas las característicasde los dominios de difusión de una red física (VLAN) sin los problemas físicos de árbol de expansión odispersión en la Capa 2.
Guía de administración de NSX
VMware, Inc. 22
Un conmutador lógico se distribuye a todos los hosts de vCenter (o todos los hosts de un entorno deCross-vCenter NSX) y puede abarcar todos estos hosts. Esto permite la movilidad de la máquina virtual(vMotion) dentro del centro de datos sin las restricciones del límite de la Capa 2 física (VLAN). Lainfraestructura física no está limitada por los límites de la tabla de MAC/FIB, dado que el conmutadorlógico contiene el dominio de difusión en software.
Enrutadores lógicosEl enrutamiento proporciona la información de reenvío necesaria entre los dominios de difusión deCapa 2 y permite disminuir el tamaño de los dominios de difusión de Capa 2, así como mejorar laeficiencia y la escala de la red. NSX amplía esta inteligencia hasta donde residen las cargas de trabajopara el enrutamiento de Este a Oeste. Esto permite una comunicación más directa de una máquinavirtual a otra sin la costosa necesidad en cuanto a tiempo y dinero de ampliar los saltos. Al mismotiempo, los enrutadores lógicos de NSX proporcionan conectividad de Norte a Sur y permiten que lasempresas accedan a redes públicas.
Firewall lógicoEl firewall lógico proporciona mecanismos de seguridad para los centros de datos virtuales dinámicos. Elcomponente firewall distribuido del firewall lógico permite segmentar entidades del centro de datosvirtual, como máquinas virtuales basadas en nombres y atributos de máquinas virtuales, identidad delusuario, objetos de vCenter (por ejemplo, centros de datos) y hosts, así como atributos de redestradicionales (direcciones IP, VLAN, etc.). El componente firewall de Edge ayuda a cumplir con losrequisitos clave de seguridad de perímetro, como la creación de DMZ según las construcciones deIP/VLAN, y permite el aislamiento de empresa a empresa en los centros de datos virtuales de variasempresas.
La característica de supervisión de flujo muestra la actividad de red entre las máquinas virtuales en elnivel del protocolo de aplicaciones. Puede utilizar esta información para auditar el tráfico de red, definir yrefinar las directivas de firewall, e identificar amenazas a la red.
Redes privadas virtuales (VPN) lógicasVPN SSL Plus permite a los usuarios remotos acceder a aplicaciones privadas de la empresa. La VPNIPsec ofrece conectividad de sitio a sitio entre una instancia de NSX Edge y sitios remotos con NSX ocon enrutadores de hardware/puertas de enlace VPN de terceros. La VPN de Capa 2 permite ampliar elcentro de datos permitiendo que las máquinas virtuales mantengan la conectividad de red al mismotiempo que mantienen la misma dirección IP en los límites geográficos.
Guía de administración de NSX
VMware, Inc. 23
Equilibrador de carga lógicoEl equilibrador de carga de NSX Edge distribuye las conexiones de cliente dirigidas a una sola direcciónIP virtual (VIP) en varios destinos configurados como miembros de un grupo de equilibrio de carga.Distribuye las solicitudes de servicio entrante de manera uniforme entre los diversos servidores de formatal que la distribución de carga sea transparente para los usuarios. Así, el equilibrio de carga ayuda alograr una utilización de recursos óptima, maximizar la capacidad de proceso, minimizar el tiempo derespuesta y evitar la sobrecarga.
Service ComposerService Composer permite aprovisionar y asignar los servicios de red y seguridad a las aplicaciones enuna infraestructura virtual. Estos servicios se asignan a un grupo de seguridad y los servicios se aplicana las máquinas virtuales del grupo de seguridad por medio de una directiva de seguridad.
Data Security proporciona visibilidad de los datos confidenciales almacenados en los entornos de nube yvirtualizados de la organización e informa sobre cualquier infracción a la seguridad de los datos.
Extensibilidad de NSXLos proveedores de soluciones de terceros pueden integrar sus soluciones con la plataforma de NSXpara permitir que los clientes tengan una experiencia integrada en todos los productos de VMware y lassoluciones de partners. Los operadores del centro de datos pueden aprovisionar redes virtualescomplejas de varios niveles en cuestión de segundos, independientemente de los componentes o latopología de red subyacente.
Guía de administración de NSX
VMware, Inc. 24
Descripción general de Cross-vCenter Networking andSecurity 4NSX 6.2 permite administrar varios entornos de vCenter NSX desde una única instancia principal de NSXManager.
Este capítulo cubre los siguientes temas:n Beneficios de Cross-vCenter NSX
n Cómo funciona Cross-vCenter NSX
n Matriz de compatibilidad de NSX Services en Cross-vCenter NSX
n Clúster de controladoras universal
n Zona de transporte universal
n Conmutadores lógicos universales
n Enrutadores lógicos (distribuidos) universales
n Reglas de firewall universal
n Objetos de seguridad y red universal
n Topologías de Cross-vCenter NSX
n Modificar los roles de NSX Manager
Beneficios de Cross-vCenter NSXLos entornos de NSX que contienen más de un sistema vCenter Server pueden administrarse de maneracentralizada.
Hay varios motivos por los que pueden requerirse varios sistemas vCenter Server. Por ejemplo:n Para superar límites de escala de vCenter Server
n Para admitir productos que requieren varios sistemas vCenter Server o sistemas vCenter Serverdedicados, como Horizon View o Site Recovery Manager
n Para separar entornos, por ejemplo, por unidad de negocios, empresa, organización o tipo deentorno
En NSX 6.1 y anteriores, si se implementan varios entornos de vCenter NSX, estos deben administrarsepor separado. En NSX 6.2, puede crear objetos universales en la instancia de NSX Manager primaria,que se sincronizan en todos los sistemas vCenter Server del entorno.
VMware, Inc. 25
Cross-vCenter NSX incluye estas características:
n Mayor expansión de las redes lógicas de NSX. Las mismas redes lógicas están disponibles en elentorno de vCenter NSX, por lo que es posible que las máquinas virtuales en cualquier clúster decualquier sistema vCenter Server se conecten con la misma red lógica.
n Administración centralizada de directivas de seguridad. Las reglas de firewall se administran desdeuna ubicación centralizada y se aplican a la máquina virtual independientemente de la ubicación odel sistema vCenter Server.
n Compatibilidad con los nuevos límites de movilidad en vSphere 6, incluidos Cross vCenter y vMotionde larga distancia en todos los conmutadores lógicos.
n Mayor compatibilidad con entornos de varios sitios, desde distancia de metros hasta 150 ms RTT.Esto incluye centros de datos activo-activo y activo-pasivo.
Los entornos de Cross-vCenter NSX ofrecen varios beneficios:
n Administración centralizada de objetos universales, lo que reduce el esfuerzo de administración.
n Mayor movilidad de las cargas de trabajo. Las máquinas virtuales pueden migrarse mediante vMotionen todas las instancias de vCenter Server sin necesidad de volver a configurar la máquina virtual ocambiar las reglas de firewall.
n Capacidades mejoradas de NSX de varios sitios y recuperación de desastres.
NOTA: La funcionalidad de Cross-vCenter NSX solo se admite en vSphere 6.0.
Cómo funciona Cross-vCenter NSXEn un entorno de Cross-vCenter NSX, puede haber varias instancias de vCenter Server, cada unaemparejado con su propia instancia de NSX Manager. A una instancia de NSX Manager se le asigna elrol de instancia principal y a las otras se les asigna el rol de instancias secundarias.
La instancia principal de NSX Manager se utiliza para implementar un clúster de controladorasuniversales que proporciona el plano de control al entorno de Cross-vCenter NSX. Las instanciassecundarias de NSX Manager no tienen su propio clúster de controladoras.
La instancia principal de NSX Manager puede crear objetos universales, como conmutadores lógicosuniversales. Estos objetos se sincronizan con las instancias secundarias de NSX Manager mediante elservicio de sincronización universal de NSX. Puede ver los objetos desde las instancias secundarias deNSX Manager, pero no puede editarlos. Debe utilizar la instancia principal de NSX Manager paraadministrar objetos universales. La instancia principal de NSX Manager puede utilizarse para configurarcualquiera de las instancias secundarias de NSX Manager en el entorno.
En las instancias principales y secundarias de NSX Manager, se pueden crear objetos locales para elentorno específico de vCenter NSX, como los conmutadores lógicos y los enrutadores lógicos(distribuidos). Existirán solo en el entorno de vCenter NSX en el que se crearon. No estarán visibles enotras instancias de NSX Manager del entorno de Cross-vCenter NSX.
Guía de administración de NSX
VMware, Inc. 26
A las instancias de NSX Manager se les puede asignar el rol independiente. Esto equivale a los entornosprevios a NSX 6.2 con una única instancia de NSX Manager y vCenter. Una instancia de NSX Managerindependiente no puede crear objetos universales.
NOTA: Si cambia el rol de una instancia principal de NSX Manager a una independiente y existenobjetos universales en el entorno de NSX, se asignará el rol de tránsito a NSX Manager. Los objetosuniversales se mantienen, pero no pueden cambiarse, así como tampoco pueden crearse otros objetosuniversales. Se pueden eliminar objetos universales del rol de tránsito. El rol de tránsito solo debeutilizarse de forma temporal, por ejemplo, cuando la instancia de NSX Manager que se cambia es laprincipal.
VM VM VM VM VM VM VM VM VM VM VM VM
vCenter con NSXManager (principal)
Clúster de controladorasuniversales
Inventario local de vCenter
Enrutador lógico (distribuido) universal
Zona de transporte universal
Conmutadores lógicosuniversales
vCenter con NSXManager (secundario)
Sitio A
vCenter con NSXManager (secundario)
Inventario local de vCenter
Sitio B
Inventario local de vCenter
Sitio H
Sincronización de objetos universales
Configuración de objetos universales(vSphere Web Client y API)
Firewalldistribuidouniversal
Guía de administración de NSX
VMware, Inc. 27
Matriz de compatibilidad de NSX Services en Cross-vCenter NSXHay un subconjunto de servicios NSX Services disponibles para la sincronización universal en Cross-vCenter NSX
Tabla 4‑1. Matriz de compatibilidad de NSX Services en Cross-vCenter NSX
NSX Service Detalles¿Es compatible con la sincronizaciónde Cross-vCenter NSX en NSX 6.2?
Conmutador lógico Zona de transporte Sí
Conmutador lógico Sí
Puentes de Capa 2 No
Enrutamiento Enrutador lógico (distribuido) Sí
Dispositivo enrutador lógico (distribuido) No por diseño. Se deben creardispositivos en cada instancia de NSXManager si se necesitan variosdispositivos por enrutador lógicouniversal. Esto permite distintasconfiguraciones por dispositivo, lo quepuede ser necesario en un entorno consalida local configurada.
Puerta de enlace de servicios NSX Edge No
Firewall lógico Firewall distribuido Sí
Lista de exclusiones No
SpoofGuard No
Supervisión de flujo para flujosagregados
No
Inserción de servicio de red No
Firewall de Edge No
VPN No
Equilibrador de carga lógico No
Otros servicios Edge No
Service Composer No
Seguridad de datos No
Extensibilidad de la red No
Objetos de seguridad y red Grupos de dirección IP (conjuntos IP) Sí
Grupos de dirección MAC(conjuntos MAC)
Sí
Grupos de direcciones IP No
Guía de administración de NSX
VMware, Inc. 28
Tabla 4‑1. Matriz de compatibilidad de NSX Services en Cross-vCenter NSX (Continua)
NSX Service Detalles¿Es compatible con la sincronizaciónde Cross-vCenter NSX en NSX 6.2?
Grupos de seguridad Sí, pero los grupos de seguridad solopueden contener objetos incluidos, nopertenencia dinámica ni objetos excluidos.
Servicios Sí
Grupos de servicio Sí
Clúster de controladoras universalCada entorno de Cross-vCenter NSX tiene un clúster de controladoras universal asociado con lainstancia de NSX Manager principal. Las instancias de NSX Manager secundarias no tienen clúster decontroladoras.
Dado que el clúster de controladoras universal es el único clúster de controladoras para el entorno deCross-vCenter NSX, mantiene información sobre los conmutadores lógicos universales y los enrutadoreslógicos universales al igual que sobre los conmutadores lógicos y los enrutadores lógicos que son localesen un par de NSX de vCenter.
Para evitar cualquier superposición de los identificadores de objetos, se mantienen grupos deidentificadores distintos para los objetos universales y los objetos locales.
Zona de transporte universalEn un entorno de Cross-vCenter NSX, puede haber solo una zona de transporte universal.
La zona de transporte universal se crea en la instancia de NSX Manager principal y se sincroniza en lasinstancias de NSX Manager secundarias. Los clústeres que deben participar en redes lógicasuniversales deben agregarse a la zona de transporte universal desde las instancias de NSX Managercorrespondientes.
Conmutadores lógicos universalesLos conmutadores lógicos universales permiten que las redes de Capa 2 abarquen varios sitios.
Al crear un conmutador lógico en una zona de transporte universal, se crea un conmutador lógicouniversal. Este conmutador está disponible en todos los clústeres de la zona de transporte universal. Lazona de transporte universal puede incluir clústeres en cualquier instancia de vCenter del entorno deCross-vCenter NSX.
El grupo de identificadores de segmentos se utiliza para asignar VNI a los conmutadores lógicos y elgrupo de identificadores de segmentos universales se utiliza para asignar VNI a los conmutadoreslógicos universales. Estos grupos no deben superponerse.
Debe utilizar un enrutador lógico universal para efectuar el enrutamiento entre los conmutadores lógicosuniversales. Si necesita realizar un enrutamiento entre un conmutador lógico universal y un conmutadorlógico, debe utilizar una puerta de enlace de servicios Edge.
Guía de administración de NSX
VMware, Inc. 29
Enrutadores lógicos (distribuidos) universalesLos enrutadores lógicos (distribuidos) universales ofrecen administración centralizada y unaconfiguración de enrutamiento que se puede personalizar en el nivel del enrutador lógico universal, elclúster o el host.
Cuando crea un enrutador lógico universal, debe elegir si desea habilitar la salida local, dado que esto nose puede modificar después de la creación. La salida local permite controlar las rutas que seproporcionan a los hosts ESXi según un identificador, el identificador de región.
A cada instancia de NSX Manager se le asigna un identificador de región, que está establecido en elUUID de NSX Manager de forma predeterminada. Puede anular el identificador de región en los nivelessiguientes:
n Enrutador lógico universal
n Clúster
n Host ESXi
Si no habilita la salida local, el identificador de región se omite y todos los hosts ESXi conectados alenrutador lógico universal reciben las mismas rutas. Habilitar o no la salida local en un entorno de Cross-vCenter NSX es una decisión de diseño, pero no es necesaria para todas las configuraciones de Cross-vCenter NSX.
Reglas de firewall universalEl firewall distribuido en un entorno de Cross-vCenter NSX permite la administración centralizada de lasreglas que aplican a todas las instancias de vCenter Server del entorno. Es compatible con Cross-vCenter vMotion, lo que permite mover cargas de trabajo o máquinas virtuales de una instancia devCenter Server a otra y extender sin problemas la seguridad del centro de datos definido por software.
A medida que el centro de datos necesita escalar horizontalmente, es posible que la instancia de vCenterServer existente no escale en el mismo nivel. Esto puede requerir que se mueva un conjunto deaplicaciones a hosts más nuevos administrados por otra instancia de vCenter Server. O quizás se debanmover las aplicaciones de la etapa de copias intermedias a producción en un entorno donde losservidores de copias intermedias sean administrados por una instancia de vCenter Server y losservidores de producción, por otra instancia de vCenter Server. El firewall distribuido es compatible conestas situaciones de Cross-vCenter vMotion, dado que replica las directivas de firewall que se definenpara la instancia de NSX Manager principal en hasta siete instancias de NSX Manager secundarias.
Desde la instancia de NSX Manager principal, puede crear una sección de reglas de firewall distribuidomarcada para la sincronización universal. Puede crear una sección universal de reglas de Capa 2 y unasección universal de reglas de Capa 3. Estas secciones y sus reglas se sincronizan en todas lasinstancias de NSX Manager secundarias del entorno. Las reglas en otras secciones siguen siendolocales en la instancia de NSX Manager adecuada.
Guía de administración de NSX
VMware, Inc. 30
Las características de firewall distribuido siguientes no son compatibles en un entorno de Cross-vCenterNSX.
n Lista de exclusiones
n SpoofGuard
n Supervisión de flujo para flujos agregados
n Inserción de servicio de red
n Firewall de Edge
Service Composer no es compatible con la sincronización universal, por lo que no es posible utilizarlopara crear reglas de firewall distribuido en la sección universal.
Objetos de seguridad y red universalPuede crear objetos de seguridad y red personalizados para utilizarlos en las reglas de firewalldistribuido en la sección universal.
n Conjuntos de direcciones IP universales
n Conjuntos de direcciones MAC universales
n Grupos de seguridad universales
n Servicios universales
n Grupos de servicios universales
Los objetos de seguridad y red universales se pueden crear solo desde la instancia de NSX Managerprincipal.
Los grupos de seguridad universales pueden contener solo conjuntos de direcciones IP universales,conjuntos de direcciones MAC universales y grupos de seguridad universales. La pertenencia se definesolamente con los objetos incluidos, no se pueden utilizar la pertenencia dinámica ni los objetosexcluidos.
Los grupos de seguridad universales no se pueden crear desde Service Composer. Los grupos deseguridad creados desde Service Composer son locales para esa instancia de NSX Manager.
Topologías de Cross-vCenter NSXSe puede implementar Cross-vCenter NSX en un solo sitio físico o en varios sitios.
Guía de administración de NSX
VMware, Inc. 31
Cross-vCenter NSX de varios sitios y de un solo sitioUn entorno de Cross-vCenter NSX permite utilizar los mismos conmutadores lógicos y otros objetos dered en varias instalaciones de vCenter NSX. Las instancias de vCenter pueden encontrarse en el mismositio o en sitios diferentes.
Independientemente de que el entorno de Cross-vCenter NSX se encuentre en un solo sitio o atraviesevarios sitios, se puede utilizar una configuración similar. Estas dos topologías de ejemplo consisten en losiguiente:
n Una zona de transporte universal que incluye todos los clústeres del sitio o de los sitios.
n Conmutadores lógicos universales asociados a la zona de transporte universal. Se utilizan dosconmutadores lógicos universales para conectar las máquinas virtuales y se utiliza uno como red detránsito para el vínculo superior del enrutador.
n Se agregan máquinas virtuales a los conmutadores lógicos universales.
n Un enrutador lógico universal con un dispositivo NSX Edge para permitir el enrutamiento dinámico. Eldispositivo de enrutamiento lógico universal tiene interfaces internas en los conmutadores lógicosuniversales de la máquina virtual y una interfaz de vínculo superior en el conmutador lógico universalde la red de tránsito.
n Puertas de enlace de servicios Edge (ESG) conectadas a la red de tránsito y la red física delenrutador de salida.
Guía de administración de NSX
VMware, Inc. 32
Figura 4‑1. Cross-vCenter NSX en un solo sitio
VPNPVVPN
PV
VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM
vCenter con NSXManager (principal)
Puerta de enlace de serviciosOSPF, BGP
Clúster de controladorasuniversales
Sitio A
Enrutador lógico (distribuido) universal
Enrutadoresfísicos
Conmutadorlógico universalRed de tránsitoE1 E8
Dispositivo delenrutador lógicouniversal
Zona de transporte universal
Conmutadores lógicosuniversales
Emparejamiento x8
vCenter con NSXManager (secundario)
NSX Edge
Guía de administración de NSX
VMware, Inc. 33
Figura 4‑2. Cross-vCenter NSX que abarca dos sitios
VPNPVVPN
PV
VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM
vCenter con NSXManager (principal)
Puerta de enlace de servicios
Clúster de controladorasuniversales
OSPF, BGP
Sitio B
Enrutador lógico distribuido universal
Enrutadoresfísicos
Conmutadorlógico universalRed de tránsitoE1 E8
Dispositivo delenrutador lógicouniversal
Zona de transporte universal
Conmutadores lógicosuniversales
Emparejamiento
vCenter con NSXManager (secundario)
Sitio A
NSX Edge
Salida localTodos los sitios de un entorno de Cross-vCenter NSX de varios sitios pueden utilizar los mismosenrutadores físicos para el tráfico de salida. No obstante, si es necesario personalizar las rutas de salida,debe habilitarse la característica de salida local al crear el enrutador lógico universal. De este modo,puede personalizar las rutas en el nivel del enrutador lógico universal, del clúster o del host.
Este ejemplo de un entorno de Cross-vCenter NSX en varios sitios tiene la salida local habilitada. Laspuertas de enlace de servicios Edge (ESG) en cada sitio tienen una ruta predeterminada que envíatráfico saliente a través de los enrutadores físicos del sitio. El enrutador lógico universal está configuradocon dos dispositivos, uno en cada sitio. Los dispositivos conocen las rutas de las ESG de su sitio. Lasrutas conocidas se envían al clúster universal de controladoras. Dado que la salida local está habilitada,
Guía de administración de NSX
VMware, Inc. 34
el identificador de configuración regional del sitio se asocia con esas rutas. El clúster universal decontroladoras envía a los hosts rutas con identificadores de configuración regional coincidentes. Lasrutas conocidas del dispositivo del sitio A se envían a los hosts del sitio A y las rutas conocidas deldispositivo del sitio B se envían a los hosts del sitio B.
VPNPVVPN
PV
VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM
VPNPVVPN
PV
vCenter con NSXManager (principal)
Puerta de enlace deservicios
Clúster de controladorasuniversales
OSPF, BGP
Sitio B
Enrutador lógico distribuido universal
Sitio AEnrutadores
físicos
Conmutadorlógico universal
Red de tránsito A
E1 E8
Enrutadorlógico universalDispositivoprincipal
Zona de transporte universal
Conmutadores lógicosuniversales
Emparejamiento
vCenter con NSXManager (secundario)
Sitio A
Conmutadorlógico universalRed de tránsito B
Puerta de enlace de
servicios
E1 E8
Enrutadorlógico universal
Dispositivosecundario
OSPF, BGP
Emparejamiento
Identificador de configuración regional:Sitio A
Identificador de configuración regional:Sitio B
Sitio BEnrutadoresfísicos
NSX Edge NSX Edge
Guía de administración de NSX
VMware, Inc. 35
Modificar los roles de NSX ManagerNSX Manager puede tener el rol principal, el rol secundario o el rol independiente. El software desincronización especial se ejecuta en la instancia de NSX Manager principal y sincroniza todos losobjetos universales con las instancias de NSX Manager secundarias.
Es importante comprender qué sucede cuando se cambia el rol de NSX Manager.
Establecer comoprincipal (Set asprimary)
Esta operación establece el rol de una instancia de NSX Manager comoprincipal e inicia el software de sincronización. Se produce un error en estaoperación si NSX Manager ya es una instancia principal o una secundaria.
Establecer comoindependiente (desdesecundaria) (Set asstandalone [fromsecondary])
Esta operación establece el rol de NSX Manager en modo de tránsito oindependiente. Es posible que se produzca un error en esta operación siNSX Manager ya tiene el rol independiente.
Establecer comoindependiente (desdeprincipal) (Set asstandalone [fromprimary])
Esta operación restablece la instancia de NSX Manager principal al modode tránsito o independiente, detiene el software de sincronización ycancela el registro de todas las instancias de NSX Manager secundarias.Es posible que se produzca un error en esta operación si NSX Manager yaes una instancia independiente o si no es posible comunicarse con lasinstancias de NSX Manager secundarias.
Desconectar deprincipal (Disconnectfrom primary)
Cuando se ejecuta esta operación en una instancia de NSX Managersecundaria, esta instancia se desconecta de forma unilateral de lainstancia de NSX Manager principal. Se debe utilizar esta operación si lainstancia de NSX Manager principal tuvo un error irrecuperable y si sedesea registrar la instancia de NSX Manager secundaria en una nuevainstancia principal. Si vuelve a aparecer la instancia NSX Manager principaloriginal, su base de datos sigue mostrando la instancia de NSX Managersecundaria como registrada. Para solucionar este problema, incluya laopción forzar (force) cuando desconecte o cancele el registro de lainstancia secundaria de la instancia principal original. La opción forzar(force) quita la instancia de NSX Manager secundaria de la base de datosde la instancia de NSX Manager principal original.
Guía de administración de NSX
VMware, Inc. 36
Zonas de transporte 5Una zona de transporte controla con qué hosts puede comunicarse un conmutador lógico. Puedeexpandirse a uno o más clústeres vSphere. Las zonas de transporte establecen qué clústeres y, por lotanto, qué máquinas virtuales pueden participar en la utilización de una red en particular. En un entornode Cross-vCenter NSX, se puede crear una zona de transporte universal, que incluya clústeres decualquier instancia de vCenter del entorno. Se puede crear una sola zona de transporte universal.
Un entorno de NSX puede contener una o más zonas de transporte según los requisitos del usuario. Unclúster de hosts puede corresponder a varias zonas de transporte. Un conmutador lógico puedecorresponder a una sola zona de transporte.
NSX no permite conectar máquinas virtuales que se encuentran en diferentes zonas de transporte. Laexpansión de un conmutador lógico se limita a una zona de transporte, de modo que las máquinasvirtuales de diferentes zonas de transporte no pueden estar en la misma red de Capa 2. Los enrutadoreslógicos distribuidos no pueden conectarse a conmutadores lógicos que están en diferentes zonas detransporte. Después de desconectar el primer conmutador lógico, la selección de otros conmutadoreslógicos se limita a los de la misma zona de transporte. De forma similar, la puerta de enlace de serviciosEdge (ESG) tiene acceso a los conmutadores lógicos desde una sola zona de transporte.
Las siguientes directrices ayudan a diseñar las zonas de transporte:
NSX no permite conectar máquinas virtuales que se encuentran en diferentes zonas de transporte. Laexpansión de un conmutador lógico se limita a una zona de transporte, de modo que las máquinasvirtuales de diferentes zonas de transporte no pueden estar en la misma red de Capa 2. Los enrutadoreslógicos distribuidos no pueden conectarse a conmutadores lógicos que están en diferentes zonas detransporte. Después de desconectar el primer conmutador lógico, la selección de otros conmutadoreslógicos se limita a los de la misma zona de transporte. De forma similar, la puerta de enlace de serviciosEdge (ESG) tiene acceso a los conmutadores lógicos desde una sola zona de transporte.
Las siguientes directrices ayudan a diseñar las zonas de transporte:
n Si un clúster requiere conectividad de Capa 3, debe estar en una zona de transporte que tambiénincluya un clúster Edge, es decir, un clúster con dispositivos Edge de Capa 3 (enrutadores lógicosdistribuidos y puertas de enlace de servicios Edge).
n Supongamos que hay dos clústeres: uno para servicios web y otro para servicios de aplicaciones.Para que haya conectividad VXLAN entre las máquinas virtuales de estos dos clústeres, ambosdeben estar incluidos en la zona de transporte.
VMware, Inc. 37
n Tenga en cuenta que todos los conmutadores lógicos incluidos en la zona de transporte estarándisponibles y serán visibles para todas las máquinas virtuales de los clústeres incluidos en la zona detransporte. Si un clúster incluye entornos protegidos, quizás no sea conveniente que este clúster estédisponible para las máquinas virtuales de otros clústeres. En cambio, puede colocar el clústerprotegido en una zona de transporte más aislada.
n La expansión del conmutador distribuido de vSphere (VDS o DVS) debe coincidir con la de la zonade transporte. Al crear zonas de transporte en configuraciones de VDS de varios clústeres,asegúrese de que todos los clústeres del VDS seleccionado estén incluidos en la zona de transporte.Así se garantiza que el DLR esté disponible en todos los clústeres donde hay dvPortgroups de VDSdisponibles.
El siguiente diagrama muestra una zona de transporte que está correctamente alineada con el límite deVDS.
Si no cumple con esta práctica recomendada, tenga en cuenta que si un VDS se expande en más de unclúster de hosts y la zona de transporte incluye solo uno (o un subconjunto) de estos clústeres, cualquierconmutador lógico de esa zona de transporte podrá acceder a las máquinas virtuales de todos losclústeres abarcados por el VDS. En otras palabras, la zona de transporte no podrá limitar la expansióndel conmutador lógico a un subconjunto de clústeres. Si posteriormente conecta este conmutador lógicoa un DLR, debe asegurarse de que las instancias del enrutador se creen únicamente en el clústerincluido en la zona de transporte, a fin de evitar problemas en la Capa 3.
Guía de administración de NSX
VMware, Inc. 38
Por ejemplo, cuando una zona de transporte no está alineada con el límite del VDS, el alcance de losconmutadores lógicos (5001, 5002 y 5003) y las instancias del DLR a las que están conectados quedandesasociados; esto provoca que las máquinas virtuales del clúster Comp A no puedan acceder a lasinterfaces lógicas (LIF) del DLR.
Este capítulo cubre los siguientes temas:
n Agregar una zona de transporte
n Ver y editar una zona de transporte
n Expandir una zona de transporte
n Contraer una zona de transporte
Agregar una zona de transporteUna zona de transporte controla con qué hosts puede comunicarse un conmutador lógico y puedeabarcar uno o más clústeres de vSphere. Las zonas de transporte establecen qué clústeres y, por lotanto, qué máquinas virtuales pueden participar en la utilización de una red en particular. Las zonas detransporte universales pueden expandir un clúster de vSphere en un entorno de Cross-vCenter NSX.
Puede tener una sola zona de transporte universal en un entorno de Cross-vCenter NSX.
Guía de administración de NSX
VMware, Inc. 39
Prerequisitos
Determine la instancia de NSX Manager adecuada en la cual desea realizar los cambios.
n En un entorno de vCenter NSX independiente o individual, hay una sola instancia de NSX Manager.Por lo tanto, no hace falta seleccionarla.
n Los objetos universales deben administrarse desde la instancia NSX Manager principal.
n Los objetos locales a una instancia de NSX Manager deben administrarse desde esa instancia deNSX Manager.
n En un entorno de Cross-vCenter NSX donde no se habilitó Modo vinculado mejorado (EnhancedLinked Mode), es necesario realizar los cambios en la configuración desde el elemento vCentervinculado a la instancia de NSX Manager que se desea modificar.
n En un entorno de Cross-vCenter NSX con el Modo vinculado mejorado (Enhanced Linked Mode), esposible realizar cambios en la configuración de cualquier instancia de NSX Manager desde cualquiervCenter vinculado. Seleccione la instancia de NSX Manager apropiada desde el menú desplegableNSX Manager.
Procedimiento
1 En vCenter, desplácese hasta Inicio > Redes y seguridad > Instalación (Home > Networking &Security > Installation) y seleccione la pestaña Preparación de redes lógicas (Logical NetworkPreparation).
2 Haga clic en Zonas de transporte (Transport Zones) y en el icono Nueva zona de transporte ( )(New Transport Zone).
3 (Opcional) Para agregar una zona de transporte universal, seleccione Marcar este objeto parasincronización universal (Mark this object for universal synchronization).
4 Seleccione el modo de replicación:
n Multidifusión (Multicast): para el plano de control se utilizan las direcciones IP de multidifusiónde la red física. Este modo se recomienda únicamente para actualizar a partir deimplementaciones de VXLAN anteriores. Se requiere PIM/IGMP en la red física.
n Unidifusión (Unicast): el plano de control es operado por NSX Controller. El tráfico deunidifusión aprovecha la replicación de cabecera optimizada. No se requieren direcciones IP demultidifusión ni ninguna configuración de red especial.
n Híbrido (Hybrid): descarga la replicación de tráfico local en la red física (multidifusión de Capa2). Para esto se requiere la intromisión de IGMP en el conmutador del primer salto y el acceso aun solicitante de IGMP en cada subred de VTEP, pero no se requiere tecnología PIM. Elconmutador del primer salto administra la replicación de tráfico de la subred.
IMPORTANTE: Si crea una zona de transporte universal y selecciona el modo de replicaciónhíbrido, debe asegurarse de que la dirección de multidifusión utilizada no tenga conflictos conninguna otra dirección de multidifusión asignada a otra instancia de NSX Manager del entorno.
Guía de administración de NSX
VMware, Inc. 40
5 Seleccione los clústeres que desea agregar a la zona de transporte.
Transport-Zone es una zona de transporte local a la instancia de NSX Manager donde se creó.
Universal-Transport-Zone es una zona de transporte universal que está disponible en todas lasinstancias de NSX Manager en un entorno de Cross-vCenter NSX.
Qué hacer a continuación
Si agregó una zona de transporte, puede agregar conmutadores lógicos.
Si agregó una zona de transporte universal, puede agregar conmutadores lógicos universales.
Si agregó una zona de transporte universal, puede seleccionar las instancias de NSX Managersecundarias y agregar sus clústeres a la zona de transporte universal.
Ver y editar una zona de transportePuede ver las redes lógicas en una zona de transporte elegida, así como los clústeres y el modo deplano de control de esa zona de transporte.
Procedimiento
1 En Zonas de transporte (Transport Zones), haga doble clic en una zona de transporte.
La pestaña Resumen (Summary) muestra el nombre y la descripción de la zona de transporte, asícomo la cantidad de conmutadores lógicos asociados con ella. La pestaña Detalles de la zona detransporte (Transport Zone Details) muestra los clústeres de la zona de transporte.
2 Haga clic en el icono Editar configuración (Edit Settings) de la sección Detalles de la zona detransporte (Transport Zone Details) para editar el nombre, la descripción o el modo de plano decontrol de la zona de transporte.
Si cambia el modo de plano de control de la zona de transporte, seleccione Migrar losconmutadores lógicos existentes al nuevo modo de plano de control (Migrate existing LogicalSwitches to the new control plane mode) a fin de cambiar este modo para los conmutadores lógicosexistentes que están vinculados a esa zona de transporte. Si no activa esta casilla, el nuevo modo deplano de control figurará solo en los conmutadores lógicos que se vincularon a esta zona detransporte después de la edición.
3 Haga clic en Aceptar (OK).
Guía de administración de NSX
VMware, Inc. 41
Expandir una zona de transporteEs posible agregar clústeres a una zona de transporte. Todas las zonas de transporte existentes estarándisponibles en los clústeres agregados recientemente.
Prerequisitos
Los clústeres que agrega a una zona de transporte tienen la infraestructura de red instalada y estánconfigurados para VXLAN. Consulte la Guía de instalación de NSX.
Procedimiento
1 En Zonas de transporte (Transport Zones), haga clic en una zona de transporte.
2 Haga clic en el icono Agregar clúster (Add Cluster) ( ).
3 Seleccione los clústeres que desea agregar a la zona de transporte y haga clic en Aceptar (OK).
Contraer una zona de transporteEs posible quitar clústeres de una zona de transporte. El tamaño de las zonas de transporte existentesse reduce para alojar el ámbito contraído.
Procedimiento
1 En Zonas de transporte (Transport Zones), haga doble clic en una zona de transporte.
2 En Detalles de zona de transporte (Transport Zone Details), haga clic en el icono Quitar clústeres
(Remove Clusters) ( ).
3 Seleccione los clústeres que desea quitar.
4 Haga clic en Aceptar (OK).
Guía de administración de NSX
VMware, Inc. 42
Conmutadores lógicos 6Una implementación de nube o un centro de datos virtual tiene una variedad de aplicaciones en variasempresas. Estas aplicaciones y empresas requieren estar aisladas entre sí por motivos de seguridad yde aislamiento de errores, y para evitar problemas de superposición de direccionamiento IP. Elconmutador lógico de NSX crea segmentos o dominios de transmisión lógicos a los que se puedencablear de forma lógica una aplicación o una máquina virtual de empresa. Esto permite flexibilidad yvelocidad de implementación, al mismo tiempo que brinda todas las características de los dominios dedifusión de una red física (VLAN) sin los problemas físicos de árbol de expansión o dispersión en laCapa 2.
Se distribuye un conmutador lógico y puede abarcar clústeres informáticos arbitrariamente grandes. Estopermite la movilidad de máquinas virtuales (vMotion) dentro del centro de datos sin las limitaciones dellímite (VLAN) de la Capa 2 física. La infraestructura física no necesita lidiar con los límites de la tabla deMAC/FIB dado que el conmutador lógico contiene el dominio de transmisión en software.
Un conmutador lógico se asigna a una VXLAN única, que encapsula el tráfico de la máquina virtual y lolleva por la red IP física.
VM VM VM
VM VM
Conmutador lógico 1
Conmutador lógico 2
vSphere Distributed Switch
NSX Manager
Clúster de la controladora
NSX Controller es el punto de control central de todos los conmutadores lógicos dentro de una red ymantiene la información de todas las máquinas virtuales, los hosts, los conmutadores lógicos y lasVXLAN. La controladora admite dos modos nuevos de plano de control del conmutador lógico,Unidifusión (Unicast) e Híbrido (Hybrid). Estos modos independizan NSX de la red física. Las VXLAN ya
VMware, Inc. 43
no requieren que la red física admita la multidifusión para controlar el tráfico de difusión, unidifusióndesconocida y multidifusión (BUM) dentro de un conmutador lógico. El modo de unidifusión replica todoel tráfico BUM localmente en el host y no requiere la configuración de la red física. En el modo híbrido,parte de la replicación del tráfico BUM se descarga en el conmutador físico del primer salto para lograrun mejor rendimiento. Este modo requiere la activación de la intromisión IGMP en el primer conmutadorfísico de saltos. Las máquinas virtuales dentro de un conmutador lógico pueden utilizar y enviar cualquiertipo de tráfico, incluidos el IPv6 y de multidifusión.
Es posible ampliar un conmutador lógico a un dispositivo físico agregando un puente de Capa 2.Consulte Capítulo 8 Puentes L2.
Debe tener los permisos de rol de Súperadministrador (Super Administrator) o Administrador empresarial(Enterprise Administrator) para administrar conmutadores lógicos.
Este capítulo cubre los siguientes temas:
n Agregar un conmutador lógico
n Conectar máquinas virtuales a un conmutador lógico
n Probar la conectividad del conmutador lógico
n Evitar la suplantación en un conmutador lógico
n Editar un conmutador lógico
n Escenario del conmutador lógico
Agregar un conmutador lógicoPrerequisitos
n Tener permisos de rol de superadministrador o administrador Enterprise para configurar y administrarconmutadores locales.
n El puerto UDP de VXLAN debe estar abierto en las reglas de firewall (si corresponde). El puerto UDPde VXLAN puede configurarse mediante la API.
n La MTU de la infraestructura física debe tener al menos 50 bytes más que la MTU de la vNIC de lamáquina virtual.
n La dirección IP administrada debe estar establecida para cada instancia de vCenter Server en laconfiguración de tiempo de ejecución de vCenter Server. Consulte Administración de vCenter Servery de host.
n DHCP debe estar disponible en las VLAN de transporte de VXLAN si se utiliza DHCP para laasignación de direcciones IP para VMKNics.
n El tipo de conmutador virtual distribuido (proveedor, etc.) y la versión que se utilizan deben sercoherentes en una zona de transporte determinada. Los tipos no coherentes pueden generar uncomportamiento indefinido en el conmutador lógico.
Guía de administración de NSX
VMware, Inc. 44
n Se debe configurar una directiva de formación de equipos de LACP adecuada y se deben conectarNIC físicas a los puertos. Para obtener más información sobre los modos de formación de equipos,consulte la documentación de VMware vSphere.
n La distribución de hash 5-tuple debe estar habilitada para el protocolo Protocolo de control de adiciónde enlaces (Link Aggregation Control Protocol, LACP).
n En el modo de multidifusión, el enrutamiento de multidifusión debe estar habilitado si el tráfico deVXLAN pasa por enrutadores. El usuario debe disponer de un rango de direcciones de multidifusiónproporcionado por el administrador de red.
n El puerto 1234 (el puerto de escucha predeterminado de la controladora) debe estar abierto en elfirewall para que el host ESX se comunique con las controladoras.
n (Recomendado) Para los modos de multidifusión e híbrido, debe estar habilitada la intromisión deIGMP en los conmutadores de Capa 2 a los que se conectan hosts participantes en VXLAN. Si laintromisión de IGMP está habilitada para la Capa 2, el solicitante de IGMP debe estar habilitado en elenrutador o el conmutador de Capa 3 con conectividad a redes compatibles con multidifusión.
Agregar un conmutador lógicoLos conmutadores lógicos NSX reproducen la funcionalidad de conmutación (unidifusión, multidifusión,difusión) en un entorno virtual completamente desacoplado del hardware subyacente. Los conmutadoreslógicos son similares a las VLAN en cuanto a que proporcionan conexiones de red a las que se puedenconectar máquinas virtuales. Los conmutadores lógicos son locales a una implementación de vCenterNSX individual. En una implementación de Cross-vCenter NSX, puede crear conmutadores lógicosuniversales, que pueden abarcar todas las instancias de vCenter. El tipo de zona de transporte determinasi el conmutador nuevo es un conmutador lógico o un conmutador lógico universal.
Prerequisitos
Tabla 6‑1. Requisitos previos para crear un conmutador lógico o un conmutador lógicouniversal
Conmutador lógico Conmutador lógico universal
n Los conmutadores distribuidos de vSphere deben estarconfigurados.
n NSX Manager debe estar instalado.n Las controladoras deben estar implementadas.n Los clústeres de hosts deben estar preparados para NSX.n VXLAN debe estar configurada.n Debe haber un grupo de identificadores de segmentos
configurado.n Debe haber una zona de transporte configurada.
n Los conmutadores distribuidos de vSphere debenestar configurados.
n NSX Manager debe estar instalado.n Las controladoras deben estar implementadas.n Los clústeres de hosts deben estar preparados para
NSX.n VXLAN debe estar configurada.n Se debe asignar una instancia de NSX Manager
principal.n Se debe configurar un grupo de identificadores de
segmentos universales.n Se debe crear una zona de transporte universal.
Guía de administración de NSX
VMware, Inc. 45
Determine la instancia de NSX Manager adecuada en la cual desea realizar los cambios.
n En un entorno de vCenter NSX independiente o individual, hay una sola instancia de NSX Manager.Por lo tanto, no hace falta seleccionarla.
n Los objetos universales deben administrarse desde la instancia NSX Manager principal.
n Los objetos locales a una instancia de NSX Manager deben administrarse desde esa instancia deNSX Manager.
n En un entorno de Cross-vCenter NSX donde no se habilitó Modo vinculado mejorado (EnhancedLinked Mode), es necesario realizar los cambios en la configuración desde el elemento vCentervinculado a la instancia de NSX Manager que se desea modificar.
n En un entorno de Cross-vCenter NSX con el Modo vinculado mejorado (Enhanced Linked Mode), esposible realizar cambios en la configuración de cualquier instancia de NSX Manager desde cualquiervCenter vinculado. Seleccione la instancia de NSX Manager apropiada desde el menú desplegableNSX Manager.
Procedimiento
1 En vSphere Web Client, desplácese hasta Inicio > Redes y seguridad > Conmutadores lógicos(Home > Networking & Security > Logical Switches).
2 Seleccione la instancia de NSX Manager en la que desea crear un conmutador lógico. Para crear unconmutador lógico universal, debe seleccionar la instancia de NSX Manager principal.
3 Haga clic en el icono Nuevo conmutador lógico ( ) (New Logical Switch).
Por ejemplo:
4 Escriba un nombre y una descripción opcional para el conmutador lógico.
Guía de administración de NSX
VMware, Inc. 46
5 Seleccione la zona de transporte en la que desea crear el conmutador lógico. Al seleccionar unazona de transporte universal, se creará un conmutador lógico universal.
De forma predeterminada, el conmutador lógico hereda el modo de replicación del plano de controlde la zona de transporte. Puede cambiarlo a uno de los otros modos disponibles. Los modosdisponibles son unidifusión, híbrido y multidifusión.
Si crea un conmutador lógico universal y selecciona el modo de replicación híbrido, debe asegurarsede que la dirección de multidifusión utilizada no tenga conflictos con ninguna otra dirección demultidifusión asignada a otra instancia de NSX Manager del entorno.
6 (Opcional) Haga clic en Habilitar detección de direcciones IP (Enable IP Discovery) para habilitarla supresión de ARP.
Esta configuración minimiza la saturación de tráfico ARP dentro de segmentos individuales de laVXLAN; en otras palabras, entre máquinas virtuales conectadas al mismo conmutador lógico. Ladetección de direcciones IP está habilitada de manera predeterminada.
Guía de administración de NSX
VMware, Inc. 47
7 (Opcional) Haga clic en Habilitar detección de MAC (Enable MAC learning) si las máquinasvirtuales tienen varias direcciones MAC o van a utilizar NIC virtuales que son VLAN de enlacetroncal.
Al habilitar esta opción, se crea una tabla de emparejamiento de VLAN/MAC en cada vNIC. Estatabla se almacena como parte de los datos de dvfilter. Durante la ejecución de vMotion, dvfilterguarda y restaura la tabla en la nueva ubicación. A continuación, el conmutador emite RARP paratodas las entradas de VLAN/MAC de la tabla.
Este ejemplo muestra el conmutador lógico de aplicaciones con la configuración predeterminada.
DB-Tier-00 es el conmutador lógico conectado a una zona de transporte. Solo está disponible en lainstancia de NSX Manager en la que se creó.
DB-Tier-01 es un conmutador lógico universal conectado a una zona de transporte universal. Estádisponible en cualquiera de las instancias de NSX Manager del entorno de Cross-vCenter NSX.
El conmutador lógico y el conmutador lógico universal tienen identificadores de segmentos de distintosgrupos de identificadores de segmentos.
Qué hacer a continuación
Agregue máquinas virtuales a un conmutador lógico o un conmutador lógico universal.
Guía de administración de NSX
VMware, Inc. 48
Cree un enrutador lógico y asócielo a conmutadores lógicos para habilitar la conectividad entre lasmáquinas virtuales que están conectadas a diferentes conmutadores lógicos.
Cree un enrutador lógico universal y asócielo a conmutadores lógicos universales para habilitar laconectividad entre las máquinas virtuales que están conectadas a diferentes conmutadores lógicosuniversales.
Conectar un conmutador lógico a NSX EdgeSi se conecta un conmutador lógico a una puerta de enlace de servicio de NSX Edge o a un enrutadorlógico de NSX Edge se proporciona enrutamiento de tráfico de Este a Oeste (entre los conmutadoreslógicos) o de Norte a Sur hacia el mundo exterior o para proporcionar servicios avanzados.
Procedimiento
1 En Conmutadores lógicos (Logical Switches), seleccione el conmutador lógico al que desea conectaruna instancia de NSX Edge.
2 Haga clic en el icono Conectar una instancia de Edge (Connect an Edge) ( ).
3 Seleccione la instancia de NSX Edge a la que desea conectar el conmutador lógico y haga clic enSiguiente (Next).
4 Seleccione la interfaz que desea conectar al conmutador lógico y haga clic en Siguiente (Next).
Generalmente, las redes lógicas se conectan a interfaces internas.
5 En la página Editar interfaz de NSX Edge (Edit NSX Edge interface), escriba un nombre para lainterfaz de NSX Edge-
6 Haga clic en Interna (Internal) o Vínculo superior (Uplink) para indicar si esta interfaz es interna ode vínculo superior.
7 Seleccione el estado de conectividad de la interfaz.
8 Si la instancia de NSX Edge a la que va a conectar el conmutador lógico tiene seleccionada la opciónConfiguración de HA manual (Manual HA Configuration), especifique dos direcciones IP deadministración en formato CIDR.
9 Edite el valor de MTU predeterminado, si es necesario.
10 Haga clic en Siguiente (Next).
11 Revise los detalles de conexión de NSX Edge y haga clic en Finalizar (Finish).
Implementar servicios en un conmutador lógicoPuede implementar servicios externos en un conmutador lógico.
Prerequisitos
Debe haber uno o más dispositivos virtuales de terceros instalados en la infraestructura.
Guía de administración de NSX
VMware, Inc. 49
Procedimiento
1 En Conmutadores lógicos (Logical Switches), seleccione el conmutador lógico en el que deseaimplementar servicios.
2 Haga clic en el icono Agregar perfil de servicios (Add Service Profile) ( ).
3 Seleccione el servicio y el perfil de servicios que desea aplicar.
4 Haga clic en Aceptar (OK).
Conectar máquinas virtuales a un conmutador lógicoPuede conectar máquinas virtuales a un conmutador lógico o a un conmutador lógico universal.
Procedimiento
1 En Conmutadores lógicos (Logical Switches), seleccione el conmutador lógico al que deseeagregar máquinas virtuales.
2 Haga clic en el icono Agregar máquina virtual (Add Virtual Machine) ( ).
3 Seleccione las máquinas virtuales que desea agregar al conmutador lógico.
4 Seleccione las vNIC que desea conectar.
5 Haga clic en Siguiente (Next).
6 Revise las vNIC que seleccionó.
7 Haga clic en Finalizar (Finish).
Probar la conectividad del conmutador lógicoUna prueba de ping verifica si dos hosts de una red de transporte por VXLAN pueden alcanzarsemutuamente.
1 En Conmutadores lógicos (Logical Switches), haga doble clic en el conmutador lógico que deseaprobar en la columna Nombre (Name).
2 Haga clic en la pestaña Supervisar (Monitor).
3 Haga clic en la pestaña Hosts.
4 Haga clic en Examinar (Browse) en la sección Host de origen (Source Host). En el cuadro de diálogoSeleccionar host (Select Host), seleccione el host de destino.
5 Seleccione el tamaño del paquete de prueba.
Guía de administración de NSX
VMware, Inc. 50
El tamaño estándar de VXLAN es de 1550 bytes (debe coincidir con la MTU de infraestructura física)sin fragmentación. Esto permite que NSX verifique la conectividad y compruebe que lainfraestructura está preparada para recibir el tráfico de VXLAN.
Un tamaño de paquete mínimo permite la fragmentación. Por lo tanto, con el tamaño de paqueteminimizado, NSX puede comprobar la conectividad pero no puede verificar si la infraestructura estálista para un tamaño de trama más grande.
6 Haga clic en Examinar (Browse) en la sección Host de destino (Destination Host). En el cuadro dediálogo Seleccionar host (Select Host), seleccione el host de destino.
7 Haga clic en Iniciar prueba (Start Test).
Se mostrarán los resultados de la prueba de ping de host a host.
Evitar la suplantación en un conmutador lógicoTras la sincronización con vCenter Server, NSX Manager recopila las direcciones IP de todas lasmáquinas virtuales invitadas de vCenter desde la instancia de VMware Tools en cada máquina virtual, obien desde la detección de direcciones IP si está habilitada. NSX no confía en todas las direcciones IPaprovisionadas por VMware Tools o la detección de direcciones IP. Si hay una máquina virtualcomprometida, la dirección IP puede suplantarse y las transmisiones maliciosas pueden omitir lasdirectivas de firewall.
SpoofGuard permite autorizar las direcciones IP informadas por VMware Tools o por la detección dedirecciones IP, y alterarlas si fuera necesario para evitar la suplantación. SpoofGuard confía de formaintrínseca en las direcciones MAC de las máquinas virtuales recopiladas a partir de archivos VMX yvSphere SDK. Dado que opera de forma separada de las reglas de firewall, SpoofGuard se puede utilizarpara bloquear el tráfico identificado como suplantado.
Para obtener más información, consulte Capítulo 13 Utilizar SpoofGuard.
Editar un conmutador lógicoEs posible editar el nombre, la descripción y el modo del plano de control de un conmutador lógico.
Procedimiento
1 En Conmutadores lógicos (Logical Switches), seleccione el conmutador lógico que desea editar.
2 Haga clic en el icono Editar (Edit).
3 Realice los cambios deseados.
4 Haga clic en Aceptar (OK).
Guía de administración de NSX
VMware, Inc. 51
Escenario del conmutador lógicoEsta situación presenta un caso donde la empresa ACME Enterprise tiene varios hosts ESX en dosclústeres de un centro de datos, ACME_Datacenter. Los departamentos de Ingeniería (en el grupo depuertos PG-Engineering) y de Finanzas (en el grupo de puertos PG-Finance) se encuentran en elCluster1. El departamento de Marketing (grupo de puertos PG-Marketing) se encuentra en el Cluster2.Ambos clústeres se administran desde una única instancia de vCenter Server 5.5.
Figura 6‑1. La red de ACME Enterprise antes de implementar conmutadores lógicos
PG de
Clúster 1
De finanzas: VLAN10:10.10.1.0/24De finanzas: VLAN20:10.20.1.0/24de marketing: VLAN30:10.30.1.0/24
vDS1
VM VM VM
vDS2
VM
Clúster 2
PG deingeniería finanzas
PG demarketing
Conmutadorfísico Conmutador
físico
VM VM VM
ACME se está quedando sin espacio de proceso en el Cluster1, mientras que el Cluster2 no se estáutilizando lo suficiente. El supervisor de red de ACME le pide a John Admin (el administrador devirtualización de ACME) que encuentre una forma de extender el departamento de Ingeniería al Cluster2de modo que las máquinas virtuales de Ingeniería de ambos clústeres puedan comunicarse entre ellas.De este modo, ACME podría utilizar la capacidad de proceso de ambos clústeres al ampliar su Capa 2.
Si John Admin siguiera un enfoque tradicional, debería conectar las VLAN por separado de un modoespecial para que los dos clústeres pertenezcan al mismo dominio de Capa 2. ACME debería comprarun nuevo dispositivo físico para separar el tráfico, lo cual ocasionaría problemas como desbordes de lasVLAN, bucles de red y sobrecarga de administración.
Pero John Admin recuerda haber visto una demostración de red lógica en VMworld y decide evaluarNSX. Llega a la conclusión de que conectar un conmutador lógico en dvSwitch1 y en dvSwitch2 lepermitirá ampliar la Capa 2 de ACME. Dado que John puede aprovechar NSX Controller, no seránecesario que toque la infraestructura física de ACME, ya que NSX trabaja arriba de las redes IPexistentes.
Guía de administración de NSX
VMware, Inc. 52
Figura 6‑2. ACME Enterprise implementa un conmutador lógico
VM VM VM VM
El conmutador lógico abarca varias VLAN/subredes
VM VM VM
Ingeniería: VXLAN5000:10.10.1.0/24Finanzas: VLAN 20:10.20.1.0/24Marketing: VLAN 30:10.30.1.0/24
VM VM VMVM VM
vDS1 vDS2
Conmutador
PG de ingeniería
PG de ingeniería
PG de finanzas
PG de marketing
Clúster 1 Clúster 2
físico Conmutadorfísico
Una vez que John Admin haya creado un conmutador lógico en los dos clústeres, podrá mover convMotion las máquinas virtuales dentro de vDS.
Figura 6‑3. vMotion en una red lógica
VM VM VM VMVM VM VM
Ingeniería: VXLAN5000:10.10.1.0/24Finanzas: VLAN 20:10.20.1.0/24Marketing: VLAN 30:10.30.1.0/24
VM VM VMVM VM
vDS1 vDS2
PG de ingeniería
PG de ingeniería
PG de finanzas
PG de marketing
rango de vMotion rango de vMotion
Repasemos los pasos que siguió John Admin para crear una red lógica en ACME Enterprise.
Guía de administración de NSX
VMware, Inc. 53
John Admin asigna el grupo de identificadores de segmentos y elrango de direcciones de multidifusión a NSX ManagerJohn Admin debe especificar el grupo de identificadores de segmentos que recibió para aislar el tráficode red de la empresa ABC.
Prerequisitos
1 John Admin verifica que dvSwitch1 y dvSwitch2 sean conmutadores distribuidos VMware de laversión 5.5.
2 John Admin establece la dirección IP administrada de vCenter Server.
a Seleccione Administración (Administration) > Configuración de vCenter Server (vCenterServer Settings) > Configuración del tiempo de ejecución (Runtime Settings).
b En IP administrada de vCenter Server (vCenter Server Managed IP), escriba 10.115.198.165.
c Haga clic en Aceptar (OK).
3 John Admin instala los componentes de virtualización de red en Cluster1 y Cluster2. Consulte Guíade instalación de NSX.
4 John Admin obtiene un grupo de identificadores de segmentos (5000 a 5250) del administrador deNSX Manager de ACME. Dado que está aprovechando NSX Controller, no requiere multidifusión ensu red física.
5 John Admin crea un grupo de direcciones IP para poder asignar una dirección IP estática a los VTEPde la VXLAN desde el grupo de direcciones IP. Consulte Agregar un grupo de direcciones IP.
Procedimiento
1 En vSphere Web Client, haga clic en Redes y seguridad (Networking & Security) > Instalación(Installation).
2 Haga clic en la pestaña Preparación de red lógica (Logical Network Preparation) y, a continuación,en Identificador de segmento (Segment ID).
3 Haga clic en Editar (Edit).
4 En Grupo de identificadores de segmento (Segment ID pool), escriba 5000 - 5250.
5 No seleccione Habilitar direccionamiento de multidifusión (Enable multicast addressing).
6 Haga clic en Aceptar (OK).
Guía de administración de NSX
VMware, Inc. 54
John Admin configura los parámetros de transporte de la VXLANJohn Admin configura la VXLAN en el Clúster 1 (Cluster 1) y el Clúster 2 (Cluster 2), donde asigna cadaclúster a una instancia de vDS. Cuando asigna un clúster a un conmutador, cada host de ese clúster sehabilita para los conmutadores lógicos.
Procedimiento
1 Haga clic en la pestaña Preparación de host (Host Preparation).
2 En el Cluster1, seleccione Configurar (Configure) en la columna VXLAN.
3 En el cuadro de diálogo Configurar redes VXLAN (Configuring VXLAN networking), seleccionedvSwitch1 como el conmutador distribuido virtual del clúster.
4 Escriba 10 para que dvSwitch1 utilice como VLAN de transporte de ACME.
5 En Especificar atributos de transporte (Specify Transport Attributes), deje 1600 como Unidades detransmisión máximas (Maximum Transmission Units) (MTU) para dvSwitch1.
MTU es la cantidad máxima de datos que se pueden transmitir en un paquete antes de que se dividaen paquetes más pequeños. John Admin sabe que las tramas de tráfico del conmutador lógico de laVXLAN son ligeramente más grandes debido a la encapsulación, por lo que las MTU de cadaconmutador deben establecerse en 1550 o más.
6 En Direccionamiento IP de VMKNic (VMKNic IP Addressing), seleccione Utilizar grupo dedirecciones IP (Use IP Pool) y seleccione un grupo de direcciones IP.
7 En Directiva de formación de equipos de VMKNic (VMKNic Teaming Policy), seleccioneConmutación por error (Failover).
John Admin desea sostener la calidad de servicio en su red manteniendo el rendimiento de losconmutadores lógicos igual en condiciones normales y con errores. Por lo tanto, elige Conmutaciónpor error (Failover) como directiva de formación de equipos.
8 Haga clic en Agregar (Add).
9 Repita los pasos 4 a 8 para configurar la VXLAN en Cluster2.
Después de que John Admin asigna Cluster1 y Cluster2 al conmutador adecuado, los hosts en esosclústeres están preparados para los conmutadores lógicos:
1 Se agregan una vmknic y un módulo de kernel de VXLAN a cada host en el Clúster 1 (Cluster 1) y elClúster 2 (Cluster 2).
2 Se crea un dvPortGroup especial en la instancia de vSwitch asociada con el conmutador lógico y seconecta la VMKNic a él.
Guía de administración de NSX
VMware, Inc. 55
John Admin agrega una zona de transporteLa red física que respalda una red lógica se denomina transport zone. Una zona de transporte es eldiámetro informático que abarca una red virtualizada.
Procedimiento
1 Haga clic en Preparación de red lógica (Logical Network Preparation) y, a continuación, haga clicen Zonas de transporte (Transport Zones).
2 Haga clic en el icono Nueva zona de transporte (New Transport Zone).
3 En Nombre (Name), escriba ACME Zone.
4 En Descripción (Description), escriba Zone containing ACME's clusters.
5 Seleccione Clúster 1 (Cluster 1) y Clúster 2 (Cluster 2) para agregar a la zona de transporte.
6 En Modo de plano de control (Control Plane Mode), seleccione Unidifusión (Unicast).
7 Haga clic en Aceptar (OK).
John Admin crea un conmutador lógicoUna vez que John Admin haya configurado los parámetros de transporte de la VXLAN, estará listo paracrear un conmutador lógico.
Procedimiento
1 Haga clic en Conmutadores lógicos (Logical Switches) y, a continuación, haga clic en el iconoNueva red lógica (New Logical Network).
2 En Nombre (Name), escriba ACME logical network.
3 En Descripción (Description), escribaLogical Network for extending ACME Engineering network to Cluster2.
4 En Zona de transporte (Transport Zone), seleccione Zona ACME (ACME Zone).
5 Haga clic en Aceptar (OK).
NSX crea un conmutador lógico que proporciona conectividad L2 entre dvSwitch1 y dvSwitch2.
Qué hacer a continuación
John Admin ahora puede conectar las máquinas virtuales de producción de ACME al conmutador lógicoy el conmutador lógico a un enrutador lógico o una puerta de enlace de servicios de NSX Edge.
Guía de administración de NSX
VMware, Inc. 56
Configurar una puerta de enlacede hardware 7La configuración de una puerta de enlace de hardware asigna redes físicas a redes virtuales. Asignaresta configuración permite a NSX aprovechar la base de datos de vSwitch abierto (OVSDB).
La base de datos de OVSDB contiene información sobre el hardware físico y la red virtual. El hardwaredel proveedor aloja al servidor de la base de datos.
Los conmutadores de la puerta de enlace de hardware en las redes lógicas de NSX terminan en túnelesVXLAN. En la red virtual, los conmutadores de la puerta de enlace de hardware se conocen como VTEPde hardware. Para obtener más información sobre VTEP, consulte la Guía de instalación NSX y la Guíade diseño de virtualización de redes de NSX.
Una topología mínima con una puerta de enlace de hardware incluye los siguientes componentes:
n Servidor físico
n Conmutador de la puerta de enlace de hardware (puerto de Capa 2)
n Red IP
n Un mínimo de cuatro hipervisores, que incluyen dos clústeres de replicación con máquinas virtuales
n Clúster de la controladora con tres nodos como mínimo
La topología de ejemplo con una puerta de enlace de hardware muestra los dos hipervisores HV1 y HV2.La máquina virtual VM1 está en el hipervisor HV1. El VTEP1 está en el HV1, el VTEP2 está en el HV2 yel VTEP3 está en la puerta de enlace de hardware. La puerta de enlace de hardware está ubicada enuna subred 211 diferente, comparada con los dos hipervisores que están ubicados en la misma subred221.
La configuración subyacente de la puerta de enlace de hardware puede contar con cualquiera de lossiguientes componentes:
n Conmutador único
VMware, Inc. 57
n Varios conmutador físicos en bus con distintas direcciones IP
n Controladora del conmutador de hardware con varios conmutadores
NSX Controller se comunica con la puerta de enlace de hardware utilizando su dirección IP en el puerto6640. Esta conexión se utiliza para enviar y recibir transacciones de OVSDB desde las puertas de enlacede hardware.
Escenario: configuración de ejemplo de puerta de enlacede hardwareEste escenario describe las tareas utilizadas para configurar un conmutador de puerta de enlace dehardware con una implementación de NSX. La secuencia de tareas muestra cómo conectar la máquinavirtual VM1 al servidor físico y cómo conectar el conmutador lógico de WebService al servidor VLAN 160utilizando la puerta de enlace de hardware.
La topología de ejemplo muestra que la máquina virtual VM1 y el servidor VLAN están configurados conuna dirección IP en la subred 10. La máquina virtual VM1 está conectada al conmutador lógico deWebService. El servidor VLAN está conectado a VLAN 160 en el servidor físico.
Prerequisitos
n Lea la documentación del proveedor para comprobar si cumple los requisitos de la red física.
n Compruebe que cumple los requisitos de hardware y del sistema de NSX para la configuración de lapuerta de enlace de hardware. Consulte Capítulo 1 Requisitos del sistema para NSX.
n Compruebe que el conmutador lógico se configuró correctamente. Consulte la Guía de instalación deNSX.
n Compruebe que las asignaciones de parámetros de transporte en VXLAN son precisas. Consulte laGuía de instalación de NSX.
n Recupere el certificado del proveedor de la puerta de enlace de hardware.
n Compruebe que el valor del puerto de VXLAN es 4789. Consulte la Guía de actualización de NSX.
Puede utilizar el comando de la API de REST, PUT /2.0/vdn/config/vxlan/udp/port/4789, paramodificar el número del puerto. Esta API no devuelve ninguna respuesta.
Procedimiento
1 Configurar el clúster de replicación
Un clúster de replicación está compuesto `PR hipervisores responsables de enviar el tráfico dedifusión que se recibe desde la puerta de enlace de hardware. El tráfico de difusión puede ser deunidifusión o multidifusión desconocida.
Guía de administración de NSX
VMware, Inc. 58
2 Conectar la puerta de enlace de hardware a las instancias de NSX Controller
Es necesario configurar la tabla de administración de OVSDB en el conmutador físico ToR paraconectar la puerta de enlace de hardware a NSX Controller.
3 Agregar certificado de puerta de enlace de hardware
Para que la configuración funcione se debe agregar el certificado de puerta de enlace de hardwareal dispositivo.
4 Enlazar el conmutador lógico al conmutador físico
El conmutador lógico de WebService conectado a la máquina virtual VM1 debe estar comunicadocon la puerta de enlace de hardware de la misma subred.
Configurar el clúster de replicaciónUn clúster de replicación está compuesto `PR hipervisores responsables de enviar el tráfico de difusiónque se recibe desde la puerta de enlace de hardware. El tráfico de difusión puede ser de unidifusión omultidifusión desconocida.
NOTA: Los nodos de replicación y los conmutadores de la puerta de enlace de hardware no puedenestar en la misma subred IP.
Prerequisitos
Compruebe que cuenta con hipervisores disponibles para que actúen como nodos de replicación.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Seleccione Redes y seguridad > Definiciones de servicio (Networking & Security > ServiceDefinitions).
3 Haga clic en la pestaña Dispositivos de hardware (Hardware Devices).
4 Haga clic en Editar (Edit) en la sección Clúster de replicación (Replication Cluster) para seleccionarlos hipervisores que actúen como nodos de replicación en dicho clúster.
Guía de administración de NSX
VMware, Inc. 59
5 Seleccione los hipervisores y haga clic en la flecha azul.
Los hipervisores que haya seleccionado se mueven a la columna de objetos seleccionados.
6 Haga clic en Aceptar (OK).
Los nodos de replicación se agregan al clúster de replicación. Debe existir al menos un host en el clústerde replicación.
Conectar la puerta de enlace de hardware a las instancias de NSXControllerEs necesario configurar la tabla de administración de OVSDB en el conmutador físico ToR para conectarla puerta de enlace de hardware a NSX Controller.
La controladora escucha de forma pasiva el intento de conexión de ToR. Por lo tanto, la puerta de enlacede hardware debe usar la tabla de administración de OVSDB para iniciar la conexión.
Procedimiento
1 Utilice los comandos que se apliquen en su entorno para conectar la puerta de enlace de hardware ala instancia de NSX Controller.
Ejemplos de comandos para conectar la puerta de enlace de hardware y NSX Controller.
prmh-nsx-tor-7050sx-3#enable
prmh-nsx-tor-7050sx-3#configure terminal
prmh-nsx-tor-7050sx-3(config)#cvx
prmh-nsx-tor-7050sx-3(config-cvx)#service hsc
prmh-nsx-tor-7050sx-3(config-cvx-hsc)#manager 172.16.2.95 6640
prmh-nsx-tor-7050sx-3(config-cvx-hsc)#no shutdown
prmh-nsx-tor-7050sx-3(config-cvx-hsc)#end
2 Configure la tabla de administración de OVSDB en la puerta de enlace de hardware.
3 Configure el valor del número de puerto de OVSDB como 6640.
Guía de administración de NSX
VMware, Inc. 60
4 (Opcional) Compruebe que la puerta de enlace de hardware está conectada a NSX Controller através del canal de OVSDB.
n Compruebe que el estado de la conexión es ACTIVO (UP).
n Haga ping en la máquina virtual VM1 y en VLAN 160 para comprobar que la conexión seestableció correctamente.
5 (Opcional) Compruebe que la puerta de enlace de hardware está conectada a NSX Controller.
a Inicie sesión en vSphere Web Client.
b Seleccione Redes y seguridad > > Instalación > nodos de NSX Controller (Networking &Security > Installation > NSX Controller nodes).
Agregar certificado de puerta de enlace de hardwarePara que la configuración funcione se debe agregar el certificado de puerta de enlace de hardware aldispositivo.
Prerequisitos
Compruebe que el certificado de la puerta de enlace de hardware de su entorno está disponible.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Seleccione Redes y seguridad > Definiciones de servicio (Networking & Security > ServiceDefinitions).
3 Haga clic en la pestaña Dispositivos de hardware (Hardware Devices).
Guía de administración de NSX
VMware, Inc. 61
4 Haga clic en el icono Agregar (Add) ( ) para establecer los detalles del perfil de la puerta de enlacede hardware.
Opción Descripción
Nombre y descripción Especifique un nombre de puerta de enlace de hardware.
Puede agregar detalles del perfil en la sección de descripción.
Certificado (Certificate) Pegue el certificado que extrajo del entorno.
Habilite BFD El protocolo de detección de envío bidireccional (BFD) (Bidirectional ForwardingDetection) está activado de forma predeterminada.
Este protocolo se utiliza para sincronizar la información de la configuración de lapuerta de enlace de hardware.
5 Haga clic en Aceptar (OK).
Se crea un perfil que representa la puerta de enlace de hardware.
6 Actualice la pantalla para comprobar que la puerta de enlace está disponible y se está ejecutando.
La conectividad debe estar ACTIVA (UP).
Guía de administración de NSX
VMware, Inc. 62
7 (Opcional) Haga clic en el perfil de la puerta de enlace de hardware y, a continuación, haga clic conel botón derecho para seleccionar Ver el estado del túnel BFD (View the BFD Tunnel Status) en elmenú desplegable.
El cuadro de diálogo muestra el diagnóstico detallado del estado del túnel para solucionarproblemas.
Enlazar el conmutador lógico al conmutador físicoEl conmutador lógico de WebService conectado a la máquina virtual VM1 debe estar comunicado con lapuerta de enlace de hardware de la misma subred.
NOTA: Si enlaza varios conmutadores lógicos a puertos de hardware, debe realizar los siguientespasos en cada conmutador lógico.
Prerequisitos
n Compruebe que el conmutador lógico de WebService está disponible. Consulte Agregar unconmutador lógico.
n Compruebe que hay un conmutador físico disponible.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Seleccione Redes y seguridad > Conmutadores lógicos (Networking & Security > LogicalSwitches).
3 Localice el conmutador lógico de WebService y haga clic con el botón derecho para seleccionarAdministrar enlaces de Hardware (Manage Harware Bindings) en el menú desplegable.
4 Seleccione el perfil de la puerta de enlace de hardware.
Guía de administración de NSX
VMware, Inc. 63
5 Haga clic en Agregar (Add) ( ) y en el menú desplegable seleccione el conmutador físico.
Por ejemplo, AristaGW.
6 Haga clic en Seleccionar (Select) para elegir un puerto físico en la lista Objetos disponibles(Available Objects).
Por ejemplo, Ethernet 18.
7 Haga clic en Aceptar (OK).
8 Especifique el nombre de la VLAN.
Por ejemplo, 160.
9 Haga clic en Aceptar (OK).
El enlace se completó.
NSX Controller sincroniza la información de la configuración lógica y física con la puerta de enlace dehardware.
Guía de administración de NSX
VMware, Inc. 64
Puentes L2 8Puede crear un puente L2 entre un conmutador lógico y una VLAN, que le permite migrar las cargas detrabajo virtuales a dispositivos físicos sin tener impacto en las direcciones IP. Una red lógica puedeaprovechar una puerta de enlace L3 física y acceder a las redes físicas y los recursos de seguridadexistentes por medio de la conexión mediante un puente del dominio de transmisión del conmutadorlógico y el dominio de transmisión de la VLAN.
El puente L2 se ejecuta en el host que tiene la máquina virtual del enrutador lógico de NSX Edge. Unainstancia de puente L2 se asigna a una sola VLAN, pero puede haber varias instancias de puente. Elenrutador lógico no puede utilizarse como una puerta de enlace en dispositivos conectados a un puente.
Si está habilitado High Availability en el enrutador lógico y la máquina virtual de NSX Edge principalqueda inactiva, el puente se mueve automáticamente al host con la máquina virtual secundaria. Para quese produzca esta migración sin problemas, se debe haber configurado una VLAN en el host que tiene lamáquina virtual de NSX Edge secundaria.
VXLAN 5001
Bastidor de cálculo
VM
Carga de trabajo física
Puerta de enlace física
VLAN
100
Máquina virtualde enrutador lógicode NSX Edge
puente de Capa 2
VMware, Inc. 65
Tenga en cuenta que no debe utilizar un puente L2 para conectar un conmutador lógico a otroconmutador lógico, una red VLAN a otra red VLAN o interconectar centros de datos. Además, no puedeutilizar un enrutador lógico universal para configurar la conexión con puentes y no puede agregar unpuente a un conmutador lógico universal.
Este capítulo cubre los siguientes temas:
n Agregar puente de Capa 2
n Agregar un puente de Capa 2 a un entorno con enrutamiento lógico
Agregar puente de Capa 2Puede agregar un puente desde un conmutador lógico a un grupo de puertos virtuales distribuidos.
Prerequisitos
Debe implementarse un enrutador lógico NSX en el entorno.
No se puede utilizar un enrutador lógico universal para configurar el puente, ni tampoco agregar unpuente a un conmutador lógico universal.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un enrutador lógico.
4 Haga clic en Administrar (Manage) y, a continuación, haga clic en Puente (Bridging).
5 Haga clic en el icono Agregar ( ) (Add).
6 Introduzca un nombre para el puente.
7 Seleccione el conmutador lógico para el que desea crear un puente.
8 Seleccione el grupo de puertos virtuales distribuidos con el que desea conectar mediante puente elconmutador lógico.
9 Haga clic en Aceptar (OK).
Agregar un puente de Capa 2 a un entorno conenrutamiento lógicoUn enrutador lógico puede tener varias instancias de puente; sin embargo, las instancias deenrutamiento y puente no pueden compartir la misma red vxlan/vlan. El tráfico hacia y desde la vlan y lavxlan conectadas en puente no puede enrutarse hacia la red conectada mediante puente, y viceversa.
Prerequisitos
n Debe implementarse un enrutador lógico NSX en el entorno.
Guía de administración de NSX
VMware, Inc. 66
n No se puede utilizar un enrutador lógico universal para configurar el puente, ni tampoco agregar unpuente a un conmutador lógico universal.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en el enrutador lógico que se utilizará para el puente.
NOTA: La instancia de puente debe crearse en la misma instancia de enrutamiento a la cual estáconectada la vxlan. Una instancia de puente puede tener una vxlan y una vlan, pero estas no puedensuperponerse. La misma vxlan y vlan no pueden conectarse a más de una instancia de puente.
4 Haga clic en Administrar (Manage) y, a continuación, haga clic en Puente (Bridging).
El conmutador lógico que se utiliza como enrutador mostrará el mensaje Enrutamiento habilitado(Routing Enabled).
5 Haga clic en el icono Agregar ( ) (Add).
6 Introduzca un nombre para el puente.
7 Seleccione el conmutador lógico para el que desea crear un puente.
8 Seleccione el grupo de puertos virtuales distribuidos con el que desea conectar mediante puente elconmutador lógico.
9 Haga clic en Aceptar (OK).
10 Haga clic nuevamente en Aceptar (OK) en la ventana Agregar puente (Add Bridge).
11 Haga clic en Publicar (Publish) para que se apliquen los cambios en la configuración del puente.
El conmutador lógico que se utiliza para el puente ahora aparecerá con la opción Enrutamientohabilitado (Routing Enabled) especificada. Para obtener más información, consulte Agregar unconmutador lógico y Conectar máquinas virtuales a un conmutador lógico.
Guía de administración de NSX
VMware, Inc. 67
Enrutamiento 9Es posible especificar el enrutamiento estático y dinámico de cada instancia de NSX Edge.
El enrutamiento dinámico proporciona la información de reenvío necesaria entre los dominios de difusiónde Capa 2, por lo cual permite reducir los dominios de difusión de Capa 2, además de mejorar la escala yla eficiencia de la red. NSX extiende su inteligencia al lugar donde residen las cargas de trabajo pararealizar el enrutamiento de Este a Oeste. De este modo, hay más comunicación directa entre lasmáquinas virtuales sin el tiempo o el costo adicionales que requiere extender saltos. Al mismo tiempo,NSX proporciona conectividad de Norte a Sur, por lo cual permite que las empresas accedan a las redespúblicas.
Este capítulo cubre los siguientes temas:n Agregar un enrutador lógico (distribuido)
n Agregar una puerta de enlace de servicios Edge
n Especificar una configuración global
n Configuración de NSX Edge
n Agregar una ruta estática
n Configurar OSPF en un enrutador lógico (distribuido)
n Configurar el protocolo OSPF en una puerta de enlace de servicios Edge
n Configurar BGP
n Configurar el protocolo IS-IS
n Configurar la redistribución de rutas
n Ver el identificador de configuración local de NSX Manager
n Configurar el identificador de configuración regional en un enrutador lógico universal (distribuido)
n Configurar el identificador de configuración regional en un host o un clúster
VMware, Inc. 68
Agregar un enrutador lógico (distribuido)Los módulos de kernel del enrutador lógico del host realizan el enrutamiento entre la redes VXLAN yentre las redes virtual y física. Un dispositivo NSX Edge proporciona la capacidad de enrutamientodinámico, cuando es necesario. Los enrutadores lógicos pueden crearse tanto en instancias principalescomo secundarias de NSX Manager, en un entorno de Cross-vCenter NSX, pero los enrutadores lógicosuniversales solo pueden crearse en la instancia principal de NSX Manager.
En la siguiente lista se describen las características admitidas por tipo de interfaz (interna y de vínculosuperior) en el enrutador lógico:
n Se admiten protocolos de enrutamiento dinámico (BGP y OSPF) solo en las interfaces de vínculosuperior.
n Las reglas de firewall son aplicables solo en las interfaces de vínculo superior, y están limitadas altráfico de control y de administración destinado al dispositivo Edge virtual.
n Para obtener más información sobre la interfaz de administración de DLR, consulte el artículo de labase de conocimientos relacionado con consideraciones sobre la interfaz de administración de lamáquina virtual de control del enrutador lógico distribuido (http://kb.vmware.com/kb/2122060).
Prerequisitos
n Se le debe haber asignado la función de administrador de Enterprise o administrador de NSX.
n Debe tener un clúster de controladora operativo en el entorno antes de instalar un enrutador lógico.
n Se debe crear un grupo de identificadores de segmentos local aunque no esté previsto crearconmutadores lógicos NSX.
n Los enrutadores lógicos no pueden distribuir información de enrutamiento a hosts sin la ayuda de lascontroladoras NSX Controller. Los enrutadores lógicos dependen de las controladoras NSXController para funcionar, mientras que las puertas de enlace de servicios Edge (edge servicesgateways, ESG) no. Asegúrese de que el clúster de controladoras esté en funcionamiento ydisponible antes de crear o modificar la configuración del enrutador lógico.
n Si se desea conectar un enrutador lógico a los dvPortgroups de VLAN, asegúrese de que todos loshosts del hipervisor con un dispositivo de enrutador lógico instalado puedan comunicarse entre sí enel puerto UDP 6999 para que funcione el proxy ARP basado en la VLAN del enrutador lógico.
n Las interfaces del enrutador lógico y las interfaces puente no pueden conectarse a un dvPortgroup siel identificador de la VLAN está establecido en 0.
n Una instancia de enrutador lógico determinada no puede conectarse a los conmutadores lógicos queexisten en zonas de transporte diferentes. El objetivo de esto es garantizar que todas las instanciasde conmutadores lógicos y enrutadores lógicos estén alineadas.
n Los enrutadores lógicos conectados a conmutadores lógicos que abarcan más de un conmutadordistribuido de vSphere (vSphere distributed switch, VDS) no se pueden conectar a grupos de puertosrespaldados por VLAN. El objetivo de esto es garantizar una correcta alineación de las instancias deenrutadores lógicos con los dvPortgroups de conmutadores lógicos en todos los hosts.
Guía de administración de NSX
VMware, Inc. 69
n No deben crearse interfaces de enrutadores lógicos en dos grupos de puertos distribuidos(dvPortgroups) diferentes con el mismo identificador de VLAN si las dos redes están en el mismoconmutador distribuido de vSphere.
n No deben crearse interfaces de enrutadores lógicos en dos dvPortgroups diferentes con el mismoidentificador de VLAN si las dos redes están en conmutadores distribuidos de vSphere diferentes,pero los dos conmutadores distribuidos de vSphere comparten los mismos hosts. En otras palabras,pueden crearse interfaces de enrutadores lógicos en dos redes diferentes con el mismo identificadorde VLAN si los dos dvPortgroups están en dos conmutadores distribuidos de vSphere diferentes,siempre que los conmutadores distribuidos de vSphere no compartan un host.
n A diferencia de las versiones 6.0 y 6.1 de NSX, la versión 6.2 de NSX permite conectar interfaceslógicas (logical interfaces, LIF) enrutadas mediante enrutadores a una VXLAN conectada en puentecon una VLAN.
n Al seleccionar la colocación de un dispositivo virtual de un enrutador lógico, evite colocarlo en elmismo host que uno o varios de sus ESG ascendentes, en caso de que utilice ESG en laconfiguración de ECMP. Puede utilizar reglas de antiafinidad de DRS para aplicar esto, lo quereducirá el impacto de los errores del host en el reenvío de enrutadores lógicos. Estas instruccionesno se aplican si tiene un ESG ascendente individual o en modo de alta disponibilidad. Para obtenermás información, consulte la Guía de diseño de virtualización de redes de VMware NSX for vSphereen https://communities.vmware.com/docs/DOC-27683.
Determine la instancia de NSX Manager adecuada en la cual desea realizar los cambios.
n En un entorno de vCenter NSX independiente o individual, hay una sola instancia de NSX Manager.Por lo tanto, no hace falta seleccionarla.
n Los objetos universales deben administrarse desde la instancia NSX Manager principal.
n Los objetos locales a una instancia de NSX Manager deben administrarse desde esa instancia deNSX Manager.
n En un entorno de Cross-vCenter NSX donde no se habilitó Modo vinculado mejorado (EnhancedLinked Mode), es necesario realizar los cambios en la configuración desde el elemento vCentervinculado a la instancia de NSX Manager que se desea modificar.
n En un entorno de Cross-vCenter NSX con el Modo vinculado mejorado (Enhanced Linked Mode), esposible realizar cambios en la configuración de cualquier instancia de NSX Manager desde cualquiervCenter vinculado. Seleccione la instancia de NSX Manager apropiada desde el menú desplegableNSX Manager.
n Determine qué tipo de enrutador lógico debe agregar:
n Si necesita conectar un conmutador lógico, debe agregar un enrutador lógico.
Guía de administración de NSX
VMware, Inc. 70
n Si necesita conectar un conmutador lógico universal, debe agregar un enrutador lógico universal.
n Si va a agregar un enrutador lógico universal, determine si necesita habilitar la salida local. La salidalocal permite enviar rutas a hosts de manera selectiva. Quizás sea conveniente utilizar esta opción sila implementación de NSX se expande a varios sitios. Consulte Topologías de Cross-vCenter NSXpara obtener más información. No puede habilitar la salida local después de crear el enrutador lógicouniversal.
Procedimiento
1 En vSphere Web Client, desplácese hasta Inicio > Redes y seguridad > NSX Edge (Home >Networking & Security > NSX Edges).
2 Seleccione la instancia de NSX Manager apropiada en la que desea realizar cambios. Si va a crearun enrutador lógico universal, debe seleccionar la instancia de NSX Manager principal.
3 Haga clic en el icono Agregar (Add) ( ).
4 Seleccione el tipo de enrutador lógico que desea agregar:
n Seleccione Enrutador lógico (distribuido) (Logical [Distributed] Router) para agregar unenrutador lógico a la instancia de NSX Manager seleccionada.
n Seleccione Enrutador lógico universal (distribuido) (Universal Logical [Distributed] Router)para agregar un enrutador lógico que pueda expandir el entorno de Cross-vCenter NSX. Estaopción estará disponible solo si tiene una instancia de NSX Manager principal asignada y sirealiza cambios desde ella.
a Si seleccionó Enrutador lógico universal (distribuido) (Universal Logical [Distributed] Router),además debe seleccionar si desea habilitar el egreso local.
5 Introduzca un nombre para el dispositivo.
Este nombre aparece en el inventario de vCenter. El nombre debe ser único en todos los enrutadoreslógicos de una sola empresa.
De manera opcional, también puede introducir un nombre de host. Este nombre aparece en lainterfaz de línea de comandos. Si no especifica un nombre de host, la interfaz de línea de comandosmuestra el identificador de Edge, que se crea automáticamente.
De manera opcional, puede introducir una descripción y especificar la empresa.
6 Implemente un dispositivo Edge.
La opción Implementar dispositivo Edge (Deploy Edge Appliance) está seleccionada de formapredeterminada. Se requiere un dispositivo Edge (también denominado dispositivo virtual deenrutador lógico) para el enrutamiento dinámico y para el firewall del dispositivo de enrutador lógico,que se aplica a los ping del enrutador, al acceso de SSH y al tráfico de enrutamiento dinámico.
Puede desactivar la opción de dispositivo Edge si necesita solo rutas estáticas y no deseaimplementar un dispositivo Edge. No puede agregar un dispositivo Edge al enrutador lógico una vezque este enrutador ya está creado.
Guía de administración de NSX
VMware, Inc. 71
7 (Opcional) Habilite High Availability.
La opción Habilitar disponibilidad alta (Enable High Availability) no está seleccionada de formapredeterminada. Marque la casilla de verificación Habilitar disponibilidad alta (Enable HighAvailability) para habilitar y configurar la disponibilidad alta. Se requiere High Availability si suintención es utilizar un enrutamiento dinámico.
8 Escriba y vuelva a escribir una contraseña para el enrutador lógico.
La contraseña debe tener entre 12 y 255 caracteres, y debe contener lo siguiente:
n Al menos una letra en mayúscula
n Al menos una letra en minúscula
n Al menos un número
n Al menos un carácter especial
Guía de administración de NSX
VMware, Inc. 72
9 (Opcional) Habilite SSH y establezca el nivel de registro.
De forma predeterminada, SSH no está habilitado. Si no habilita SSH, puede abrir la consola deldispositivo virtual para seguir accediendo al enrutador lógico. Habilitar SSH aquí hace que el procesode SSH se ejecute en el dispositivo virtual del enrutador lógico, pero además será necesario ajustarmanualmente la configuración de firewall del enrutador lógico para permitir el acceso de SSH a ladirección de protocolo del enrutador lógico. La dirección del protocolo se establece cuando seconfigura el enrutamiento dinámico en el enrutador lógico.
De forma predeterminada, el registro está en nivel de emergencia.
Por ejemplo:
Guía de administración de NSX
VMware, Inc. 73
10 Configure la implementación.
u Si no seleccionó Implementar NSX Edge (Deploy NSX Edge), el icono Agregar ( ) (Add) estáatenuado. Haga clic en Siguiente (Next) para continuar con la configuración.
u Si seleccionó Implementar NSX Edge (Deploy NSX Edge), introduzca la configuración deldispositivo virtual del enrutador lógico que se agregará al inventario de vCenter.
Por ejemplo:
11 Configure las interfaces.
En los enrutadores lógicos, solo se admiten las direcciones IPv4.
En la sección Configuración de la interfaz de HA (HA Interface Configuration), si selecciona la opciónImplementar NSX Edge (Deploy NSX Edge), debe conectar la interfaz al grupo del puertodistribuido. Le recomendamos que utilice un conmutador lógico VXLAN para la interfaz de HA. Seelegirá una dirección IP para cada uno de los dos dispositivos NSX Edge en el espacio de direcciónlocal del vínculo (169.250.0.0/16). No es necesario realizar más cambios en la configuración paraconfigurar el servicio de HA.
NOTA: En versiones anteriores de NSX, la interfaz de HA se denominaba interfaz deadministración. La interfaz de HA no permite el acceso remoto al enrutador lógico. No es posiblehabilitar SSH para acceder a la interfaz de HA desde ningún lugar que no se encuentre en la mismasubred IP que la interfaz de HA. No se pueden configurar rutas estáticas que apunten hacia afuerade la interfaz de HA, lo que significa que RPF descartará el tráfico entrante. En teoría, se puededeshabilitar RPF, pero esto sería contraproducente para High Availability. Para SSH, utilice ladirección de protocolo del enrutador lógico, que se establece posteriormente cuando se configura elenrutamiento dinámico.
En NSX 6.2, la interfaz de HA de un enrutador lógico se excluye automáticamente de laredistribución de rutas.
En la sección Configurar interfaces de esta instancia de NSX Edge (Configure interfaces of thisNSX Edge), las interfaces internas están diseñadas para conexiones a conmutadores que permitenla comunicación entre máquinas virtuales (a la que a veces se denomina comunicación este-oeste).Las interfaces internas se crean como pseudo vNIC en el dispositivo virtual del enrutador lógico. Lasinterfaces de vínculo superior se utilizan en la comunicación de Norte a Sur. Es posible que una
Guía de administración de NSX
VMware, Inc. 74
interfaz del vínculo superior del enrutador lógico se conecte a una puerta de enlace de servicios deNSX Edge, a una máquina virtual del enrutador externo de esta o a un dvPortgroup respaldado porVLAN para que el enrutador lógico se conecte al enrutador físico directamente. Se debe tener almenos una interfaz de vínculo superior para que el enrutamiento dinámico funcione. Las interfacesde vínculo superior se crean como vNIC en el dispositivo virtual del enrutador lógico.
La configuración de la interfaz especificada en este punto se puede modificar más adelante. Esposible agregar, eliminar y modificar interfaces después de implementar un enrutador lógico.
El siguiente ejemplo muestra una interfaz de HA conectada al grupo de puertos distribuidos deadministración. El ejemplo también muestra dos interfaces internas (aplicación y web) y una interfazde vínculo superior (a ESG).
Guía de administración de NSX
VMware, Inc. 75
12 Configure una puerta de enlace predeterminada.
Por ejemplo:
13 Asegúrese de que todas las máquinas virtuales asociadas a los conmutadores lógicos tengan suspuertas de enlace predeterminadas establecidas adecuadamente en las direcciones IP de la interfazdel enrutador lógico.
En el siguiente ejemplo de topología, la puerta de enlace predeterminada de la máquina virtual de laaplicación debe ser 172.16.20.1. La puerta de enlace predeterminada de la máquina virtual web debe ser172.16.10.1. Compruebe que las máquinas virtuales puedan hacer ping en sus puertas de enlacepredeterminadas y entre sí.
Guía de administración de NSX
VMware, Inc. 76
Inicie sesión en NSX Manager mediante SSH y ejecute los siguientes comandos:
n Vea un listado con toda la información de la instancia del enrutador lógico.
nsxmgr-l-01a> show logical-router list all
Edge-id Vdr Name Vdr id #Lifs
edge-1 default+edge-1 0x00001388 3
n Vea un listado de los hosts que recibieron información de enrutamiento para el enrutador lógico delclúster de controladoras.
nsxmgr-l-01a> show logical-router list dlr edge-1 host
ID HostName
host-25 192.168.210.52
host-26 192.168.210.53
host-24 192.168.110.53
En el resultado se incluyen todos los hosts de todos los clústeres de hosts configurados comomiembros de la zona de transporte a la que pertenece el conmutador lógico que está conectado alenrutador lógico especificado (en este ejemplo, edge-1).
n Vea un listado con la información de la tabla de enrutamiento que se comunica a los hosts medianteel enrutador lógico. Las entradas de la tabla de enrutamiento deben ser coherentes en todos loshosts.
nsx-mgr-l-01a> show logical-router host host-25 dlr edge-1 route
VDR default+edge-1 Route Table
Legend: [U: Up], [G: Gateway], [C: Connected], [I: Interface]
Legend: [H: Host], [F: Soft Flush] [!: Reject] [E: ECMP]
Destination GenMask Gateway Flags Ref Origin UpTime Interface
----------- ------- ------- ----- --- ------ ------ ---------
0.0.0.0 0.0.0.0 192.168.10.1 UG 1 AUTO 4101 138800000002
Guía de administración de NSX
VMware, Inc. 77
172.16.10.0 255.255.255.0 0.0.0.0 UCI 1 MANUAL 10195 13880000000b
172.16.20.0 255.255.255.0 0.0.0.0 UCI 1 MANUAL 10196 13880000000a
192.168.10.0 255.255.255.248 0.0.0.0 UCI 1 MANUAL 10196 138800000002
192.168.100.0 255.255.255.0 192.168.10.1 UG 1 AUTO 3802 138800000002
n Vea un listado con información adicional sobre el enrutador desde el punto de vista de uno de loshosts. Esto es útil para saber qué controlador es está comunicando con el host.
nsx-mgr-l-01a> show logical-router host host-25 dlr edge-1 verbose
VDR Instance Information :
---------------------------
Vdr Name: default+edge-1
Vdr Id: 0x00001388
Number of Lifs: 3
Number of Routes: 5
State: Enabled
Controller IP: 192.168.110.203
Control Plane IP: 192.168.210.52
Control Plane Active: Yes
Num unique nexthops: 1
Generation Number: 0
Edge Active: No
Compruebe el campo Dirección IP de controladora (Controller IP) en el resultado del comando showlogical-router host host-25 dlr edge-1 verbose.
Acceda a una controladora mediante SSH y ejecute los siguientes comandos para mostrar la informaciónde estado adquirida de las tablas de VNI, VTEP, MAC y ARP de la controladora.
n192.168.110.202 # show control-cluster logical-switches vni 5000
VNI Controller BUM-Replication ARP-Proxy Connections
5000 192.168.110.201 Enabled Enabled 0
La salida para VNI 5000 muestra cero conexiones y la controladora 192.168.110.201 comopropietaria de VNI 5000. Inicie sesión en esa controladora para recopilar más información de VNI5000.
192.168.110.201 # show control-cluster logical-switches vni 5000
VNI Controller BUM-Replication ARP-Proxy Connections
5000 192.168.110.201 Enabled Enabled 3
Guía de administración de NSX
VMware, Inc. 78
El resultado en 192.168.110.201 muestra tres conexiones. Compruebe las VNI adicionales.
192.168.110.201 # show control-cluster logical-switches vni 5001
VNI Controller BUM-Replication ARP-Proxy Connections
5001 192.168.110.201 Enabled Enabled 3
192.168.110.201 # show control-cluster logical-switches vni 5002
VNI Controller BUM-Replication ARP-Proxy Connections
5002 192.168.110.201 Enabled Enabled 3
Debido a que 192.168.110.201 es propietaria de las tres conexiones de VNI, se esperarían ver ceroconexiones en la otra controladora 192.168.110.203.
192.168.110.203 # show control-cluster logical-switches vni 5000
VNI Controller BUM-Replication ARP-Proxy Connections
5000 192.168.110.201 Enabled Enabled 0
n Antes de comprobar las tablas de MAC y ARP, comience a hacer ping de una máquina virtual a laotra.
Desde la máquina virtual de la aplicación a la máquina virtual web:
Revise las tablas de MAC.
192.168.110.201 # show control-cluster logical-switches mac-table 5000
VNI MAC VTEP-IP Connection-ID
5000 00:50:56:a6:23:ae 192.168.250.52 7
192.168.110.201 # show control-cluster logical-switches mac-table 5001
VNI MAC VTEP-IP Connection-ID
5001 00:50:56:a6:8d:72 192.168.250.51 23
Revise las tablas de ARP.
192.168.110.201 # show control-cluster logical-switches arp-table 5000
VNI IP MAC Connection-ID
5000 172.16.20.10 00:50:56:a6:23:ae 7
192.168.110.201 # show control-cluster logical-switches arp-table 5001
VNI IP MAC Connection-ID
5001 172.16.10.10 00:50:56:a6:8d:72 23
Revise la información del enrutador lógico. Cada instancia del enrutador lógico se procesa en uno de losnodos de la controladora.
Guía de administración de NSX
VMware, Inc. 79
El subcomando instance del comando show control-cluster logical-routers muestra un listadode los enrutadores lógicos que están conectados a esta controladora.
El subcomando interface-summary muestra un listado de las LIF que la controladora adquirió de NSXManager. Esta información se envía a los hosts que están en los clústeres de hosts administrados en lazona de transporte.
El subcomando routes muestra la tabla de enrutamiento que se envía a esta controladora mediante eldispositivo virtual del enrutador lógico (también se conoce como máquina virtual de control). Tenga encuenta que, a diferencia de los hosts ESXi, esta tabla de enrutamiento no incluye subredes conectadasdirectamente, ya que la configuración de LIF proporciona esta información. La información de ruta de loshosts ESXi incluye subredes conectadas directamente porque, en ese caso, se trata de una tabla dereenvío utilizada por la ruta de datos del host ESXi.
ncontroller # show control-cluster logical-routers instance all
LR-Id LR-Name Universal Service-Controller Egress-Locale
0x1388 default+edge-1 false 192.168.110.201 local
Anote el identificador de LR y utilícelo en el siguiente comando.
ncontroller # show control-cluster logical-routers interface-summary 0x1388
Interface Type Id IP[]
13880000000b vxlan 0x1389 172.16.10.1/24
13880000000a vxlan 0x1388 172.16.20.1/24
138800000002 vxlan 0x138a 192.168.10.2/29
ncontroller # show control-cluster logical-routers routes 0x1388
Destination Next-Hop[] Preference Locale-Id Source
192.168.100.0/24 192.168.10.1 110 00000000-0000-0000-0000-000000000000 CONTROL_VM
0.0.0.0/0 192.168.10.1 0 00000000-0000-0000-0000-000000000000 CONTROL_VM
[root@comp02a:~] esxcfg-route -l
VMkernel Routes:
Network Netmask Gateway Interface
10.20.20.0 255.255.255.0 Local Subnet vmk1
192.168.210.0 255.255.255.0 Local Subnet vmk0
default 0.0.0.0 192.168.210.1 vmk0
Guía de administración de NSX
VMware, Inc. 80
n Muestre las conexiones de la controladora a la VNI específica.
192.168.110.203 # show control-cluster logical-switches connection-table 5000
Host-IP Port ID
192.168.110.53 26167 4
192.168.210.52 27645 5
192.168.210.53 40895 6
192.168.110.202 # show control-cluster logical-switches connection-table 5001
Host-IP Port ID
192.168.110.53 26167 4
192.168.210.52 27645 5
192.168.210.53 40895 6
Estas direcciones IP de hosts son interfaces vmk0, no VTEP. Las conexiones entre hosts ycontroladoras ESXi se crean en la red de administración. Aquí los números de puerto son puertosTCP efímeros que asigna la pila de direcciones IP del host ESXi cuando el host establece unaconexión con la controladora.
n En el host, puede ver la conexión de red de la controladora vinculada al número de puerto.
[[email protected]:~] #esxcli network ip connection list | grep 26167
tcp 0 0 192.168.110.53:26167 192.168.110.101:1234 ESTABLISHED
96416 newreno netcpa-worker
n Muestre las VNI activas en el host. Observe que el resultado es diferente entre los hosts. No todaslas VNI están activas en todos los hosts. Una VNI está activa en un host si ese host posee unamáquina virtual conectada al conmutador lógico.
[[email protected]:~] # esxcli network vswitch dvs vmware vxlan network list --vds-name
Compute_VDS
VXLAN ID Multicast IP Control Plane Controller Connection
Port Count MAC Entry Count ARP Entry Count VTEP Count
-------- ------------------------- ----------------------------------- ---------------------
---------- --------------- --------------- ----------
5000 N/A (headend replication) Enabled (multicast proxy,ARP proxy) 192.168.110.203
(up) 1 0 0 0
5001 N/A (headend replication) Enabled (multicast proxy,ARP proxy) 192.168.110.202
(up) 1 0 0 0
NOTA: Para habilitar el espacio de nombres vxlan en vSphere 6 y versiones posteriores, ejecute elcomando /etc/init.d/hostd restart.
En el caso de conmutadores lógicos en modo híbrido o de unidifusión, el comando esxcli networkvswitch dvs vmware vxlan network list --vds-name <vds-name> debe contener el siguienteresultado:
n El plano de control está habilitado.
Guía de administración de NSX
VMware, Inc. 81
n El proxy de multidifusión y el proxy ARP aparecen en el listado. El proxy AARP aparece en ellistado aunque se haya deshabilitado la detección de direcciones IP.
n Una dirección IP de controladora válida aparece en el listado y la conexión está activa.
n Si un enrutador lógico está conectado al host ESXi, el recuento de puertos es al menos 1, inclusosi no hay máquinas virtuales en el host conectado al conmutador lógico. Este puerto es vdrPort,que es un puerto dvPort especial conectado al módulo del kernel del enrutador lógico en el hostESXi.
n En primer lugar, haga ping de una máquina virtual a otra en una subred diferente y, a continuación,muestre la tabla de MAC. Tenga en cuenta que la MAC interna es la entrada de la máquina virtual,mientras que la MAC externa y la dirección IP externa se refieren a la VTEP.
~ # esxcli network vswitch dvs vmware vxlan network mac list --vds-name=Compute_VDS --vxlan-id=5000
Inner MAC Outer MAC Outer IP Flags
----------------- ----------------- -------------- --------
00:50:56:a6:23:ae 00:50:56:6a:65:c2 192.168.250.52 00000111
~ # esxcli network vswitch dvs vmware vxlan network mac list --vds-name=Compute_VDS --vxlan-id=5001
Inner MAC Outer MAC Outer IP Flags
----------------- ----------------- -------------- --------
02:50:56:56:44:52 00:50:56:6a:65:c2 192.168.250.52 00000101
00:50:56:f0:d7:e4 00:50:56:6a:65:c2 192.168.250.52 00000111
Qué hacer a continuación
En los hosts donde se implementan dispositivos NSX Edge por primera vez, NSX habilita elencendido/apagado automático de máquinas virtuales. Si posteriormente las máquinas virtuales deldispositivo se migran a otros hosts, es posible que los hosts nuevos no tengan habilitada la opción deencendido/apagado automático. Por este motivo, VMware recomienda que compruebe todos los hostsdel clúster para asegurarse de que la opción de encendido/apagado automático esté habilitada. Consulte http://pubs.vmware.com/vsphere-60/index.jsp?topic=%2Fcom.vmware.vsphere.vm_admin.doc%2FGUID-5FE08AC7-4486-438E-AF88-80D6C7928810.html.
Después de implementar el enrutador lógico, haga doble clic en el identificador del enrutador lógico paraconfigurar opciones adicionales, como interfaces, enrutamiento, firewall, puentes y relé DHCP.
Por ejemplo:
Guía de administración de NSX
VMware, Inc. 82
Agregar una puerta de enlace de servicios EdgePuede instalar varios dispositivos virtuales de puertas de enlace de servicios NSX Edge en un centro dedatos. Cada dispositivo virtual NSX Edge puede tener un total de diez interfaces de red de internas y devínculo superior. Las interfaces internas se conectan a grupos de puertos protegidos y actúan comopuerta de enlace para todas las máquinas virtuales protegidas del grupo de puertos. La subred asignadaa la interfaz interna puede ser una dirección IP enrutada públicamente o un espacio de direccionesprivado (RFC 1918) con uso de NAT. Las reglas de firewall y otros servicios NSX Edge se aplican sobreel tráfico entre interfaces.
Las interfaces de vínculo superior de una ESG se conectan a grupos de puertos de vínculo superior quetienen acceso a una red compartida de la empresa o a un servicio que ofrece redes de capa de acceso.
En la siguiente lista se describen las características admitidas por tipo de interfaz (interna y de vínculosuperior) en la ESG:
n DHCP: no se admite en la interfaz de vínculo superior.
n Reenviador de DNS: no se admite en la interfaz de vínculo superior.
n HA: no se admite en la interfaz de vínculo superior, requiere al menos una interfaz interna.
n VPN SSL: la dirección IP del agente de escucha debe pertenecer a la interfaz de vínculo superior.
n VPN IPsec: la dirección IP del sitio local debe pertenecer a la interfaz de vínculo superior.
n VPN de capa 2: solo las redes internas pueden ampliarse.
En la siguiente imagen se muestra una topología de ejemplo con una interfaz de vínculo superior de ESGconectada a la infraestructura física mediante el conmutador distribuido de vSphere, y la interfaz internade ESG conectada a un enrutador lógico de NSX mediante un conmutador de tránsito lógico de NSX.
Guía de administración de NSX
VMware, Inc. 83
VM VM
172.16.20.10 172.16.10.10
172.16.20.1Tipo de vínculo: interno 172.16.10.1
Tipo de vínculo: interno
DLR
Conmutadorlógicode aplicaciones
Conmutadorlógicoweb
Máquina virtualde aplicaciones
Máquina virtualweb
192.168.10.2Tipo de vínculo:
Dirección del protocolo:192.168.10.3
Conmutadorlógicode tránsito
192.168.10.1Tipo de vínculo: interno
ESG
192.168.100.3Tipo de vínculo:vínculo superior
192.168.100.1
Arquitecturafísica
vSphereDistributedSwitch
vínculo superior
Pueden configurarse varias direcciones IP para equilibrio de carga, VPN de sitio a sitio y servicios deNAT.
Prerequisitos
Se le debe haber asignado la función de administrador de Enterprise o administrador de NSX.
Compruebe que el grupo de recursos tenga capacidad suficiente para implementar el dispositivo virtualde la puerta de enlace de servicios Edge (edge services gateway, ESG) . Consulte Capítulo 1 Requisitosdel sistema para NSX.
Guía de administración de NSX
VMware, Inc. 84
Procedimiento
1 En vCenter, desplácese hasta Inicio > Redes y seguridad > NSX Edge (Home > Networking &
Security > NSX Edges) y haga clic en el icono Agregar (Add) ( ).
2 Seleccione Puerta de enlace de servicios Edge (Edge Services Gateway) y escriba un nombrepara el dispositivo.
Este nombre aparece en el inventario de vCenter. El nombre debe ser único en todas las ESG deuna misma empresa.
De manera opcional, también puede introducir un nombre de host. Este nombre aparece en lainterfaz de línea de comandos. Si no especifica un nombre de host, la interfaz de línea de comandosmuestra el identificador de Edge, que se crea automáticamente.
De manera opcional, puede introducir una descripción y una empresa, y habilitar High Availability.
Por ejemplo:
Guía de administración de NSX
VMware, Inc. 85
3 Escriba y vuelva a escribir una contraseña para ESG.
La contraseña debe tener al menos 12 caracteres y cumplir con al menos 3 de las siguientes 4reglas:
n Al menos una letra en mayúscula
n Al menos una letra en minúscula
n Al menos un número
n Al menos un carácter especial
4 (Opcional) Habilite SSH, High Availability y la generación automática de reglas, y establezca el nivelde registro.
Si no habilita la generación automática de reglas, debe agregar manualmente la configuración defirewall, NAT y enrutamiento para permitir el control de tráfico para ciertos servicios NSX Edge,incluidos el equilibrio de carga y VPN. La generación automática de reglas no crea reglas para tráficode canal de datos.
Guía de administración de NSX
VMware, Inc. 86
De forma predeterminada, las opciones SSH y High Availability están deshabilitadas, y la generaciónautomática de reglas está habilitada. De forma predeterminada, el registro está en nivel deemergencia.
De forma predeterminada, el registro está habilitado en todos los dispositivos NSX Edge nuevos. Elnivel de registro predeterminado es NOTICE (ATENCIÓN).
Por ejemplo:
5 Seleccione el tamaño de la instancia NSX Edge en función de los recursos del sistema.
La opción Large NSX Edge tiene más CPU, memoria y espacio en disco que la opción CompactNSX Edge, y admite una mayor cantidad de componentes de usuarios VPN SSL-Plus simultáneos.La opción X-Large NSX Edge es ideal para entornos que tienen un equilibrador de carga conmillones de sesiones simultáneas. La opción Quad Large NSX Edge se recomienda cuando esnecesaria una gran capacidad de proceso y requiere una alta velocidad de conexión.
Consulte Capítulo 1 Requisitos del sistema para NSX.
6 Cree un dispositivo Edge.
Introduzca la configuración del dispositivo virtual de la ESG que se agregará al inventario de vCenter.Si no agrega un dispositivo al instalar NSX Edge, NSX Edge permanece en modo sin conexión hastaque se agrega un dispositivo.
Guía de administración de NSX
VMware, Inc. 87
Si habilitó HA, puede agregar dos dispositivos. Si agrega un solo dispositivo, NSX Edge replica suconfiguración para el dispositivo en espera y garantiza que las dos máquinas virtuales NSX Edge conHA no estén en el mismo host ESX incluso después de utilizar DRS y vMotion (a menos que la migremanualmente con vMotion al mismo host). Para que HA funcione correctamente, debe implementarlos dos dispositivos en un almacén de datos compartido.
Por ejemplo:
7 Seleccione Implementar NSX Edge (Deploy NSX Edge) y agregue el dispositivo Edge en un modoimplementado. Debe configurar dispositivos e interfaces para el dispositivo Edge para poderimplementarlo.
8 Configure las interfaces.
En ESG, se admiten las direcciones IPv4 e IPv6.
Debe agregar al menos una interfaz interna para que HA funcione.
Una interfaz puede tener varias subredes no superpuestas.
Si introduce más de una dirección IP para una interfaz, puede seleccionar la dirección IP principal.Un interfaz puede tener una dirección IP principal y varias secundarias. NSX Edge considera ladirección IP principal como la dirección de origen para el tráfico generado localmente, por ejemplo,servidores de Syslog remotos y pings iniciados por el operador.
Debe agregar una dirección IP con una interfaz antes de utilizarla en cualquier configuración decaracterísticas.
De manera opcional, puede introducir la dirección MAC de la interfaz.
Si HA está habilitado, puede introducir dos direcciones IP de administración en formato CIDR si lodesea. Los latidos de las dos máquinas virtuales NSX Edge con HA se comunican por medio deestas direcciones IP de administración. Las direcciones IP de administración deben estar en lamisma Capa 2/subred y poder comunicarse entre sí.
De manera opcional, puede modificar la MTU.
Habilite el ARP de proxy si desea permitir que la ESG responda a las solicitudes de ARP dirigidas aotras máquinas. Esto es útil, por ejemplo, cuando tiene la misma subred en ambos lados de unaconexión WAN.
Guía de administración de NSX
VMware, Inc. 88
Habilite la redirección de ICMP para transmitir la información de enrutamiento a los hosts.
Habilite el filtrado inverso de rutas para comprobar la posibilidad de conexión de la dirección deorigen en los paquetes que se reenvían. En el modo habilitado, el paquete debe recibirse en lainterfaz que el enrutador utilizaría para reenviar el paquete de retorno. En el modo flexible, ladirección de origen debe aparecer en la tabla de enrutamiento.
Configure parámetros de contención si desea volver a utilizar las direcciones IP y MAC en diferentesentornos contenidos. Por ejemplo, en una Cloud Management Platform (CMP), la contención permiteejecutar varias instancias de nube simultáneas con las mismas direcciones IP y MAC completamenteaisladas o “contenidas”.
Por ejemplo:
Guía de administración de NSX
VMware, Inc. 89
En el siguiente ejemplo se muestran dos interfaces: una conecta la ESG con el mundo exteriormediante un grupo de puertos de vínculo superior en un conmutador distribuido de vSphere,mientras que la otra conecta la ESG a un conmutador lógico de tránsito al cual también estáconectado un enrutador lógico distribuido.
Guía de administración de NSX
VMware, Inc. 90
9 Configure una puerta de enlace predeterminada.
Puede editar el valor de MTU, pero este no puede ser mayor que el valor de MTU configurado en lainterfaz.
Por ejemplo:
10 Configure la directiva de firewall, el registro y los parámetros de HA.
ADVERTENCIA: Si no configura la directiva de firewall, se establece la directiva predeterminadapara denegar todo el tráfico.
De forma predeterminada, los registros están habilitados en todos los dispositivos NSX Edge nuevos.El nivel de registro predeterminado es NOTICE (ATENCIÓN). Si los registros se almacenan de formalocal en la ESG, es posible que el proceso de registro genere demasiados registros y afecte alrendimiento de NSX Edge. Por este motivo, le recomendamos que configure los servidores syslogremotos y reenvíe los registros a un recopilador centralizado para que se analicen y se supervisen.
Guía de administración de NSX
VMware, Inc. 91
Si habilitó High Availability, complete la sección HA. De forma predeterminada, HA seleccionaautomáticamente una interfaz interna y asigna automáticamente direcciones IP de vínculo locales.NSX Edge admite dos máquinas virtuales para High Availability, que permanecen actualizadas conconfiguraciones del usuario. Si se produce un error de latido en la máquina virtual principal, el estadode la máquina virtual secundaria cambia a activo. De esa manera, una máquina virtual NSX Edgesiempre está activa en la red. NSX Edge replica la configuración del dispositivo principal para eldispositivo en espera y garantiza que las dos máquinas virtuales NSX Edge con HA no estén en elmismo host ESX, incluso después de utilizar DRS y vMotion. En vCenter, se implementan dosmáquinas virtuales en el mismo grupo de recursos y almacén de datos que el dispositivoconfigurado. Se asignan direcciones IP de vínculo locales a máquinas virtuales con HA en NSX EdgeHA para que puedan comunicarse entre sí. Seleccione la interfaz interna para la cual deseaconfigurar parámetros de HA. Si selecciona el valor CUALQUIERA (ANY) para la interfaz, pero nohay interfaces internas configuradas, la interfaz de usuario no muestra un error. Se crean dosdispositivos Edge, pero como no hay una interfaz interna configurada, el dispositivo Edge nuevopermanece en espera y se deshabilita HA. Una vez que se configura una interfaz interna, HA sevuelve a habilitar en el dispositivo Edge. Escriba el período en segundos dentro del cual, si eldispositivo de copia de seguridad no recibe una señal de latido del dispositivo principal, este seconsidera inactivo y el dispositivo de copia de seguridad lo reemplaza. El intervalo predeterminadoes 15 segundos. De manera opcional, puede introducir dos direcciones IP de administración enformato CIDR para anular las direcciones IP de vínculo locales asignadas a las máquinas virtuales
Guía de administración de NSX
VMware, Inc. 92
con HA. Asegúrese de que las direcciones IP de administración no se superpongan con lasdirecciones IP utilizadas para ninguna otra interfaz, y que no interfieran con el enrutamiento detráfico. No debe utilizar una dirección IP que exista en otro lugar de la red, ni siquiera si esa red noestá conectada directamente con NSX Edge.
Por ejemplo:
Después de implementar ESG, vaya a la vista Hosts y clústeres (Hosts and Clusters) y abra la consoladel dispositivo virtual Edge. Desde la consola, compruebe si puede hacer ping en las interfacesconectadas.
Guía de administración de NSX
VMware, Inc. 93
Qué hacer a continuación
En los hosts donde se implementan dispositivos NSX Edge por primera vez, NSX habilita elencendido/apagado automático de máquinas virtuales. Si posteriormente las máquinas virtuales deldispositivo se migran a otros hosts, es posible que los hosts nuevos no tengan habilitada la opción deencendido/apagado automático. Por este motivo, VMware recomienda que compruebe todos los hostsdel clúster para asegurarse de que la opción de encendido/apagado automático esté habilitada. Consulte http://pubs.vmware.com/vsphere-60/index.jsp?topic=%2Fcom.vmware.vsphere.vm_admin.doc%2FGUID-5FE08AC7-4486-438E-AF88-80D6C7928810.html.
Ahora puede configurar el enrutamiento para permitir la conectividad de los dispositivos externos a lasmáquinas virtuales.
Especificar una configuración globalPuede configurar la puerta de enlace predeterminada para rutas estáticas y especificar los detalles deenrutamiento dinámico para un enrutador distribuido o una puerta de enlace de servicios Edge.
Para poder configurar el enrutamiento, primero debe tener una instancia de NSX Edge que estéfuncionando. Para obtener información sobre cómo configurar NSX Edge, consulte Configuración deNSX Edge.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en Enrutamiento (Routing) y, a continuación, en Configuración global (GlobalConfiguration).
5 Para cambiar la configuración del enrutamiento de múltiples rutas de igual costo (ECMP), haga clicen Editar (Edit) junto a Configuración de enrutamiento (Routing Configuration) y, a continuación,haga lo siguiente.
Opción Descripción
Para una puerta de enlace de serviciosEdge
Para editar el enrutamiento ECMP, haga clic en Habilitar (Enable) o Deshabilitar(Disable) junto a ECMP.
Para un enrutador lógico a Seleccione ECMP para habilitar o anule la sección para deshabilitarlo.
b Haga clic en Aceptar (OK). ECMP es una estrategia de enrutamiento que permite que el reenvío de paquetes al próximo salto enun solo destino se produzca en varias de las mejores rutas. Estas mejores rutas pueden agregarsede forma estática o como resultado de cálculos de métricas mediante protocolos de enrutamientodinámico como OSPF o BGP. Para agregar múltiples rutas en rutas estáticas, se puedenproporcionar varios próximos saltos separados por comas en el cuadro de diálogo Rutas estáticas(Static Routes). Para obtener más información, consulte Agregar una ruta estática.
Guía de administración de NSX
VMware, Inc. 94
La puerta de enlace de servicios Edge utiliza una implementación en pila de redes Linux, unalgoritmo round robin con un componente de aleatoriedad. Una vez seleccionado un próximo saltopara un par de direcciones IP de origen y destino en particular, la ruta almacena en la memoriacaché el próximo salto seleccionado. Todos los paquetes de ese flujo pasan al próximo saltoseleccionado. El tiempo de espera de la memoria caché de la ruta IPv4 predeterminado es 300segundos (cg_tiempo de espera). Si para este plazo hay una entrada inactiva, se la podrá quitar dela memoria caché de la ruta. La eliminación efectiva ocurre cuando se activa el temporizador de lacolección de elementos no utilizados (cg_intervalo = 60 segundos).
El enrutador lógico utiliza un algoritmo XOR para determinar el próximo salto a partir de una lista deposibles próximos saltos de ECMP. Este algoritmo utiliza la dirección IP de origen y destino delpaquete saliente como fuentes de entropía.
Hasta la versión 6.1.2, al habilitar ECMP se deshabilitaba Distributed Firewall la máquina virtual de lapuerta de enlace de servicios Edge. Los servicios con estado, como NAT, no funcionaban con ECMP.A partir de la versión 6.1.3 de NSX vSphere, ECMP y Distributed Firewall pueden funcionar juntos.
6 Para cambiar el Identificador de configuración regional (Locale ID) de un enrutador lógico, hagaclic en Editar (Edit) junto a Configuración de enrutamiento (Routing Configuration). Introduzca unidentificador de configuración regional y haga clic en Aceptar (OK).
El identificador de configuración regional se establece de forma predeterminada en el UUID de NSXManager, pero puede anularlo si se habilitó el egreso local al crear el enrutador lógico universal. Elidentificador de configuración regional se utiliza para configurar selectivamente rutas de un entornoCross-vCenter NSX o un entorno de varios sitios. Consulte Topologías de Cross-vCenter NSX paraobtener más información.
El identificador de configuración regional debe estar en formato UUID. Por ejemplo, XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX, donde cada X se reemplaza por un dígito de base 16 (0-F).
7 Para especificar la puerta de enlace predeterminada, haga clic en Editar (Edit) junto a Puerta deenlace predeterminada (Default Gateway).
a Seleccione una interfaz desde la cual pueda alcanzarse el próximo salto hacia la red de destino.
b Escriba la dirección IP de la puerta de enlace.
c (Opcional) Especifique el identificador de configuración regional. El identificador de configuraciónregional es una opción exclusiva de los enrutadores lógicos universales.
d (Opcional) Edite la MTU.
Guía de administración de NSX
VMware, Inc. 95
e Si se le pregunta, escriba un valor para Distancia administrativa (Admin Distance).
Seleccione un valor entre 1 y 255. La distancia administrativa se utiliza para seleccionar qué rutadebe utilizarse cuando existen varias rutas para una red determinada. Cuanto menor es estadistancia, mayor es la preferencia para la ruta.
Tabla 9‑1. Distancias administrativas predeterminadas
Origen de la ruta Distancia administrativa predeterminada
Conectado 0
Estático 1
BGP externo 20
OSPF dentro del área 30
OSPF entre áreas 110
BGP interno 200
f (Opcional) Escriba una descripción para la puerta de enlace predeterminada.
g Haga clic en Guardar (Save).
8 Para configurar el enrutamiento dinámico, haga clic en Editar (Edit) junto a Configuración deenrutamiento dinámico (Dynamic Routing Configuration).
a Identificador del enrutador (Router ID) muestra la dirección IP del primer vínculo superior de lainstancia de NSX Edge que empuja las rutas hacia el kernel para el enrutamiento dinámico.
b No habilite aquí ningún protocolo.
c Seleccione Habilitar registro (Enable Logging) para guardar la información de registro yseleccione el nivel de registro.
NOTA: Si tiene una IPsec VPN configurada en el entorno, no debe utilizar el enrutamientodinámico.
9 Haga clic en Publicar cambios (Publish Changes).
Qué hacer a continuación
Para eliminar la configuración de enrutamiento, haga clic en Restablecer (Reset). De este modo, seeliminan todas las configuraciones de enrutamiento (predeterminado, estático, OSPF y BGP, así como laredistribución de rutas).
Configuración de NSX EdgeUna vez que la instancia de NSX Edge esté instalada y funcione bien (es decir, se agregaron uno o másdispositivos e interfaces, y se configuró la puerta de enlace predeterminada, la directiva de firewall y laalta disponibilidad), se pueden empezar a utilizar los servicios NSX Edge.
Guía de administración de NSX
VMware, Inc. 96
Trabajar con certificadosNSX Edge admite certificados autofirmados, certificados firmados por una entidad de certificación (CA) ycertificados generados y firmados por una CA.
Configurar un certificado firmado por una entidad de certificaciónEs posible generar una solicitud de firma de certificado (CSR) y lograr que una entidad de certificación lafirme. Si se genera una CSR en el nivel global, la solicitud estará disponible para todas las instancias deNSX Edge en el inventario.
Procedimiento
1 Realice uno de los siguientes pasos.
Opción Descripción
Para generar un certificado global a Inicie sesión en el dispositivo virtual de NSX Manager.
b Haga clic en la pestaña Administrar (Manage) y seleccione Certificados SSL(SSL Certificates).
c Haga clic en Generar CSR (Generate CSR).
Para generar un certificado para unainstancia de NSX Edge
a Inicie sesión en vSphere Web Client.
b Haga clic en Redes y seguridad (Networking & Security) y seleccioneServicios Edge (Edge Services).
c Haga doble clic en un dispositivo NSX Edge.
d Haga clic en la pestaña Administrar (Manage) y seleccione Configuración(Settings).
e Haga clic en el vínculo Certificados (Certificates).
f Haga clic en Acciones (Actions) y seleccione Generar CSR (GenerateCSR).
2 Especifique la unidad organizativa y escriba el nombre.
3 Escriba la localidad, la calle, el estado y el país de la organización.
4 Seleccione el algoritmo de encriptación para la comunicación entre hosts.
Tenga en cuenta que SSL VPN-Plus solo admite certificados RSA.
5 Si es necesario, edite el tamaño de clave predeterminado.
6 Para un certificado global, introduzca una descripción para el certificado.
7 Haga clic en Aceptar (OK).
Se genera la CSR, que se muestra en la lista de certificados.
8 Disponga que una entidad de certificación en línea firme esta CSR.
Guía de administración de NSX
VMware, Inc. 97
9 Importe el certificado firmado.
a Copie el contenido del certificado firmado.
b Realice uno de los siguientes pasos.
n Para importar un certificado firmado en el nivel global, haga clic en Importar (Import) en eldispositivo virtual NSX Manager.
n Para importar un certificado firmado para una instancia de NSX Edge, haga clic en Acciones(Actions) y seleccione Importar certificado (Import Certificate) en la pestaña Certificados(Certificates).
c En el cuadro de diálogo Importar CSR (Import CSR), pegue el contenido del certificado firmado.
d Haga clic en Aceptar (OK).
El certificado firmado por la entidad de certificación se mostrará en la lista de certificados.
Agregar un certificado de CA
Al agregar un certificado de CA, puede convertirse en una CA interna de la empresa. De esa manera,tendrá la autoridad para firmar sus propios certificados.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Administrar (Manage) y asegúrese de estar en la pestaña Configuración(Settings).
5 Haga clic en Certificados (Certificates).
6 Haga clic en el icono Agregar (Add) ( ) y seleccione Certificado CA (CA Certificate).
7 Copie y pegue el contenido del certificado en el cuadro de texto Contenido del certificado (Certificatecontents).
8 Escriba una descripción para el certificado de CA.
9 Haga clic en Aceptar (OK).
Ahora puede firmar sus propios certificados.
Configurar un certificado autofirmadoEs posible crear, instalar y administrar certificados de servidor autofirmados.
Prerequisitos
Compruebe que dispone de un certificado de CA para poder firmar sus propios certificados.
Guía de administración de NSX
VMware, Inc. 98
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Administrar (Manage) y asegúrese de estar en la pestaña Configuración(Settings).
5 Haga clic en Certificados (Certificates).
6 Siga estos pasos para generar una CSR.
a Haga clic en Acciones (Actions) y seleccione Generar CSR (Generate CSR).
b En Nombre común (Common name), escriba la dirección IP o el nombre de dominio completo(Fully Qualified Domain Name, FQDN) de NSX Manager.
c Escriba el nombre y la unidad de la organización.
d Escriba la localidad, la calle, el estado y el país de la organización.
e Seleccione el algoritmo de encriptación para la comunicación entre hosts.
Tenga en cuenta que SSL VPN-Plus solo admite certificados RSA. VMware recomienda utilizarRSA para obtener compatibilidad con versiones anteriores.
f Si es necesario, edite el tamaño de clave predeterminado.
g Escriba una descripción para el certificado.
h Haga clic en Aceptar (OK).
Se genera la CSR, que se muestra en la lista de certificados.
7 Compruebe que el certificado generado esté seleccionado.
8 Haga clic en Acciones (Actions) y seleccione Autofirmar certificado (Self Sign Certificate).
9 Escriba la cantidad de días de validez del certificado autofirmado.
10 Haga clic en Aceptar (OK).
Utilizar certificados clienteEs posible crear un certificado cliente mediante el comando CAI o la llamada REST. A continuación, sepuede distribuir ese certificado entre los usuarios remotos, quienes podrán instalarlo en su exploradorweb.
El principal beneficio de la implementación de certificados cliente es que se puede almacenar uncertificado cliente de referencia para cada usuario remoto y se puede utilizar ese certificado paracomprobar el certificado cliente que presenta el usuario remoto. Para evitar que un usuario determinadose conecte en el futuro, es posible eliminar el certificado de referencia de la lista de certificados clientedel servidor de seguridad. Al eliminar el certificado, se denegarán las conexiones de ese usuario.
Guía de administración de NSX
VMware, Inc. 99
Agregar una lista de revocación de certificadosUna lista de revocación de certificados (CRL) es una lista de suscriptores junto con su estado queproporciona y firma Microsoft.
La lista contiene los siguientes elementos:
n Los certificados revocados y los motivos de la revocación
n Las fechas en que se emitieron los certificados
n Las entidades que emitieron los certificados
n La fecha propuesta para la próxima versión
Cuando un usuario potencial intenta acceder a un servidor, el servidor permite o deniega el accesosegún la entrada en la lista CRL para ese usuario en particular.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Administrar (Manage) y asegúrese de estar en la pestaña Configuración(Settings).
5 Haga clic en Certificados (Certificates).
6 Haga clic en el icono Agregar (Add) y seleccione CRL.
7 En Contenido del certificado (Certificate contents), pegue la lista.
8 (Opcional) Escriba una descripción.
9 Haga clic en Aceptar (OK).
Administración de dispositivosPuede agregar, editar o eliminar dispositivos. Una instancia de NSX Edge permanece sin conexión hastaque al menos un dispositivo se haya agregado a ella.
Agregar un dispositivoEs necesario agregar al menos un dispositivo a NSX Edge para poder implementarlo.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
Guía de administración de NSX
VMware, Inc. 100
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Administrar (Manage) y seleccione la pestaña Configuración (Settings).
5 En Dispositivos de puerta de enlace de Edge (Edge Gateway Appliances), haga clic en el icono
Agregar (Add) .
6 Seleccione el clúster o el grupo de recursos y el almacén de datos para el dispositivo.
7 (Opcional) Seleccione el host al cual desea agregar el dispositivo.
8 (Opcional) Seleccione la carpeta de vCenter en la cual planea agregar el dispositivo.
9 Haga clic en Agregar (Add).
Editar un dispositivoEs posible editar un dispositivo NSX Edge.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Administrar (Manage) y seleccione la pestaña Configuración (Settings).
5 En Dispositivos de puerta de enlace de Edge (Edge Gateway Appliances), seleccione eldispositivo que desea cambiar.
6 Haga clic en el icono Editar (Edit) ( ).
7 En el cuadro de diálogo Editar dispositivo Edge (Edit Edge Appliance), realice los cambiosadecuados.
8 Haga clic en Guardar (Save).
Eliminar un dispositivoEs posible eliminar un dispositivo de NSX Edge.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Administrar (Manage) y seleccione la pestaña Configuración (Settings).
5 En Dispositivos de puerta de enlace Edge (Edge Gateway Appliances), seleccione el dispositivoque desea eliminar.
Guía de administración de NSX
VMware, Inc. 101
6 Haga clic en el icono Eliminar (Delete) ( ).
Trabajar con interfacesUna puerta de enlace de servicios NSX Edge puede tener hasta diez interfaces internas, de vínculosuperior o troncales. Un enrutador NSX Edge puede tener ocho interfaces de vínculo superior y hasta milinterfaces internas.
Una instancia de NSX Edge debe tener al menos una interfaz interna para que se la pueda implementar.
Configurar una interfazGeneralmente, las interfaces internas se utilizan para el tráfico de este a oeste y las interfaces de vínculosuperior para el tráfico de norte a sur. Cuando se conecta un enrutador lógico (DLR) a una puerta deenlace de servicios Edge (ESG), la interfaz en el enrutador es una interfaz de vínculo superior, mientrasque la interfaz en la puerta de enlace es una interfaz interna. Las interfaces troncales de NSX se utilizanpara las redes internas, no para las redes externas. Una interfaz troncal permite enlazar troncalmentevarias redes internas (VLAN o VXLAN).
Una puerta de enlace de servicios de NSX Edge (ESG) puede contener hasta 10 interfaces internas, devínculo superior o troncales. NSX Manager es el responsable de aplicar estos límites.
Una implementación de NSX puede contener hasta 1000 instancias de enrutadores lógicos distribuidos(DLR) en un solo host ESXi. En un solo enrutador lógico, es posible configurar hasta 8 interfaces devínculo superior y hasta 991 interfaces internas. NSX Manager es el responsable de aplicar estos límites.Para obtener más información sobre la ampliación de interfaces en una implementación de NSX,consulte Guía de diseño para la virtualización de redes en VMware® NSX for vSphere en https://communities.vmware.com/docs/DOC-27683.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Administrar (Manage) y seleccione la pestaña Interfaces (Interfaces).
5 Seleccione una interfaz y haga clic en el icono Editar (Edit) ( ).
6 En el cuadro de diálogo Editar interfaz de Edge (Edit Edge Interface), escriba un nombre para lainterfaz.
7 Seleccione Interna (Internal) o Vínculo superior (Uplink) para indicar si se trata de una interfazinterna o externa.
Seleccione Troncal (Trunk) al crear una interfaz subordinada. Para obtener más información,consulte Agregar una subinterfaz.
Guía de administración de NSX
VMware, Inc. 102
8 Seleccione el grupo de puertos o el conmutador lógico al que se debe conectar esta interfaz.
a Haga clic en la opción Seleccionar (Select) junto al campo Conectar a (Connected To).
b Según el elemento al que desee conectar la interfaz, haga clic en la pestaña Conmutadorlógico (Logical Switch), Grupo de puertos estándar (Standard Portgroup) o Grupo de puertosdistribuidos (Distributed Portgroup).
c Seleccione el conmutador lógico o el grupo de puertos correspondiente.
d Haga clic en Seleccionar (Select).
9 Seleccione el estado de conectividad de la interfaz.
10 En Configurar subredes (Configure Subnets), haga clic en el icono Agregar (Add) para agregaruna subred a la interfaz.
Una interfaz puede tener varias subredes no superpuestas.
11 En Agregar subred (Add Subnet), haga clic en el icono Agregar (Add) para agregar unadirección IP.
Si introduce más de una dirección IP, puede seleccionar la dirección IP principal. Un interfaz puedetener una dirección IP principal y varias secundarias. NSX Edge considera la dirección IP principalcomo la dirección de origen para el tráfico que se genera de forma local.
Debe agregar una dirección IP con una interfaz antes de utilizarla en cualquier configuración decaracterísticas.
12 Introduzca la máscara de subred para la interfaz y haga clic en Guardar (Save).
13 Cambie la opción de MTU predeterminada si es necesario.
14 En Opciones (Options), seleccione las opciones necesarias.
Opción Descripción
Habilitar ARP de proxy (Enable ProxyARP)
Se admite la superposición de reenvíos de red entre diferentes interfaces.
Enviar redirección de ICMP (SendICMP Redirect)
Se transmite la información de enrutamiento a los hosts.
Invertir filtro de ruta de acceso(Reverse Path Filter)
Se comprueba la posibilidad de alcance de la dirección de origen en los paquetesque se reenvían. En el modo habilitado, el paquete debe recibirse en la interfazque el enrutador utilizaría para reenviar el paquete de retorno. En el modoflexible, la dirección de origen debe aparecer en la tabla de enrutamiento.
15 Introduzca los parámetros de barrera y haga clic en Agregar (Add).
16 Haga clic en Aceptar (OK).
Guía de administración de NSX
VMware, Inc. 103
Eliminar una interfazEs posible eliminar una interfaz de NSX Edge.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Administrar (Manage) y seleccione la pestaña Interfaces (Interfaces).
5 Seleccione la interfaz que desea eliminar.
6 Haga clic en el icono Eliminar (Delete) ( ).
Habilitar una interfazSe debe habilitar una interfaz para NSX Edge a fin de aislar las máquinas virtuales dentro de esa interfaz(grupo de puertos o conmutador lógico).
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Administrar (Manage) y seleccione la pestaña Interfaces (Interfaces).
5 Seleccione la interfaz que desea habilitar.
6 Haga clic en el icono Habilitar (Enable) ( ).
Deshabilitar una interfazPuede deshabilitar una interfaz en NSX Edge.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Administrar (Manage) y seleccione la pestaña Interfaces (Interfaces).
5 Seleccione la interfaz que desea deshabilitar.
6 Haga clic en el icono Deshabilitar (Disable).
Guía de administración de NSX
VMware, Inc. 104
Cambiar la directiva de catalogación de tráficoEs posible cambiar la directiva de catalogación de tráfico de vSphere Distributed Switch para una interfazde NSX Edge.
Procedimiento
1 Haga doble clic en una instancia de NSX Edge y desplácese hasta Administrar (Manage) >Configuración (Settings) > Interfaces (Interfaces).
2 Seleccione una interfaz.
3 Haga clic en Acciones (Actions) > Configurar directiva de catalogación de tráfico (ConfigureTraffic Shaping Policy).
4 Realice los cambios necesarios.
Para obtener más información sobre las opciones, consulte Directiva de catalogación de tráfico.
5 Haga clic en Aceptar (OK).
Agregar una subinterfazEs posible agregar una subinterfaz en una vNIC de tronco, para que los servicios NSX Edge puedanutilizarla posteriormente.
Subinterfaz2
Subinterfaz3
vNic 0 vNic 10
Edge
Subinterfaz1
Las interfaces troncales pueden ser de los siguientes tipos:
n El tronco de VLAN es estándar y funciona con cualquier versión de ESXi. Esto se utiliza paraintroducir tráfico de VLAN etiquetado en Edge.
n El tronco de VXLAN funciona solo con NSX versión 6.1. Esto se utiliza para introducir tráfico deVXLAN en Edge.
Los siguientes servicios Edge pueden utilizar una subinterfaz:
n DHCP
n Enrutamiento (solo BGP)
n Equilibrador de carga
n IPsec VPN
Guía de administración de NSX
VMware, Inc. 105
n VPN de Capa 2
No puede utilizarse una subinterfaz para HA o el firewall lógico. Sin embargo, se puede utilizar ladirección IP de la subinterfaz en una regla de firewall.
Procedimiento
1 En la pestaña Administrar (Manage) > Configuración (Settings) de una instancia de NSX Edge,haga clic en Interfaces.
2 Seleccione una interfaz y haga clic en el icono Editar (Edit) ( ).
3 En el cuadro de diálogo Editar interfaz de Edge (Edit Edge Interface), escriba un nombre para lainterfaz.
4 En Tipo (Type), seleccione Tronco (Trunk).
5 Seleccione el grupo de puertos estándar o el grupo de puertos distribuidos al cual debe conectarseesta interfaz.
a Haga clic en Cambiar (Change) junto al campo Conectado a (Connected To).
b Según el grupo de puertos que desee conectar a la interfaz, haga clic en la pestaña Grupo depuertos estándar (Standard Portgroup) o Grupo de puertos distribuidos (DistributedPortgroup).
c Seleccione el grupo de puertos correspondiente y haga clic en Aceptar (OK).
d Haga clic en Seleccionar (Select).
6 En Subinterfaces (Sub Interfaces), haga clic en el icono Agregar (Add).
7 Haga clic en Habilitar subinterfaz (Enable Sub interface) y escriba un nombre para la subinterfaz.
8 En Identificador de túnel (Tunnel Id), escriba un número entre 1 y 4.094.
El identificador de túnel se utiliza para conectar la redes que se van a ampliar. Este valor debe ser elmismo en los sitios del cliente y del servidor.
9 En Tipo de respaldo (Backing Type), seleccione una de las siguientes opciones para indicar elrespaldo de red para la subinterfaz.
n VLAN para una red VLAN.
Escriba el identificador de VLAN de la LAN virtual que debe utilizar la subinterfaz. Losidentificadores de VLAN pueden ser un número de 0 a 4.094.
n Red (Network) para una red VLAN o VXLAN.
Haga clic en Seleccionar (Select) y seleccione el grupo de puertos distribuidos o el conmutadorlógico. NSX Manager extrae el identificador de VLAN y lo utiliza en la configuración del tronco.
n Ninguno (None) para crear una subinterfaz sin especificar un identificador de red o de VLAN.Esta subinterfaz es interna a NSX Edge y se utiliza para enrutar paquetes entre una redampliada y una red sin ampliar (sin etiquetar).
Guía de administración de NSX
VMware, Inc. 106
10 Para agregar subredes a la subinterfaz, haga clic en el icono Agregar (Add) en el área Configurarsubredes (Configure Subnets).
11 En Agregar subredes (Add Subnets), haga clic en el icono Agregar (Add) para agregar una direcciónIP. Escriba la dirección IP y haga clic en Aceptar (OK).
Si introduce más de una dirección IP, puede seleccionar la dirección IP principal. Un interfaz puedetener una dirección IP principal y varias secundarias. NSX Edge considera la dirección IP principalcomo la dirección de origen del tráfico generado localmente.
12 Escriba la longitud del prefijo de subred y haga clic en Aceptar (OK).
13 Si es necesario, edite el valor predeterminado de MTU para la subinterfaz.
La MTU predeterminada de una interfaz troncal es 1.600, mientras que la MTU predeterminada deuna subinterfaz es 1.500. La MTU de la subinterfaz debe ser menor o igual que la MTU más baja detodas las interfaces troncales para NSX Edge.
14 Seleccione Habilitar redirección de envío (Enable Send Redirect) para transmitir la información deenrutamiento a los hosts.
15 Escriba la dirección MAC para la interfaz.
Debido a que las subinterfaces no admiten HA, solo se requiere una dirección MAC.
16 Si es necesario, edite la MTU predeterminada de la interfaz troncal.
17 Haga clic en Aceptar (OK).
Ahora puede utilizar la subinterfaz en los servicios Edge.
Qué hacer a continuación
Configure el tronco de VLAN si la subinterfaz agregada a una vNic de tronco está respaldada por ungrupo de puertos estándar. Consulte Configurar el tronco de VLAN.
Configurar el tronco de VLANCuando se agrega la subinterfaz a una vNic de tronco respaldada por un grupo de puertos distribuidos, eltronco de VLAN o VXLAN se configura automáticamente en el puerto de enlace troncal. Cuando seagrega la subinterfaz a una vNic de tronco respaldada por un grupo de puertos estándar, solo se admiteun tronco de VLAN.
Prerequisitos
Compruebe que está disponible una subinterfaz con una vNic de tronco respaldada por un grupo depuertos estándar. Consulte Agregar una subinterfaz.
Procedimiento
1 Inicie sesión en vCenter Web Client.
2 Haga clic en Redes (Networking).
3 Seleccione el grupo de puertos estándar y haga clic en Editar configuración (Edit Settings).
Guía de administración de NSX
VMware, Inc. 107
4 Haga clic en la pestaña VLAN.
5 En Tipo de VLAN (VLAN Type), seleccione Enlace troncal de VLAN (VLAN Trunking) y escriba losidentificadores de VLAN que se enlazarán troncalmente.
6 Haga clic en Aceptar (OK).
Cambiar configuración de reglas automáticasCuando se habilita la generación automática de reglas, NSX Edge agrega reglas de firewall, NAT yenrutamiento para permitir el flujo de tráfico de control en estos servicios. Si no se habilita la generaciónautomática de reglas, es necesario agregar manualmente la configuración de firewall, NAT yenrutamiento para permitir el tráfico en los canales de control de los servicios de NSX Edge comoequilibrio de carga, VPN, etc.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en una instancia de NSX Edge.
4 Haga clic en la pestaña Supervisar (Monitor) y seleccione la pestaña Configuración (Settings).
5Haga clic en el icono Más acciones (More Actions) y seleccione Cambiar configuración dereglas automáticas (Change Auto Rule configuration).
6 Realice los cambios necesarios y haga clic en Aceptar (OK).
Cambiar credenciales de CLIEs posible editar las credenciales que se utilizan para iniciar sesión en la interfaz de línea de comandos(CLI).
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en una instancia de NSX Edge.
4 Haga clic en la pestaña Supervisar (Monitor) y seleccione la pestaña Configuración (Settings).
5Haga clic en el icono Más acciones (More Actions) y seleccione Cambiar credenciales de CLI(Change CLI Credentials).
6 Edite los valores adecuados.
7 Haga clic en Aceptar (OK).
Guía de administración de NSX
VMware, Inc. 108
Acerca de High AvailabilityHigh Availability (HA) asegura que los servicios proporcionados por los dispositivos NSX Edge estándisponibles aunque un error de hardware o software haga que un dispositivo no esté disponible. HA deNSX Edge minimiza el tiempo de inactividad de la conmutación por error en lugar de enviar un tiempo deinactividad cero, puesto que la conmutación por error entre dispositivos puede necesitar que se reinicienalgunos servicios.
Por ejemplo, HA de NSX Edge sincroniza el seguimiento de la conexión del firewall con estado o lainformación con estado proporcionada por el equilibrador de carga. El tiempo necesario para introducir lacopia de seguridad de todos los servicios no es nulo. Los ejemplos de impactos al reiniciar serviciosconocidos incluyen un tiempo de inactividad que no es cero con un enrutamiento dinámico cuando unainstancia de NSX Edge funciona como enrutador.
En algunas ocasiones, los dos dispositivos de HA de NSX Edge no pueden comunicarse y decidenactivarse de forma unilateral. Este comportamiento es correcto para mantener la disponibilidad de losservicios de la instancia de NSX Edge activa si la instancia de NSX Edge en espera no está disponible.Si aún existe el otro dispositivo cuando la comunicación se vuelve a establecer, los dos dispositivos deHA de NSX Edge vuelven a negociar el estado activo y en espera. Si esta negociación no finaliza yambos dispositivos declaran que están activos cuando se vuelve a establecer la conectividad, seproduce un comportamiento inesperado. Esta condición, conocida como cerebro dividido, se producedebido a las siguientes condiciones del entorno:
n Problemas de la conectividad de la red física, que incluye una partición de red.
n CPU o contención de los recursos de memoria en NSX Edge.
n Problemas transitorios de almacenamiento que pueden hacer que al menos una máquina virtual deHA de NSX Edge no esté disponible.
Por ejemplo, se produce una mejora en la estabilidad y el rendimiento de HA de NSX Edge cuandolas máquinas virtuales salen del almacenamiento sobreaprovisionado. Concretamente, mientras serealizan copias de seguridad nocturnas, grandes puntas en la latencia del almacenamiento puedensuponer un impacto en la estabilidad de HA de NSX Edge.
n Congestión en el adaptador de red física o virtual relacionada con el intercambio de paquetes.
Además de los problemas de entorno, una situación de cerebro dividido se produce cuando el motor dela configuración de HA pasa a un mal estado o cuando se produce un error en el demonio de HA.
High Availability con estadoEl dispositivo NSX Edge principal está en estado activo, mientras que el secundario está en estado enespera. NSX Edge replica la configuración del dispositivo principal para el dispositivo en espera; demanera alternativa, se pueden agregar manualmente dos dispositivos. VMware recomienda crear losdispositivos principal y secundario en grupos de recursos y almacenes de datos diferentes. Si se crean
Guía de administración de NSX
VMware, Inc. 109
los dispositivos principal y secundario en el mismo almacén de datos, el almacén de datos debecompartirse entre todos los hosts del clúster para que el par de dispositivos HA se implemente en hostsESX diferentes. Si el almacén de datos es un almacenamiento local, las dos máquinas virtuales seimplementan en el mismo host.
Todos los servicios de NSX Edge se ejecutan en el dispositivo activo. El dispositivo principal mantiene unlatido con el dispositivo en espera y envía actualizaciones de servicio a través de una interfaz interna.
Si no se recibe un latido del dispositivo principal en el período especificado (el valor predeterminado es15 segundos), se declara inactivo al dispositivo principal. El dispositivo en espera cambia al estadoactivo, pasa a controlar la configuración de la interfaz del dispositivo principal e inicia los servicios NSXEdge que se estaban ejecutando en el dispositivo principal. Cuando se realiza la transición, aparece unevento de sistema en la pestaña Eventos del sistema (System Events) de Configuración e informes(Settings & Reports). Los servicios de equilibrador de carga y VPN deben restablecer la conexión TCPcon NSX Edge, por lo que el servicio se interrumpe durante un breve período Se sincronizan lasconexiones de conmutadores lógicos y las sesiones de firewall entre los dispositivos principal y enespera, por lo que no hay interrupción del servicio durante la transición.
Si se produce un error en el dispositivo NSX Edge y se informa de un estado incorrecto, HA realiza unasincronización forzada del dispositivo con errores para reactivarlo. Una vez reactivado, el dispositivoasume la configuración del dispositivo ahora activo y permanece en estado de espera. Si el dispositivoNSX Edge está inactivo, debe eliminarlo y agregar uno nuevo.
NSX Edge garantiza que las dos máquinas virtuales NSX Edge con HA no estén en el mismo host ESXincluso después de utilizar DRS y vMotion (a menos que las migre manualmente con vMotion al mismohost). En vCenter, se implementan dos máquinas virtuales en el mismo grupo de recursos y almacén dedatos que el dispositivo configurado. Se asignan direcciones IP de enlace local a las máquinas virtualesde HA en el dispositivo HA de NSX Edge para que puedan comunicarse. Puede especificar direccionesIP de administración para anular los enlaces locales.
Si se configuran servidores syslog, los registros del dispositivo activo se envían a dichos servidores.
vSphere High AvailabilityNSX Edge HA es compatible con vSphere HA. Si el host en el cual se está ejecutando la instancia deNSX Edge queda inactivo, el dispositivo NSX Edge se reinicia en el host en espera para garantizar que elpar de NSX Edge HA siga estando disponible para tomar el control de otra conmutación por error.
Si no se aprovecha vSphere HA, el par de NSX Edge HA en modo activo-en espera sobrevivirá una solaconmutación por error. Sin embargo, si se produce otra conmutación por error antes de la restauracióndel segundo par HA, puede ponerse en riesgo la disponibilidad de NSX Edge.
Para obtener más información sobre vSphere HA, consulte Disponibilidad de vSphere.
Cambiar la configuración de alta disponibilidadEs posible cambiar la configuración de HA que se especificó durante la instalación de NSX Edge.
Procedimiento
1 Inicie sesión en vSphere Web Client.
Guía de administración de NSX
VMware, Inc. 110
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Administrar (Manage) y seleccione la pestaña Configuración (Settings).
5 En el panel Configuración de HA (HA Configuration), haga clic en Cambiar (Change).
6 En el cuadro de diálogo Cambiar configuración de HA (Change HA Configuration), realice loscambios necesarios.
NOTA: Si se configuró VPN de Capa 2 en el dispositivo Edge antes de habilitar HA, es necesariodisponer de al menos dos interfaces internas configuradas. Si existe una sola interfaz configurada enesta instancia de Edge que ya utiliza VPN de Capa 2, la alta disponibilidad queda deshabilitada en eldispositivo Edge.
7 Haga clic en Aceptar (OK).
Forzar sincronización de NSX Edge con NSX ManagerEs posible enviar una solicitud de sincronización de NSX Manager a NSX Edge.
La opción de forzar sincronización se utiliza cuando se debe sincronizar la configuración de Edge comola conoce NSX Manager en todos los componentes.
NOTA: Para la versión 6.2 y superiores, forzar la sincronización evita la pérdida de datos del tráfico deenrutamiento de Este a Oeste, sin embargo, es posible que el enrutamiento de Norte a Sur y las rutaspuente se interrumpan.
Forzar la sincronización da como resultado las acciones siguientes:
n Los dispositivos Edge se reinician y se aplica la última configuración
n Se cierra la conexión con el host.
n Si la instancia de NSX Manager es principal o independiente y Edge es un enrutador lógicodistribuido, se sincroniza el clúster de la controladora.
n Se envía un mensaje a todos los hosts relevantes para sincronizar la instancia del enrutadordistribuido
IMPORTANTE: En un entorno de Cross-vCenter NSX, es necesario que la instancia de NSX Edgefuerce la sincronización primero en el NSX Manager primario y, cuando se complete, fuerce lasincronización de la instancia NSX Edge en las instancias de NSX Manager secundario.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
Guía de administración de NSX
VMware, Inc. 111
3 Seleccione una instancia de NSX Edge.
4Haga clic en el icono Más acciones (More Actions) ( ) y seleccione Forzar sincronización (ForceSync).
Configurar los servidores de Syslog remotosPuede configurar uno o dos servidores Syslog remotos. Los eventos y registros de NSX Edgerelacionados con eventos de firewall que circulan desde dispositivos NSX Edge son enviados a losservidores Syslog.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en una instancia de NSX Edge.
4 Haga clic en la pestaña Supervisar (Monitor) y seleccione la pestaña Configuración (Settings).
5 En el panel Detalles (Details), haga clic en Cambiar (Change) junto a los servidores Syslog.
6 Escriba la dirección IP de ambos servidores Syslog remotos y seleccione el protocolo.
7 Haga clic en Aceptar (OK) para guardar la configuración.
Ver el estado de una instancia de NSX EdgeLa página de estado muestra gráficos del tráfico que circula a través de las interfaces de la instancia deNSX Edge seleccionada y las estadísticas de conexiones de los servicios de firewall y el equilibrador decarga.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Supervisar (Monitor).
5 Seleccione el período cuyas estadísticas desea ver.
Qué hacer a continuación
Para ver más detalles sobre la instancia de NSX Edge, haga clic en Administrar (Manage) y, acontinuación, en Configuración (Settings).
Guía de administración de NSX
VMware, Inc. 112
Volver a implementar NSX EdgeSi los servicios NSX Edge no funcionan según lo esperado tras una sincronización forzada, se puedevolver a implementar la instancia de NSX Edge.
NOTA: Volver a implementar es una acción disruptiva. Se recomienda primero aplicar unasincronización forzada y, si el problema persiste, entonces volver a implementar.
Al volver a implementar una instancia de NSX Edge ocurren las siguientes acciones:
n Los dispositivos Edge se eliminan e implementan de cero con la configuración más reciente aplicada.
n Los enrutadores lógicos se eliminan de la controladora y, a continuación, se recrean con laconfiguración más reciente aplicada.
n Las instancias de enrutador lógico distribuido de los hosts se eliminan y, a continuación, se recreancon la configuración más reciente aplicada.
Las adyacencias OSPF se retiran durante este proceso si el reinicio estable no está habilitado.
IMPORTANTE: En un entorno de Cross-vCenter, es necesario que la instancia de NSX Edge se vuelvaa implementar en primer lugar en la instancia principal de NSX Manager y, una vez hecho, se vuelva aimplementar la instancia de NSX Edge en las instancias secundarias de NSX Manager. Se requierevolver a implementar tanto la instancia principal como las instancias secundarias de NSX Manager.
Prerequisitos
Compruebe que los hosts tienen suficientes recursos para implementar más dispositivos de la puerta deenlace de servicios de NSX Edge durante el proceso para volver a realizar la implementación. Consultelos Capítulo 1 Requisitos del sistema para NSX si desea obtener información sobre los recursosnecesarios para el tamaño de cada instancia de NSX Edge.
n Para una única instancia de NSX Edge, habrá dos dispositivos NSX Edge de tamaño adecuado en elestado poweredOn durante el proceso para volver a realizar la implementación.
n A partir de la versión 6.2.3 de NSX, al implementar una instancia de NSX Edge con HA, seimplementarán los dos dispositivos de sustitución antes de reemplazar los dispositivos anteriores.Esto significa que habrá cuatro dispositivos NSX Edge de tamaño adecuado en el estado poweredOndurante la actualización de una instancia de NSX Edge determinada. Cuando la instancia de NSXEdge se implemente de nuevo, cualquiera de los dispositivos HA puede activarse.
n Antes de la versión 6.2.3 de NSX, al implementar una instancia de NSX Edge con HA, solo seimplementaba un dispositivo de sustitución a la vez cuando se sustituían los dispositivos antiguos.Esto significa que habrá tres dispositivos NSX Edge de tamaño adecuado en el estado poweredOndurante el proceso para volver a implementar una instancia de NSX Edge determinada. Cuando lainstancia de NSX Edge se vuelve a implementar, normalmente el dispositivo NSX Edge con HA coníndice 0 se activa.
Guía de administración de NSX
VMware, Inc. 113
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Seleccione una instancia de NSX Edge.
4 Haga clic en el icono Acciones (Actions) ( ) y seleccione Volver a implementar Edge (RedeployEdge).
La máquina virtual de NSX Edge se reemplaza con una nueva máquina virtual y se restauran todos losservicios. Si la nueva implementación no funciona, apague la máquina virtual de NSX Edge e intentevolver a implementar NSX Edge nuevamente.
NOTA: Es posible que la acción de volver a implementar no funcione en los siguientes casos.
n El grupo de recursos en el que se instaló NSX Edge ya no se encuentra en el inventario de vCenter ocambió su identificador de objetos administrados (MOID).
n El almacén de datos donde se instaló NSX Edge está dañado o desmontado, o no es posibleacceder a él.
n Los grupos dvportGroup a los que se conectaron las interfaces de NSX Edge ya no se encuentran enel inventario de vCenter o cambió su identificador MOID (identificador en vCenter Server).
Si ocurre alguna de las anteriores situaciones, debe actualizar el identificador MOID del grupo derecursos, del almacén de datos o de dvportGroups mediante una llamada API de REST. Consulte la Guíade programación de NSX API.
Descargar registros de soporte técnico para NSX EdgePuede descargar los registros de soporte técnico para cada instancia de NSX Edge. Si está habilitado elmodo de alta disponibilidad para la instancia de NSX Edge, se descargan los registros de soporte deambas máquinas virtuales de NSX Edge.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Seleccione una instancia de NSX Edge.
4Haga clic en el icono Más acciones (More Actions) ( ) y seleccione Descargar registros desoporte técnico (Download Tech Support Logs).
5 Una vez generados los registros de soporte técnico, haga clic en Descargar (Download).
6 En el cuadro de diálogo Seleccionar ubicación para la descarga (Select location for download),desplácese hasta el directorio en el que desea guardar el archivo de registro.
Guía de administración de NSX
VMware, Inc. 114
7 Haga clic en Guardar (Save).
8 Haga clic en Cerrar (Close).
Agregar una ruta estáticaEs posible agregar una ruta estática para un host o una subred de destino.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Administrar (Manage) y seleccione la pestaña Enrutamiento (Routing).
5 Seleccione Rutas estáticas (Static Routes) en el panel izquierdo.
6 Haga clic en el icono Agregar (Add) ( ).
7 Escriba el nombre de Red (Network) en notación CIDR.
8 Especifique la dirección IP para Próximo salto (Next Hop).
El enrutador debe poder llegar de forma directa al siguiente salto.
Si se habilita ECMP, es posible especificar varios próximos saltos.
9 Seleccione la opción de Interfaz (Interface) en la que desea agregar una ruta estática.
10 En MTU, edite el valor de unidad transmisión máxima para los paquetes de datos, si es necesario.
El valor de MTU no puede superar el valor de MTU configurado en la interfaz de NSX Edge.
11 Si se le pregunta, escriba un valor para Distancia administrativa (Admin Distance).
Seleccione un valor entre 1 y 255. La distancia administrativa se utiliza para seleccionar qué rutadebe utilizarse cuando existen varias rutas para una red determinada. Cuanto menor es estadistancia, mayor es la preferencia para la ruta.
Tabla 9‑2. Distancias administrativas predeterminadas
Origen de la ruta Distancia administrativa predeterminada
Conectado 0
Estático 1
BGP externo 20
OSPF dentro del área 30
Guía de administración de NSX
VMware, Inc. 115
Tabla 9‑2. Distancias administrativas predeterminadas (Continua)
Origen de la ruta Distancia administrativa predeterminada
OSPF entre áreas 110
BGP interno 200
Una distancia administrativa de 255 hace que la ruta estática se excluya de la tabla de enrutamiento(RIB) y del plano de datos, por lo que no se utiliza esta ruta.
12 (Opcional) Especifique el valor de Identificador de configuración regional (Locale ID).
De forma predeterminada, las rutas tienen el mismo identificador de configuración regional que NSXManager. Al especificar un identificador de configuración regional aquí, la ruta se asociará a eseidentificador. Estas rutas se enviarán únicamente a hosts con el mismo identificador de configuraciónregional. Consulte Topologías de Cross-vCenter NSX para obtener más información.
13 (Opcional) Escriba una Descripción (Description) para la ruta estática.
14 Haga clic en Aceptar (OK).
Configurar OSPF en un enrutador lógico (distribuido)La configuración de OSPF en un enrutador lógico permite la conectividad de la máquina virtual en todoslos enrutadores lógicos, los cuales, a su vez, se conectan con las puertas de enlace de servicios Edge(ESG).
Las directivas de enrutamiento de OSPF ofrecen un proceso dinámico de equilibrio de carga de tráficoentre rutas de igual costo.
Una red OSPF se divide en áreas de enrutamiento para optimizar el flujo de tráfico y limitar el tamaño delas tablas de enrutamiento. Un área es una recopilación lógica de redes OSPF, enrutadores y vínculosque tienen la misma identificación de área.
Las áreas se distinguen por un identificador de área.
Prerequisitos
Debe configurarse un identificador de enrutador, como se muestra en Ejemplo: OSPF configurado en elenrutador lógico (distribuido).
Cuando se habilita un identificador de enrutador, el campo se completa de forma predeterminada con lainterfaz de vínculo superior del enrutador lógico.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un enrutador lógico.
4 Haga clic en Enrutamiento (Routing) y, a continuación, haga clic en OSPF.
Guía de administración de NSX
VMware, Inc. 116
5 Habilite OSPF.
a Haga clic en Editar (Edit) en la esquina superior derecha de la ventana y, a continuación, hagaclic en Habilitar OSPF (Enable OSPF).
b En Dirección de reenvío (Forwarding Address), escriba una dirección IP que utilizará el módulode rutas de datos del enrutador en los hosts para reenviar paquetes de rutas de datos.
c En Dirección de protocolo (Protocol Address), escriba una dirección IP única dentro de lamisma subred de Dirección de reenvío (Forwarding Address). El protocolo utiliza la dirección deprotocolo para formar adyacencias con los elementos del mismo nivel.
6 Configure las áreas de OSPF.
a Como opción, puede eliminar el área Not-So-Stubby (NSSA) 51 que viene configurada de formapredeterminada.
b En Definiciones de área (Area Definitions), haga clic en el icono Agregar (Add).
c Escriba un identificador de área. NSX Edge admite un identificador de área en forma de direcciónIP o número decimal.
d En Tipo (Type), seleccione Normal o NSSA.
Las NSSA impiden el desborde con anuncios sobre el estado del vínculo (LSA) AS externos. LasNSSA dependen del enrutamiento predeterminado en destinos externos. Por lo tanto, debenubicarse en el extremo de un dominio de enrutamiento de OSPF. Las NSSA pueden importarrutas externas en el dominio de enrutamiento de OSPF, por lo que ofrecen un servicio de tránsitopara los dominios pequeños de enrutamiento que no forman parte del dominio de enrutamientode OSPF.
7 (Opcional) Seleccione un tipo de autenticación en Autenticación (Authentication). OSPF realiza laautenticación en el nivel del área.
Todos los enrutadores dentro del área deben tener la misma autenticación y la correspondientecontraseña configurada. Para que funcione la autenticación de MD5, tanto los enrutadores derecepción como de transmisión deben tener la misma clave MD5.
a Ninguna (None): no se requiere autenticación, que es el valor predeterminado.
b Contraseña (Password): en este método de autenticación, se incluye una contraseña en elpaquete transmitido.
c MD5: este método de autenticación utiliza un cifrado MD5 (síntesis del mensaje de tipo 5). En elpaquete transmitido se incluye una suma de comprobación de MD5.
d Para la autenticación de tipo Contraseña (Password) o MD5, escriba la contraseña o la clave deMD5.
Guía de administración de NSX
VMware, Inc. 117
8 Asigne interfaces a las áreas.
a En Asignación de interfaz a área (Area to Interface Mapping), haga clic en el icono Agregar(Add) para asignar la interfaz que corresponde al área de OSPF.
b Seleccione la interfaz que desea asignar y el área de OSPF a la cual será asignada.
9 (Opcional) Si fuera necesario, edite la configuración predeterminada de OSPF.
En la mayoría de los casos, se recomienda conservar la configuración predeterminada de OSPF. Sifinalmente cambia la configuración, asegúrese de que los elementos del mismo nivel de OSPFutilicen la misma configuración.
a Intervalo de saludo (Hello Interval) muestra el intervalo predeterminado entre los paquetes desaludo que se envían en la interfaz.
b Intervalo inactivo (Dead Interval) muestra el intervalo predeterminado durante el cual deberecibirse al menos un paquete de saludo de un vecino antes de que el enrutador declare a esevecino como inactivo.
c Prioridad (Priority) muestra la prioridad predeterminada de la interfaz. La interfaz con la prioridadmás alta es el enrutador designado.
d La opción Costo (Cost) de una interfaz muestra la sobrecarga predeterminada necesaria paraenviar paquetes a través de esa interfaz. El costo de una interfaz es inversamente proporcional asu ancho de banda. A mayor ancho de banda, menor costo.
10 Haga clic en Publicar cambios (Publish Changes).
Ejemplo: OSPF configurado en el enrutador lógico (distribuido)Un escenario simple de NSX que utiliza OSPF es uno donde un enrutador lógico (DLR) y una puerta deenlace de servicios Edge (ESG) son vecinos de OSPF, como se muestra aquí.
Guía de administración de NSX
VMware, Inc. 118
Figura 9‑1. Topología NSX
En la siguiente pantalla, la puerta de enlace predeterminada del enrutador lógico es la dirección IP de lainterfaz interna de la ESG (192.168.10.1).
El identificador del enrutador es la interfaz de vínculo superior del enrutador lógico: es decir, la direcciónIP que apunta a la ESG (192.168.10.2).
Guía de administración de NSX
VMware, Inc. 119
La configuración del enrutador lógico utiliza 192.168.10.2 como dirección de reenvío. La dirección delprotocolo puede ser cualquier dirección IP que se encuentre en la misma subred y que no se estéutilizando en otro lugar. En este caso, está configurada la dirección 192.168.10.3. El identificador de áreaconfigurado es 0 y la interfaz de vínculo superior (la interfaz que apunta a la ESG) se asigna al área.
Qué hacer a continuación
Asegúrese de que la redistribución de rutas y la configuración de firewall permitan anunciar las rutascorrectas.
En este ejemplo, en OSPF se anuncian las rutas conectadas del enrutador lógico (172.16.10.0/24 y172.16.20.0/24).
Guía de administración de NSX
VMware, Inc. 121
Si habilitó SSH al crear el enrutador lógico, también debe configurar un filtro de firewall que habilite SSHen la dirección del protocolo del enrutador lógico. Por ejemplo:
Guía de administración de NSX
VMware, Inc. 122
Configurar el protocolo OSPF en una puerta de enlace deservicios EdgeLa configuración de un protocolo OSPF en una puerta de enlace de servicios Edge (ESG) permite queESG conozca y anuncie rutas. La aplicación más común de OSPF en una ESG se realiza en el vínculoentre la ESG y un enrutador lógico (distribuido). Esta acción permite que la ESG conozca las interfaceslógicas (LIFS) que están conectadas al enrutador lógico. Este objetivo puede cumplirse con OSPF, IS-IS,BGP o enrutamiento estático.
Las directivas de enrutamiento de OSPF ofrecen un proceso dinámico de equilibrio de carga de tráficoentre rutas de igual costo.
Una red OSPF se divide en áreas de enrutamiento para optimizar el flujo de tráfico y limitar el tamaño delas tablas de enrutamiento. Un área es una recopilación lógica de redes OSPF, enrutadores y vínculosque tienen la misma identificación de área.
Las áreas se distinguen por un identificador de área.
Prerequisitos
Debe configurarse un identificador de enrutador, como se muestra en Ejemplo: OSPF configurado en lapuerta de enlace de servicios Edge.
Cuando se habilita un identificador de enrutador, el campo se completa de forma predeterminada con ladirección IP de la interfaz de vínculo superior de la ESG.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en una ESG.
4 Haga clic en Enrutamiento (Routing) y, a continuación, haga clic en OSPF.
5 Habilite OSPF.
a Haga clic en Editar (Edit) en la esquina superior derecha de la ventana y, a continuación, hagaclic en Habilitar OSPF (Enable OSPF).
b (Opcional) Haga clic en Habilitar reinicio correcto (Enable Graceful Restart) para detener lainterrupción del reenvío de paquetes durante el reinicio de los servicios de OSPF.
c (Opcional) Haga clic en Habilitar origen predeterminado (Enable Default Originate) parapermitir que la ESG se anuncie como puerta de enlace predeterminada ante los elementos delmismo nivel.
Guía de administración de NSX
VMware, Inc. 123
6 Configure las áreas de OSPF.
a (Opcional) Elimine el área Not-So-Stubby (NSSA) 51 que viene configurada de formapredeterminada.
b En Definiciones de área (Area Definitions), haga clic en el icono Agregar (Add).
c Escriba un identificador de área. NSX Edge admite un identificador de área en forma de direcciónIP o número decimal.
d En Tipo (Type), seleccione Normal o NSSA.
Las NSSA impiden el desborde con anuncios sobre el estado del vínculo (LSA) AS externos. LasNSSA dependen del enrutamiento predeterminado en destinos externos. Por lo tanto, debenubicarse en el extremo de un dominio de enrutamiento de OSPF. Las NSSA pueden importarrutas externas en el dominio de enrutamiento de OSPF, por lo que ofrecen un servicio de tránsitopara los dominios pequeños de enrutamiento que no forman parte del dominio de enrutamientode OSPF.
7 (Opcional) Seleccione un tipo de autenticación en Autenticación (Authentication). OSPF realiza laautenticación en el nivel del área.
Todos los enrutadores dentro del área deben tener la misma autenticación y la correspondientecontraseña configurada. Para que funcione la autenticación de MD5, tanto los enrutadores derecepción como de transmisión deben tener la misma clave MD5.
a Ninguna (None): no se requiere autenticación, que es el valor predeterminado.
b Contraseña (Password): en este método de autenticación, se incluye una contraseña en elpaquete transmitido.
c MD5: este método de autenticación utiliza un cifrado MD5 (síntesis del mensaje de tipo 5). En elpaquete transmitido se incluye una suma de comprobación de MD5.
d Para la autenticación de tipo Contraseña (Password) o MD5, escriba la contraseña o la clave deMD5.
8 Asigne interfaces a las áreas.
a En Asignación de interfaz a área (Area to Interface Mapping), haga clic en el icono Agregar(Add) para asignar la interfaz que corresponde al área de OSPF.
b Seleccione la interfaz que desea asignar y el área de OSPF a la cual será asignada.
9 (Opcional) Edite la configuración predeterminada de OSPF.
En la mayoría de los casos, se recomienda conservar la configuración predeterminada de OSPF. Sifinalmente cambia la configuración, asegúrese de que los elementos del mismo nivel de OSPFutilicen la misma configuración.
a Intervalo de saludo (Hello Interval) muestra el intervalo predeterminado entre los paquetes desaludo que se envían en la interfaz.
Guía de administración de NSX
VMware, Inc. 124
b Intervalo inactivo (Dead Interval) muestra el intervalo predeterminado durante el cual deberecibirse al menos un paquete de saludo de un vecino antes de que el enrutador declare a esevecino como inactivo.
c Prioridad (Priority) muestra la prioridad predeterminada de la interfaz. La interfaz con la prioridadmás alta es el enrutador designado.
d La opción Costo (Cost) de una interfaz muestra la sobrecarga predeterminada necesaria paraenviar paquetes a través de esa interfaz. El costo de una interfaz es inversamente proporcional asu ancho de banda. A mayor ancho de banda, menor costo.
10 Haga clic en Publicar cambios (Publish Changes).
11 Asegúrese de que la redistribución de rutas y la configuración de firewall permitan anunciar las rutascorrectas.
Ejemplo: OSPF configurado en la puerta de enlace de serviciosEdgeUn escenario simple de NSX que utiliza OSPF es uno donde un enrutador lógico y una puerta de enlacede servicios Edge son vecinos de OSPF, como se muestra aquí.
La ESG puede conectarse al exterior a través de un puente, un enrutador físico (o como se muestraaquí) mediante un grupo de puertos de vínculo superior en un conmutador distribuido de vSphere.
Guía de administración de NSX
VMware, Inc. 125
Figura 9‑2. Topología NSX
VM VM
172.16.20.10 172.16.10.10
172.16.20.1Tipo de vínculo: interno 172.16.10.1
Tipo de vínculo: interno
DLR
Conmutadorlógicode aplicaciones
Conmutadorlógicoweb
Máquina virtualde aplicaciones
Máquina virtualweb
192.168.10.2Tipo de vínculo:
Dirección del protocolo:192.168.10.3
Conmutadorlógicode tránsito
192.168.10.1Tipo de vínculo: interno
ESG
192.168.100.3Tipo de vínculo:vínculo superior
192.168.100.1
Arquitecturafísica
vSphereDistributedSwitch
vínculo superior
En la siguiente pantalla, la puerta de enlace predeterminada de la ESG es la interfaz de vínculo superiorde la ESG con el elemento externo del mismo nivel.
El identificador de enrutador es la dirección IP de la interfaz de vínculo superior de la ESG: es decir, ladirección IP que apunta al elemento externo del mismo nivel.
Guía de administración de NSX
VMware, Inc. 126
El identificador de área configurado es 0 y la interfaz interna (la interfaz que apunta al enrutador lógico)se asigna al área.
Guía de administración de NSX
VMware, Inc. 127
Los enrutadores conectados se redistribuyen en OSPF de modo que el vecino de OSPF (el enrutadorlógico) pueda conocer la red de vínculo superior de la ESG.
Guía de administración de NSX
VMware, Inc. 128
NOTA: Asimismo, OSPF puede configurarse entre la ESG y su enrutador externo del mismo nivel,aunque es más frecuente que el vínculo utilice el par BGP para anunciar rutas.
Asegúrese de que la ESG conozca las rutas externas de OSPF a partir del enrutador lógico.
Para comprobar la conectividad, asegúrese de que haya un dispositivo externo en la arquitectura físicaque pueda hacer ping en las máquinas virtuales.
Por ejemplo:
PS C:\Users\Administrator> ping 172.16.10.10
Pinging 172.16.10.10 with 32 bytes of data:
Reply from 172.16.10.10: bytes=32 time=5ms TTL=61
Reply from 172.16.10.10: bytes=32 time=1ms TTL=61
Ping statistics for 172.16.10.10:
Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 5ms, Average = 3ms
PS C:\Users\Administrator> ping 172.16.20.10
Pinging 172.16.20.10 with 32 bytes of data:
Reply from 172.16.20.10: bytes=32 time=2ms TTL=61
Reply from 172.16.20.10: bytes=32 time=1ms TTL=61
Ping statistics for 172.16.20.10:
Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 2ms, Average = 1ms
Guía de administración de NSX
VMware, Inc. 130
Configurar BGPEl protocolo de puerta de enlace de borde (BGP) toma decisiones de enrutamiento centrales. Contieneuna tabla de prefijos o redes IP, con la que se designa la posibilidad de alcance de la red entre variossistemas autónomos.
Antes de intercambiar cualquier tipo de información de enrutamiento, se establece una conexiónsubyacente entre dos oradores BGP. Los oradores BGP envían mensajes de mantenimiento de conexiónpara mantener activa esta relación. Después de que se establece la conexión, los oradores BGPintercambian rutas y sincronizan sus tablas.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en Enrutamiento (Routing) y seleccione BGP.
5 Haga clic en Editar (Edit).
6 En el cuadro de diálogo Editar configuración de BGP (Edit BGP Configuration), haga clic en HabilitarBGP (Enable BGP).
7 Haga clic en Habilitar reinicio estable (Enable Graceful Restart) para que el reenvío de paquetesno se interrumpa durante el reinicio de los servicios BGP.
8 Haga clic en Habilitar origen predeterminado (Enable Default Originate) para que NSX Edgepueda anunciarse como la puerta de enlace predeterminada para los elementos del mismo nivel.
9 Introduzca el identificador de enrutador en AS locales (Local AS). Especifique los sistemasautónomos (AS) locales. Esto se anuncia cuando BGP se empareja con enrutadores del mismo nivelen otros sistemas autónomos. La ruta de acceso de los sistemas autónomos atravesada por una rutase utiliza como métrica para seleccionar la mejor ruta de acceso a un destino.
10 Haga clic en Aceptar (OK).
11 En Vecinos (Neighbors), haga clic en el icono Agregar (Add).
12 Especifique la dirección IP para el vecino.
Al configurar el emparejamiento BGP entre una puerta de enlace de servicios de Edge (ESG) y unenrutador lógico, utilice la dirección IP de protocolo de ese enrutador como la dirección de vecinoBGP para ESG.
13 (Solo en un enrutador lógico) Especifique la dirección de reenvío.
La dirección de reenvío es la dirección IP que se asignó a la interfaz de un enrutador lógicodistribuido orientada a su vecino BGP (su interfaz de vínculo superior).
Guía de administración de NSX
VMware, Inc. 131
14 (Solo en un enrutador lógico) Especifique la dirección de protocolo.
La dirección de protocolo es la dirección IP que el enrutador lógico utiliza para establecer unarelación con un vecino BGP. Puede ser cualquier dirección IP en la misma subred que la dirección dereenvío (siempre y cuando no se utilice en otra ubicación). Al configurar el emparejamiento BGPentre una puerta de enlace de servicios de Edge (ESG) y un enrutador lógico, utilice la dirección IPde protocolo de ese enrutador como la dirección IP de vecino BGP para ESG.
15 Especifique los sistemas autónomos (AS) remotos.
16 Edite el peso predeterminado para la conexión de vecino si es necesario.
17 La opción Temporizador de supresión (Hold Down Timer) muestra un intervalo (180 segundos)después del cual el software puede declarar inactivo al elemento del mismo nivel si no recibe unmensaje de mantenimiento de conexión. Si es necesario, edite esta opción.
18 La opción Temporizador de mantenimiento (Keep Alive Timer) muestra la frecuenciapredeterminada (60 segundos) con la cual el software envía mensajes de mantenimiento deconexión a los elementos del mismo nivel. Si es necesario, edite esta opción.
19 Si se requiere autenticación, introduzca la contraseña de autenticación. Se comprobará cadasegmento enviado a través de la conexión entre los vecinos. Se debe configurar la autenticaciónbasada en MD5 con la misma contraseña en los dos vecinos BGP; de lo contrario, no se podráestablecer la conexión entre los vecinos.
20 Para especificar el filtrado de rutas desde un vecino, haga clic en el icono Agregar (Add) en el áreaFiltros de BGP (BGP Filters).
ADVERTENCIA: Se aplicará una regla "bloquear todo" al final de los filtros.
21 Seleccione la orientación para indicar si se debe filtrar el tráfico hacia o desde el vecino.
22 Seleccione la acción para indicar si se debe permitir o denegar el tráfico.
23 Introduzca en formato CIDR la red que se debe filtrar hacia o desde el vecino.
24 Introduzca los prefijos IP que se deben filtrar y haga clic en Aceptar (OK).
25 Haga clic en Publicar cambios (Publish Changes).
Guía de administración de NSX
VMware, Inc. 132
Ejemplo: Configurar BGP entre una puerta de enlace de serviciosde Edge y un enrutador lógico
DLR
Tipo de vínculo: vínculo superior192.168.10.2 (dirección de reenvío)
Conmutador lógico de tránsito
Tipo de vínculo: interno192.168.10.1
ESG AS 64511
AS 64512
192.168.10.3(dirección de protocolo)
En esta topología, la puerta de enlace ESG se encuentra en el sistema autónomo AS 64511. El enrutadorlógico (DLR) se encuentra en el sistema autónomo AS 64512.
La dirección de reenvío del enrutador lógico es 192.168.10.2. Esta es la dirección configurada en lainterfaz de vínculo superior del enrutador lógico. La dirección de protocolo del enrutador lógico es192.168.10.3. Esta es la dirección que la puerta de enlace ESG utilizará para establecer su relación deemparejamiento BGP con el enrutador lógico.
En el enrutador lógico, configure BGP como se muestra:
Guía de administración de NSX
VMware, Inc. 133
En la puerta de enlace de servicios de Edge, configure BGP como se muestra:
La dirección de vecino de ESG es 192.168.10.3, que es la dirección de protocolo del enrutador lógico.
Ejecute el comando show ip bgp neighbors en el enrutador lógico y asegúrese de que el estado deBGP sea Establecido (Established).
Guía de administración de NSX
VMware, Inc. 134
Ejecute el comando show ip bgp neighbors en la puerta de enlace de servicios Edge y asegúrese deque el estado de BGP sea Establecido (Established).
Guía de administración de NSX
VMware, Inc. 135
Configurar el protocolo IS-ISIntermediate System to Intermediate System (IS-IS) es un protocolo de enrutamiento diseñado paramover información mediante la determinación de la mejor ruta para los datagramas por una red depaquetes conmutados.
Se utiliza una jerarquía de dos niveles para admitir dominios de enrutamiento de gran tamaño. Undominio de gran tamaño puede dividirse en áreas. El enrutamiento dentro de un área se denominaenrutamiento de nivel 1. El enrutamiento entre áreas se denomina enrutamiento de nivel 2. Un sistemaIntermediate System (IS) de nivel 2 rastrea las rutas a las áreas de destino. Un sistema IS de nivel 1rastrea el enrutamiento dentro de su propia área. Para un paquete que se dirige a otra área, un sistemaIS de nivel 1 envía el paquete al sistema IS de nivel 2 más cercano en su propia área, más allá de cuálsea el área de destino. Después, el paquete viaja por medio del enrutamiento de nivel 2 hacia el área dedestino, donde puede viajar mediante el enrutamiento de nivel 1 hacia el destino. Un sistema IS que estátanto en el nivel 1 como en el nivel 2 se denomina de nivel 1-2.
NOTA: Actualmente, la compatibilidad de NSX con el protocolo IS-IS es experimental.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en Enrutamiento (Routing) y, a continuación, haga clic en IS-IS.
5 Haga clic en Editar (Edit) y, a continuación, haga clic en Habilitar IS-IS (Enable IS-IS).
6 Escriba el identificador del sistema y seleccione el tipo de IS-IS.
El nivel 1 es intraárea, el nivel 2 es interárea y el nivel 1-2 posee ambas propiedades. Losenrutadores de nivel 2 son enrutadores interárea que solo pueden formar relaciones con otrosenrutadores de nivel 2. La información de enrutamiento se intercambia entre enrutadores de nivel 1 yotros enrutadores de nivel 1. De manera similar, los enrutadores de nivel 2 solo intercambianinformación con otros enrutadores de nivel 2. Los enrutadores de nivel 1-2 intercambian informacióncon ambos niveles, y se utilizan para conectar los enrutadores interárea con los enrutadoresintraárea.
7 Escriba la Contraseña de dominio (Domain Password) y la Contraseña de área (Area Password).La contraseña de área se inserta y se comprueba en cuanto a paquetes de estado de enlace de nivel1, mientras que la contraseña de dominio se comprueba en cuanto a paquetes de estado de enlacede nivel 2.
Guía de administración de NSX
VMware, Inc. 136
8 Defina las áreas de IS-IS.
a Haga clic en el icono Agregar (Add) en Áreas (Areas).
b Escriba un máximo de tres direcciones IP de área.
c Haga clic en Guardar (Save).
9 Configure la asignación de interfaces.
a Haga clic en el icono Agregar (Add) en Asignación de interfaces (Interface Mapping).
b Seleccione el tipo de circuito para indicar si configura la interfaz para nivel 1, nivel 2 oadyacencia de nivel 1-2.
c Intervalo de saludo (Hello Interval) muestra el intervalo predeterminado en milisegundos entrelos paquetes de saludo que se envían en la interfaz. Si es necesario, edite el valorpredeterminado.
d Multiplicador de saludo (Hello Multiplier) muestra la cantidad predeterminada de paquetes desaludo de IS-IS que un vecino debe omitir antes de declararse inactivo. Si es necesario, edite elvalor predeterminado.
e Intervalo de LSP (LSP Interval) muestra la demora en milisegundos entre las transmisiones depaquetes de estado-enlace IS-IS (LSP). Si es necesario, edite el valor predeterminado.
f Métrica (Metric) muestra la métrica predeterminada para la interfaz. Esto se utiliza para calcularel costo de cada interfaz mediante los enlaces en la red a otros destinos. Si es necesario, edite elvalor predeterminado.
g Prioridad (Priority) muestra la prioridad de la interfaz. La interfaz con la prioridad más alta seconvierte en el enrutador designado. Si es necesario, edite el valor predeterminado.
h En Grupo de trama (Mesh Group), escriba el número que identifica al grupo de trama al quepertenece esta interfaz. Si es necesario, edite el valor predeterminado.
i Escriba la contraseña de autenticación para la interfaz y haga clic en Aceptar (OK). Si esnecesario, edite el valor predeterminado.
10 Haga clic en Publicar cambios (Publish Changes).
Configurar la redistribución de rutasDe forma predeterminada, los enrutadores comparten rutas con otros enrutadores que ejecutan el mismoprotocolo. En un entorno de varios protocolos, debe configurar la redistribución de rutas para compartirrutas entre protocolos.
Para excluir una interfaz de la redistribución de rutas, agregue un criterio de rechazo para su red. EnNSX 6.2, la interfaz de HA (administración) de un enrutador lógico (distribuido) se excluyeautomáticamente de la redistribución de rutas.
Procedimiento
1 Inicie sesión en vSphere Web Client.
Guía de administración de NSX
VMware, Inc. 137
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en Enrutamiento (Routing) y, a continuación, haga clic en Redistribución de rutas (RouteRedistribution).
5 Haga clic en Editar (Edit), junto a Estado de redistribución de rutas (Route Redistribution Status).
6 Seleccione los protocolos para los cuales desea habilitar la redistribución de rutas y haga clic enAceptar (OK).
7 Agregue un prefijo IP.
Las entradas en el listado de prefijos IP se procesan secuencialmente.
a Haga clic en el icono Agregar (Add) en Prefijos IP (IP Prefixes).
b Escriba un nombre y la dirección IP de la red.
El prefijo IP introducido tendrá una coincidencia exacta, salvo que incluya los modificadoresmenor o igual que (LE) o mayor o igual que (GE).
c Haga clic en Aceptar (OK).
8 Especifique los criterios de redistribución para el prefijo IP.
a Haga clic en el icono Agregar (Add) en Tabla de redistribución de rutas (Route Redistributiontable).
b En Protocolo de aprendizaje (Learner Protocol), seleccione el protocolo que debe aprenderrutas de otros protocolos.
c En Permitir aprendizaje de (Allow Learning from), seleccione los protocolos desde los cualesdeben aprenderse rutas.
d Haga clic en Aceptar (OK).
9 Haga clic en Publicar cambios (Publish Changes).
Ver el identificador de configuración local de NSXManagerCada instancia de NSX Manager tiene un identificador de configuración regional. Está configurado deforma predeterminada en el UUID de NSX Manager. Esta configuración puede anularse en el nivel delenrutador lógico universal, del clúster o del host.
Procedimiento
1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) y, acontinuación, en Inventario de redes y seguridad (Networking & Security Inventory), haga clic enuna instancia de NSX Manager.
Guía de administración de NSX
VMware, Inc. 138
2 Haga clic en la pestaña Resumen (Summary). El campo Identificador (ID) incluye el UUID de lainstancia de NSX Manager.
Configurar el identificador de configuración regional enun enrutador lógico universal (distribuido)Si el egreso local está habilitado cuando se crea un enrutador lógico universal, las rutas se envían ahosts solo cuando el identificador de configuración regional del host coincide con el identificador deconfiguración regional asociado con la ruta. Es posible cambiar el identificador de configuración regionalen un enrutador. Este identificador de configuración regional se asociará con todas las rutas de esteenrutador (estáticas y dinámicas). Las rutas se enviarán a los hosts y los clústeres con identificadores deconfiguración regional coincidentes.
Consulte Topologías de Cross-vCenter NSX para obtener información sobre configuraciones deenrutamiento para entornos de Cross-vCenter NSX.
Prerequisitos
El enrutador lógico universal (distribuido) debe haberse creado con el egreso local habilitado.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un enrutador lógico universal (distribuido).
4 Haga clic en la pestaña Enrutamiento (Routing) y, a continuación, haga clic en Configuraciónglobal (Global Configuration).
5 Haga clic en Editar (Edit), junto a Configuración de enrutamiento (Routing Configuration).
6 Escriba un nuevo identificador de configuración regional.
IMPORTANTE: El identificador de configuración regional debe estar en formato UUID. Por ejemplo,XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX, donde cada X se reemplaza por un dígito debase 16 (0-F).
Guía de administración de NSX
VMware, Inc. 139
Configurar el identificador de configuración regional enun host o un clústerSi el egreso local está habilitado cuando se crea un enrutador lógico universal, las rutas se envían ahosts solo cuando el identificador de configuración regional del host coincide con el identificador deconfiguración regional asociado con la ruta. Para enviar rutas de manera selectiva a los hosts, configureel identificador de configuración regional en un clúster de hosts o en un host.
Prerequisitos
El enrutador lógico universal (distribuido) que se encarga de la tarea de enrutamiento para los hosts o losclústeres debe haberse creado con el egreso local habilitado.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y seleccione Instalación (Installation).
3 Haga clic en la pestaña Preparación del host (Host Preparation).
4 Seleccione la instancia de NSX Manager que administra los hosts o los clústeres que debeconfigurar.
5 Seleccione el host o el clúster que desea modificar y, si es necesario, expanda los clústeres para queaparezcan los hosts.
6 Haga clic en icono Configuración (Settings) ( ) y haga clic en Cambiar identificador deconfiguración regional (Change Locale ID).
7 Escriba un nuevo identificador de configuración regional y haga clic en Aceptar (OK).
NOTA: El identificador de configuración regional debe estar en formato UUID. Por ejemplo,XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX, donde cada X se reemplaza por un dígito debase 16 (0-F).
El clúster de la controladora universal enviará a los hosts solo las rutas que coincidan con este nuevoidentificador de configuración regional.
Qué hacer a continuación
Configure una ruta estática con un identificador de configuración regional especificado.
Guía de administración de NSX
VMware, Inc. 140
Firewall lógico 10El firewall lógico proporciona mecanismos de seguridad para los centros de datos virtuales dinámicos yconsta de dos componentes para abordar diferentes casos de uso de implementación. DistributedFirewall se centra en los controles de acceso de Este a Oeste. Edge Firewall sse centra en la aplicacióndel tráfico de Norte a Sur en el perímetro del centro de datos o de la empresa. Juntos, estoscomponentes abordan las necesidades de firewall de extremo a extremo de los centros de datosvirtuales. Puede optar por implementar cualquiera de estas tecnologías de forma independiente oimplementar ambas.
Este capítulo cubre los siguientes temas:
n Distributed Firewall
n Firewall de Edge
n Trabajar con secciones de reglas de firewall
n Trabajar con reglas de firewall
n Excluir las máquinas virtuales de la protección de firewall
n Detección de IP para máquinas virtuales
n Ver eventos de umbral de memoria y CPU del firewall
n Registros de firewall
n Trabajar con reglas de firewall de NSX Edge
Distributed FirewallDistributed Firewall es un firewall integrado en el kernel del hipervisor que proporciona visibilidad ycontrol para las redes y las cargas de trabajo virtualizadas. Puede crear directivas de control de accesobasadas en objetos de VMware vCenter, como centros de datos y clústeres, así como nombres demáquinas virtuales; construcciones de red como direcciones IP o IPSet, VLAN (grupos de puertos DVS),VXLAN (conmutadores lógicos), grupos de seguridad e identidad de grupos de usuarios desde ActiveDirectory. Las reglas de firewall se aplican en el nivel de la vNIC de cada máquina virtual individual paraproporcionar control de acceso consistente incluso cuando se la máquina virtual se mueve con vMotion.La naturaleza de la integración en el hipervisor del firewall proporciona una capacidad de proceso
VMware, Inc. 141
cercana a la velocidad de línea para permitir una mayor consolidación de la carga de trabajo enservidores físicos. La naturaleza distribuida del firewall proporciona una arquitectura de escalabilidadhorizontal que extiende automáticamente la capacidad del firewall cuando se agregan hosts adicionalesa un centro de datos.
En el caso de los paquetes de Capa 2, el Distributed Firewall crea una memoria caché para aumentar elrendimiento. Los paquetes de Capa 3 se procesan en la secuencia siguiente:
1 Se verifica el estado actual de todos los paquetes. Esto también se realiza en los SYN para poderdetectar los SYN falsos o retransmitidos de las sesiones existentes.
2 Si se encuentra una coincidencia de estado, se procesan los paquetes.
3 Si no se encuentra una coincidencia de estado, el paquete se procesa por medio de las reglas hastaencontrar una coincidencia.
n En el caso de los paquetes TCP, se establece el estado solo para los paquetes con la marcaSYN. Sin embargo, las reglas que no especifican un protocolo (servicio CUALQUIERA [ANY]),pueden buscar coincidencias de los paquetes TCP con cualquier combinación de marcas.
n En el caso de los paquetes UDP, se extraen los detalles de la 5-tupla del paquete. Si no existe unestado en la tabla de estado, se crea uno nuevo con los detalles de la 5-tupla extraídos.Posteriormente, se buscan coincidencias de los paquetes recibidos con el estado que se acabade crear.
n En el caso de los paquetes ICMP, se utilizan el tipo, el código y la dirección del paquete ICMPpara crear un estado.
El Distributed Firewall también puede ayudar a crear reglas basadas en la identidad. Los administradorespueden aplicar el control de acceso en función de la pertenencia al grupo del usuario como se define enActive Directory empresarial. A continuación encontrará algunas situaciones en las que se pueden utilizarlas reglas de firewall basadas en la identidad:
n Un usuario que accede a aplicaciones virtuales con un equipo portátil o un dispositivo móvil en el quese utiliza AD para la autenticación del usuario.
n Un usuario que accede a aplicaciones virtuales mediante la infraestructura de VDI donde lasmáquinas virtuales están basadas en Microsoft Windows.
Si tiene implementada una solución de firewall de proveedor externo en el entorno, consulte Redireccionar el tráfico a la solución de un proveedor mediante el firewall lógico.
No se ha validado la ejecución de VMware Tools abierto con un Distributed Firewall en máquinasvirtuales invitadas o de carga de trabajo.
Parámetros de umbral de ESXi para la utilización de recursos deDistributed FirewallCada host ESXi se configura con tres parámetros de umbral para la utilización de recursos de DFW:CPU, RAM y conexiones por segundo (CPS). Se activa una alarma si el umbral respectivo se supera20 veces consecutivas en un período de 200 segundos. Se toma una muestra cada 10 segundos.
100 % de CPU corresponde a la CPU total disponible en el host.
Guía de administración de NSX
VMware, Inc. 142
100 % de RAM corresponde a la memoria asignada para un Distributed Firewall ("tamaño máximo total"),que depende de la cantidad total de RAM instalada en el host.
Tabla 10‑1. Tamaño máximo total
Memoria física Tamaño máximo total (MB)
0 - 8 GB 160
8 GB - 32 GB 608
32 GB - 64 GB 992
64 GB - 96 GB 1.920
96 GB - 128 GB 2.944
128 GB 4.222
La memoria se utiliza en las estructuras de datos internos de un Distributed Firewall, que incluyen filtros,reglas, contenedores, estados de conexión, direcciones IP detectadas y flujos de descarte. Estosparámetros pueden manipularse con la llamada API siguiente:
https://NSX-MGR-IP/api/4.0/firewall/stats/eventthresholds
Request body:
<eventThresholds>
<cpu>
<percentValue>100</percentValue>
</cpu>
<memory>
<percentValue>100</percentValue>
</memory>
<connectionsPerSecond>
<value>100000</value>
</connectionsPerSecond>
</eventThresholds>
Guía de administración de NSX
VMware, Inc. 143
Firewall de EdgeEdge Firewall supervisa el tráfico de Norte a Sur para proporcionar la funcionalidad de seguridad delperímetro, incluido el firewall, la traducción de direcciones de red (Network Address Translation, NAT) y lafuncionalidad SSL VPN e IPsec de sitio a sitio. Esta solución está disponible en el factor de forma de lamáquina virtual y se puede implementar en modo de alta disponibilidad (High Availability).
La compatibilidad con el firewall es limitada en el enrutador lógico. Solo funcionan las reglas en lasinterfaces de administración o vínculo superior, pero las reglas en las interfaces internas no funcionan.
NOTA: NSX-V Edge es vulnerable ante ataques de inundación SYN en los que un atacante llena latabla de seguimiento del estado de firewall con paquetes de inundación SYN. Este ataque de denegaciónde servicios o ataque distribuido de denegación de servicios (DOS/DDOS) crea una interrupción delservicio a los usuarios originales. Para defender a Edge de los ataques de inundación SYN, es necesarioimplementar la lógica para que detecte conexiones TCP falsas y las finalice sin consumir recursos delseguimiento del estado del firewall. Esta función está deshabilitada de forma predeterminada. Parahabilitar esta función en un entorno de alto riesgo, configure el valor enableSynFloodProtection de laAPI de REST a "verdadero" ("true") como parte de la configuración global del firewall (Firewall GlobalConfiguration).
Trabajar con secciones de reglas de firewallSe puede agregar una sección para separar las reglas de firewall. Por ejemplo, puede tener las reglas delos departamentos de ventas e ingeniería en secciones separadas.
También puede crear varias secciones para las reglas de Capa 2 y Capa 3.
Los entornos de Cross-vCenter NSX pueden tener una sección universal de reglas de Capa 2 y unasección universal de reglas de Capa 3. Para poder agregar reglas universales, primero debe administrarlas reglas universales en la instancia principal de NSX Manager y crear allí la sección universal.
Las reglas que están fuera de las secciones universales permanecen en el nivel local de la instanciaprincipal o secundaria de NSX Manager donde se agregaron.
Agregar una sección de regla de firewallPuede agregar una nueva sección en la tabla de firewall para organizar las reglas o crear una secciónuniversal para utilizar en los entornos de Cross-vCenter NSX.
Prerequisitos
Determine la instancia de NSX Manager adecuada en la cual desea realizar los cambios.
n En un entorno de vCenter NSX independiente o individual, hay una sola instancia de NSX Manager.Por lo tanto, no hace falta seleccionarla.
n Los objetos universales deben administrarse desde la instancia NSX Manager principal.
Guía de administración de NSX
VMware, Inc. 144
n Los objetos locales a una instancia de NSX Manager deben administrarse desde esa instancia deNSX Manager.
n En un entorno de Cross-vCenter NSX donde no se habilitó Modo vinculado mejorado (EnhancedLinked Mode), es necesario realizar los cambios en la configuración desde el elemento vCentervinculado a la instancia de NSX Manager que se desea modificar.
n En un entorno de Cross-vCenter NSX con el Modo vinculado mejorado (Enhanced Linked Mode), esposible realizar cambios en la configuración de cualquier instancia de NSX Manager desde cualquiervCenter vinculado. Seleccione la instancia de NSX Manager apropiada desde el menú desplegableNSX Manager.
Procedimiento
1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Firewall.
2 Si hay más de una instancia de NSX Manager disponible, seleccione una. Debe seleccionar lainstancia de NSX Manager principal para agregar una sección universal.
3 Asegúrese de estar en la pestaña General para agregar una sección para reglas de Capa 3. Hagaclic en la pestaña Ethernet para agregar una sección para reglas de Capa 2.
4Haga clic en el icono Agregar sección (Add Section) ( ).
5 Escriba un nombre y especifique la posición de la nueva sección. Los nombres de sección deben serúnicos dentro de NSX Manager.
6 (Opcional) Para crear una sección universal, seleccione Marcar esta sección para sincronizaciónuniversal (Mark this section for Universal Synchronization).
7 Haga clic en Aceptar (OK) y, a continuación, en Publicar cambios (Publish Changes).
Qué hacer a continuación
Agregue reglas a la sección. Para editar el nombre de una sección, haga clic en el icono Editar sección
(Edit section) ( ) de esa sección.
Combinar secciones de regla de firewallPuede combinar secciones y consolidar las reglas dentro de esas secciones. Tenga en cuenta que nopuede combinar una sección con las secciones Service Composer o Predeterminada (Default). En unentorno de Cross-vCenter NSX, no puede combinar una sección con la sección universal.
Combinar y consolidar una configuración de firewall compleja puede ayudar con el mantenimiento y lalegibilidad.
Procedimiento
1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Firewall.
Guía de administración de NSX
VMware, Inc. 145
2 En la sección que desee combinar, haga clic en el icono Combinar (Merge) ( ) y especifique sidesea combinar esta sección con la que se encuentra arriba o abajo.
Se combinan las reglas de ambas secciones. La sección nueva mantiene el nombre de la seccióncon la que se combina la otra sección.
3 Haga clic en Publicar cambios (Publish Changes).
Eliminar una sección de reglas de firewallEs posible eliminar una sección de reglas de firewall. Se eliminan todas las reglas en esa sección.
No puede eliminar una sección y volver a agregarla en otro lugar de la tabla de firewall. Para hacerlo,debe eliminar la sección y publicar la configuración. A continuación, agregue la sección eliminada en latabla de firewall y vuelva a publicar la configuración.
Procedimiento
1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Firewall.
2 Asegúrese de estar en la pestaña General para eliminar una sección de reglas de Capa 3. Haga clicen la pestaña Ethernet para eliminar una sección de reglas de Capa 2.
3 Haga clic en el icono Eliminar sección (Delete section) ( ) de la sección que desea eliminar.
4 Haga clic en Aceptar (OK) y, a continuación, en Publicar cambios (Publish Changes).
Se eliminan la sección y todas las reglas de esa sección.
Trabajar con reglas de firewallLas reglas de Distributed Firewall y las reglas de Edge Firewall pueden administrarse de formacentralizada o desde la pestaña Firewall. En un entorno de varias empresas, los proveedores puedendefinir reglas para un flujo de tráfico de alto nivel en la interfaz de usuario del firewall centralizado.
Cada sesión de tráfico se compara con la regla principal de la tabla de firewall antes de bajar a las reglassubsiguientes de esa tabla. Se aplica la primera regla de la tabla que coincide con los parámetros detráfico. Las reglas se muestran en el siguiente orden:
1 Las reglas que definen los usuarios en la interfaz de usuario del firewall tienen la prioridad más alta yse aplican en orden descendente (de arriba hacia abajo) según el nivel por NIC virtual.
2 Reglas autoasociadas (que permiten que el tráfico de control circule en los servicios Edge).
3 Reglas definidas por los usuarios en la interfaz de NSX Edge.
4 Reglas de Service Composer (una sección aparte para cada directiva). Estas reglas no se puedeneditar en la tabla de firewall, pero es posible agregar reglas en la parte superior de una sección dereglas de firewall de una directiva de seguridad. Al hacer eso, es necesario volver a sincronizar lasreglas en Service Composer. Para obtener más información, consulte Capítulo 17 Service Composer.
5 Reglas predeterminadas de Distributed Firewall
Guía de administración de NSX
VMware, Inc. 146
Tenga en cuenta que las reglas de firewall se aplican solamente en clústeres donde se habilitó el firewall.Para obtener información sobre cómo preparar clústeres, consulte Guía de instalación de NSX.
Editar la regla de Distributed Firewall predeterminadaLa configuración de firewall predeterminada aplica al tráfico que no coincide con ninguna de las reglas defirewall definidas por el usuario. La regla de Distributed Firewall predeterminada se muestra en la interfazde usuario de firewall centralizado y la regla predeterminada de cada instancia de NSX Edge se muestraen el nivel de NSX Edge.
La regla de Distributed Firewall predeterminada permite el acceso directo de todo el tráfico de Capa 3 yCapa 2 a los clústeres preparados en la infraestructura. La regla predeterminada se encuentra siempre alfinal de la tabla de reglas y no se puede eliminar ni es posible agregarle elementos. Sin embargo, puedecambiar el elemento Acción (Action) de la regla desde Permitir bloquear o rechazar (Allow to Block orReject), agregar comentarios a la regla e indicar si el tráfico de esa regla se debe registrar.
En un entorno de Cross-vCenter NSX, la regla predeterminada no es una regla universal. Cualquiercambio en la regla predeterminada debe realizarse en cada instancia de NSX Manager.
Procedimiento
1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Firewall.
2 Expanda la sección Valor predeterminado (Default) y realice los cambios necesarios.
Solo puede editar Acción (Action) y Registro (Log), o agregar comentarios a la reglapredeterminada.
Agregar una regla de firewallLas reglas de firewall se agregan en el ámbito de NSX Manager. Mediante el campo Se aplica a (AppliedTo), se puede delimitar el ámbito en el que se desea aplicar la regla. Es posible agregar varios objetos enlos niveles de origen y destino para cada regla, lo que permite reducir la cantidad total de reglas defirewall que se deben agregar.
Los siguientes objetos de vCenter pueden especificarse como origen o destino de una regla de firewall:
Guía de administración de NSX
VMware, Inc. 147
Tabla 10‑2. Objetos admitidos para reglas de firewall
Origen o destino Se aplica a
n clústern centro de datosn grupo de puertos distribuidosn conjunto de direcciones IPn grupo de puertos heredadosn conmutador lógicon grupo de recursosn grupo de seguridadn vAppn máquina virtualn vNICn dirección IP (IPv4 o IPv6)
n todos los clústeres en los cuales se instaló el DistributedFirewall (en otras palabras, todos los clústeres que seprepararon para la virtualización de red)
n todas las puertas de enlace Edge instaladas en clústerespreparados
n clústern centro de datosn grupo de puertos distribuidosn Edgen grupo de puertos heredadosn conmutador lógicon grupo de seguridadn máquina virtualn vNIC
Prerequisitos
Compruebe que el estado de Distributed Firewall de NSX no esté en modo de compatibilidad conversiones anteriores. Para comprobar el estado actual, utilice la llamada API de REST GEThttps://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state. Si el estado actual es el modo de compatibilidadcon versiones anteriores, puede cambiar el estado al modo de reenvío mediante la llamada API de RESTPUT https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state. No intente publicar una regla de DistributedFirewall cuando el Distributed Firewall esté en modo de compatibilidad con versiones anteriores.
Si agrega reglas de firewall universales, consulte Agregar una regla de firewall universal
Si agrega una regla de firewall basada en identidad, garantice que:
n Se hayan registrado uno o varios dominios en NSX Manager. NSX Manager obtiene información delgrupo y del usuario, así como de la relación existente entre estos elementos, desde cada dominiocon el que está registrado. Consulte Registrar un dominio de Windows con NSX Manager.
n Se haya creado un grupo de seguridad basado en objetos de Active Directory que pueda utilizarsecomo origen o destino de la regla. Consulte Crear un grupo de seguridad.
Si va a agregar una regla basada en un objeto de VMware vCenter, asegúrese de que VMware Toolsesté instalado en las máquinas virtuales. Consulte Guía de instalación de NSX.
Procedimiento
1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Firewall.
2 Asegúrese de estar en la pestaña General para agregar una regla de Capa 3. Haga clic en lapestaña Ethernet para agregar una regla de Capa 2.
3 En la sección en la que agrega una regla, haga clic en el icono Agregar regla (Add rule) ( ).
Guía de administración de NSX
VMware, Inc. 148
4 Haga clic en Publicar cambios (Publish Changes).
Se agregará una nueva regla de permiso "any any" en la parte superior de la sección. Si la regladefinida por el sistema es la única regla en la sección, la regla nueva se agrega arriba de la reglapredeterminada.
Si desea agregar una regla en un lugar específico de la sección, seleccione una regla. En la columna
N.º (No.), haga clic en y seleccione Agregar arriba (Add Above) o Agregar abajo (Add Below).
5 Coloque el puntero sobre la celda Nombre (Name) de la nueva regla y haga clic en .
6 Escriba el nombre de la nueva regla.
Guía de administración de NSX
VMware, Inc. 149
7 Coloque el puntero sobre la celda Origen (Source) de la nueva regla. Aparecen iconos adicionalessegún la descripción de la siguiente tabla.
Opción Descripción
Haga clic en Para especificar el origen como una dirección IP.
a Seleccione el formato de dirección IP.
El firewall admite los formatos IPv4 e IPv6.
b Escriba la dirección IP.
Puede introducir varias direcciones IP en una lista separada por comas. Lalista puede contener hasta 255 caracteres.
Haga clic en Para especificar el origen como un objeto que no sea una dirección IP específica.
a En Ver (View), seleccione el contenedor desde el cual se originó lacomunicación.
Aparecen los objetos del contenedor seleccionado.
bSeleccione uno o varios objetos y haga clic en .
Puede crear un nuevo grupo de seguridad o IPSet. Una vez creado el nuevoobjeto, se agrega a la columna Origen (Source) de forma predeterminada.Para obtener información sobre la creación de un grupo de seguridad oIPSet, consulte Capítulo 22 Objetos de seguridad y red.
c Para excluir un origen de la regla, haga clic en Opciones avanzadas(Advanced options).
d Seleccione Negar origen (Negate Source) para excluir este origen de laregla.
Si se selecciona Negar origen (Negate Source), la regla se aplica al tráficoproveniente de todas las fuentes, salvo la especificada en el paso anterior.
Si no se selecciona Negar origen (Negate Source), la regla se aplica altráfico proveniente del origen especificado en el paso anterior.
e Haga clic en Aceptar (OK).
Guía de administración de NSX
VMware, Inc. 150
8 Coloque el puntero sobre la celda Destino (Destination) de la nueva regla. Aparecen iconosadicionales según la descripción de la siguiente tabla.
Opción Descripción
Haga clic en Para especificar el destino como una dirección IP.
a Seleccione el formato de dirección IP.
El firewall admite los formatos IPv4 e IPv6.
b Escriba la dirección IP.
Puede introducir varias direcciones IP en una lista separada por comas. Lalista puede contener hasta 255 caracteres.
Haga clic en Para especificar el destino como un objeto que no sea una dirección IPespecífica.
a En Ver (View), seleccione el contenedor de destino de la comunicación.
Aparecen los objetos del contenedor seleccionado.
bSeleccione uno o varios objetos y haga clic en .
Puede crear un nuevo grupo de seguridad o IPSet. Una vez creado el nuevoobjeto, se agrega a la columna Destino (Destination) de formapredeterminada. Para obtener información sobre la creación de un grupo deseguridad o IPSet, consulte Capítulo 22 Objetos de seguridad y red.
c Para excluir un puerto de destino, haga clic en Opciones avanzadas(Advanced options).
d Seleccione Negar destino (Negate Destination) para excluir este destino dela regla.
Si se selecciona Negar destino (Negate Destination), la regla se aplica altráfico dirigido a todos los destinos, salvo el especificado en el paso anterior.
Si no se selecciona Negar destino (Negate Destination), la regla se aplica altráfico dirigido al destino especificado en el paso anterior.
e Haga clic en Aceptar (OK).
Guía de administración de NSX
VMware, Inc. 151
9 Coloque el puntero sobre la celda Servicio (Service) de la nueva regla. Aparecen iconos adicionalessegún la descripción de la siguiente tabla.
Opción Descripción
Haga clic en Para especificar el servicio como una combinación de protocolo de puertos.
a Seleccione el protocolo de servicio.
Distributed Firewall admite ALG (Application Level Gateway) para lossiguientes protocolos: FTP, CIFS, ORACLE TNS, MS-RPC y SUN-RPC.
Edge admite solo ALG para FTP.
b Escriba el número de puerto y haga clic en Aceptar (OK).
Haga clic en Para seleccionar un servicio o un grupo de servicios predefinido, o para definiruno nuevo.
aSeleccione uno o varios objetos y haga clic en .
Puede crear un servicio o un grupo de servicios nuevos. Una vez creado elnuevo objeto, se agrega a la columna Objetos seleccionados (SelectedObjects) de forma predeterminada.
b Haga clic en Aceptar (OK). Para proteger la red contra saturaciones ACK o SYN, puede establecer el servicio con el valor TCP-all_ports o UDP-all_ports y establecer la acción de bloqueo para la regla predeterminada. Paraobtener información sobre cómo modificar la regla predeterminada, consulte Editar la regla deDistributed Firewall predeterminada.
10 Coloque el puntero sobre la celda Acción (Action) de la nueva regla y haga clic en . Realice lasselecciones correspondientes según se describe en la siguiente tabla y haga clic en Aceptar (OK).
Acción Resultado
Permitir (Allow) Permite tráfico desde o hacia los orígenes, los destinos y los serviciosespecificados.
Bloquear (Block) Bloquea el tráfico desde o hacia los orígenes, los destinos y los serviciosespecificados.
Rechazar (Reject) Envía un mensaje de rechazo para paquetes no aceptados.
Se envían paquetes RST para conexiones TCP.
Se envían mensajes ICMP con código prohibido de forma administrativa paraconexiones UDP, ICMP y otras conexiones IP.
Registrar (Log) Registra todas las sesiones que coinciden con esta regla. Si el registro sehabilita, el rendimiento puede verse afectado.
No registrar (Do not log) No registra las sesiones.
Guía de administración de NSX
VMware, Inc. 152
11 En Se aplica a (Applied To), defina el ámbito al cual se aplica esta regla. Realice las seleccionescorrespondientes según se describe en la siguiente tabla y haga clic en Aceptar (OK).
Para aplicar una regla a Hacer lo siguiente
Todos los clústeres preparados en el entorno Seleccione Aplicar esta regla en todos los clústeresdonde está habilitado el Distributed Firewall (Apply thisrule on all clusters on which Distributed Firewall is enabled).Después de hacer clic en Aceptar (OK), la columna Se aplicaa (Applied To) para esta regla muestra Distributed Firewall(Distributed Firewall).
Todas las puertas de enlace NSX Edge en el entorno Seleccione Aplicar esta regla en todas las puertas deenlace Edge (Apply this rule on all Edge gateways). Despuésde hacer clic en Aceptar (OK), la columna Se aplica a(Applied To) para esta regla muestra Todos las instanciasde Edge (All Edges).
Si las dos opciones anteriores están seleccionadas, lacolumna Se aplica a (Applied To) muestra Cualquiera (Any).
Uno o varios clústeres, centros de datos, grupos de puertosvirtuales distribuidos, instancias de NSX Edge, redes,máquinas virtuales, vNIC o conmutadores lógicos
1 En Tipo de contenedor (Container type), seleccione elobjeto apropiado.
2 En la lista Disponibles (Available), seleccione uno o
varios objetos y haga clic en .
Si la regla contiene máquinas virtuales o vNIC en los campos de origen y destino, debe agregar lasmáquinas virtuales o vNIC de origen y destino a Se aplica a (Applied To) para que la regla funcionecorrectamente.
12 Haga clic en Publicar cambios (Publish Changes).
Después de unos minutos, aparece un mensaje que indica si la operación de publicación secompletó correctamente. Si se produce algún error, se muestra un listado de los hosts donde no seaplicó la regla. Para obtener detalles adicionales sobre una publicación con errores, desplácesehasta Instancias de NSX Manager (NSX Managers) > NSX_Manager_IP_Address > Supervisar(Monitor) > Eventos del sistema (System Events).
Al hacer clic en Publicar cambios (Publish Changes), se guarda automáticamente la configuracióndel firewall. Para obtener información sobre cómo revertir a una configuración anterior, consulte Cargar configuración de firewall.
Qué hacer a continuación
n Para deshabilitar una regla, haga clic en ; para habilitarla, haga clic en .
n
Para mostrar columnas adicionales en la tabla de reglas, haga clic en y seleccione lascolumnas correspondientes.
Nombre de la columna Información que se muestra
Identificador de reglas Identificador único generado por el sistema para cada regla
Registrar (Log) El tráfico para esta regla se registra o no
Guía de administración de NSX
VMware, Inc. 153
Nombre de la columna Información que se muestra
Estadísticas (Stats)Al hacer clic en , se muestra el tráfico relacionado con esta regla (tamaño y paquetes detráfico)
Comentarios (Comments) Comentarios de la regla
n Para buscar las reglas, escriba texto en el campo Buscar (Search).
n Mueva una regla hacia arriba o hacia abajo en la tabla de firewall.
n Para combinar las secciones, haga clic en el icono Combinar sección (Merge section) y seleccioneCombinar con la sección anterior (Merge with above section) o Combinar con la secciónsiguiente (Merge with below section).
Cargar configuración de firewallPuede cargar una configuración de firewall guardada automáticamente o importada. Si la configuraciónactual contiene reglas administradas por Service Composer, estas seanulan después de la importación.
Procedimiento
1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Firewall.
2 Asegúrese de estar en la pestaña General para cargar una configuración de firewall de Capa 3.Haga clic en la pestaña Ethernet para cargar una configuración de firewall de Capa 2.
3Haga clic en el icono Cargar configuración (Load configuration) ( ).
4 Seleccione la configuración que desea cargar y haga clic en Aceptar (OK).
La configuración seleccionada reemplaza a la configuración actual.
Qué hacer a continuación
Si la configuración cargada anuló las reglas de Service Composer en la configuración, haga clic enAcciones (Actions) > Sincronizar reglas de firewall (Synchronize Firewall Rules) en la pestañaDirectivas de seguridad (Security Policies) de Service Composer.
Agregar una regla de firewall universalEn un entorno de Cross-vCenter NSX, las reglas universales hacen referencia a las reglas de DistributedFirewall que se definieron en la instancia principal de NSX Manager en la sección de reglas universales.Estas reglas se replican a todas las instancias secundarias de NSX Manager en el entorno, lo quepermite mantener una directiva de firewall coherente dentro de los límites de vCenter. Las reglas deEdge Firewall no son compatibles con vMotion entre varias instancias de vCenter Server.
La instancia principal de NSX Manager puede contener una sección universal para las reglas universalesde Capa 2 y otra sección universal para las reglas universales de Capa 3. En las instancias secundariasde NSX Manager, las secciones universales y las reglas universales se pueden ver pero no editar. Laubicación de la sección universal con respecto a la sección local no afecta la prioridad de las reglas.
Guía de administración de NSX
VMware, Inc. 154
Tabla 10‑3. Objetos compatibles con las reglas de firewall universales
Origen y destino Se aplica a Servicio
n conjunto de direcciones MACuniversales
n conjunto de direcciones IP universalesn grupo de seguridad universal, que
puede contener un conjunto dedirecciones IP, un conjunto dedirecciones MAC o un grupo deseguridad universal
n conmutador lógico universal
n conmutador lógico universaln Distributed Firewall: las reglas se
aplican a todos los clústeres en losque se instaló el Distributed Firewall
n servicios universales creadospreviamente y grupos de servicios
n servicios universales creados por elusuario y grupos de servicios
Tenga en cuenta que no se admiten otros objetos de vCenter para las reglas universales.
Prerequisitos
Para poder crear reglas universales, primero se debe crear una sección de reglas universales. Consulte Agregar una sección de regla de firewall.
Procedimiento
1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Firewall.
2 En NSX Manager, asegúrese de seleccionar la instancia principal de NSX Manager.
Solo se pueden agregar reglas universales a la instancia principal de NSX Manager.
3 Para agregar una regla universal de Capa 3, asegúrese de estar en la pestaña General. Paraagregar una regla universal de Capa 2, haga clic en la pestaña Ethernet.
4 En la sección universal, haga clic en el icono Agregar regla (Add rule) ( ) y seleccione Publicarcambios (Publish Changes).
Se agregará una nueva regla de permiso "any any" en la parte superior de la sección universal.
5 Coloque el puntero sobre la celda Nombre (Name) de la nueva regla y haga clic en . Introduzcaun nombre para la regla.
Guía de administración de NSX
VMware, Inc. 155
6 Coloque el puntero sobre la celda Origen (Source) de la nueva regla. Aparecen iconos adicionalessegún la descripción de la siguiente tabla.
Opción Descripción
Haga clic en Para especificar el origen como una dirección IP.
a Seleccione el formato de dirección IP.
El firewall admite los formatos IPv4 e IPv6.
b Escriba la dirección IP.
Haga clic en Para especificar un IPSet, un MACSet o un grupo de seguridad universal como elorigen.
a En Tipo de objeto (Object Type), seleccione el contenedor desde el cual seoriginó la comunicación.
Aparecen los objetos del contenedor seleccionado.
bSeleccione uno o varios objetos y haga clic en .
Puede crear un nuevo grupo de seguridad o IPSet. Una vez creado el nuevoobjeto, se agrega a la columna Origen (Source) de forma predeterminada.Para obtener información sobre la creación de un grupo de seguridad oIPSet, consulte Capítulo 22 Objetos de seguridad y red.
c Para excluir un origen de la regla, haga clic en Opciones avanzadas(Advanced options).
d Seleccione Negar origen (Negate Source) para excluir este origen de laregla.
Si se selecciona Negar origen (Negate Source), la regla se aplica al tráficoproveniente de todas las fuentes, salvo la especificada en el paso anterior.
Si no se selecciona Negar origen (Negate Source), la regla se aplica altráfico proveniente del origen especificado en el paso anterior.
e Haga clic en Aceptar (OK).
Guía de administración de NSX
VMware, Inc. 156
7 Coloque el puntero sobre la celda Destino (Destination) de la nueva regla. Aparecen iconosadicionales según la descripción de la siguiente tabla.
Opción Descripción
Haga clic en Para especificar el destino como una dirección IP.
a Seleccione el formato de dirección IP.
El firewall admite los formatos IPv4 e IPv6.
b Escriba la dirección IP.
Haga clic en Para especificar un IPSet, un MACSet o un grupo de seguridad universal como eldestino.
a En Tipo de objeto (Object Type), seleccione el contenedor hacia donde sedirige la comunicación.
Aparecen los objetos del contenedor seleccionado.
bSeleccione uno o varios objetos y haga clic en .
Puede crear un nuevo grupo de seguridad o IPSet. Una vez creado el nuevoobjeto, se agrega a la columna Destino (Destination) de formapredeterminada. Para obtener información sobre la creación de un grupo deseguridad o IPSet, consulte Capítulo 22 Objetos de seguridad y red.
c Para excluir un destino de la regla, haga clic en Opciones avanzadas(Advanced options).
d Seleccione Negar destino (Negate Destination) para excluir este destino dela regla.
Si se selecciona Negar destino (Negate Destination), la regla se aplica altráfico dirigido a todos los destinos, salvo el especificado en el paso anterior.
Si no se selecciona Negar destino (Negate Destination), la regla se aplica altráfico dirigido al destino especificado en el paso anterior.
e Haga clic en Aceptar (OK).
Guía de administración de NSX
VMware, Inc. 157
8 Coloque el puntero sobre la celda Servicio (Service) de la nueva regla. Aparecen iconos adicionalessegún la descripción de la siguiente tabla.
Opción Descripción
Haga clic en Para especificar un servicio como una combinación puerto-protocolo.
a Seleccione el protocolo de servicio.
Distributed Firewall admite ALG (Application Level Gateway) para lossiguientes protocolos: FTP, CIFS, ORACLE TNS, MS-RPC y SUN-RPC.
b Escriba el número de puerto y haga clic en Aceptar (OK).
Haga clic en Para seleccionar un servicio universal o un grupo de servicio universal definidopreviamente, o definir uno nuevo.
aSeleccione uno o varios objetos y haga clic en .
Puede crear un servicio o un grupo de servicios nuevos. Una vez creado elnuevo objeto, se agrega a la columna Objetos seleccionados (SelectedObjects) de forma predeterminada.
b Haga clic en Aceptar (OK). Para proteger la red contra saturaciones ACK o SYN, puede establecer el servicio con el valor TCP-all_ports o UDP-all_ports y establecer la acción de bloqueo para la regla predeterminada. Paraobtener información sobre cómo modificar la regla predeterminada, consulte Editar la regla deDistributed Firewall predeterminada.
9 Coloque el puntero sobre la celda Acción (Action) de la nueva regla y haga clic en . Realice lasselecciones correspondientes según se describe en la siguiente tabla y haga clic en Aceptar (OK).
Acción Resultado
Permitir (Allow) Permite tráfico desde o hacia los orígenes, los destinos y los serviciosespecificados.
Bloquear (Block) Bloquea el tráfico desde o hacia los orígenes, los destinos y los serviciosespecificados.
Rechazar (Reject) Envía un mensaje de rechazo para paquetes no aceptados.
Se envían paquetes RST para conexiones TCP.
Se envían mensajes ICMP con código prohibido de forma administrativa paraconexiones UDP, ICMP y otras conexiones IP.
Registrar (Log) Registra todas las sesiones que coinciden con esta regla. Si el registro sehabilita, el rendimiento puede verse afectado.
No registrar (Do not log) No registra las sesiones.
10 En la celda Se aplica a (Applied To), acepte la opción de configuración predeterminada (DistributedFirewall) para aplicar la regla a todos los clústeres con el Distributed Firewall habilitado o bien, haga
clic en el icono Editar para seleccionar los conmutadores lógicos universales a los que se deberáaplicar la regla.
11 Haga clic en Publicar cambios (Publish Changes).
Guía de administración de NSX
VMware, Inc. 158
La regla universal se replicará a todas las instancias secundarias de NSX Manager. El identificador de laregla será el mismo en todas las instancias de NSX. Para ver el identificador de la regla, haga clic en
y seleccione Identificador de regla (Rule ID).
Las reglas universales pueden editarse en la instancia principal de NSX Manager, pero son de sololectura en las instancias secundarias de NSX Manager.
Reglas de firewall con sección universal de Capa 3 y sección predeterminada de Capa 3:
Qué hacer a continuación
n Para deshabilitar una regla, haga clic en en la columna N.º (No.) y, para habilitarla, haga clic en .
n
Para mostrar columnas adicionales en la tabla de reglas, haga clic en y seleccione lascolumnas correspondientes.
Nombre de la columna Información que se muestra
Identificador de reglas Identificador único generado por el sistema para cada regla
Registrar (Log) El tráfico para esta regla se registra o no
Estadísticas (Stats)Al hacer clic en , se muestra el tráfico relacionado con esta regla (tamaño y paquetes detráfico)
Comentarios (Comments) Comentarios de la regla
n Para buscar las reglas, escriba texto en el campo Buscar (Search).
n Mueva una regla hacia arriba o hacia abajo en la tabla de firewall.
Guía de administración de NSX
VMware, Inc. 159
Filtrar reglas de firewallSe puede utilizar una gran cantidad de criterios para filtrar el conjunto de reglas, lo que permite modificarcon facilidad las reglas. Las reglas se pueden filtrar por dirección IP o máquinas virtuales de origen odestino, acción de la regla, registro, nombre de la regla, comentarios e identificador de la regla.
Procedimiento
1 En la pestaña Firewall, haga clic en el icono Aplicar filtro (Apply Filter) ( ).
2 Escriba o seleccione los criterios de filtrado según corresponda.
3 Haga clic en Aplicar (Apply).
Se muestran las reglas que coinciden con sus criterios de filtrado.
Qué hacer a continuación
Para volver a mostrar todas las reglas, haga clic en el icono Quitar filtro aplicado (Remove applied
filter) ( ).
Agregar una regla y publicarla en otro momentoEs posible agregar una regla y guardar la configuración sin publicarla. La configuración guardada sepuede cargar y publicar en otro momento.
Procedimiento
1 Agregue una regla de firewall. Consulte Agregar una regla de firewall.
Guía de administración de NSX
VMware, Inc. 160
2 Haga clic en Guardar cambios (Save Changes).
3 Escriba un nombre y una descripción para la configuración y haga clic en Aceptar (OK).
4 Haga clic en Conservar configuración (Preserve Configuration) para mantener este cambio.
NSX puede guardar hasta 100 configuraciones. Cuando se supera este límite, se conservan lasconfiguraciones guardadas con la marca Conservar configuración (Preserve Configuration) y seeliminan las configuraciones antiguas no conservadas para que las configuraciones conservadastengan espacio.
5 Realice uno de los siguientes pasos.
n Haga clic en Revertir cambios (Revert Changes) para regresar a la configuración utilizada antesde agregar la regla. Cuando desee publicar la regla recientemente agregada, haga clic en elicono Cargar configuración (Load Configuration), seleccione la regla guardada en el paso 3 yhaga clic en Aceptar (OK).
n Haga clic en Actualizar cambios (Update Changes) para seguir agregando reglas.
Cambiar el orden de una regla de firewallLas reglas de firewall se aplican en el orden en que se presentan en la tabla de reglas.
Las reglas se muestran (y se aplican) en el siguiente orden:
1 Las reglas definidas previamente por el usuario tienen la prioridad más alta y se aplican de arribaabajo por nivel de NIC virtual.
2 Reglas asociadas automáticamente.
3 Reglas locales definidas en un nivel de NSX Edge.
4 Reglas de Service Composer (una sección aparte para cada directiva). Estas reglas no se puedeneditar en la tabla de firewall, pero es posible agregar reglas en la parte superior de una sección dereglas de firewall de una directiva de seguridad. Al hacer eso, es necesario volver a sincronizar lasreglas en Service Composer. Para obtener más información, consulte Capítulo 17 Service Composer.
5 Regla predeterminada de Distributed Firewall.
Es posible mover una regla personalizada hacia arriba o abajo en la tabla. La regla predeterminadasiempre se coloca en la parte inferior de la tabla y no se puede mover.
Guía de administración de NSX
VMware, Inc. 161
Procedimiento
1 En la pestaña Firewall, seleccione la regla que desea mover.
2 Haga clic en el icono Mover regla hacia arriba (Move rule up) o Mover regla hacia abajo (Move
rule down) .
3 Haga clic en Publicar cambios (Publish Changes).
Eliminar una regla de firewallEs posible eliminar reglas de firewall creadas por el usuario mismo. No se pueden eliminar la reglapredeterminada o las reglas que administra Service Composer.
Procedimiento
1 En la pestaña Firewall, seleccione una regla.
2 Haga clic en el icono Eliminar regla seleccionada (Delete Selected Rule) ( ) arriba de la tabla defirewall.
3 Haga clic en Publicar cambios (Publish Changes).
Excluir las máquinas virtuales de la protección de firewallPuede excluir un conjunto de máquinas virtuales de la protección de firewall distribuido de NSX.
NSX Manager, NSX Controller y las máquinas virtuales NSX Edge se excluyen automáticamente de laprotección de firewall distribuido de NSX. Asimismo, VMware recomienda colocar las siguientesmáquinas virtuales de servicio en la lista de exclusión para permitir que el tráfico circule libremente.
n vCenter Server. Puede moverse a un clúster protegido por firewall, pero ya debe existir en la lista deexclusión para evitar problemas de conectividad.
n Máquinas virtuales del servicio de partners.
n Máquinas virtuales que requieren el modo promiscuo. Si estas máquinas virtuales están protegidaspor firewall distribuido de NSX, su rendimiento puede verse gravemente afectado.
n El servidor SQL Server que utiliza la instancia de vCenter basada en Windows.
n vCenter Web Server, si se lo va a ejecutar por separado.
Procedimiento
1 En vSphere Web Client, haga clic en Redes y seguridad (Networking & Security).
2 En Inventario de redes y seguridad (Networking & Security Inventory) haga clic en Instancias deNSX Manager (NSX Managers).
3 En la columna Nombre (Name), haga clic en una instancia de NSX Manager.
4 Haga clic en la pestaña Administrar (Manage) y, a continuación, en Lista de exclusión (ExclusionList).
Guía de administración de NSX
VMware, Inc. 162
5 Haga clic en el icono Agregar (Add) ( ) .
6 Escriba el nombre de la máquina virtual que desea excluir y haga clic en Agregar (Add).
Por ejemplo:
7 Haga clic en Aceptar (OK).
Si una máquina virtual tiene varias NIC, todas ellas quedarán excluidas de la protección. Si agrega vNICa una máquina virtual que ya está agregada a la lista de exclusión, el firewall se implementaautomáticamente en las vNIC recientemente agregadas. Para excluir estas vNIC de la protección defirewall, debe extraer la máquina virtual de la lista de exclusión y, a continuación, volver a agregarla a lalista. Una alternativa es realizar un ciclo de energía (apagar y encender la máquina virtual), pero laprimera opción es menos disruptiva.
Detección de IP para máquinas virtualesVMware Tools se ejecuta en una máquina virtual y proporciona varios servicios. Un servicio que esesencial para el Distributed Firewall es asociar una máquina virtual y sus vNIC con direcciones IP. Antesde NSX 6.2, si VMware Tools no estaba instalado en una máquina virtual, su dirección IP no se conocía.En NSX 6.2 puede configurar clústeres para detectar las direcciones IP de máquina virtual conintromisión DHCP, intromisión ARP o ambas. Esto permite a NSX detectar la dirección IP si VMwareTools no está instalado en la máquina virtual. Si VMware Tools está instalado, puede trabajar junto con laintromisión DHCP y ARP.
VMware recomienda instalar VMware Tools en cada máquina virtual del entorno. Además deproporcionar vCenter con la dirección IP de las máquinas virtuales, brinda muchas otras funciones:
n permite copiar y pegar entre la máquina virtual y el host o el escritorio cliente
n sincroniza la hora con el sistema operativo del host
n permite apagar o reiniciar la máquina virtual desde vCenter
n recopila el uso de la memoria, el disco y la red de la máquina virtual y lo envía al host
n determina la disponibilidad de la máquina virtual mediante el envío y la recopilación de latidos
Guía de administración de NSX
VMware, Inc. 163
En el caso de aquellas máquinas virtuales que no tienen VMware Tools instalado, NSX conocerá ladirección IP a través de la intromisión DHCP o ARP, si la intromisión DHCP o ARP está habilitada en elclúster de la máquina virtual.
Cambiar el tipo de detección de IPPara detectar la dirección IP de una máquina virtual, es posible utilizar VMware Tools (una opcióninstalada en la máquina virtual) o bien la intromisión DHCP o ARP (dos opciones habilitadas en el clústerde hosts). Estos métodos de detección de IP pueden utilizarse juntos en la misma instalación de NSX.
Procedimiento
1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) >Instalación (Installation) > Preparación del host (Host Preparation).
2 Haga clic en el clúster que desee cambiar y, a continuación, haga clic en Actions (Acciones)( ) >Cambiar tipo de detección de IP (Change IP Detection Type).
3 Seleccione los tipos de detección que desee y haga clic en Aceptar (OK).
Qué hacer a continuación
Configure SpoofGuard.
Configure la regla de firewall predeterminada.
Ver eventos de umbral de memoria y CPU del firewallCuando se prepara un clúster para la virtualización de red, el módulo Firewall se instala en todos loshosts de ese clúster. Este módulo asigna tres pilas: una pila de módulo para los parámetros del módulo;una pila de reglas para reglas, contenedores y filtros; y una pila de estado para los flujos de tráfico. Laasignación del tamaño de pila está determinada por la memoria física disponible en el host. Según lacantidad de reglas, conjuntos de contenedores y conexiones, el tamaño de pila puede ir aumentando oreduciéndose. El módulo Firewall que se ejecuta en el hipervisor también utiliza las CPU del host para elprocesamiento de paquetes.
Si se conoce cuál es la utilización de recursos del host en un momento dado, resulta más fácil organizarla utilización del servidor y los diseños de red.
El umbral predeterminado tanto de la CPU como de la memoria es 100. Puede modificar los valores delumbral predeterminado mediante llamadas de la API de REST. El módulo Firewall genera eventos delsistema cuando la utilización de la CPU y de la memoria supera los umbrales. Para obtener informaciónsobre cómo configurar los valores del umbral predeterminado, consulte Trabajar con umbrales dememoria y CPU en la Guía de NSX API.
Procedimiento
1 En vSphere Web Client, haga clic en Redes y seguridad (Networking & Security) y, a continuación,en NSX Managers.
Guía de administración de NSX
VMware, Inc. 164
2 En la columna Nombre (Name), haga clic en la dirección IP de la instancia de NSX Managercorrespondiente.
3 Haga clic en la pestaña Supervisar (Monitor) y, a continuación, en Eventos del sistema (SystemEvents).
Registros de firewallEl firewall genera y almacena archivos de registro, como el registro de auditoría, el registro de mensajesde reglas y el archivo de eventos del sistema.
El firewall genera tres tipos de registros.n Los registros de mensajes de reglas incluyen todas las decisiones de acceso, como el tráfico
permitido y el no permitido para cada regla, si el registro estaba habilitado para esa regla. Sealmacenan en cada host de /var/log/dfwpktlogs.log.
En el ejemplo siguiente:n 1002 es el identificador de regla de Distributed Firewall.
n domain-c7 es el identificador de clúster en el explorador de objetos administrados (MOB) devCenter.
n 192.168.110.10/138 es la dirección IP de origen.
n 192.168.110.255/138 es la dirección IP de destino.
~ # more /var/log/dfwpktlogs.log
2015-03-10T03:22:22.671Z INET match DROP domain-c7/1002 IN 242 UDP 192.168.110.10/138-
>192.168.110.255/138
El ejemplo siguiente muestra los resultados de un ping 192.168.110.10 a 172.16.10.12.
~ # tail -f /var/log/dfwpktlogs.log | grep 192.168.110.10
2015-03-10T03:20:31.274Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12
2015-03-10T03:20:35.794Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12
Para habilitar el registro de mensajes de reglas en vSphere Web Client 6.0 (es posible que la interfazde usuario difiera ligeramente en vSphere 5.5, pero los pasos son los mismos):
a Habilite la columna Registro (Log) en la página Redes y seguridad > Firewall (Networking &Security > Firewall).
Guía de administración de NSX
VMware, Inc. 165
b Habilite el registro para una regla. Para hacerlo, pase el cursor sobre la celda de la tabla Registro(Log) y haga clic en el icono de lápiz.
n Los registros de auditoría incluyen registros de administración y cambios en la configuración delDistributed Firewall. Se almacenan en /home/secureall/secureall/logs/vsm.log.
n Los registros de eventos del sistema incluyen la configuración aplicada del Distributed Firewall, losfiltros creados, eliminados o con errores, y las máquinas virtuales agregadas a los grupos deseguridad, entre otros. Se almacenan en /home/secureall/secureall/logs/vsm.log.
Para ver los registros de eventos del sistema y auditoría en la interfaz de usuario, desplácese hastaRedes y seguridad > Instalación > Administración (Networking & Security > Installation >Management) y haga doble clic en la dirección IP de NSX Manager. A continuación, seleccione lapestaña Supervisar (Monitor).
Para obtener más información, consulte Capítulo 23 Operaciones y administración.
Guía de administración de NSX
VMware, Inc. 166
Trabajar con reglas de firewall de NSX EdgePuede desplazarse hasta una instancia de NSX Edge para ver las reglas de firewall que se le aplican.
Las reglas de firewall aplicadas a un enrutador lógico solo protegen el tráfico del plano de control quecircula hacia y desde la máquina virtual de control del enrutador lógico. Estas reglas no aplican ningunaprotección en el plano de datos. Para proteger el tráfico del plano de datos, cree reglas de firewall lógicopara ofrecer protección Este-Oeste o reglas en el nivel de la puerta de enlace de servicios NSX Edgepara ofrecer protección Norte-Sur.
Las reglas creadas en la interfaz de usuario del firewall que son aplicables a esta instancia de NSX Edgese muestran en el modo de solo lectura. Las reglas se muestran y se aplican en el siguiente orden:
1 Reglas definidas por el usuario desde la interfaz de usuario del firewall (solo lectura).
2 Reglas autoasociadas (que permiten que el tráfico de control circule en los servicios Edge).
3 Reglas definidas por el usuario en la interfaz de usuario del firewall de NSX Edge.
4 Regla predeterminada.
Editar la regla de firewall de NSX Edge predeterminadaLa configuración de firewall predeterminada aplica al tráfico que no coincide con ninguna de las reglas defirewall definidas por el usuario. La directiva de Edge Firewall predeterminada bloquea todo el tráficoentrante. Puede cambiar la configuración de acciones y registro predeterminada.
Procedimiento
1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) >Instancias de NSX Edge (NSX Edges).
2 Haga doble clic en un dispositivo NSX Edge.
3 Haga clic en la pestaña Administrar (Manage) y, a continuación, en Firewall.
4 Seleccione la Regla predeterminada (Default Rule), que es la última regla en la tabla de firewall.
5Coloque el puntero sobre la celda Acción (Action) de la nueva regla y haga clic en .
a Haga clic en Aceptar (Accept) para permitir el tráfico desde o hasta el origen y el destinoespecificados.
b Haga clic en Registrar (Log) para registrar las sesiones que coincidan con esta regla.
Si el registro se habilita, el rendimiento puede verse afectado.
c Escriba comentarios, si es necesario.
d Haga clic en Aceptar (OK).
6 Haga clic en Publicar cambios (Publish Changes).
Guía de administración de NSX
VMware, Inc. 167
Agregar una regla de firewall de NSX EdgeLa pestaña Firewall de Edge (Edge Firewall) muestra las reglas creadas en la pestaña Firewallcentralizado (Centralized Firewall) en modo de solo lectura. Cualquier regla que agregue aquí no semuestra en la pestaña Firewall centralizado (Centralized Firewall).
Puede agregar varias interfaces de NSX Edge o grupos de direcciones IP como origen y destino para lasreglas de firewall.
Figura 10‑1. Regla de firewall para que el tráfico fluya de una interfaz de NSX Edge a unservidor HTTP
Figura 10‑2. Regla de firewall para que el tráfico fluya de todas las interfaces internas(subredes en grupos de puertos conectados a interfaces internas) de una instancia de NSXEdge a un servidor HTTP
NOTA: Si selecciona interna (internal) como el origen, la regla se actualiza automáticamente cuandoconfigura interfaces internas adicionales.
Figura 10‑3. Regla de firewall para que el tráfico permita SSH en m/c en una red interna
Procedimiento
1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) >Instancias de NSX Edge (NSX Edges).
2 Haga doble clic en un dispositivo NSX Edge.
3 Haga clic en la pestaña Administrar (Manage) y, a continuación, en la pestaña Firewall.
Guía de administración de NSX
VMware, Inc. 168
4 Realice uno de los siguientes pasos.
Opción Descripción
Para agregar una regla en un lugarespecífico de la tabla de firewall
a Seleccione una regla.
bEn la columna N.º (No.), haga clic en y seleccione Agregar arriba (AddAbove) o Agregar abajo (Add Below).
Se agregará una nueva regla de permiso "any any" debajo de la reglaseleccionada Si la regla definida por el sistema es la única regla en la tabla defirewall, la nueva regla se agrega arriba de la regla predeterminada.
Para agregar una regla copiando unaregla
a Seleccione una regla.
bHaga clic en el icono Copiar ( ).
c Seleccione una regla.
dEn la columna N.º haga clic en y seleccione Pegar arriba (Paste Above)o Pegar abajo (Paste Below).
Para agregar una regla en cualquierlugar en la tabla de firewall
a Haga clic en el icono Agregar (Add) ( ) .
Se agregará una nueva regla de permiso "any any" debajo de la reglaseleccionada Si la regla definida por el sistema es la única regla en la tabla defirewall, la nueva regla se agrega arriba de la regla predeterminada.
La nueva regla está habilitada de forma predeterminada.
5 Coloque el puntero sobre la celda Nombre (Name) de la nueva regla y haga clic en .
6 Escriba el nombre de la nueva regla.
7 Coloque el puntero sobre la celda Origen (Source) de la nueva regla y haga clic en o .
Si hizo clic en , escriba una dirección IP.
a Seleccione un objeto del menú desplegable y, a continuación, realice las selecciones adecuadas.
Si selecciona Grupo de vNIC (vNIC Group) y, a continuación, selecciona vse, la regla se aplicaal tráfico generado por NSX Edge. Si selecciona interna (internal) o externa (external), la reglase aplica al tráfico que viene de cualquier interfaz interna o de vínculo superior de la instancia deNSX Edge seleccionada. La regla se actualiza automáticamente cuando se configuran interfacesadicionales. Observe que las reglas de firewall en interfaces internas no funcionan para unenrutador lógico.
Si selecciona Conjuntos de direcciones IP (IP Sets), puede crear un grupo de direcciones IPnuevo. Una vez que creado, el nuevo grupo se agrega a la columna Origen (Source)automáticamente. Para obtener información sobre cómo crear un conjunto de direcciones IP,consulte Crear un grupo de direcciones IP.
b Haga clic en Aceptar (OK).
Guía de administración de NSX
VMware, Inc. 169
8 Coloque el puntero sobre la celda Destino (Destination) de la nueva regla y haga clic en o .
a Seleccione un objeto del menú desplegable y, a continuación, realice las selecciones adecuadas.
Si selecciona Grupo de vNIC (vNIC Group) y, a continuación, selecciona vse, la regla se aplicaal tráfico generado por NSX Edge. Si selecciona interna (internal) o externa (external), la reglaaplica al tráfico que va a cualquier interfaz interna o de vínculo superior de la instancia de NSXEdge seleccionada. La regla se actualiza automáticamente cuando se configuran interfacesadicionales. Observe que las reglas de firewall en interfaces internas no funcionan para unenrutador lógico.
Si selecciona Conjuntos de direcciones IP (IP Sets), puede crear un grupo de direcciones IPnuevo. Una vez que creado, el nuevo grupo se agrega a la columna Origen (Source)automáticamente. Para obtener información sobre cómo crear un conjunto de direcciones IP,consulte Crear un grupo de direcciones IP.
b Haga clic en Aceptar (OK).
9 Coloque el puntero sobre la celda Servicio (Service) de la nueva regla y haga clic en o .
n Si hizo clic en , seleccione un servicio. Para crear un servicio o un grupo de servicios nuevos,haga clic en Nuevo (New). Una vez creado, el nuevo servicio se agrega a la columna Servicio(Service) automáticamente. Para obtener más información sobre cómo crear un nuevo servicio,consulte Crear un servicio.
n Si hizo clic en , seleccione un protocolo. Puede especificar el puerto de origen haciendo clic enla flecha junto a Opciones avanzadas (Advanced Options). VMware recomienda evitarespecificar el puerto de origen en la versión 5.1 y posteriores. En cambio, se puede crear unservicio para una combinación de protocolo-puerto.
NOTA: NSX Edge solo es compatible con los servicios definidos con los protocolos de Capa 3.
10 Coloque el puntero sobre la celda Acción (Action) de la nueva regla y haga clic en . Realice lasselecciones correspondientes según se describe en la siguiente tabla y haga clic en Aceptar (OK).
Acción seleccionada Resultado
Permitir (Allow) Permite el tráfico desde o hasta el origen y el destino especificados.
Bloquear (Block) Bloquea el tráfico desde o hasta el origen y el destino especificados.
Rechazar (Reject) Envía un mensaje de rechazo para paquetes no aceptados.
Se envían paquetes RST en lugar de paquetes TCP.
Se envían paquetes ICMP a los que no se puede acceder (con restricciónadministrativa) en lugar de otros paquetes.
Registrar (Log) Registra todas las sesiones que coinciden con esta regla. Si el registro sehabilita, el rendimiento puede verse afectado.
No registrar (Do not log) No registra las sesiones.
Comentarios (Comments) Escriba comentarios, si es necesario.
Guía de administración de NSX
VMware, Inc. 170
Acción seleccionada Resultado
Opciones avanzadas (AdvancedOptions) > Coincidencia contraducción (Match on Translated)
Aplica la regla a los servicios y las direcciones IP traducidas para una regla NAT.
Habilitar dirección de regla (EnableRule Direction)
Indica si la regla es entrante o saliente.
VMware no recomienda especificar la dirección de las reglas de firewall.
11 Haga clic en Publicar cambios (Publish Changes) para transmitir la nueva regla a la instancia deNSX Edge.
Qué hacer a continuación
n Deshabilite una regla haciendo clic en junto al número de regla en la columna N.° (No.).
n Oculte las reglas generadas o las reglas previas (reglas agregadas en la pestaña Firewallcentralizado [Centralized Firewall]). Para ello, haga clic en Ocultar reglas generadas (HideGenerated Rules) u Ocultar reglas previas (Hide Pre Rules).
n
Para mostrar columnas adicionales en la tabla de reglas, haga clic en y seleccione lascolumnas correspondientes.
Nombre de la columna Información que se muestra
Etiqueta de regla (Rule Tag) Identificador único generado por el sistema para cada regla
Registrar (Log) El tráfico para esta regla se registra o no
Estadísticas (Stats)Si hace clic en se muestra el tráfico afectado por esta regla (cantidad de sesiones,paquetes de tráfico y tamaño).
Comentarios (Comments) Comentarios de la regla
n Para buscar las reglas, escriba texto en el campo Buscar (Search).
Editar una regla de firewall de NSX EdgeEs posible editar solo las reglas de firewall definidas por el usuario que se agregaron en la pestañaFirewall de Edge (Edge Firewall). Las reglas que se agregaron en la pestaña Firewall centralizado(Centralized Firewall) no se pueden editar en la pestaña Firewall de Edge (Edge Firewall).
Procedimiento
1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) >Instancias de NSX Edge (NSX Edges).
2 Haga doble clic en un dispositivo NSX Edge.
3 Haga clic en la pestaña Supervisar (Monitor) y, a continuación, en la pestaña Firewall.
4 Seleccione la regla que desea editar.
NOTA: No puede cambiar una regla generada automáticamente o la regla predeterminada.
Guía de administración de NSX
VMware, Inc. 171
5 Realice los cambios necesarios y haga clic en Aceptar (OK).
6 Haga clic en Publicar cambios (Publish Changes).
Cambiar la prioridad de una regla de firewall de NSX EdgeEs posible cambiar el orden de las reglas de firewall definidas por el usuario que se agregaron a lapestaña Firewall de Edge (Edge Firewall) con el fin de personalizar el flujo de tráfico a través de NSXEdge. Por ejemplo, si existe una regla para permitir el tráfico de equilibrador de carga, se puede agregaruna regla para rechazar el tráfico de equilibrador de carga procedente de un grupo específico dedirecciones IP y se puede colocar esta regla arriba de la regla que permite el tráfico de LB.
Procedimiento
1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) >Instancias de NSX Edge (NSX Edges).
2 Haga doble clic en un dispositivo NSX Edge.
3 Haga clic en la pestaña Supervisar (Monitor) y, a continuación, en la pestaña Firewall.
4 Seleccione la regla cuya prioridad desea cambiar.
NOTA: No se puede cambiar la prioridad de las reglas generadas automáticamente o de la reglapredeterminada.
5 Haga clic en el icono Mover hacia arriba (Move Up) o Mover hacia abajo (Move Down) .
6 Haga clic en Aceptar (OK).
7 Haga clic en Publicar cambios (Publish Changes).
Eliminar una regla de firewall de NSX EdgeEs posible eliminar una regla de firewall definida por el usuario que se agregó en la pestaña Firewall deNSX Edge (NSX Edge Firewall). No se pueden eliminar aquí las reglas agregadas en la pestaña Firewallcentralizado (Centralized Firewall).
Procedimiento
1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) >Instancias de NSX Edge (NSX Edges).
2 Haga doble clic en un dispositivo NSX Edge.
3 Haga clic en la pestaña Supervisar (Monitor) y, a continuación, en la pestaña Firewall.
4 Seleccione la regla que desea eliminar.
NOTA: No puede eliminar una regla generada automáticamente o la regla predeterminada.
5 Haga clic en el icono Eliminar (Delete) ( ).
Guía de administración de NSX
VMware, Inc. 172
Administrar reglas de NATNSX Edge proporciona el servicio de traducción de direcciones de red (NAT) para asignar una direcciónpública a un equipo o grupo de equipos en una red privada. El uso de esta tecnología limita la cantidadde direcciones IP públicas que debe utilizar una organización o empresa, por motivos de seguridad yeconomía. Debe configurar las reglas de NAT para brindar acceso a los servicios que se ejecutan enmáquinas virtuales con direcciones privadas.
La configuración del servicio NAT está separado en reglas de NAT de origen (SNAT) y de NAT de destino(Destination NAT, DNAT).
Agregar una regla de SNATEs posible crear una regla de NAT de origen (SNAT) para cambiar la dirección IP de origen; si es unadirección IP pública por una privada y, si es una dirección IP privada por una pública.
Prerequisitos
n La dirección IP traducida (pública) debe estar agregada a la interfaz de NSX Edge a la que se deseaagregar la regla.
n Las reglas de SNAT no se admiten en las subinterfaces.
Procedimiento
1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) >Instancias de NSX Edge (NSX Edges).
2 Haga doble clic en un dispositivo NSX Edge.
3 Haga clic en la pestaña Administrar (Manage) y, a continuación, haga clic en la pestaña NAT.
4 Haga clic en el icono Agregar (Add) y seleccione Agregar regla de SNAT (Add SNAT Rule).
5 Seleccione la interfaz en la cual desea agregar la regla.
Las reglas de SNAT no se admiten en las subinterfaces.
6 Introduzca la dirección IP de origen original en uno de los siguientes formatos.
Formato Ejemplo
Dirección IP 192.0.2.0
Rango de direcciones IP 192.0.2.0-192.0.2.24
Dirección IP/subred 192.0.2.0/24
any
7 Introduzca la dirección IP de origen traducida (pública) en uno de los siguientes formatos.
Formato Ejemplo
Dirección IP 192.0.2.0
Rango de direcciones IP 192.0.2.0-192.0.2.24
Guía de administración de NSX
VMware, Inc. 173
Formato Ejemplo
Dirección IP/subred 192.0.2.0/24
any
8 Seleccione Habilitado (Enabled) para habilitar la regla.
9 Haga clic en Habilitar registro (Enable logging) para registrar la traducción de la dirección.
10 Haga clic en Aceptar (OK) para agregar la regla.
11 Haga clic en Publicar cambios (Publish Changes).
Agregar una regla de DNATPuede crear una regla de NAT de destino (destination NAT, DNAT) para cambiar la dirección IP dedestino de pública a privada o viceversa.
Prerequisitos
La dirección IP original (pública) debe haberse agregado a la interfaz NSX Edge a la cual se deseaagregar la regla.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Administrar (Manage) y, a continuación, haga clic en la pestaña NAT.
5 Haga clic en el icono Agregar (Add) ( ) y seleccione Agregar regla de DNAT (Add DNAT Rule).
6 Seleccione la interfaz en la cual desea aplicar la regla de DNAT.
7 Escriba la dirección IP original (pública) en uno de los siguientes formatos.
Formato Ejemplo
Dirección IP 192.0.2.0
Rango de direcciones IP 192.0.2.0 -192.0.2.24
Dirección IP/subred 192.0.2.0 /24
any
8 Escriba el protocolo.
Guía de administración de NSX
VMware, Inc. 174
9 Escriba el puerto o el rango de puertos originales.
Formato Ejemplo
Número de puerto 80
Rango de puertos 80-85
any
10 Escriba la dirección IP traducida en uno de los siguientes formatos.
Formato Ejemplo
Dirección IP 192.0.2.0
Rango de direcciones IP 192.0.2.0 -192.0.2.24
Dirección IP/subred 192.0.2.0 /24
any
11 Escriba el puerto o el rango de puertos traducidos.
Formato Ejemplo
Número de puerto 80
Rango de puertos 80-85
any
12 Seleccione Habilitado (Enabled) para habilitar la regla.
13 Seleccione Habilitar registro (Enable logging) para registrar la traducción de la dirección.
14 Haga clic en Agregar (Add) para guardar la regla.
Guía de administración de NSX
VMware, Inc. 175
Introducción al firewall deidentidad 11Las funciones del firewall de identidad permiten al administrador de NSX crear un usuario de ActiveDirectory basado en reglas de DFW.
Al preparar la infraestructura comienza una visión general de alto nivel del flujo de trabajo de laconfiguración de IDFW. Esto incluye que el administrador instale los componentes de preparación delhost en cada clúster protegido y que establezca la sincronización de Active Directory de forma que NSXpueda aceptar usuarios y grupos de AD. A continuación, IDFW debe saber en qué escritorio inicia sesiónun usuario de Active Directory para poder aplicar las reglas de DFW. IDFW utiliza dos métodos paradetectar el inicio de sesión: Guest Introspection y/o a través del recopilador de registros de eventos deActive Directory. Guest Introspection se implementa en los clústeres de ESXi en los que se ejecutan lasmáquinas virtuales de IDFW. Cuando un usuario genera eventos de red, un agente invitado instalado enla máquina virtual envía la información a través de la trama de Guest Introspection a NSX Manager. Lasegunda opción es el recopilador de registros de eventos de Active Directory. Configure el recopilador deregistros de eventos de Active Directory en NSX Manager para señalar una instancia de la controladorade dominio de Active Directory. NSX Manager extraerá eventos del registro de eventos de seguridad deAD. Puede usar ambos en su entorno o bien uno de ellos. Tenga en cuenta que si se utiliza el recopiladorde registros de eventos de AD y Guest Introspection, ambos son mutuamente exclusivos: si uno de ellosdeja de funcionar, el otro no comenzará a trabajar como copia de seguridad.
Una vez que la infraestructura está preparada, el administrador crea grupos de seguridad de NSX yagrega los grupos de AD de disponibilidad reciente (a los que se hace referencia como Grupo dedirectorios). El administrador podrá a continuación crear directivas de seguridad con reglas de firewallasociadas y aplicar dichas directivas a los grupos de seguridad recién creados. Ahora, cuando unusuario inicie sesión en un escritorio, el sistema detectará ese evento a través de la dirección IP que seutilizó, buscará la directiva del firewall que está asociada a dicho usuario y empujará estas reglas haciaabajo. Esto funciona tanto para escritorios físicos como virtuales. Para los escritorios físicos, esnecesario que el recopilador de registros de eventos de Active Directory también detecte que un usuarioinició sesión en un escritorio físico.
SO compatibles con IDFWServidores compatibles con AD
n Windows 2012
n Windows 2008
VMware, Inc. 176
n Windows 2008 R2
SO invitados compatibles
n Windows 2012
n Windows 2008
n Windows 2008 R2
n Windows 10
n Windows 8 de 32 o 64 bits
n Windows 7 de 32 o 64 bits
Flujo de trabajo del firewall de identidadEl firewall de identidad (IDFW) permite normas del firewall distribuido establecidas por el usuario (DFW)
Las reglas del firewall distribuido establecidas por el usuario (DFW) están determinadas por lapertenencia a un grupo Active Directory (AD). IDFW supervisa si los usuarios de Active Directoryiniciaron sesión y asignan el registro a una dirección IP que usa el DFW para aplicar reglas del firewall.El firewall de identidad necesita la trama guest introspection o activar la extracción de los registros de loseventos del directorio.
Procedimiento
1 Configure la sincronización de Active Directory en NSX, consulte Sincronizar un dominio de Windowscon Active Directory. Esto es necesario para usar los grupos de Active Directory en ServiceComposer.
2 Prepare el clúster ESXi para DFW. Consulte cómo preparar el clúster del host para NSX (Prepare theHost Cluster for NSX) en Guía de instalación de NSX.
3 Configure las opciones de detección de inicio de sesión del firewall de identidad. Tenga en cuentaque debe configurar una o ambas opciones:
n Configure el acceso al registro de los eventos de Active Directory. Consulte Registrar un dominiode Windows con NSX Manager.
n Windows Guest OS con un agente invitado instalado. Viene con una instalación completa deVMware Tools ™ Implemente el servicio Guest Introspection para los clústeres protegidos.Consulte Instalar Guest Introspection. Para solucionar problemas relacionados con GuestIntrospection, consulte Recopilar información para solucionar problemas de Guest Introspection.
Guía de administración de NSX
VMware, Inc. 177
Trabajar con dominios de ActiveDirectory 12Se puede registrar uno o varios dominios de Windows en una instancia de NSX Manager y una instanciaasociada de vCenter Server. NSX Manager obtiene información del grupo y del usuario, así como de larelación existente entre estos elementos, desde cada dominio con el que está registrado. NSX Managertambién recupera las credenciales de Active Directory (AD).
Una vez que NSX Manager recupera las credenciales de AD, se pueden crear grupos de seguridadbasados en la identidad del usuario, crear reglas de firewall basadas en la identidad y ejecutar informesde supervisión de la actividad.
Este capítulo cubre los siguientes temas:
n Registrar un dominio de Windows con NSX Manager
n Sincronizar un dominio de Windows con Active Directory
n Editar un dominio de Windows
n Habilitar el acceso al registro de seguridad de solo lectura en Windows 2008
n Comprobar los privilegios de Directory
Registrar un dominio de Windows con NSX Manager
Prerequisitos
La cuenta de dominio debe tener permisos de lectura de AD para todos los objetos en el árbol dedominios. La cuenta del lector de registros de eventos debe tener permisos de lectura para los registrosde eventos de seguridad.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y seleccione Instancias de NSX Manager(NSX Managers).
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
4 Haga clic en la pestaña Dominio (Domain) y, a continuación, haga clic en el icono Agregar dominio
(Add domain) ( ).
VMware, Inc. 178
5 En el cuadro de diálogo Agregar dominio (Add Domain), escriba el nombre del dominio completo(por ejemplo, eng.vmware.com) y el nombre netBIOS del dominio.
Para recuperar el nombre netBIOS del dominio, escriba nbtstat -n en una ventana de comandosde una estación de trabajo con Windows que sea parte de un dominio o se encuentre en uncontrolador de dominio. En la Tabla de nombre local NetBIOS (NetBIOS Local Name Table), laentrada con el prefijo <00> y el tipo Grupo (Group) es el nombre netBIOS.
6 Durante la sincronización, haga clic en Ignorar usuarios deshabilitados (Ignore disabled users)para filtrar los usuarios que ya no tengan cuentas activas.
7 Haga clic en Siguiente (Next).
8 En la página Opciones de LDAP (LDAP Options), especifique el controlador de dominio con la que sesincronizará el dominio y seleccione el protocolo.
9 Si es necesario, edite el número de puerto.
10 Escriba las credenciales de usuario de la cuenta de dominio. Este usuario debe poder acceder a laestructura de árbol de directorios.
11 Haga clic en Siguiente (Next).
12 (Opcional) En la página Acceso a los registros de eventos de seguridad (Security Event Log Access),seleccione CIFS o WMI en el método de conexión para acceder a los registros de eventos deseguridad del servidor AD especificado. Cambie el número de puerto, si es necesario. Este paso loutiliza el recopilador de registros de eventos de Active Directory. Consulte Flujo de trabajo del firewallde identidad.
NOTA: El lector de registros de eventos busca eventos con los siguientes ID del registro de eventosde seguridad de AD: Windows 2008/2012: 4624, Windows 2003: 540. El servidor de registro deeventos tiene un límite de 128 MB. Cuando se alcanza este límite, aparece en el lector de registro deseguridad el mensaje ID 1104 de evento (Event ID 1104). Consulte https://technet.microsoft.com/en-us/library/dd315518 para obtener más información.
13 Seleccione Utilizar credenciales de dominio (Use Domain Credentials) para utilizar lascredenciales de usuario del servidor LDAP. Para especificar una cuenta de dominio alternativa parael acceso al registro, desactive la casilla Utilizar credenciales de dominio (Use DomainCredentials) y especifique el nombre de usuario y la contraseña.
La cuenta especificada debe poder leer los registros de eventos de seguridad en el controlador dedominio especificada en el paso 10.
14 Haga clic en Siguiente (Next).
15 En la página Listo para finalizar (Ready to Complete), revise la configuración especificada.
16 Haga clic en Finalizar (Finish).
Attention Si aparece un mensaje de error que indique que se produjo un error al agregar undominio a la entidad debido a un conflicto de dominios, la solución alternativa es seleccionarCombinar automáticamente (Auto Merge).
Guía de administración de NSX
VMware, Inc. 179
Se crea el dominio y la configuración se muestra debajo de la lista de dominios.
Qué hacer a continuación
Compruebe que los eventos de inicio de sesión del servidor de registro de eventos estén habilitados.
Es posible agregar, editar, eliminar, habilitar o deshabilitar servidores LDAP desde la pestaña ServidoresLDAP (LDAP Servers) en el panel debajo de la lista de dominios. Se pueden realizar las mismas tareaspara los servidores de registro de eventos desde la pestaña Servidores de registro de eventos (EventLog Servers) en el panel debajo de la lista de dominios. Al agregar varios servidores Windows(controladores de dominio, servidores Exchange o servidores de archivos) como servidor de registro deeventos se mejora la asociación con la identidad del usuario.
NOTA: En caso de utilizar IDFW, solo los servidores de AD son compatibles.
Sincronizar un dominio de Windows con Active DirectoryDe forma predeterminada, todos los dominios registrados se sincronizan automáticamente con ActiveDirectory cada tres horas. También se pueden sincronizar a petición.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y seleccione Instancias de NSX Manager(NSX Managers).
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
4 Seleccione el dominio que se sincronizará.
5 Haga clic en una de las siguientes opciones.
Haga clic en Para
Realice una sincronización diferencial, donde los objetos AD locales quecambiaron desde el último evento de sincronización se actualizan.
Realice una sincronización completa, donde el estado local de todos los objetosAD se actualiza.
Editar un dominio de WindowsEs posible editar el nombre, el nombre de netBIOS, el servidor LDAP principal y las credenciales de lacuenta de un dominio.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y seleccione Instancias de NSX Manager(NSX Managers).
Guía de administración de NSX
VMware, Inc. 180
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
4 Seleccione un dominio y, a continuación, haga clic en el icono Editar dominio (Edit domain).
5 Realice los cambios necesarios y haga clic en Finalizar (Finish).
Habilitar el acceso al registro de seguridad de sololectura en Windows 2008El recopilador de registros de eventos de IDFW utiliza el acceso al registro de seguridad de solo lectura.
Después de crear una cuenta de usuario nueva, debe habilitar el acceso al registro de seguridad de sololectura en una sección de dominio basada en un servidor de Windows 2008 para garantizar el acceso desolo lectura a los usuarios.
NOTA: Debe seguir estos pasos en un controlador de dominio del bosque, del árbol o del dominio.
Procedimiento
1 Acceda a Inicio > Herramientas administrativas > Equipos y usuarios de Active Directory (Start> Administrative Tools > Active Directory Users and Computers).
2 En el árbol de navegación, expanda el nodo que corresponda al dominio en el que desee habilitar elacceso al registro de seguridad.
3 En el nodo que expandió, seleccione el nodo Builtin.
4 Haga doble clic en Lector de registros de eventos (Event Log Readers) en la lista de grupos.
5 Seleccione la pestaña Miembros (Members) del cuadro de diálogo Propiedades de los lectores deregistros de eventos (Event Log Readers Properties).
6 Haga clic en el botón Agregar... (Add...).
Aparecerá el cuadro de diálogo Seleccionar usuarios (Select Users), Contactos (Contacts) o Equipos(Computers).
7 Si ya creó un grupo para el usuario "Lector AD" (AD Reader), seleccione ese grupo en el cuadro dediálogo Seleccionar usuarios (Select Users), Contactos (Contacts), Equipos (Computers) o Grupos(Groups). Si solo creó el usuario y no creó un grupo, seleccione ese usuario en el cuadro de diálogoSeleccionar usuarios (Select Users), Contactos (Contacts), Equipos (Computers) o Grupos (Groups).
8 Haga clic en Aceptar (OK) para cerrar el cuadro de diálogo Seleccionar usuarios (Select Users),Contactos (Contacts), Equipos (Computers) o Grupos (Groups).
9 Haga clic en Aceptar (OK) para cerrar el cuadro de diálogo Propiedades de los lectores de registrosde eventos (Event Log Readers Properties).
10 Cierre las ventanas Usuarios de Active Directory (Active Directory Users) y Equipos (Computers).
Guía de administración de NSX
VMware, Inc. 181
Qué hacer a continuación
Después de establecer el acceso al registro de seguridad, compruebe los privilegios de Directorysiguiendo los pasos de Comprobar los privilegios de Directory.
Comprobar los privilegios de DirectoryComprobar que la cuenta de usuario tiene los privilegios necesarios para leer los registros de seguridad.
Tras crear una cuenta nueva y habilitar el acceso al registro de seguridad, debe comprobar que puedeleer los registros de seguridad.
Prerequisitos
Habilitar el acceso al registro de seguridad. Consulte Habilitar el acceso al registro de seguridad de sololectura en Windows 2008.
Procedimiento
1 Inicie sesión como administrador en el dominio desde cualquier estación de trabajo que sea parte dedicho dominio.
2 Diríjase a Inicio > Herramientas administrativas > Visor de eventos (Start > Administrative Tools >Event Viewer).
3 Seleccione Conectar a otro equipo... (Connect to Another Computer...) en el menú de Acción(Action). Aparece el cuadro de diálogo Seleccionar un equipo (Select Computer). (Tenga en cuentaque debe realizar esto incluso si ya inició sesión en la máquina de la que quiere ver el registro deeventos)
4 Seleccione el botón de radio Otro equipo (Another computer) si aún no se seleccionó.
5 En el campo de texto adyacente al botón de radio Otro equipo (Another computer), introduzca elnombre del controlador del dominio. De forma alternativa, haga clic en el botón Examinar... (Browse)y seleccione el controlador de dominio.
6 Marque la casilla de Conectar como otro usuario (Connect as another user).
7 Haga clic en el botón Establecer usuario (Set user). Aparece el cuadro de diálogo Visor de eventos(Event Viewer).
8 En el campo Nombre de usuario (User name), introduzca el nombre del usuario que creó.
9 En el campo Contraseña (Password), introduzca la contraseña del usuario que creó.
10 Haga clic en Aceptar (OK).
11 Vuelva a hacer clic en Aceptar (OK).
12 Expanda el nodo Registros de Windows (Windows Logs) en el árbol de navegación.
13 En el nodo Registros de Windows (Windows Logs), seleccione el nodo Seguridad (Security). Sipuede ver los eventos de registros, la cuenta tiene los privilegios necesarios.
Guía de administración de NSX
VMware, Inc. 182
Utilizar SpoofGuard 13Tras la sincronización con el servidor vCenter Server, NSX Manager recopila las direcciones IP de todaslas máquinas virtuales invitadas de vCenter desde la instancia de VMware Tools en cada máquina virtual.Si hay una máquina virtual comprometida, la dirección IP puede suplantarse y las transmisionesmaliciosas pueden omitir las directivas de firewall.
Puede crear una directiva de SpoofGuard para redes específicas que permita autorizar las direcciones IPinformadas por VMware Tools y alterarlas, si fuera necesario, para impedir la suplantación. SpoofGuardconfía de forma intrínseca en las direcciones MAC de las máquinas virtuales recopiladas a partir dearchivos VMX y vSphere SDK. Dado que funcionan de forma separada de las reglas de firewall, puedeutilizar SpoofGuard para bloquear el tráfico identificado como suplantado.
SpoofGuard admite direcciones IPv4 e IPv6. Si se utilizan direcciones IPv4, la directiva de SpoofGuardadmite una única dirección IP asignada a una vNIC. IPv6 admite varias direcciones IP asignadas a unavNIC. La directiva de SpoofGuard supervisa y administra las direcciones IP que informan las máquinasvirtuales en uno de los siguientes modos.
Confiarautomáticamente en lasasignaciones IP en elprimer uso(Automatically Trust IPAssignments on TheirFirst Use)
Este modo permite que todo el tráfico proveniente de las máquinasvirtuales circule mientras se crea una tabla de asignaciones de direccionesvNIC a IP. Puede revisar la tabla según lo necesite y hacer los cambiosnecesarios en la dirección IP. Este modo aprueba automáticamente todaslas direcciones IPv4 e IPv6 en una vNIC.
Inspeccionar y aprobarmanualmente todas lasasignaciones IP antesde utilizarlas (ManuallyInspect and ApproveAll IP AssignmentsBefore Use)
Este modo bloquea todo el tráfico hasta que se aprueba cada asignaciónde direcciones vNIC a IP.
NOTA: SpoofGuard autoriza las solicitudes DHCP de forma intrínseca independientemente del modohabilitado. No obstante, en el modo de inspección manual, el tráfico no circula hasta que se hayaaprobado la dirección IP asignada por DHCP.
VMware, Inc. 183
SpoofGuard incluye una directiva predeterminada generada por el sistema que se aplica a los grupos depuertos y redes lógicas que no cubren otras directivas de SpoofGuard. La nueva red agregada seincorpora automáticamente a la directiva predeterminada hasta que agregue la red a una directivaexistente o cree para ella una nueva directiva.
SpoofGuard es una de las formas en que la directiva de Distributed Firewall de NSX puede determinar ladirección IP de una máquina virtual. Para obtener información, consulte Detección de IP para máquinasvirtuales.
Este capítulo cubre los siguientes temas:
n Crear una directiva SpoofGuard
n Aprobar direcciones IP
n Editar una dirección IP
n Borrar una dirección IP
Crear una directiva SpoofGuardSe puede crear una directiva SpoofGuard para especificar el modo de funcionamiento de redesespecíficas. La directiva (predeterminada) generada por el sistema aplica a los grupos de puertos y a losconmutadores lógicos que no están contemplados por las directivas SpoofGuard existentes.
Procedimiento
1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) >SpoofGuard.
2 Haga clic en el icono Agregar (Add).
3 Escriba un nombre para la directiva.
4 Seleccione Habilitada (Enabled) o Deshabilitada (Disabled) para indicar si la directiva estáhabilitada.
5 En Modo de operación (Operation Mode), seleccione una de las opciones siguientes:
Opción Descripción
Confiar automáticamente en lasasignaciones IP en el primer uso(Automatically Trust IP Assignmentson Their First Use)
Seleccione esta opción para confiar en todas las asignaciones IP desde elregistro inicial con NSX Manager.
Inspeccionar y aprobar manualmentetodas las asignaciones IP antes deutilizarlas (Manually Inspect andApprove All IP Assignments BeforeUse)
Seleccione esta opción para solicitar la aprobación manual de todas lasdirecciones IP. Todo el tráfico desde y hacia direcciones IP no aprobadas sebloquea.
Guía de administración de NSX
VMware, Inc. 184
6 Haga clic en Permitir dirección local como dirección válida en este espacio de nombre (Allowlocal address as valid address in this namespace) para permitir direcciones IP locales en lainstalación.
Cuando enciende una máquina virtual y no se puede conectar al servidor DHCP, se le asigna unadirección IP local. Esta dirección IP local se considera válida solo si el modo SpoofGuard estáestablecido en Permitir dirección local como dirección válida en este espacio de nombre (Allowlocal address as valid address in this namespace). De lo contrario, la dirección IP local se ignora.
7 Haga clic en Siguiente (Next).
8 Para especificar el ámbito de la directiva, haga clic en Agregar (Add) y seleccione las redes, losgrupos de puertos distribuidos o los conmutadores lógicos a los que se debería aplicar esta directiva.
Un grupo de puertos o un conmutador lógico pueden pertenecer solamente a una directivaSpoofGuard.
9 Haga clic en Aceptar (OK) y, a continuación, en Finalizar (Finish).
Qué hacer a continuación
Puede editar una directiva con el icono Editar (Edit) y eliminar una directiva con el icono Eliminar(Delete).
Aprobar direcciones IPSi se configura SpoofGuard para que se requiera la aprobación manual de todas las asignaciones dedirecciones IP, es necesario aprobar las asignaciones de direcciones IP para que el tráfico de esasmáquinas virtuales pueda pasar.
Procedimiento
1 En la pestaña SpoofGuard, seleccione una directiva.
Se mostrarán los detalles de la directiva debajo de la tabla de directivas.
2 En Ver (View), haga clic en uno de los vínculos de opciones.
Opción Descripción
NIC virtuales activas (Active VirtualNICs)
Lista de todas las direcciones IP validadas
NIC virtuales activas desde últimapublicación (Active Virtual NICs SinceLast Published)
Lista de direcciones IP que se validaron desde que se actualizó por última vez ladirectiva
Aprobación requerida para IP de NICvirtuales (Virtual NICs IP RequiredApproval)
Cambios en las direcciones IP que se deben aprobar antes de que se puedatransmitir el tráfico hacia o desde estas máquinas virtuales
NIC virtuales con IP duplicadas (VirtualNICs with Duplicate IP)
Direcciones IP que son duplicados de una dirección IP asignada existente dentrodel centro de datos seleccionado
Guía de administración de NSX
VMware, Inc. 185
Opción Descripción
NIC virtuales inactivas (Inactive VirtualNICs)
Lista de direcciones IP en las que la dirección IP actual no coincide con ladirección IP publicada
IP de NIC virtuales sin publicar(Unpublished Virtual NICs IP)
Lista de máquinas virtuales en las que se editó la asignación de direcciones IPpero eso todavía no se publicó
3 Realice uno de los siguientes pasos.
n Para aprobar una sola dirección IP, haga clic en la opción Aprobar (Approve) junto a la direcciónIP.
n Para aprobar varias direcciones IP, seleccione las vNIC adecuadas y haga clic en Aprobar IPdetectadas (Approve Detected IPs).
Editar una dirección IPEs posible editar la dirección IP asignada a una dirección MAC para corregir la dirección IP asignada.
NOTA: SpoofGuard acepta una dirección IP exclusiva de las máquinas virtuales. Sin embargo, puedeasignar una dirección IP solo una vez. Una dirección IP aprobada es exclusiva en todo NSX. No sepermiten las direcciones IP aprobadas duplicadas.
Procedimiento
1 En la pestaña SpoofGuard, seleccione una directiva.
Se mostrarán los detalles de la directiva debajo de la tabla de directivas.
2 En Ver (View), haga clic en uno de los vínculos de opciones.
Opción Descripción
NIC virtuales activas (Active VirtualNICs)
Lista de todas las direcciones IP validadas
NIC virtuales activas desde últimapublicación (Active Virtual NICs SinceLast Published)
Lista de direcciones IP que se validaron desde que se actualizó por última vez ladirectiva
Aprobación requerida para IP de NICvirtuales (Virtual NICs IP RequiredApproval)
Cambios en las direcciones IP que se deben aprobar antes de que se puedatransmitir el tráfico hacia o desde estas máquinas virtuales
NIC virtuales con IP duplicadas (VirtualNICs with Duplicate IP)
Direcciones IP que son duplicados de una dirección IP asignada existente dentrodel centro de datos seleccionado
NIC virtuales inactivas (Inactive VirtualNICs)
Lista de direcciones IP en las que la dirección IP actual no coincide con ladirección IP publicada
IP de NIC virtuales sin publicar(Unpublished Virtual NICs IP)
Lista de máquinas virtuales en las que se editó la asignación de direcciones IPpero eso todavía no se publicó
3 En la vNIC adecuada, haga clic en el icono Editar (Edit) y realice los cambios adecuados.
4 Haga clic en Aceptar (OK).
Guía de administración de NSX
VMware, Inc. 186
Borrar una dirección IPEs posible borrar una asignación de dirección IP aprobada de una directiva SpoofGuard.
Procedimiento
1 En la pestaña SpoofGuard, seleccione una directiva.
Se mostrarán los detalles de la directiva debajo de la tabla de directivas.
2 En Ver (View), haga clic en uno de los vínculos de opciones.
Opción Descripción
NIC virtuales activas (Active VirtualNICs)
Lista de todas las direcciones IP validadas
NIC virtuales activas desde últimapublicación (Active Virtual NICs SinceLast Published)
Lista de direcciones IP que se validaron desde que se actualizó por última vez ladirectiva
Aprobación requerida para IP de NICvirtuales (Virtual NICs IP RequiredApproval)
Cambios en las direcciones IP que se deben aprobar antes de que se puedatransmitir el tráfico hacia o desde estas máquinas virtuales
NIC virtuales con IP duplicadas (VirtualNICs with Duplicate IP)
Direcciones IP que son duplicados de una dirección IP asignada existente dentrodel centro de datos seleccionado
NIC virtuales inactivas (Inactive VirtualNICs)
Lista de direcciones IP en las que la dirección IP actual no coincide con ladirección IP publicada
IP de NIC virtuales sin publicar(Unpublished Virtual NICs IP)
Lista de máquinas virtuales en las que se editó la asignación de direcciones IPpero eso todavía no se publicó
3 Realice uno de los siguientes pasos.
n Para borrar una sola dirección IP, haga clic en Borrar (Clear), junto a la dirección IP.
n Para borrar varias direcciones IP, seleccione las vNIC adecuadas y, a continuación, haga clic enBorrar IP aprobadas (Clear Approved IP[s]).
Guía de administración de NSX
VMware, Inc. 187
Redes privadas virtuales (VPN) 14NSX Edge admite varios tipos de VPN. SSL VPN-Plus permite a los usuarios remotos acceder aaplicaciones privadas de la empresa. IPsec VPN ofrece conectividad de sitio a sitio entre una instanciade NSX Edge y sitios remotos. La VPN de Capa 2 permite extender el centro de datos y que lasmáquinas virtuales conserven la conectividad de red más allá de los límites geográficos.
Para poder utilizar la VPN, primero debe tener una instancia de NSX Edge que esté funcionando. Paraobtener información sobre la instalación de NSX Edge, consulte Configuración de NSX Edge.
Este capítulo cubre los siguientes temas:
n Descripción general de SSL VPN-Plus
n Descripción general de IPsec VPN
n Descripción general de VPN de Capa 2
Descripción general de SSL VPN-PlusCon SSL VPN-Plus, los usuarios remotos pueden conectarse de forma segura a redes privadas detrásde una puerta de enlace de NSX Edge. Los usuarios remotos pueden acceder a servidores yaplicaciones en las redes privadas.
NSX Manager
Admin.
LAN corporativa
ServidorWindows
Usuarios remotos conectándosemediante el modo de acceso web
Usuarios remotos conectándosemediante un cliente SSL
Internet
NSX EdgeSSL VPNexterna
VMware, Inc. 188
Se admiten los sistemas operativos cliente siguientes:
n Windows XP y posteriores (Windows 8 es compatible).
n Mac OS X Tiger, Leopard, Snow Leopard, Lion, Mountain Lion, Maverick y Yosemite. Se puedeninstalar de forma manual o con el instalador de Java.
n Linux: se requiere TCL-TK para que funcione la interfaz de usuario. Si no está presente, el clienteLinux se puede utilizar con la CLI.
Para obtener más información sobre cómo solucionar problemas de las VPN de SSL, consulte https://kb.vmware.com/kb/2126671.
Configurar el acceso de red de SSL VPN-PlusEn el modo de acceso de red, un usuario remoto puede acceder a redes privadas después de descargare instalar un cliente SSL.
Prerequisitos
La puerta de enlace de SSL VPN requiere el acceso al puerto 443 desde redes externas, mientras que elcliente de SSL VPN requiere la comunicación entre el sistema cliente y la dirección IP de la puerta deenlace y el puerto 443 de NSX Edge.
Procedimiento
1 Agregar configuración del servidor SSL VPN-Plus
Debe agregar la configuración del servidor SSL VPN para habilitar SSL en una interfaz NSX Edge.
2 Agregar un grupo de direcciones IP
Se asigna una dirección IP virtual al usuario remoto del grupo de direcciones IP agregado.
3 Agregar una red privada
Es posible agregar la red a la que se desea que el usuario remoto pueda acceder.
4 Agregar autenticación
En lugar de un usuario local, puede agregar un servidor de autenticación externo (AD, LDAP,Radius o RSA) que esté vinculado a la puerta de enlace SSL. Todos los usuarios con cuentas en elservidor de autenticación vinculado se autenticarán.
5 Agregar paquete de instalación
Cree un paquete de instalación del cliente SSL VPN-Plus para el usuario remoto.
6 Agregar un usuario
Agregue un usuario remoto a la base de datos local.
7 Habilitar el servicio SSL VPN-Plus
Después de configurar el servicio SSL VPN-Plus, habilite el servicio para que los usuarios remotospuedan comenzar a acceder a las redes privadas.
Guía de administración de NSX
VMware, Inc. 189
8 Agregar un script
Es posible agregar varios scripts de inicio o de cierre de sesión. Por ejemplo, se puede enlazar unscript de inicio de sesión para iniciar Internet Explorer con gmail.com. Cuando el usuario remotoinicia sesión en el cliente SSL, Internet Explorer abre gmail.com.
9 Instalar cliente SSL en un sitio remoto
En esta sección se describe el procedimiento que puede seguir un usuario remoto en su escritoriouna vez configurado el servicio SSL VPN-Plus. Se admiten escritorios de Windows, MAC y Linux.
Agregar configuración del servidor SSL VPN-PlusDebe agregar la configuración del servidor SSL VPN para habilitar SSL en una interfaz NSX Edge.
Procedimiento
1 En la pestaña SSL VPN-Plus, seleccione Configuración del servidor (Server Settings) en el panelizquierdo.
2 Haga clic en Change (Cambiar).
3 Seleccione la dirección IPv4 o IPv6.
4 Si es necesario, edite el número de puerto. Este número de puerto se requiere para configurar elpaquete de instalación.
5 Seleccione el método de encriptación.
6 (Opcional) En la tabla Certificados de servidor (Server Certificates), seleccione el certificado deservidor que desea agregar.
7 Haga clic en Aceptar (OK).
Agregar un grupo de direcciones IPSe asigna una dirección IP virtual al usuario remoto del grupo de direcciones IP agregado.
Procedimiento
1 En la pestaña SSL VPN-Plus, seleccione Grupos de direcciones IP (IP Pools) en el panelizquierdo.
2 Haga clic en el icono Agregar (Add) ( ).
3 Escriba la dirección IP de inicio y de finalización para el grupo de direcciones IP.
4 Escriba la máscara de red del grupo de direcciones IP.
5 Escriba la dirección IP que se agregará a la interfaz de enrutamiento en la puerta de enlace de NSXEdge.
6 (Opcional) Escriba una descripción para el grupo de direcciones IP.
7 Seleccione si desea habilitar o deshabilitar el grupo de direcciones IP.
8 (Opcional) En el panel Opciones avanzadas (Advanced), escriba el nombre DNS.
Guía de administración de NSX
VMware, Inc. 190
9 (Opcional) Escriba el nombre DNS secundario.
10 Escriba el sufijo DNS específico de la conexión para la resolución de nombres de host basada en eldominio.
11 Escriba la dirección del servidor WINS.
12 Haga clic en Aceptar (OK).
Agregar una red privadaEs posible agregar la red a la que se desea que el usuario remoto pueda acceder.
Procedimiento
1 En la pestaña SSL VPN-Plus, seleccione Redes privadas (Private Networks) en el panel izquierdo.
2 Haga clic en el icono Agregar (Add) .
3 Especifique la dirección IP de la red privada.
4 Especifique la máscara de red de la red privada.
5 (Opcional) Introduzca una descripción para la red.
6 Indique si desea enviar el tráfico de la red privada y de Internet mediante NSX Edge con SSL VPN-Plus habilitado u omitir NSX Edge y enviarlo directamente al servidor privado.
7 Si eligió Enviar tráfico por el túnel (Send traffic over the tunnel), seleccione Habilitar optimizaciónde TCP (Enable TCP Optimization) para optimizar la velocidad de Internet.
El túnel convencional de SSL VPN con acceso total envía los datos de TCP/IP en una segunda pilade TCP/IP para el cifrado por medio de Internet. Como resultado, los datos de la capa de aplicaciónse encapsulan dos veces en dos flujos de TCP distintos. Cuando se pierde algún paquete (lo que esposible incluso en condiciones óptimas de Internet), se produce un efecto de degradación derendimiento que se conoce como “colapso de TCP sobre TCP”. Básicamente, dos instrumentos TCPcorrigen un mismo paquete de datos IP; eso socava la capacidad de proceso de la red y generatiempo de espera en la conexión. La optimización de TCP elimina este problema de TCP sobre TCPy garantiza un nivel de rendimiento óptimo.
8 Al habilitar la optimización, especifique los números de los puertos en los que se debe optimizar eltráfico.
No se optimizará el tráfico en los puertos restantes de esa red específica.
Cuando se optimiza el tráfico de TCP, el servidor SSL VPN abre la conexión TCP en nombre delcliente. Como es el servidor SSL VPN el que abre la conexión TCP, se aplica la primera reglagenerada automáticamente, lo que permite que se transmitan todas las conexiones abiertas desdeEdge. El tráfico no optimizado se evaluará en función de las reglas normales de Edge Firewall. Laregla de permiso predeterminada es colapso de "any any".
9 Indique si desea habilitar o deshabilitar la red privada.
10 Haga clic en Aceptar (OK).
Guía de administración de NSX
VMware, Inc. 191
Qué hacer a continuación
Agregue la regla de firewall correspondiente para permitir el tráfico de la red privada.
Agregar autenticaciónEn lugar de un usuario local, puede agregar un servidor de autenticación externo (AD, LDAP, Radius oRSA) que esté vinculado a la puerta de enlace SSL. Todos los usuarios con cuentas en el servidor deautenticación vinculado se autenticarán.
El tiempo máximo de autenticación por medio de SSL VPN es de 3 minutos. Esto se debe a que eltiempo de espera sin autenticación es de 3 minutos, y no se trata de una propiedad configurable. Poreso, en situaciones donde el tiempo de espera de autenticación de AD se establece con un valorsuperior a 3 minutos, o donde existen varios servidores para autenticación en cadena y el tiempo quetarda la autorización del usuario es superior a 3 minutos, no será posible autenticarse.
Procedimiento
1 En la pestaña SSL VPN-Plus, seleccione Autenticación (Authentication) en el panel izquierdo.
2 Haga clic en el icono Agregar (Add) ( ).
3 Seleccione el tipo de servidor de autenticación.
4 Según el tipo de servidor de autenticación seleccionado, complete los siguientes campos.
u Servidor de autenticación de AD (AD authentication server)
Tabla 14‑1. Opciones del servidor de autenticación de AD (AD Authentication ServerOptions)
Opción Descripción
Habilitar SSL(Enable SSL)
Si se habilita SSL, se establece un vínculo encriptado entre un servidor web y un explorador.
Dirección IP (IPAddress)
Dirección IP del servidor de autenticación.
Puerto (Port) Muestra el nombre de puerto predeterminado. Si es necesario, edite esta opción.
Tiempo deespera (Timeout)
Período en segundos dentro del cual debe responder el servidor de AD.
Estado (Status) Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para indicar si el servidor estáhabilitado.
Base debúsqueda(Search base)
Parte del árbol del directorio externo donde se llevará a cabo la búsqueda. La base de búsquedapuede ser un elemento equivalente a la organización, al grupo o al nombre de dominio (AD) deldirectorio externo.
DN de enlace(Bind DN)
El usuario del servidor de AD externo permitió la búsqueda en el directorio de AD dentro de la basede búsqueda definida. La mayoría de las veces, el DN de enlace se permite para buscar en todo eldirectorio. El rol del DN de enlace es realizar una consulta en el directorio con el filtro de consulta y labase de búsqueda del nombre distinguido (DN) para autenticar usuarios de AD. Cuando se recibe elDN, se utilizan el DN y la contraseña para autenticar el usuario de AD.
Guía de administración de NSX
VMware, Inc. 192
Tabla 14‑1. Opciones del servidor de autenticación de AD (AD Authentication ServerOptions) (Continua)
Opción Descripción
Contraseña deenlace (BindPassword)
Contraseña para autenticar el usuario de AD.
Volver a escribircontraseña deenlace (RetypeBind Password)
Vuelva a escribir la contraseña.
Nombre deatributo deinicio de sesión(Login AttributeName)
Nombre con el cual se hace coincidir al identificador de usuario introducido por el usuario remoto.Para Active Directory, el nombre de atributo de inicio de sesión es sAMAccountName.
Filtro debúsqueda(Search Filter)
Valores de filtro con los cuales se limita la búsqueda. El formato del filtro de búsqueda es attributeoperator value.
Utilizar esteservidor para laautenticaciónsecundaria (Usethis server forsecondaryauthentication)
Si se selecciona esta opción, este servidor de AD se utiliza como el segundo nivel de autenticación.
Finalizar sesiónsi se produceun error en laautenticación(TerminateSession ifauthenticationfails)
Si se selecciona esta opción, se finaliza la sesión si se produce un error en la autenticación.
u Servidor de autenticación LDAP
Tabla 14‑2. Opciones del servidor de autenticación LDAP
Opción Descripción
Habilitar SSL (EnableSSL)
Si se habilita SSL, se establece un vínculo encriptado entre un servidor web y un explorador.
Dirección IP (IPAddress)
Dirección IP del servidor externo.
Puerto (Port) Muestra el nombre de puerto predeterminado. Si es necesario, edite esta opción.
Tiempo de espera(Timeout)
Período en segundos dentro del cual debe responder el servidor de AD.
Estado (Status) Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para indicar si el servidor estáhabilitado.
Guía de administración de NSX
VMware, Inc. 193
Tabla 14‑2. Opciones del servidor de autenticación LDAP (Continua)
Opción Descripción
Base de búsqueda(Search base)
Parte del árbol del directorio externo donde se llevará a cabo la búsqueda. La base debúsqueda puede ser un elemento equivalente a la organización, al grupo o al nombre dedominio (AD) del directorio externo.
DN de enlace (BindDN)
El usuario del servidor externo permitió la búsqueda en el directorio de AD dentro de la basede búsqueda definida. La mayoría de las veces, el DN de enlace se permite para buscar entodo el directorio. El rol del DN de enlace es realizar una consulta en el directorio con el filtrode consulta y la base de búsqueda del nombre distinguido (DN) para autenticar usuarios deAD. Cuando se recibe el DN, se utilizan el DN y la contraseña para autenticar el usuario deAD.
Contraseña de enlace(Bind Password)
Contraseña para autenticar el usuario de AD.
Volver a escribircontraseña de enlace(Retype Bind Password)
Vuelva a escribir la contraseña.
Nombre de atributo deinicio de sesión (LoginAttribute Name)
Nombre con el cual se hace coincidir al identificador de usuario introducido por el usuarioremoto. Para Active Directory, el nombre de atributo de inicio de sesión es sAMAccountName.
Filtro de búsqueda(Search Filter)
Valores de filtro con los cuales se limita la búsqueda. El formato del filtro de búsqueda esattribute operator value.
Utilizar este servidorpara la autenticaciónsecundaria (Use thisserver for secondaryauthentication)
Si se selecciona esta opción, este servidor se utiliza como el segundo nivel de autenticación.
Finalizar sesión si seproduce un error en laautenticación(Terminate Session ifauthentication fails)
Si se selecciona esta opción, se finaliza la sesión si se produce un error en la autenticación.
u Servidor de autenticación RADIUS
Tabla 14‑3. Opciones del servidor de autenticación RADIUS
Opción Descripción
Dirección IP (IPAddress)
Dirección IP del servidor externo.
Puerto (Port) Muestra el nombre de puerto predeterminado. Si es necesario, edite esta opción.
Tiempo deespera (Timeout)
Período en segundos dentro del cual debe responder el servidor de AD.
Estado (Status) Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para indicar si el servidor estáhabilitado.
Secreto (Secret) Secreto específico compartido al agregar el agente de autenticación en la consola de seguridad deRSA.
Guía de administración de NSX
VMware, Inc. 194
Tabla 14‑3. Opciones del servidor de autenticación RADIUS (Continua)
Opción Descripción
Volver a escribirsecreto (Retypesecret)
Vuelva a escribir el secreto compartido.
Dirección IP deNAS (NAS IPAddress)
La dirección IP que se configura y utiliza como la dirección IP de NAS, atributo 4 de RADIUS, sincambiar la dirección IP de origen en el encabezado IP de los paquetes RADIUS.
Cantidad dereintentos (RetryCount)
Cantidad de veces que debe entablarse comunicación con el servidor RADIUS si no respondeantes de se produzca un error en la autenticación.
Utilizar esteservidor para laautenticaciónsecundaria (Usethis server forsecondaryauthentication)
Si se selecciona esta opción, este servidor se utiliza como el segundo nivel de autenticación.
Finalizar sesiónsi se produce unerror en laautenticación(TerminateSession ifauthenticationfails)
Si se selecciona esta opción, se finaliza la sesión si se produce un error en la autenticación.
u Servidor de autenticación RSA-ACE
Tabla 14‑4. Opciones del servidor de autenticación RSA-ACE
Opción Descripción
Tiempo deespera (Timeout)
Período en segundos dentro del cual debe responder el servidor de AD.
Archivo deconfiguración(ConfigurationFile)
Haga clic en Examinar (Browse) para seleccionar el archivo sdconf.rec que descargó de RSAAuthentication Manager.
Estado (Status) Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para indicar si el servidor estáhabilitado.
Dirección IP deorigen (Source IPAddress)
Dirección IP de la interfaz de NSX Edge por medio de la cual se accede al servidor RSA.
Guía de administración de NSX
VMware, Inc. 195
Tabla 14‑4. Opciones del servidor de autenticación RSA-ACE (Continua)
Opción Descripción
Utilizar esteservidor para laautenticaciónsecundaria (Usethis server forsecondaryauthentication)
Si se selecciona esta opción, este servidor se utiliza como el segundo nivel de autenticación.
Finalizar sesiónsi se produce unerror en laautenticación(TerminateSession ifauthenticationfails)
Si se selecciona esta opción, se finaliza la sesión si se produce un error en la autenticación.
u Servidor de autenticación local
Tabla 14‑5. Opciones del servidor de autenticación local
Opción Descripción
Habilitardirectiva decontraseña(Enable passwordpolicy)
Si se selecciona esta opción, se define una directiva de contraseña. Especifica los valoresrequeridos.
Habilitardirectiva decontraseña(Enable passwordpolicy)
Si se selecciona esta opción, se define una directiva de bloqueo de cuenta. Especifica los valoresrequeridos.
1 En Cantidad de reintentos (Retry Count), escriba la cantidad de veces que un usuario remotopuede intentar acceder a su cuenta después de introducir una contraseña incorrecta.
2 En Duración de los reintentos (Retry Duration), escriba el período durante el cual la cuenta delusuario remoto debe bloquearse tras intentos de inicio de sesión incorrectos.
Por ejemplo, si especifica 5 para Cantidad de reintentos (Retry Count) y 1 minuto para Duraciónde los reintentos (Retry Duration), la cuenta del usuario remoto se bloquea si realiza 5 intentosde inicio de sesión incorrectos en 1 minuto.
3 En Duración del bloqueo (Lockout Duration), escriba el período durante el cual permanecebloqueada la cuenta del usuario. Transcurrido este período, la cuenta se desbloqueaautomáticamente.
Estado (Status) Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para indicar si el servidor estáhabilitado.
Guía de administración de NSX
VMware, Inc. 196
Tabla 14‑5. Opciones del servidor de autenticación local (Continua)
Opción Descripción
Utilizar esteservidor para laautenticaciónsecundaria (Usethis server forsecondaryauthentication)
Si se selecciona esta opción, este servidor se utiliza como el segundo nivel de autenticación.
Finalizar sesiónsi se produce unerror en laautenticación(TerminateSession ifauthenticationfails)
Si se selecciona esta opción, se finaliza la sesión si se produce un error en la autenticación.
Agregar paquete de instalaciónCree un paquete de instalación del cliente SSL VPN-Plus para el usuario remoto.
Procedimiento
1 En la pestaña SSL VPN-Plus, seleccione Paquete de instalación (Installation Package) en el panelizquierdo.
2 Haga clic en el icono Agregar (Add) ( ).
3 Escriba un nombre de perfil para el paquete de instalación.
4 En Puerta de enlace (Gateway), escriba la dirección IP o el nombre de dominio completo (FullyQualified Domain Name, FQDN) de la interfaz pública de NSX Edge.
Esta dirección IP o FQDN están enlazados al cliente SSL. Al instalar el cliente, esta dirección IP oFQDN aparecen en el cliente SSL.
5 Escriba el número de puerto especificado en la configuración del servidor para SSL VPN-Plus.Consulte Agregar configuración del servidor SSL VPN-Plus.
6 (Opcional) Para enlazar interfaces de vínculo superior NSX Edge adicionales al cliente SSL,
a Haga clic en el icono Agregar (Add) ( ).
b Escriba la dirección IP y el número de puerto.
c Haga clic en Aceptar (OK).
7 De forma predeterminada, se crea el paquete de instalación para el sistema operativo Windows.Seleccione Linux o Mac si además desea crear un paquete de instalación para los sistemasoperativos Linux o Mac.
8 (Opcional) Introduzca una descripción para el paquete de instalación.
Guía de administración de NSX
VMware, Inc. 197
9 Seleccione Habilitar (Enable) para mostrar el paquete de instalación en la página Paquete deinstalación (Installation Package).
10 Seleccione las siguientes opciones según corresponda.
Opción Descripción
Iniciar cliente al iniciar sesión (Startclient on logon)
El cliente de SSL VPN se inicia cuando el usuario remoto inicia sesión en elsistema.
Permitir recordar contraseña (Allowremember password)
Habilita la opción.
Habilitar instalación en modosilencioso (Enable silent modeinstallation)
Oculta los comandos de instalación del usuario remoto.
Ocultar adaptador de red del clienteSSL (Hide SSL client network adapter)
Oculta el adaptador VMware SSL VPN-Plus, que está instalado en el equipo delusuario remoto junto con el paquete de instalación de SSL VPN.
Ocultar icono de la bandeja delsistema del cliente (Hide client systemtray icon)
Oculta el icono de la bandeja de SSL VPN, que indica si la conexión VPN estáactiva o no.
Crear icono en el escritorio (Createdesktop icon)
Crea un icono para invocar al cliente SSL en el escritorio del usuario.
Habilitar funcionamiento en modosilencioso (Enable silent modeoperation)
Oculta la ventana emergente que indica la finalización de la instalación.
Validación del certificado de seguridaddel servidor (Server security certificatevalidation)
El cliente de SSL VPN valida el certificado del servidor SSL VPN antes deestablecer la comunicación segura.
11 Haga clic en Aceptar (OK).
Agregar un usuarioAgregue un usuario remoto a la base de datos local.
Procedimiento
1 En la pestaña SSL VPN-Plus, seleccione Usuarios (Users) en el panel izquierdo.
2 Haga clic en el icono Agregar (Add) ( ).
3 Escriba el identificador de usuario.
4 Escriba la contraseña.
5 Vuelva a escribir la contraseña.
6 (Opcional) Escriba el nombre y el apellido del usuario.
7 (Opcional) Escriba una descripción para el usuario.
8 En Detalles de la contraseña (Password Details), seleccione La contraseña no caduca nunca(Password never expires) para conservar siempre la misma contraseña para el usuario.
Guía de administración de NSX
VMware, Inc. 198
9 Seleccione Permitir cambio de contraseña (Allow change password) para permitir que el usuariocambie la contraseña.
10 Seleccione Cambiar contraseña en el próximo inicio de sesión (Change password on next login)si desea que el usuario cambie la contraseña la próxima vez que inicie sesión.
11 Establezca el estado del usuario.
12 Haga clic en Aceptar (OK).
Habilitar el servicio SSL VPN-PlusDespués de configurar el servicio SSL VPN-Plus, habilite el servicio para que los usuarios remotospuedan comenzar a acceder a las redes privadas.
Procedimiento
1 En la pestaña SSL VPN-Plus, seleccione Panel (Dashboard) en el panel izquierdo.
2Haga clic en el icono .
El panel muestra el estado del servicio, la cantidad de sesiones de SSL VPN activas, y lasestadísticas y los detalles del flujo de datos de las sesiones. Haga clic en Detalles (Details) junto aCantidad de sesiones activas (Number of Active Sessions) para ver la información sobre lasconexiones simultáneas a redes privadas detrás de la puerta de enlace de NSX Edge.
Qué hacer a continuación
1 Agregue una regla SNAT para traducir la dirección IP del dispositivo NSX Edge a la dirección IP deEdge de la VPN.
2 En un explorador web, para desplazarse hasta la dirección IP de la interfaz de NSX Edge, escribahttps//NSXEdgeIPAddress.
3 Inicie sesión con el nombre de usuario y la contraseña que creó en la sección Agregar un usuario ydescargue el paquete de instalación.
4 Habilite el reenvío en el enrutador para el número de puerto utilizado en Agregar configuración delservidor SSL VPN-Plus.
5 Inicie el cliente VPN, seleccione el servidor VPN e inicie sesión. Ahora puede desplazarse hasta losservicios de la red. Los registros de la puerta de enlace de SSL VPN-Plus se envían al servidor deSyslog configurado en el dispositivo NSX Edge. Los registros del cliente SSL VPN-Plus sealmacenan en el directorio siguiente en el equipo del usuario remoto: %PROGRAMFILES%/VMWARE/SSLVPN Client/.
Guía de administración de NSX
VMware, Inc. 199
Agregar un scriptEs posible agregar varios scripts de inicio o de cierre de sesión. Por ejemplo, se puede enlazar un scriptde inicio de sesión para iniciar Internet Explorer con gmail.com. Cuando el usuario remoto inicia sesiónen el cliente SSL, Internet Explorer abre gmail.com.
Procedimiento
1 En la pestaña SSL VPN-Plus, seleccione Scripts de inicio/cierre de sesión (Login/Logoff Scripts)en el panel izquierdo.
2 Haga clic en el icono Agregar (Add) ( ).
3 En Script, haga clic en Examinar (Browse) y seleccione el script que desea enlazar con la puerta deenlace NSX Edge.
4 Seleccione el Tipo (Type) de script.
Opción Descripción
Inicio de sesión (Login) Se ejecuta la acción del script cuando el usuario remoto inicia la sesión en SSLVPN.
Cierre de sesión (Logoff) Se ejecuta la acción del script cuando el usuario remoto cierra la sesión de SSLVPN.
Ambos (Both) Se ejecuta la acción del script cuando el usuario remoto inicia y cierra la sesiónde SSL VPN.
5 Introduzca una descripción para el script.
6 Seleccione Habilitado (Enabled) para habilitar el script.
7 Haga clic en Aceptar (OK).
Instalar cliente SSL en un sitio remotoEn esta sección se describe el procedimiento que puede seguir un usuario remoto en su escritorio unavez configurado el servicio SSL VPN-Plus. Se admiten escritorios de Windows, MAC y Linux.
Procedimiento
1 En el sitio del cliente, el usuario remoto puede escribir (https://ExternalEdgeInterfaceIP/sslvpn-plus/ en una ventana del explorador, donde ExternalEdgeInterfaceIP es la dirección IP de la interfazexterna de Edge en la que habilitó SSL VPN-Plus.
2 Inicie sesión en el portal con las credenciales del usuario.
3 Haga clic en la pestaña Acceso completo (Full Access).
Se descarga el cliente SSL.
4 Inicie sesión en el cliente SSL con las credenciales especificadas en la sección Usuarios (Users).
El certificado del servidor SSL VPN se valida según el sistema operativo cliente.
n Cliente Windows
Guía de administración de NSX
VMware, Inc. 200
El cliente Windows se autentica si se seleccionó la opción Validación de certificado deseguridad del servidor (Server security certificate validation) cuando se creó el paquete deinstalación.
n Cliente Linux
El cliente Linux de SSL VPN valida el certificado del servidor con la tienda de certificados deFirefox de forma predeterminada a partir de NSX vSphere versión 6.1.3. Si se produce un erroren la validación del certificado del servidor, se le solicitará que se ponga en contacto con eladministrador del sistema. Si la validación del certificado del servidor se completa correctamente,se muestra un símbolo del sistema que le solicita que inicie sesión.
Agregar una entidad de certificación de confianza a la tienda de confianza, como la tienda decertificados de Firefox, es independiente del flujo de trabajo de la SSL VPN.
n Cliente OS X
El cliente OS X de SSL VPN valida el certificado del servidor con Keychain, una base de datosque se utiliza para almacenar certificados en OS X, de forma predeterminada a partir de NSXvSphere versión 6.1.3. Si se produce un error en la validación del certificado del servidor, se lesolicitará que se ponga en contacto con el administrador del sistema. Si la validación delcertificado del servidor se completa correctamente, se muestra un símbolo del sistema que lesolicita que inicie sesión.
Agregar una entidad de certificación de confianza a la tienda de confianza, como Keychain, esindependiente del flujo de trabajo de la SSL VPN.
Ahora, el usuario remoto puede acceder a la red privada.
Configurar el acceso web de SSL VPN-PlusEn el modo de acceso web, un usuario remoto puede acceder a redes privadas sin un cliente SSL dehardware o software.
Procedimiento
1 Crear un recurso web
Es posible agregar un servidor al cual el usuario pueda conectarse mediante un explorador web.
2 Agregar un usuario
Agregue un usuario remoto a la base de datos local.
3 Agregar autenticación
En lugar de un usuario local, puede agregar un servidor de autenticación externo (AD, LDAP,Radius o RSA) que esté vinculado a la puerta de enlace SSL. Todos los usuarios con cuentas en elservidor de autenticación vinculado se autenticarán.
4 Agregar configuración del servidor SSL VPN-Plus
Debe agregar la configuración del servidor SSL VPN para habilitar SSL en una interfaz NSX Edge.
Guía de administración de NSX
VMware, Inc. 201
5 Habilitar el servicio SSL VPN-Plus
Después de configurar el servicio SSL VPN-Plus, habilite el servicio para que los usuarios remotospuedan comenzar a acceder a las redes privadas.
6 Agregar un script
Es posible agregar varios scripts de inicio o de cierre de sesión. Por ejemplo, se puede enlazar unscript de inicio de sesión para iniciar Internet Explorer con gmail.com. Cuando el usuario remotoinicia sesión en el cliente SSL, Internet Explorer abre gmail.com.
Crear un recurso webEs posible agregar un servidor al cual el usuario pueda conectarse mediante un explorador web.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en una instancia de NSX Edge.
4 Haga clic en la pestaña Administrar (Manage) y seleccione la pestaña SSL VPN-Plus.
5 Seleccione Recurso web (Web Resource) en el panel izquierdo.
6 Haga clic en el icono Agregar (Add) ( ) .
7 Escriba un nombre para el recurso web.
8 Especifique la dirección URL del recurso web al cual desea que el usuario remoto pueda acceder.
9 Seleccione Método HTTP (HTTP Method) y especifique la llamada GET o POST, según si el usuarioremoto desea leer o escribir en el recurso web.
10 Escriba una descripción para el recurso web. Esta descripción se mostrará en el portal web cuandoel usuario remoto acceda al recurso web.
11 Seleccione Habilitar (Enable) para habilitar el recurso web. El recurso web debe estar habilitadopara que el usuario remoto pueda acceder a él.
Agregar un usuarioAgregue un usuario remoto a la base de datos local.
Procedimiento
1 En la pestaña SSL VPN-Plus, seleccione Usuarios (Users) en el panel izquierdo.
2 Haga clic en el icono Agregar (Add) ( ).
3 Escriba el identificador de usuario.
4 Escriba la contraseña.
5 Vuelva a escribir la contraseña.
Guía de administración de NSX
VMware, Inc. 202
6 (Opcional) Escriba el nombre y el apellido del usuario.
7 (Opcional) Escriba una descripción para el usuario.
8 En Detalles de la contraseña (Password Details), seleccione La contraseña no caduca nunca(Password never expires) para conservar siempre la misma contraseña para el usuario.
9 Seleccione Permitir cambio de contraseña (Allow change password) para permitir que el usuariocambie la contraseña.
10 Seleccione Cambiar contraseña en el próximo inicio de sesión (Change password on next login)si desea que el usuario cambie la contraseña la próxima vez que inicie sesión.
11 Establezca el estado del usuario.
12 Haga clic en Aceptar (OK).
Agregar autenticaciónEn lugar de un usuario local, puede agregar un servidor de autenticación externo (AD, LDAP, Radius oRSA) que esté vinculado a la puerta de enlace SSL. Todos los usuarios con cuentas en el servidor deautenticación vinculado se autenticarán.
El tiempo máximo de autenticación por medio de SSL VPN es de 3 minutos. Esto se debe a que eltiempo de espera sin autenticación es de 3 minutos, y no se trata de una propiedad configurable. Poreso, en situaciones donde el tiempo de espera de autenticación de AD se establece con un valorsuperior a 3 minutos, o donde existen varios servidores para autenticación en cadena y el tiempo quetarda la autorización del usuario es superior a 3 minutos, no será posible autenticarse.
Procedimiento
1 En la pestaña SSL VPN-Plus, seleccione Autenticación (Authentication) en el panel izquierdo.
2 Haga clic en el icono Agregar (Add) ( ).
3 Seleccione el tipo de servidor de autenticación.
4 Según el tipo de servidor de autenticación seleccionado, complete los siguientes campos.
u Servidor de autenticación de AD (AD authentication server)
Tabla 14‑6. Opciones del servidor de autenticación de AD (AD Authentication ServerOptions)
Opción Descripción
Habilitar SSL(Enable SSL)
Si se habilita SSL, se establece un vínculo encriptado entre un servidor web y un explorador.
Dirección IP (IPAddress)
Dirección IP del servidor de autenticación.
Puerto (Port) Muestra el nombre de puerto predeterminado. Si es necesario, edite esta opción.
Tiempo deespera (Timeout)
Período en segundos dentro del cual debe responder el servidor de AD.
Guía de administración de NSX
VMware, Inc. 203
Tabla 14‑6. Opciones del servidor de autenticación de AD (AD Authentication ServerOptions) (Continua)
Opción Descripción
Estado (Status) Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para indicar si el servidor estáhabilitado.
Base debúsqueda(Search base)
Parte del árbol del directorio externo donde se llevará a cabo la búsqueda. La base de búsquedapuede ser un elemento equivalente a la organización, al grupo o al nombre de dominio (AD) deldirectorio externo.
DN de enlace(Bind DN)
El usuario del servidor de AD externo permitió la búsqueda en el directorio de AD dentro de la basede búsqueda definida. La mayoría de las veces, el DN de enlace se permite para buscar en todo eldirectorio. El rol del DN de enlace es realizar una consulta en el directorio con el filtro de consulta y labase de búsqueda del nombre distinguido (DN) para autenticar usuarios de AD. Cuando se recibe elDN, se utilizan el DN y la contraseña para autenticar el usuario de AD.
Contraseña deenlace (BindPassword)
Contraseña para autenticar el usuario de AD.
Volver a escribircontraseña deenlace (RetypeBind Password)
Vuelva a escribir la contraseña.
Nombre deatributo deinicio de sesión(Login AttributeName)
Nombre con el cual se hace coincidir al identificador de usuario introducido por el usuario remoto.Para Active Directory, el nombre de atributo de inicio de sesión es sAMAccountName.
Filtro debúsqueda(Search Filter)
Valores de filtro con los cuales se limita la búsqueda. El formato del filtro de búsqueda es attributeoperator value.
Utilizar esteservidor para laautenticaciónsecundaria (Usethis server forsecondaryauthentication)
Si se selecciona esta opción, este servidor de AD se utiliza como el segundo nivel de autenticación.
Finalizar sesiónsi se produceun error en laautenticación(TerminateSession ifauthenticationfails)
Si se selecciona esta opción, se finaliza la sesión si se produce un error en la autenticación.
u Servidor de autenticación LDAP
Guía de administración de NSX
VMware, Inc. 204
Tabla 14‑7. Opciones del servidor de autenticación LDAP
Opción Descripción
Habilitar SSL (EnableSSL)
Si se habilita SSL, se establece un vínculo encriptado entre un servidor web y un explorador.
Dirección IP (IPAddress)
Dirección IP del servidor externo.
Puerto (Port) Muestra el nombre de puerto predeterminado. Si es necesario, edite esta opción.
Tiempo de espera(Timeout)
Período en segundos dentro del cual debe responder el servidor de AD.
Estado (Status) Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para indicar si el servidor estáhabilitado.
Base de búsqueda(Search base)
Parte del árbol del directorio externo donde se llevará a cabo la búsqueda. La base debúsqueda puede ser un elemento equivalente a la organización, al grupo o al nombre dedominio (AD) del directorio externo.
DN de enlace (BindDN)
El usuario del servidor externo permitió la búsqueda en el directorio de AD dentro de la basede búsqueda definida. La mayoría de las veces, el DN de enlace se permite para buscar entodo el directorio. El rol del DN de enlace es realizar una consulta en el directorio con el filtrode consulta y la base de búsqueda del nombre distinguido (DN) para autenticar usuarios deAD. Cuando se recibe el DN, se utilizan el DN y la contraseña para autenticar el usuario deAD.
Contraseña de enlace(Bind Password)
Contraseña para autenticar el usuario de AD.
Volver a escribircontraseña de enlace(Retype Bind Password)
Vuelva a escribir la contraseña.
Nombre de atributo deinicio de sesión (LoginAttribute Name)
Nombre con el cual se hace coincidir al identificador de usuario introducido por el usuarioremoto. Para Active Directory, el nombre de atributo de inicio de sesión es sAMAccountName.
Filtro de búsqueda(Search Filter)
Valores de filtro con los cuales se limita la búsqueda. El formato del filtro de búsqueda esattribute operator value.
Utilizar este servidorpara la autenticaciónsecundaria (Use thisserver for secondaryauthentication)
Si se selecciona esta opción, este servidor se utiliza como el segundo nivel de autenticación.
Finalizar sesión si seproduce un error en laautenticación(Terminate Session ifauthentication fails)
Si se selecciona esta opción, se finaliza la sesión si se produce un error en la autenticación.
u Servidor de autenticación RADIUS
Guía de administración de NSX
VMware, Inc. 205
Tabla 14‑8. Opciones del servidor de autenticación RADIUS
Opción Descripción
Dirección IP (IPAddress)
Dirección IP del servidor externo.
Puerto (Port) Muestra el nombre de puerto predeterminado. Si es necesario, edite esta opción.
Tiempo deespera (Timeout)
Período en segundos dentro del cual debe responder el servidor de AD.
Estado (Status) Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para indicar si el servidor estáhabilitado.
Secreto (Secret) Secreto específico compartido al agregar el agente de autenticación en la consola de seguridad deRSA.
Volver a escribirsecreto (Retypesecret)
Vuelva a escribir el secreto compartido.
Dirección IP deNAS (NAS IPAddress)
La dirección IP que se configura y utiliza como la dirección IP de NAS, atributo 4 de RADIUS, sincambiar la dirección IP de origen en el encabezado IP de los paquetes RADIUS.
Cantidad dereintentos (RetryCount)
Cantidad de veces que debe entablarse comunicación con el servidor RADIUS si no respondeantes de se produzca un error en la autenticación.
Utilizar esteservidor para laautenticaciónsecundaria (Usethis server forsecondaryauthentication)
Si se selecciona esta opción, este servidor se utiliza como el segundo nivel de autenticación.
Finalizar sesiónsi se produce unerror en laautenticación(TerminateSession ifauthenticationfails)
Si se selecciona esta opción, se finaliza la sesión si se produce un error en la autenticación.
u Servidor de autenticación RSA-ACE
Tabla 14‑9. Opciones del servidor de autenticación RSA-ACE
Opción Descripción
Tiempo deespera (Timeout)
Período en segundos dentro del cual debe responder el servidor de AD.
Archivo deconfiguración(ConfigurationFile)
Haga clic en Examinar (Browse) para seleccionar el archivo sdconf.rec que descargó de RSAAuthentication Manager.
Guía de administración de NSX
VMware, Inc. 206
Tabla 14‑9. Opciones del servidor de autenticación RSA-ACE (Continua)
Opción Descripción
Estado (Status) Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para indicar si el servidor estáhabilitado.
Dirección IP deorigen (Source IPAddress)
Dirección IP de la interfaz de NSX Edge por medio de la cual se accede al servidor RSA.
Utilizar esteservidor para laautenticaciónsecundaria (Usethis server forsecondaryauthentication)
Si se selecciona esta opción, este servidor se utiliza como el segundo nivel de autenticación.
Finalizar sesiónsi se produce unerror en laautenticación(TerminateSession ifauthenticationfails)
Si se selecciona esta opción, se finaliza la sesión si se produce un error en la autenticación.
u Servidor de autenticación local
Tabla 14‑10. Opciones del servidor de autenticación local
Opción Descripción
Habilitardirectiva decontraseña(Enable passwordpolicy)
Si se selecciona esta opción, se define una directiva de contraseña. Especifica los valoresrequeridos.
Habilitardirectiva decontraseña(Enable passwordpolicy)
Si se selecciona esta opción, se define una directiva de bloqueo de cuenta. Especifica los valoresrequeridos.
1 En Cantidad de reintentos (Retry Count), escriba la cantidad de veces que un usuario remotopuede intentar acceder a su cuenta después de introducir una contraseña incorrecta.
2 En Duración de los reintentos (Retry Duration), escriba el período durante el cual la cuenta delusuario remoto debe bloquearse tras intentos de inicio de sesión incorrectos.
Por ejemplo, si especifica 5 para Cantidad de reintentos (Retry Count) y 1 minuto para Duraciónde los reintentos (Retry Duration), la cuenta del usuario remoto se bloquea si realiza 5 intentosde inicio de sesión incorrectos en 1 minuto.
3 En Duración del bloqueo (Lockout Duration), escriba el período durante el cual permanecebloqueada la cuenta del usuario. Transcurrido este período, la cuenta se desbloqueaautomáticamente.
Estado (Status) Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para indicar si el servidor estáhabilitado.
Guía de administración de NSX
VMware, Inc. 207
Tabla 14‑10. Opciones del servidor de autenticación local (Continua)
Opción Descripción
Utilizar esteservidor para laautenticaciónsecundaria (Usethis server forsecondaryauthentication)
Si se selecciona esta opción, este servidor se utiliza como el segundo nivel de autenticación.
Finalizar sesiónsi se produce unerror en laautenticación(TerminateSession ifauthenticationfails)
Si se selecciona esta opción, se finaliza la sesión si se produce un error en la autenticación.
Agregar configuración del servidor SSL VPN-PlusDebe agregar la configuración del servidor SSL VPN para habilitar SSL en una interfaz NSX Edge.
Procedimiento
1 En la pestaña SSL VPN-Plus, seleccione Configuración del servidor (Server Settings) en el panelizquierdo.
2 Haga clic en Change (Cambiar).
3 Seleccione la dirección IPv4 o IPv6.
4 Si es necesario, edite el número de puerto. Este número de puerto se requiere para configurar elpaquete de instalación.
5 Seleccione el método de encriptación.
6 (Opcional) En la tabla Certificados de servidor (Server Certificates), seleccione el certificado deservidor que desea agregar.
7 Haga clic en Aceptar (OK).
Habilitar el servicio SSL VPN-PlusDespués de configurar el servicio SSL VPN-Plus, habilite el servicio para que los usuarios remotospuedan comenzar a acceder a las redes privadas.
Procedimiento
1 En la pestaña SSL VPN-Plus, seleccione Panel (Dashboard) en el panel izquierdo.
Guía de administración de NSX
VMware, Inc. 208
2Haga clic en el icono .
El panel muestra el estado del servicio, la cantidad de sesiones de SSL VPN activas, y lasestadísticas y los detalles del flujo de datos de las sesiones. Haga clic en Detalles (Details) junto aCantidad de sesiones activas (Number of Active Sessions) para ver la información sobre lasconexiones simultáneas a redes privadas detrás de la puerta de enlace de NSX Edge.
Qué hacer a continuación
1 Agregue una regla SNAT para traducir la dirección IP del dispositivo NSX Edge a la dirección IP deEdge de la VPN.
2 En un explorador web, para desplazarse hasta la dirección IP de la interfaz de NSX Edge, escribahttps//NSXEdgeIPAddress.
3 Inicie sesión con el nombre de usuario y la contraseña que creó en la sección Agregar un usuario ydescargue el paquete de instalación.
4 Habilite el reenvío en el enrutador para el número de puerto utilizado en Agregar configuración delservidor SSL VPN-Plus.
5 Inicie el cliente VPN, seleccione el servidor VPN e inicie sesión. Ahora puede desplazarse hasta losservicios de la red. Los registros de la puerta de enlace de SSL VPN-Plus se envían al servidor deSyslog configurado en el dispositivo NSX Edge. Los registros del cliente SSL VPN-Plus sealmacenan en el directorio siguiente en el equipo del usuario remoto: %PROGRAMFILES%/VMWARE/SSLVPN Client/.
Agregar un scriptEs posible agregar varios scripts de inicio o de cierre de sesión. Por ejemplo, se puede enlazar un scriptde inicio de sesión para iniciar Internet Explorer con gmail.com. Cuando el usuario remoto inicia sesiónen el cliente SSL, Internet Explorer abre gmail.com.
Procedimiento
1 En la pestaña SSL VPN-Plus, seleccione Scripts de inicio/cierre de sesión (Login/Logoff Scripts)en el panel izquierdo.
2 Haga clic en el icono Agregar (Add) ( ).
3 En Script, haga clic en Examinar (Browse) y seleccione el script que desea enlazar con la puerta deenlace NSX Edge.
Guía de administración de NSX
VMware, Inc. 209
4 Seleccione el Tipo (Type) de script.
Opción Descripción
Inicio de sesión (Login) Se ejecuta la acción del script cuando el usuario remoto inicia la sesión en SSLVPN.
Cierre de sesión (Logoff) Se ejecuta la acción del script cuando el usuario remoto cierra la sesión de SSLVPN.
Ambos (Both) Se ejecuta la acción del script cuando el usuario remoto inicia y cierra la sesiónde SSL VPN.
5 Introduzca una descripción para el script.
6 Seleccione Habilitado (Enabled) para habilitar el script.
7 Haga clic en Aceptar (OK).
Registros de SSL VPN-PlusLos registros de la puerta de enlace de SSL VPN-Plus se envían al servidor de Syslog configurado en eldispositivo NSX Edge. Los registros del cliente SSL VPN-Plus se almacenan en el siguiente directorio delequipo del usuario remoto: %PROGRAMFILES%/VMWARE/SSL VPN Client/.
Editar la configuración de clienteEs posible cambiar la manera en que el túnel cliente de SSL VPN reacciona cuando un usuario remotoinicia sesión en SSL VPN.
Procedimiento
1 En la pestaña SSL VPN-Plus, seleccione Configuración de cliente (Client Configuration) en elpanel izquierdo.
2 Seleccione una opción de Modo de tunelización (Tunneling Mode).
En el modo de túnel dividido, solo VPN pasa por la puerta de enlace de NSX Edge. En el modo detúnel completo, la puerta de enlace de NSX Edge se convierte en la puerta de enlacepredeterminada del usuario remoto y todo el tráfico (VPN, local e Internet) pasa por esta puerta.
3 Si seleccionó el modo de túnel completo:
a Seleccione Excluir subredes locales (Exclude local subnets) para impedir que el tráfico localpase por el túnel de VPN.
b Introduzca la dirección IP de la puerta de enlace predeterminada para el sistema del usuarioremoto.
4 Seleccione Habilitar reconexión automática (Enable auto reconnect) si desea que el usuarioremoto se vuelva a conectar automáticamente al cliente de SSL VPN después de una desconexión.
5 Seleccione Notificación de actualización de cliente (Client upgrade notification) para que elusuario remoto reciba una notificación cuando exista una actualización disponible para el cliente. Elusuario remoto decidirá si instala o no la actualización.
Guía de administración de NSX
VMware, Inc. 210
6 Haga clic en Aceptar (OK).
Editar configuración generalEs posible editar la configuración de la VPN predeterminada.
Procedimiento
1 En la pestaña SSL VPN-Plus, seleccione Configuración general (General Settings) en el panelizquierdo.
2 Realice las selecciones necesarias.
Seleccionar Para
Evitar varios inicios de sesión con elmismo nombre de usuario (Preventmultiple logon using same username)
Permite que un usuario remoto inicie sesión solo una vez con un nombre deusuario.
Habilitar compresión (Enablecompression)
Habilita la compresión de datos inteligentes basados en TCP y mejora lavelocidad de transferencia de datos.
Habilitar registro (Enable logging) Mantiene un registro del tráfico que atraviesa la puerta de enlace de SSL VPN.
Forzar teclado virtual (Force virtualkeyboard)
Permite a los usuarios remotos escribir la información de inicio de sesión web ode cliente solo mediante el teclado virtual.
Aleatorizar teclas del teclado virtual(Randomize keys of virtual keyboard)
Muestra las teclas de forma aleatoria en el teclado virtual.
Habilitar tiempo de espera forzado(Enable forced timeout)
Desconecta al usuario remoto una vez finalizado el tiempo de esperaespecificado. Escriba el tiempo de espera en minutos.
Tiempo de espera de inactividad de lasesión (Session idle timeout)
Finaliza la sesión del usuario una vez finalizado el período si no hay actividad enla sesión del usuario por el período especificado.
Notificación al usuario (Usernotification)
Permite escribir un mensaje que se mostrará al usuario remoto después de iniciarsesión.
Habilitar acceso a URL pública (Enablepublic URL access)
Permite al usuario remoto acceder a cualquier sitio que el administrador no hayaconfigurado (y que no esté en el portal web).
3 Haga clic en Aceptar (OK).
Editar diseño del portal webEs posible editar el banner del cliente enlazado al cliente de SSL VPN.
Procedimiento
1 En la pestaña Instancias de NSX Edge (NSX Edges), haga doble clic en una instancia de NSXEdge.
2 Haga clic en la pestaña Supervisar (Monitor) y, a continuación, en la pestaña SSL VPN-Plus.
3 Seleccione Personalización del portal (Portal Customization) en el panel izquierdo.
4 Escriba el título del portal.
5 Escriba el nombre de la empresa del usuario remoto.
Guía de administración de NSX
VMware, Inc. 211
6 En Logotipo (Logo), haga clic en Cambiar (Change) y seleccione el archivo de imagen del logotipodel usuario remoto.
7 En Colores (Colors), haga clic en el cuadro de colores junto al elemento numerado del que deseacambiar el color y seleccione el color deseado.
8 Si lo desea, cambie el banner del cliente.
9 Haga clic en Aceptar (OK).
Trabajar con grupos de direcciones IPPuede editar o eliminar un grupo de direcciones IP.
Para obtener información sobre cómo agregar un grupo de direcciones IP, consulte Configurar el accesode red de SSL VPN-Plus o Configurar el acceso web de SSL VPN-Plus.
Editar un grupo de direcciones IPEs posible editar un grupo de direcciones IP.
Procedimiento
1 En la pestaña SSL VPN-Plus, haga clic en Grupo de direcciones IP (IP Pool) en el panel izquierdo.
2 Seleccione el grupo de direcciones IP que desea editar.
3 Haga clic en el icono Editar (Edit) ( ).
Se abre el cuadro de diálogo Editar grupo de direcciones IP (Edit IP Pool).
4 Realice las ediciones necesarias.
5 Haga clic en Aceptar (OK).
Eliminar un grupo de direcciones IPEs posible eliminar un grupo de direcciones IP.
Procedimiento
1 En la pestaña SSL VPN-Plus, haga clic en Grupo de direcciones IP (IP Pool) en el panel izquierdo.
2 Seleccione el grupo de direcciones IP que desea eliminar.
3 Haga clic en el icono Eliminar (Delete) ( ).
Se elimina el grupo de direcciones IP seleccionado.
Guía de administración de NSX
VMware, Inc. 212
Habilitar un grupo de direcciones IPPuede habilitar un grupo de direcciones IP si desea que se asigne una dirección IP de ese grupo alusuario remoto.
Procedimiento
1 En la pestaña SSL VPN-Plus, haga clic en Grupo de direcciones IP (IP Pool) en el panel izquierdo.
2 Seleccione el grupo de direcciones IP que desea habilitar.
3 Haga clic en el icono Habilitar (Enable) ( ).
Deshabilitar un grupo de direcciones IPPuede deshabilitar un grupo de direcciones IP si no desea que el usuario remoto se asigne a unadirección IP de ese grupo.
Procedimiento
1 En la pestaña SSL VPN-Plus, seleccione Grupo de direcciones IP (IP Pool) en el panel izquierdo.
2 Seleccione el grupo de direcciones IP que desea deshabilitar.
3 Haga clic en el icono Deshabilitar (Disable) ( ).
Cambiar el orden de un grupo de direcciones IPSSL VPN asigna a cada usuario remoto una dirección IP procedente de un grupo de direcciones IPsegún el orden de la dirección en la tabla de ese grupo.
Procedimiento
1 En la pestaña SSL VPN-Plus, haga clic en Grupo de direcciones IP (IP Pool) en el panel izquierdo.
2 Seleccione el grupo de direcciones IP cuyo orden desea cambiar.
3 Haga clic en el icono Mover hacia arriba (Move Up) o Mover hacia abajo (Move Down) .
Trabajar con redes privadasPuede editar o eliminar una red privada a la que puede acceder un usuario remoto.
Para obtener información sobre cómo agregar una red privada, consulte Configurar el acceso de red deSSL VPN-Plus o Configurar el acceso web de SSL VPN-Plus.
Eliminar una red privadaEs posible eliminar una red privada.
Procedimiento
1 En la pestaña SSL VPN-Plus, haga clic en Redes privadas (Private Networks) en el panel izquierdo.
Guía de administración de NSX
VMware, Inc. 213
2 Seleccione la red que desea eliminar y haga clic en el icono Eliminar (Delete) ( ).
Habilitar una red privadaCuando habilita una red privada, el usuario remoto puede acceder a ella mediante SSL VPN-Plus.
Procedimiento
1 En la pestaña SSL VPN-Plus, haga clic en Redes privadas (Private Networks) en el panel izquierdo.
2 Haga clic en la red que desea habilitar.
3 Haga clic en el icono Habilitar (Enable) ( ).
Se habilita la red seleccionada.
Deshabilitar una red privadaCuando se deshabilita una red privada, el usuario remoto no puede acceder a ella mediante SSL VPN-Plus.
Procedimiento
1 En la pestaña SSL VPN-Plus, haga clic en Redes privadas (Private Networks) en el panel izquierdo.
2 Haga clic en la red que desea deshabilitar.
3 Haga clic en el icono Deshabilitar (Disable) ( ).
Se deshabilita la red seleccionada.
Cambiar la secuencia de una red privadaCon SSL VPN-Plus, los usuarios remotos pueden acceder a redes privadas en la secuencia en la que semuestran en el panel Redes privadas (Private Networks).
Si se selecciona Habilitar optimización de TCP (Enable TCP Optimization) en una red privada, esposible que algunas aplicaciones como FTP en modo activo no funcionen dentro de esa subred. Paraagregar un servidor FTP configurado en modo activo, es necesario agregar otra red privada para eseservidor con la optimización de TCP deshabilitada. También se debe deshabilitar la red privada de TCPactiva y se debe colocar arriba de la red privada de la subred.
Procedimiento
1 En la pestaña SSL VPN-Plus, haga clic en Redes privadas (Private Networks) en el panel izquierdo.
2 Haga clic en el icono Cambiar orden (Change Order) .
3 Seleccione la red cuyo orden desea cambiar.
4 Haga clic en el icono Mover hacia arriba (Move Up) o Mover hacia abajo (Move Down) .
5 Haga clic en Aceptar (OK).
Guía de administración de NSX
VMware, Inc. 214
Trabajar con paquetes de instalaciónPuede eliminar o editar un paquete de instalación del cliente SSL.
Para obtener información sobre cómo crear un paquete de instalación, consulte Configurar el acceso dered de SSL VPN-Plus o Configurar el acceso web de SSL VPN-Plus.
Editar un paquete de instalaciónEs posible editar un paquete de instalación.
Procedimiento
1 En la pestaña SSL VPN-Plus, haga clic en Paquete de instalación (Installation Package) en elpanel izquierdo.
2 Seleccione el paquete de instalación que desea editar.
3 Haga clic en el icono Editar (Edit) ( ).
Se abre el cuadro de diálogo Editar paquete de instalación (Edit Installation Package).
4 Realice las ediciones necesarias.
5 Haga clic en Aceptar (OK).
Eliminar un paquete de instalaciónEs posible eliminar un paquete de instalación.
Procedimiento
1 En la pestaña SSL VPN-Plus, haga clic en Paquete de instalación (Installation Package) en elpanel izquierdo.
2 Seleccione el paquete de instalación que desea eliminar.
3 Haga clic en el icono Eliminar (Delete) ( ).
Trabajar con usuariosPuede editar o eliminar usuarios de la base de datos local.
Para obtener información sobre cómo agregar un usuario, consulte Configurar el acceso de red de SSLVPN-Plus o Configurar el acceso web de SSL VPN-Plus.
Editar un usuarioEs posible editar los detalles de un usuario, excepto el identificador de usuario.
Procedimiento
1 En la pestaña SSL VPN-Plus, haga clic en Usuarios (Users) en el panel izquierdo.
Guía de administración de NSX
VMware, Inc. 215
2 Haga clic en el icono Editar (Edit) ( ).
3 Realice las ediciones necesarias.
4 Haga clic en Aceptar (OK).
Eliminar un usuarioEs posible eliminar un usuario.
Procedimiento
1 En la pestaña SSL VPN-Plus, haga clic en Usuarios (Users) en el panel izquierdo.
2 En el panel Configurar (Configure), haga clic en Usuarios (Users).
3 Seleccione el usuario que desea eliminar y haga clic en el icono Eliminar (Delete) ( ).
Cambiar la contraseña de un usuarioEs posible cambiar la contraseña de un usuario.
Procedimiento
1 En la pestaña SSL VPN-Plus, haga clic en Usuarios (Users) en el panel izquierdo.
2 Haga clic en el icono Cambiar contraseña (Change Password).
3 Introduzca dos veces la contraseña nueva.
4 Haga clic en la opción Cambiar contraseña en el próximo inicio de sesión (Change password on nextlogin) para cambiar la contraseña la próxima vez que el usuario se conecte al sistema.
5 Haga clic en Aceptar (OK).
Trabajar con scripts de inicio y cierre de sesiónPuede vincular un script de inicio o cierre de sesión con la puerta de enlace de NSX Edge.
Editar un scriptEs posible editar el tipo, la descripción y el estado de un script de inicio o cierre de sesión que estéenlazado a la puerta de enlace de NSX Edge.
Procedimiento
1 En la pestaña SSL VPN-Plus, haga clic en Scripts de inicio/cierre de sesión (Login/Logoff Scripts)en el panel izquierdo.
2 Seleccione un script y haga clic en el icono Editar (Edit) ( ).
3 Realice los cambios adecuados.
4 Haga clic en Aceptar (OK).
Guía de administración de NSX
VMware, Inc. 216
Eliminar un scriptPuede eliminar un script de inicio o cierre de sesión.
Procedimiento
1 En la pestaña SSL VPN-Plus, haga clic en Scripts de inicio/cierre de sesión (Login/Logoff Scripts)en el panel izquierdo.
2 Seleccione un script y haga clic en el icono Eliminar (Delete) ( ).
Habilitar un scriptDebe habilitar un script para que funcione.
Procedimiento
1 En la pestaña SSL VPN-Plus, haga clic en Scripts de inicio/cierre de sesión (Login/Logoff Scripts)en el panel izquierdo.
2 Seleccione un script y haga clic en el icono Habilitar (Enable) ( ).
Deshabilitar un scriptEs posible deshabilitar un script de inicio o cierre de sesión.
Procedimiento
1 En la pestaña SSL VPN-Plus, haga clic en Scripts de inicio/cierre de sesión (Login/Logoff Scripts)en el panel izquierdo.
2 Seleccione un script y haga clic en el icono Deshabilitar (Disable) ( ).
Cambiar el orden de un scriptEs posible cambiar el orden de un script. Por ejemplo, si un script de inicio de sesión para abrirgmail.com en Internet Explorer se encuentra arriba de un script de inicio de sesión para abrir yahoo.com,cuando el usuario remoto inicia sesión en SSL VPN, se muestra gmail.com antes que yahoo.com. Si seinvierte el orden de los scripts de inicio de sesión, se puede ver yahoo.com antes que gmail.com.
Procedimiento
1 En la pestaña SSL VPN-Plus, haga clic en Scripts de inicio/cierre de sesión (Login/Logoff Scripts)en el panel izquierdo.
2 Seleccione el script cuyo orden desea cambiar y haga clic en el icono Mover hacia arriba (Move Up)
o Mover hacia abajo (Move Down) .
3 Haga clic en Aceptar (OK).
Guía de administración de NSX
VMware, Inc. 217
Descripción general de IPsec VPNNSX Edge admite IPsec VPN de sitio a sitio entre una instancia de NSX Edge y sitios remotos. Seadmiten la autenticación de certificados, el modo de clave precompartida, el tráfico de unidifusión dedirecciones IP y el protocolo sin enrutamiento dinámico entre la instancia de NSX Edge y los enrutadoresde VPN remotos.
Detrás de cada enrutador de VPN, es posible configurar varias subredes que se conecten a la red internadetrás de una instancia de NSX Edge mediante túneles IPsec.
NOTA: Las subredes y la red interna detrás de una instancia de NSX Edge deben tener un rango dedirecciones que no se superponga.
Si el equipo remoto y el equipo local que están al mismo nivel a través de una IPSec VPN tienendirecciones IP superpuestas, es posible que el tráfico reenviado en el túnel no sea consistente,dependiendo de si existen rutas conectadas locales y rutas asociadas automáticamente.
Puede implementar un agente NSX Edge detrás de un dispositivo NAT. En esta implementación, eldispositivo NAT traduce la dirección de la VPN de una instancia de NSX Edge a una dirección de accesopúblico a la que puede accederse desde Internet. Los enrutadores de VPN remotos utilizan estadirección pública para acceder a la instancia de NSX Edge.
También es posible colocar enrutadores de VPN remotos detrás de un dispositivo NAT. Se debenproporcionar la dirección nativa y el identificador de la puerta de enlace de la VPN para configurar eltúnel. En ambos extremos, se requiere una NAT estática individual para la dirección de la VPN.
La cantidad de túneles necesarios está definida por la cantidad de subredes locales multiplicada por lacantidad de subredes del mismo nivel. Por ejemplo, si hay 10 subredes locales y 10 subredes del mismonivel, se necesitan 100 túneles. La cantidad máxima de túneles admitida se determina según el tamañodel ESG, como se muestra a continuación.
Tabla 14‑11. Cantidad de túneles IPsec por ESG
ESG Cantidad de túneles IPsec
Compacto
512
Grande 1.600
Cuádruple
4096
Extragrande
6.000
Se admiten los siguientes algoritmos de IPsec VPN:
n AES (AES128-CBC)
n AES256 (AES256-CBC)
n Triple DES (3DES192-CBC)
Guía de administración de NSX
VMware, Inc. 218
n AES-GCM (AES128-GCM)
n DH-2 (Diffie–Hellman group 2)
n DH-5 (Diffie–Hellman group 5)
Para acceder a ejemplos de configuración de IPsec VPN, consulte Capítulo 24 Ejemplos deconfiguración de la VPN de NSX Edge.
Para solucionar problemas relacionados con la IPSec VPN, consulte https://kb.vmware.com/kb/2123580.
Configurar el servicio de IPsec VPNEs posible establecer un túnel de NSX Edge entre una subred local y una subred del mismo nivel.
NOTA: Si la conexión a un sitio remoto se realiza mediante una IPsec VPN, el enrutamiento dinámicono puede conocer la dirección IP de ese sitio en el vínculo superior de Edge.
1 Habilitar el servicio IPsec VPN
Debe habilitar el servicio IPsec VPN para que el tráfico fluya de la subred local a la subred delmismo nivel.
2 Utilizar OpenSSL a fin de generar certificados firmados por la entidad de certificación para IPsecVPN
Para habilitar la autenticación de certificados para IPsec, deben importarse los certificados delservidor y los correspondientes certificados firmados por la entidad de certificación. También puedeutilizar una herramienta de línea de comandos de código abierto, como OpenSSL, para generarcertificados firmados por la entidad de certificación.
3 Especificar la configuración global de IPsec VPN
De este modo, se habilita IPsec VPN en la instancia de NSX Edge.
4 Habilitar el registro de IPsec VPN
Es posible habilitar el registro de todo el tráfico de IPsec VPN.
5 Configurar parámetros de IPsec VPN
Es necesario configurar al menos una dirección IP externa en NSX Edge para ofrecer el servicio deIPsec VPN.
Habilitar el servicio IPsec VPNDebe habilitar el servicio IPsec VPN para que el tráfico fluya de la subred local a la subred del mismonivel.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
Guía de administración de NSX
VMware, Inc. 219
4 Haga clic en la pestaña Administrar (Manage) y, a continuación, en la pestaña VPN.
5 Haga clic en IPsec VPN.
6 Haga clic en Habilitar (Enable).
Utilizar OpenSSL a fin de generar certificados firmados por la entidad decertificación para IPsec VPNPara habilitar la autenticación de certificados para IPsec, deben importarse los certificados del servidor ylos correspondientes certificados firmados por la entidad de certificación. También puede utilizar unaherramienta de línea de comandos de código abierto, como OpenSSL, para generar certificados firmadospor la entidad de certificación.
Prerequisitos
Debe estar instalado OpenSSL.
Procedimiento
1 En la máquina Linux o Mac donde esté instalado OpenSSL, abra elarchivo: /opt/local/etc/openssl/openssl.cnf o /System/Library/OpenSSL/openssl.cnf.
2 Asegúrese de que dir = ..
3 Ejecute los siguientes comandos:
mkdir newcerts
mkdir certs
mkdir req
mkdir private
echo "01" > serial
touch index.txt
4 Ejecute el comando para generar un certificado firmado por la entidad de certificación:
openssl req -new -x509 -newkey rsa:2048 -keyout private/cakey.pem -out cacert.pem -days 3650
5 En NSX Edge1, genere una solicitud CSR, copie el contenido del archivo del correo mejorado conprivacidad (PEM) y guárdelo en un archivo en req/edge1.req.
Consulte Configurar un certificado firmado por una entidad de certificación.
Guía de administración de NSX
VMware, Inc. 220
6 Ejecute el comando para firmar la solicitud CSR:
sudo openssl ca -policy policy_anything -out certs/edge1.pem -in req/edge1.req
7 En NSX Edge2, genere una solicitud CSR, copie el contenido del archivo PEM y guárdelo en unarchivo en req/edge2.req.
8 Ejecute el comando para firmar la solicitud CSR:
sudo openssl ca -policy policy_anything -out certs/edge2.pem -in req/edge2.req
9 Cargue el certificado PEM al final del archivo certs/edge1.pem en Edge1.
10 Cargue el certificado PEM al final del archivo certs/edge2.pem en Edge2.
11 Cargue el certificado de la entidad de certificación en el archivo cacert.pem en Edge1 y en Edge2como certificados firmados por la entidad de certificación.
12 En la configuración global de IPsec para Edge1 y Edge2 seleccione el certificado PEM cargado y elcertificado de la entidad de certificación cargado y guarde la configuración.
13 En la pestaña Certificado (Certificate), haga clic en el certificado cargado y registre la cadena DN.
14 Devuelva la cadena DN al formatoC=IN,ST=ka,L=blr,O=bmware,OU=vmware,CN=edge2.eng.vmware.com y guárdela para Edge1 yEdge2.
15 Cree sitios para IPsec VPN en Edge1 y Edge2 con un identificador de configuración regional y unidentificador de mismo nivel como cadena de nombre distinguido (DN) en el formato especificado.
Para verificar el estado, haga clic en Mostrar estadísticas de IPsec (Show IPSec Statistics). Haga clicen el canal para ver el estado del túnel. Tanto el estado del canal como el del túnel deben estar de colorverde.
Especificar la configuración global de IPsec VPNDe este modo, se habilita IPsec VPN en la instancia de NSX Edge.
Prerequisitos
Para habilitar la autenticación del certificado, deben importarse los certificados del servidor y loscorrespondientes certificados firmados por la entidad de autorización. También puede utilizar unaherramienta de línea de comandos de código abierto, como OpenSSL, para generar certificados firmadospor la entidad de certificación.
No pueden utilizarse certificados autofirmados para IPsec VPN. Solo se los puede utilizar en el equilibriode carga y en SSL VPN.
Procedimiento
1 Inicie sesión en vSphere Web Client.
Guía de administración de NSX
VMware, Inc. 221
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Administrar (Manage) y, a continuación, en la pestaña VPN.
5 Haga clic en IPsec VPN.
6 Haga clic en Cambiar (Change) junto al estado Configuración global (Global configuration).
7 Escriba una clave global previamente compartida para los sitios cuyo extremo punto a punto seestablece en cualquier valor y seleccione Mostrar clave compartida (Display shared key) para verla clave.
8 Seleccione Habilitar la autenticación de certificados (Enable certificate authentication) y seleccione elcertificado correspondiente.
9 Haga clic en Aceptar (OK).
Habilitar el registro de IPsec VPNEs posible habilitar el registro de todo el tráfico de IPsec VPN.
De forma predeterminada, el inicio de sesión está habilitado y establecido en el nivel de ADVERTENCIA.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Administrar (Manage) y, a continuación, en la pestaña VPN.
5 Haga clic en VPN con IPsec (IPSec VPN).
6 Haga clic en junto a Directiva de registro (Logging Policy) y haga clic en Habilitar registro(Enable logging) para registrar el flujo de tráfico entre la subred local y la subred del mismo nivel, yseleccione el nivel de registro.
7 Seleccione el nivel de registro y haga clic en Publicar cambios (Publish Changes).
Configurar parámetros de IPsec VPNEs necesario configurar al menos una dirección IP externa en NSX Edge para ofrecer el servicio deIPsec VPN.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
Guía de administración de NSX
VMware, Inc. 222
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Supervisar (Monitor) y seleccione la pestaña VPN.
5 Haga clic en IPsec VPN.
6 Haga clic en el icono Agregar (Add) ( ) .
7 Escriba un nombre para IPsec VPN.
8 Introduzca la dirección IP de la instancia de NSX Edge en Identificador local (Local Id). Este será elidentificador del mismo nivel en el sitio remoto.
9 Introduzca la dirección IP para el extremo local.
Si desea agregar un túnel IP a IP con una clave precompartida, el identificador local y la dirección IPpara el extremo local pueden ser iguales.
10 Introduzca en formato CIDR las subredes para compartir contenido entre los sitios. Utilice la comacomo separador para especificar varias subredes.
11 Introduzca el identificador del mismo nivel para identificar de forma exclusiva el sitio del mismo nivel.Para los elementos del mismo nivel con autenticación por certificado, este identificador debe ser elnombre común indicado en el certificado para el elemento del mismo nivel. Para los elementos delmismo nivel con PSK, este identificador puede ser cualquier cadena. VMware recomienda utilizar ladirección IP pública de la red VPN o un nombre FQDN para el servicio VPN como identificador delmismo nivel.
12 Introduzca la dirección IP para el sitio del mismo nivel en Extremo de elemento del mismo nivel (PeerEndpoint). Si se deja esto en blanco, NSX Edge esperará a que el dispositivo del mismo nivel soliciteuna conexión.
13 Introduzca en formato CIDR la dirección IP interna de la subred del mismo nivel. Utilice la comacomo separador para especificar varias subredes.
14 Seleccione el algoritmo de cifrado.
15 En Método de autenticación (Authentication Method), seleccione una de las siguientes opciones:
Opción Descripción
PSK (Pre Shared Key) (Claveprecompartida [PSK])
Se indica que se utilizará la clave secreta compartida entre NSX Edge y el sitiodel mismo nivel para la autenticación. La clave secreta puede ser una cadenacon un máximo de 128 bytes de longitud.
Certificado (Certificate) Se indica que se utilizará el certificado definido en el nivel global para laautenticación.
16 Introduzca la clave compartida si algún sitio anónimo se conectará al servicio de VPN.
17 Haga clic en Mostrar clave compartida (Display Shared Key) para mostrar la clave en el sitio delmismo nivel.
18 En Grupo Diffie-Hellman (Diffie-Hellman [DH] Group), seleccione el esquema criptográfico con el cualel sitio del mismo nivel y NSX Edge podrán establecer un secreto compartido mediante un canal decomunicaciones no seguro.
Guía de administración de NSX
VMware, Inc. 223
19 En Extensión (Extension), introduzca una de las siguientes opciones:
n securelocaltrafficbyip=direcciónIP para redirigir el tráfico local de Edge mediante el túnel IPsecVPN. Este es el valor predeterminado.
n passthroughSubnets=direcciónIPDeSubredDelMismoNivel para admitir la superposición desubredes.
20 Haga clic en Aceptar (OK).
NSX Edge creará un túnel desde la subred local hasta la subred del mismo nivel.
Qué hacer a continuación
Habilite el servicio de IPsec VPN.
Editar un servicio IPsec VPNEs posible editar un servicio IPsec VPN.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Supervisar (Monitor) y, a continuación, en la pestaña VPN.
5 Haga clic en IPsec VPN.
6 Seleccione el servicio IPsec que desea editar.
7 Haga clic en el icono Editar (Edit) ( ).
8 Edite los valores adecuados.
9 Haga clic en Aceptar (OK).
Deshabilitar el servicio IPsecEs posible deshabilitar un servicio IPsec.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Supervisar (Monitor) y, a continuación, en la pestaña VPN.
5 Haga clic en VPN con IPsec (IPSec VPN).
Guía de administración de NSX
VMware, Inc. 224
6 Seleccione el servicio IPsec que desea deshabilitar.
7 Haga clic en el icono Deshabilitar (Disable) ( ).
Eliminar servicio IPsecEs posible eliminar un servicio IPsec.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Supervisar (Monitor) y, a continuación, en la pestaña VPN.
5 Haga clic en VPN con IPsec (IPSec VPN).
6 Seleccione el servicio IPsec que desea eliminar.
7 Haga clic en el icono Eliminar (Delete) ( ).
Descripción general de VPN de Capa 2La VPN de Capa 2 le permite configurar un túnel entre dos sitios. Las máquinas virtuales permanecen enla misma subred en lugar de moverse entre estos sitios, lo que le permite ampliar el centro de datos. Unainstancia de NSX Edge de un sitio puede proporcionar todos los servicios a las máquinas virtuales deotro sitio.
Para crear el túnel VPN de Capa 2 debe configurar un servidor VPN de Capa 2 y un cliente VPN deCapa 2.
Configurar VPN de Capa 2Para ampliar la red con VPN de Capa 2, debe configurar un servidor VPN de Capa 2 (Edge de destino) yun cliente VPN de Capa 2 (Edge de origen). Para ello, debe habilitar el servicio VPN de Capa 2 tanto enel servidor como en el cliente.
Prerequisitos
Es necesario haber agregado una subinterfaz en una interfaz troncal de NSX Edge. Consulte Agregaruna subinterfaz.
Procedimiento
1 Prácticas recomendadas de VPN L2
Configurar la VPN L2 según las prácticas recomendadas puede evitar problemas como los bucles ylos pings y las respuestas duplicados.
Guía de administración de NSX
VMware, Inc. 225
2 Configurar un servidor VPN de Capa 2
El servidor VPN de Capa 2 es la instancia de NSX Edge de destino a la cual debe conectarse elcliente.
3 Agregar sitios del mismo nivel
Puede conectar varios sitios al servidor VPN de Capa 2.
4 Habilitar el servicio VPN de Capa 2 en el servidor
Debe habilitar el servicio VPN de Capa 2 en el servidor VPN de Capa 2 (NSX Edge de destino). Siya está configurado HA en este dispositivo Edge, asegúrese de que Edge tenga más de unainterfaz interna configurada. Si solo hay una interfaz presente y ya está en uso con HA, laconfiguración de VPN de Capa 2 en la misma interfaz interna genera errores.
5 Configurar el cliente VPN de Capa 2
El cliente VPN de Capa 2 es la instancia de NSX Edge de origen que inicia la comunicación con lainstancia de Edge de destino (servidor VPN de Capa 2).
6 Habilitar el servicio VPN de Capa 2 en el cliente
Debe habilitar el servicio VPN de Capa 2 en el cliente VPN de Capa 2 (NSX Edge de origen).
Prácticas recomendadas de VPN L2Configurar la VPN L2 según las prácticas recomendadas puede evitar problemas como los bucles y lospings y las respuestas duplicados.
Opciones de VPN de Capa 2 para mitigar los bucles
Existen dos opciones para mitigar los bucles. Las instancias de NSX Edge y las máquinas virtualespueden estar en hosts ESXi diferentes o en el mismo host ESXi.
n Opción 1: separar los hosts ESXi para las instancias de Edge de VPN de Capa 2 y las máquinasvirtuales
a Implemente las instancias de Edge y las máquinas virtuales en hosts ESXi distintos.
b Configure la directiva de formación de equipos y conmutación por error para el grupo de puertosdistribuidos asociado con la vNic troncal de Edge de la siguiente forma:
1 Establezca el equilibrio de carga en "Enrutar según el puerto virtual de origen" (Route Basedon originating virtual port).
2 Configure solo un vínculo superior como Activo (Active) y el otro como En espera (Standby).
c Configure la directiva de formación de equipos y conmutación por error para el grupo de puertosdistribuidos asociado con las máquinas virtuales de la siguiente forma:
1 Cualquier directiva de formación de equipos está bien.
2 Es posible configurar varios vínculos superiores.
d Configure las instancias de Edge para que utilicen el modo de puerto de recepción y deshabiliteel modo promiscuo en la vNic troncal.
Guía de administración de NSX
VMware, Inc. 226
n Opción 2: instancias de Edge y máquinas virtuales en el mismo host ESXi
a Configure la directiva de formación de equipos y conmutación por error para el grupo de puertosdistribuidos asociado con la vNic troncal de Edge de la siguiente forma:
1 Establezca el equilibrio de carga en "Enrutar según el puerto virtual de origen" (Route Basedon originating virtual port).
2 Configure solo un vínculo superior como activo y el otro como en espera.
b Configure la directiva de formación de equipos y conmutación por error para el grupo de puertosdistribuidos asociado con las máquinas virtuales de la siguiente forma:
1 Cualquier directiva de formación de equipos está bien.
2 Solo puede haber un vínculo superior activo.
3 El orden de los vínculos superiores activo/en espera debe ser igual en el grupo de puertosdistribuidos de las máquinas virtuales y el grupo de puertos distribuidos de la vNic troncal deEdge.
c Configure la instancia de Edge independiente del lado del cliente para que utilice el modo depuerto de recepción y deshabilite el modo promiscuo en la vNic troncal.
Configurar un puerto de recepción
Cuando una instancia de NSX Edge administrada por NSX se configura como cliente VPN de Capa 2,NSX realiza parte de la configuración automáticamente. Cuando una instancia de NSX Edgeindependiente se configura como cliente VPN de Capa 2, estos pasos de configuración deben realizarsemanualmente.
Si uno de sus sitios VPN no tiene NSX implementado, puede configurar una VPN de Capa 2. Para ello,debe implementar una instancia de NSX Edge independiente en dicho sitio. Para implementar unainstancia de Edge independiente, utilice un archivo OVF que represente una puerta de enlace de Edgeque actúe como cliente VPN de Capa 2 y se implemente en un host que no administre NSX.
Si una vNIC de enlace troncal de una instancia de Edge independiente se conecta a un conmutadorvSphere Distributed Switch, se requiere el modo promiscuo o un puerto de recepción para la funciónVPN de Capa 2. La utilización del modo promiscuo puede provocar pings duplicados y respuestasduplicadas. Por este motivo, se recomienda utilizar el modo de puerto de recepción en la configuraciónde la instancia de NSX Edge independiente de VPN de Capa 2.
Prerequisitos
Se necesita el número de puerto de la vNIC de enlace troncal de la instancia de Edge independiente.
Procedimiento
1 Recupere el valor de dvsUuid:
a Vaya a la interfaz de usuario de vCenter MOB. en https://<vc-ip>/mob?vmodl=1.
b Haga clic en contenido (content).
c Haga clic en el vínculo asociado con rootFolder (por ejemplo, group-d1 [Datacenters]).
Guía de administración de NSX
VMware, Inc. 227
d Haga clic en el vínculo asociado con childEntity (por ejemplo: datacenter-1).
e Haga clic en el vínculo asociado con networkFolder (por ejemplo: group-n6).
f Haga clic en el vínculo del nombre de DVS para el conmutador vSphere Distributed Switchasociado con las instancias de NSX Edge (por ejemplo: dvs-1 [Mgmt_VDS]).
g Copie el valor de la cadena uuid.
2 Modifique la opción selectionSet en el explorador de objetos administrados por vCenter (MOB).
a Inicie sesión en la interfaz de usuario de vCenter MOB, en https://<vc-ip>/mob?vmodl=1.
b Haga clic en contenido (content).
c Haga clic en DVSManager.
d Haga clic en updateOpaqueDataEx.
e En el cuadro del valor selectionSet, pegue el siguiente bloque XML:
<selectionSet xsi:type="DVPortSelection">
<dvsUuid>c2 1d 11 50 6a 7c 77 68-e6 ba ce 6a 1d 96 2a 15</dvsUuid> <!--example only-->
<portKey>393</portKey> <!--port number of the DVPG where SINK to be set-->
</selectionSet>
Utilice el valor dvsUuid que recuperó de vCenter MOB.
Guía de administración de NSX
VMware, Inc. 228
f En el cuadro del valor opaqueDataSpec, pegue uno de los siguientes bloques XML:
Para habilitar el puerto de recepción:
<opaqueDataSpec>
<operation>edit</operation>
<opaqueData>
<key>com.vmware.etherswitch.port.extraEthFRP</key>
<opaqueData
xsi:type="vmodl.Binary">AAABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAA=</opaqueData>
</opaqueData>
</opaqueDataSpec>
Para deshabilitar el puerto de recepción:
<opaqueDataSpec>
<operation>edit</operation>
<opaqueData>
<key>com.vmware.etherswitch.port.extraEthFRP</key>
<opaqueData
xsi:type="vmodl.Binary">AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAA=</opaqueData>
</opaqueData>
</opaqueDataSpec>
g Establezca el booleano isRuntime en false.
h Haga clic en Invocar método (Invoke Method).
Configurar un servidor VPN de Capa 2El servidor VPN de Capa 2 es la instancia de NSX Edge de destino a la cual debe conectarse el cliente.
Procedimiento
1 En la pestaña VPN de Capa 2 (L2 VPN), seleccione Servidor (Server) y haga clic en Cambiar(Change).
2 En IP de agente de escucha (Listener IP), escriba la dirección IP principal o secundaria de unainterfaz externa de NSX Edge.
3 El puerto predeterminado para el servicio VPN de Capa 2 es 443. Si es necesario, edite esta opción.
4 Seleccione el algoritmo de encriptación para la comunicación entre el servidor y el cliente.
5 Seleccione el certificado que desea enlazar al servidor SSL VPN.
6 Haga clic en Aceptar (OK).
Guía de administración de NSX
VMware, Inc. 229
Agregar sitios del mismo nivelPuede conectar varios sitios al servidor VPN de Capa 2.
NOTA: Al cambiar los ajustes de la configuración del sitio, NSX Edge desconecta y vuelve a conectartodas las conexiones existentes.
Procedimiento
1 En la pestaña VPN de Capa 2 (L2 VPN), asegúrese de que la opción Modo VPN de Capa 2 (L2 VPNMode) esté establecida en Servidor (Server).
2 En Detalles de configuración del sitio (Site Configuration Details), haga clic en el icono Agregar(Add).
3 Escriba un nombre único para el sitio del mismo nivel.
4 Escriba el nombre de usuario y la contraseña con las que se autentica el sitio del mismo nivel. Lascredenciales de usuario en el sitio del mismo nivel deben ser las mismas que las del lado del cliente.
5 En Interfaces ampliadas (Stretched Interfaces), haga clic en Seleccionar subinterfaces (SelectSub Interfaces) para seleccionar las subinterfaces que se ampliarán junto con el cliente.
a En Seleccionar objeto (Select Object), seleccione la interfaz troncal para Edge.
Aparecen las subinterfaces configuradas en la vNIC de tronco.
b Haga doble clic en las subinterfaces que se ampliarán.
c Haga clic en Aceptar (OK).
6 Si la puerta de enlace predeterminada de las máquinas virtuales es la misma en los dos sitios,escriba las direcciones IP de la puerta de enlace donde el tráfico debe enrutarse localmente o dondeel tráfico debe bloquearse por medio del túnel en Dirección de la puerta de enlace deoptimización de egreso (Egress Optimization Gateway Address).
7 Haga clic en Aceptar (OK) y, a continuación, en Publicar cambios (Publish Changes).
Habilitar el servicio VPN de Capa 2 en el servidorDebe habilitar el servicio VPN de Capa 2 en el servidor VPN de Capa 2 (NSX Edge de destino). Si yaestá configurado HA en este dispositivo Edge, asegúrese de que Edge tenga más de una interfaz internaconfigurada. Si solo hay una interfaz presente y ya está en uso con HA, la configuración de VPN deCapa 2 en la misma interfaz interna genera errores.
Procedimiento
1 Para ir a la instancia de NSX Edge de destino, desplácese hasta Administrar (Manage) > VPN >VPN de Capa 2 (L2 VPN).
2 En Configuración del servicio VPN de Capa 2 (L2 VPN Service Configuration), haga clic enHabilitar (Enable).
Guía de administración de NSX
VMware, Inc. 230
Qué hacer a continuación
Cree una regla de firewall o NAT en el lado del firewall orientado a Internet para permitir la conexión entreel cliente y el servidor.
Configurar el cliente VPN de Capa 2El cliente VPN de Capa 2 es la instancia de NSX Edge de origen que inicia la comunicación con lainstancia de Edge de destino (servidor VPN de Capa 2).
También se puede configurar una instancia independiente de Edge como el cliente VPN de Capa 2.Consulte Configurar un dispositivo Edge independiente como cliente VPN de Capa 2.
Procedimiento
1 En la pestaña VPN de Capa 2 (L2 VPN), establezca la opción Modo VPN de Capa 2 (L2 VPN Mode)en Cliente (Client) y haga clic en Cambiar (Change).
2 Introduzca la dirección para el servidor VPN de Capa 2 al que se debe conectar este cliente. Ladirección puede ser el nombre de host o la dirección IP.
3 Si es necesario, edite el puerto predeterminado al que se debe conectar el cliente VPN de Capa 2.
4 Seleccione el algoritmo de cifrado para la comunicación con el servidor.
5 En Interfaces extendidas (Stretched Interfaces), haga clic en Seleccionar interfacessubordinadas (Select Sub Interfaces) para seleccionar las interfaces subordinadas que seextenderán hasta el servidor.
a En Seleccionar objeto (Select Object), seleccione la interfaz troncal para Edge.
Aparecen las subinterfaces configuradas en la vNIC de tronco.
b Haga doble clic en las subinterfaces que se ampliarán.
c Haga clic en Aceptar (OK).
6 Escriba una descripción.
7 En Dirección de puerta de enlace de optimización de egreso (Egress Optimization GatewayAddress), introduzca la dirección IP de puerta de enlace de las interfaces subordinadas o lasdirecciones IP por las que no debe fluir el tráfico en el túnel.
8 En Detalles de usuario (User Details), introduzca las credenciales del usuario para su autenticaciónen el servidor.
9 Haga clic en la pestaña Avanzado (Advanced).
Si la instancia de NSX Edge cliente no dispone de acceso directo a Internet y necesita llegar a lainstancia de NSX Edge de origen (servidor) mediante un servidor proxy, especifique los valores deConfiguración del proxy (Proxy Settings).
10 Para habilitar solo las conexiones de proxy seguro, seleccione Habilitar proxy seguro (EnableSecure Proxy).
11 Introduzca la dirección, el puerto, el nombre de usuario y la contraseña para el servidor proxy.
Guía de administración de NSX
VMware, Inc. 231
12 Para habilitar la validación de certificados de servidor, seleccione Validar certificado de servidor(Validate Server Certificate) y elija el certificado de la entidad de certificación correspondiente.
13 Haga clic en Aceptar (OK) y, a continuación, en Publicar cambios (Publish Changes).
Qué hacer a continuación
Asegúrese de que el firewall orientado a Internet permita el flujo de tráfico desde la instancia de Edgecon VPN de Capa 2 hacia Internet. El puerto de destino es 443.
Habilitar el servicio VPN de Capa 2 en el clienteDebe habilitar el servicio VPN de Capa 2 en el cliente VPN de Capa 2 (NSX Edge de origen).
Procedimiento
1 Para ir a la instancia de NSX Edge de origen, desplácese hasta Administrar (Manage) > VPN >VPN de Capa 2 (L2 VPN).
2 En Configuración del servicio VPN de Capa 2 (L2 VPN Service Configuration), haga clic enHabilitar (Enable).
Qué hacer a continuación
n Cree una regla de firewall o NAT en el lado del firewall orientado a Internet para permitir la conexiónentre el cliente y el servidor.
n Si una vNIC troncal respaldada por un grupo de puertos estándar se va a ampliar, habilitemanualmente el tráfico de VPN de Capa 2 con los pasos siguientes:
a Establezca Modo promiscuo (Promiscuous mode) en Aceptar (Accept).
b Establezca Transmisiones falsificadas (Forged Transmits) en Aceptar (Accept).
Para obtener más información, consulte la documentación de ESXi y vCenter Server 5.5.
Configurar un dispositivo Edge independiente como cliente VPNde Capa 2Si uno de los sitios que desea ampliar no está respaldado por NSX, puede implementar una instancia deEdge independiente como cliente VPN de Capa 2 en ese sitio.
Prerequisitos
Ha creado un grupo de puertos troncales para que la interfaz troncal de la instancia de Edgeindependiente se conecte a ese grupo. Este grupo de puertos requiere cierta configuración manual:
n Si el grupo de puertos troncales está en un conmutador estándar de vSphere, debe seguir estospasos:
n Habilite las transmisiones falsificadas.
n Habilite el modo promiscuo.
Consulte la Guía de redes de vSphere.
Guía de administración de NSX
VMware, Inc. 232
n Si el grupo de puertos troncales está en un conmutador vSphere Distributed Switch, debe seguirestos pasos:
n Habilite las transmisiones falsificadas. Consulte la Guía de redes de vSphere.
n Habilite el puerto de recepción para la vNic de tronco o habilite el modo promiscuo. La prácticarecomendada es habilitar un puerto de recepción.
La configuración del puerto de recepción debe realizarse después de implementar la instancia deEdge independiente, ya que se debe cambiar la configuración del puerto conectado a la vNIC detronco de Edge.
Procedimiento
1 Con vSphere Web Client, inicie sesión en la instancia de vCenter Server que administra el entornoque no es de NSX.
2 Seleccione Hosts y clústeres (Hosts and Clusters) y expanda los clústeres para mostrar los hostsdisponibles.
3 Haga clic con el botón derecho en el host en el que desea instalar la instancia de Edgeindependiente y seleccione Implementar plantilla de OVF (Deploy OVF Template).
4 Introduzca la URL para descargar e instalar el archivo OVF desde Internet, o bien haga clic enExaminar (Browse) para buscar la carpeta en el equipo que contiene el archivo OVF de la instanciade Edge independiente y, a continuación, haga clic en Siguiente (Next).
5 En la página Detalles de la plantilla de OVF (OVF Template Details), revise los detalles de la plantillay haga clic en Siguiente (Next).
6 En la página Seleccionar nombre y carpeta (Select name and folder), escriba un nombre para lainstancia de Edge independiente y seleccione la carpeta o el centro de datos donde desea realizar laimplementación. A continuación, haga clic en Siguiente (Next).
7 En la página Select Storage (Seleccionar almacenamiento), seleccione la ubicación para almacenarlos archivos de la plantilla implementada.
8 En la página Seleccionar redes (Select networks), configure las redes que debe utilizar la plantillaimplementada. Haga clic en Siguiente (Next).
n La interfaz pública es la interfaz de vínculo superior.
n La interfaz de tronco se utiliza para crear subinterfaces para las redes que se ampliarán. Conecteesta interfaz al grupo de puertos troncales creado.
9 En la página Personalizar plantilla (Customize Template), especifique los siguientes valores.
a Escriba la contraseña de administrador de la CLI y, a continuación, vuelva a escribirla.
b Escriba la contraseña de habilitación de la CLI y, a continuación, vuelva a escribirla.
c Escriba la contraseña raíz de la CLI y, a continuación, vuelva a escribirla.
d Escriba la dirección IP del vínculo superior y la longitud del prefijo y, de manera opcional, ladirección IP del DNS y la puerta de enlace predeterminada.
Guía de administración de NSX
VMware, Inc. 233
e Seleccione el cifrado que se utilizará para la autenticación. Esta opción debe coincidir con elcifrado utilizado en el servidor VPN de Capa 2.
f Para habilitar la optimización de egreso, escriba las direcciones IP de la puerta de enlace paralas cuales debe enrutarse localmente el tráfico o para las cuales debe bloquearse el tráfico por eltúnel.
g Escriba el puerto y la dirección del servidor VPN de Capa 2.
h Escriba el nombre de usuario y la contraseña con las que se autentica el sitio del mismo nivel.
i En VLAN de subinterfaces (identificador de túnel) (Sub Interfaces VLAN [Tunnel ID]), escriba losidentificadores de VLAN de las redes que desea ampliar. Puede introducir los identificadores deVLAN en una lista separada por comas o un rango. Por ejemplo: 2,3,10-20.
Si desea cambiar el identificador de VLAN de la red antes de ampliar el sitio de la instancia deEdge independiente, puede escribir el identificador de VLAN de la red y, a continuación, escribirel identificador de túnel entre paréntesis. Por ejemplo: 2(100),3(200). El identificador de túnel seutiliza para asignar las redes que se van a ampliar. Sin embargo, no se puede especificar elidentificador de túnel con un rango. Por ejemplo, no se permitiría lo siguiente: 10(100)-14(104).Debe volver a escribirlo de la siguiente manera: 10(100),11(101),12(102),13(103),14(104).
j Si la instancia de NSX Edge independiente no tiene acceso directo a Internet y necesitacomunicarse con la instancia de NSX Edge de origen (servidor) mediante un servidor proxy,escriba la dirección, el puerto, el nombre de usuario y la contraseña del proxy.
k Si hay una entidad de certificación raíz disponible, puede pegarla en la sección Certificado(Certificate).
l Haga clic en Siguiente (Next).
10 En la página Ready to complete (Listo para finalizar), revise la configuración de la instancia de Edgeindependiente y haga clic en Finish (Finalizar).
Qué hacer a continuación
Encienda la máquina virtual de la instancia de Edge independiente.
Anote el número de puerto de la vNIC de tronco y configure un puerto de recepción. Consulte Configurarun puerto de recepción .
Realice cualquier cambio de configuración sucesivo mediante la interfaz de línea de comandos de lainstancia de Edge independiente. Consulte la Referencia de la interfaz de línea de comandos de NSX.
Ver estadísticas de la VPN de Capa 2Puede ver las estadísticas de la VPN de Capa 2, como el estado de túnel, los bytes enviados y recibidos,etc., de la instancia de NSX Edge de origen y destino.
Procedimiento
1 En la pestaña VPN de Capa 2 (L2 VPN) asegúrese de que el Modo VPN de Capa 2 (L2 VPN Mode)sea Cliente (Client).
Guía de administración de NSX
VMware, Inc. 234
2 Haga clic en Estado de obtención (Fetch Status) y expanda el Estado del túnel (Tunnel Status).
Si el servidor de la VPN de Capa 2 tiene varios sitios del mismo nivel, se muestran las estadísticasde todos ellos.
Qué hacer a continuación
Para ver las redes configuradas en una interfaz troncal, desplácese hasta Administrar (Manage) >Configuración (Settings) > Interfaces de la instancia Edge y haga clic en Troncal (Trunk) en lacolumna Tipo (Type).
Guía de administración de NSX
VMware, Inc. 235
Equilibrador de carga lógico 15El equilibrador de carga de NSX Edge habilita el servicio de disponibilidad alta y distribuye la carga deltráfico de red entre varios servidores. Distribuye las solicitudes de servicio entrante de manera uniformeentre los diversos servidores de forma tal que la distribución de carga sea transparente para los usuarios.Así, el equilibrio de carga ayuda a lograr una utilización de recursos óptima, maximizar la capacidad deproceso, minimizar el tiempo de respuesta y evitar la sobrecarga. NSX Edge proporciona el equilibrio decarga hasta la capa 7.
Usted asigna una dirección IP externa, o pública, a un conjunto de servidores internos para el equilibriode la carga. El equilibrador de carga acepta las solicitudes TCP, UDP, HTTP o HTTPS en la dirección IPexterna y decide qué servidor interno se va a utilizar. El puerto 80 es el puerto predeterminado paraHTTP y el puerto 443 es el puerto predeterminado para HTTPS.
Debe contar con una instancia de NSX Edge que funcione para poder equilibrar la carga. Para obtenerinformación sobre cómo configurar NSX Edge, consulte Configuración de NSX Edge.
Para obtener información sobre cómo configurar un certificado de NSX Edge, consulte Trabajar concertificados.
Este capítulo cubre los siguientes temas:n Configurar equilibrio de carga
n Administrar perfiles de aplicaciones
n Administrar monitores de servicio
n Administrar grupos de servidores
n Administrar servidores virtuales
n Administrar reglas de aplicaciones
n Servidores web de equilibrio de carga que utilizan autenticación NTLM
n Escenarios de configuración del equilibrador de carga de NSX
VMware, Inc. 236
Configurar equilibrio de cargaEl equilibrador de carga de NSX Edge distribuye el tráfico de red en varios servidores para optimizar lautilización de recursos.
El equilibrador de carga de NSX es compatible con los motores del equilibrio de carga de Capa 4 y Capa7. El equilibrador de carga de Capa 4 está basado en paquetes y el equilibrador de carga de Capa 7 estábasado en sockets.
Un equilibrio de carga basado en paquetes se implementa en la capa de TCP y UDP. El equilibrio decarga basado en paquetes no detiene la conexión ni almacena en el búfer la solicitud completa, en sulugar, envía el paquete directamente al servidor seleccionado tras manipular el paquete. Las sesiones deTCP y UDP se mantienen en el equilibrador de carga para que los paquetes de una sesión única sedirijan al mismo servidor. Puede seleccionar Aceleración habilitada (Acceleration Enabled) tanto en laconfiguración global como en la configuración de los servidores virtuales relevantes para habilitar elequilibrio de carga basado en paquetes.
Se implementa un equilibrio de carga basado en sockets en la parte superior de la interfaz del socket. Seestablecen dos conexiones para una única solicitud, una conexión orientada al cliente y una conexiónorientada al servidor. La conexión orientada al servidor se establece tras la selección del servidor. Para laimplementación basada en socket de HTTP, se recibe la solicitud completa antes de enviarla al servidorseleccionado con la manipulación de Capa 7 opcional. Para la implementación basada en socket deHTTPS, la información de autenticación se intercambia en la conexión orientada al cliente o bien en laconexión orientada al servidor. El equilibrio de carga basado en socket es el modo predeterminado paralos servidores virtuales de TCP, HTTP y HTTPS.
Los conceptos clave del equilibrador de carga de NSX son los servidores virtuales, el grupo deservidores, el miembro del grupo de servidores y el monitor de servicio.
Servidor virtual Resumen del servicio de una aplicación, representada por una únicacombinación de IP, puerto y protocolos como TCP o UDP.
Grupo de servidores Grupo de servidores backend.
Miembro del grupo deservidores
Representa el servidor backend como miembro en un grupo.
Supervisión delservicio
Define cómo comprobar el estado de un servidor backend.
Para empezar, configure las opciones locales del equilibrador de carga. Ahora puede crear un grupo deservidores compuesto por servidores backend y asociar un supervisor de servicio al grupo paraadministrar y compartir los servidores backend de forma eficaz.
A continuación puede crear un perfil de aplicación para definir el comportamiento de la aplicación comúnen un equilibrador de carga como por ejemplo, el cliente SSL, el servidor SSL, x-forwarded-for o lapersistencia. La persistencia envía solicitudes posteriores con características similares, la IP de origen ola cookie deben enviarse al mismo miembro del grupo, sin ejecutar el algoritmo de equilibrio de carga. Elperfil de la aplicación se puede volver a usar en los servidores virtuales.
Guía de administración de NSX
VMware, Inc. 237
Se puede crear una regla de aplicación opcional para establecer la configuración específica de lasaplicaciones para la manipulación del tráfico como por ejemplo, hacer coincidir una URL o un nombre dehost concretos para que distintos grupos puedan llevar a cabo distintas solicitudes. El siguiente paso escrear un monitor de servicio para definir los parámetros de comprobación de estado del equilibrador decarga.
Cuando el servidor virtual recibe una solicitud, el algoritmo del equilibrio de carga tiene en cuenta laconfiguración del miembro del grupo y el estado del tiempo de ejecución. El algoritmo calcula el grupoapropiado para distribuir el tráfico e incluye a uno o varios miembros. La configuración de los miembrosdel grupo incluye opciones como peso, conexión máxima y estado de la condición. El estado del tiempode ejecución incluye las conexiones actuales, el tiempo de respuesta y la información sobre el estado demantenimiento. Los métodos de cálculos pueden ser round robin, weighted round robin, least connectiono hash de IP de origen.
El monitor de servicio asociado supervisa a cada grupo. Cuando el equilibrador de carga detecta unproblema en un servidor del grupo, lo marca como fuera de servicio (DOWN). Solo se selecciona elservidor activo (UP) cuando se elige un miembro del grupo de servidores. Si el grupo de servidores noestá configurado con un monitor de servicio, todos los miembros del grupo se consideran activos (UP).
n Configurar el servicio de equilibrador de carga
Puede especificar parámetros de configuración del equilibrador de carga global.
n Crear un monitor de servicio
El monitor de servicio se crea para definir los parámetros de comprobación de estado de un tipo detráfico de red en especial. Cuando asocia un monitor de servicio con un grupo, los miembros delgrupo se supervisan según los parámetros del monitor de servicio.
n Agregar un grupo de servidores
Es posible agregar un grupo de servidores para administrar y compartir servidores de back-end deforma flexible y eficiente. Un grupo administra los métodos de distribución de equilibradores decarga y contiene un monitor de servicios asociado para los parámetros de comprobación de estado.
n Crear un perfil de aplicación
Puede crear un perfil de aplicación para definir el comportamiento de un tipo de tráfico de red enparticular. Después de configurar un perfil, este debe asociarse con un servidor virtual. Acontinuación, el servidor virtual procesa el tráfico según los valores especificados en el perfil. El usode perfiles mejora el control de la administración del tráfico de red y hace que las tareas deadministración de tráfico sean más sencillas y eficaces.
n Agregar una regla de aplicación
Puede escribir una regla de aplicación para manipular directamente el tráfico de las aplicaciones yadministrarlo.
n Agregar servidores virtuales
Es posible agregar una interfaz interna o de vínculo superior de NSX Edge como un servidor virtual.
Guía de administración de NSX
VMware, Inc. 238
Configurar el servicio de equilibrador de cargaPuede especificar parámetros de configuración del equilibrador de carga global.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en una instancia de NSX Edge.
4 Haga clic en Administrar (Manage) y seleccione la pestaña Equilibrador de carga (Load Balancer).
5 Haga clic en Editar (Edit).
6 Seleccione las casillas de verificación situadas junto a las opciones que desea habilitar.
Opción Descripción
Habilitar equilibrador de carga (EnableLoad Balancer)
Permite que el equilibrador de carga de NSX Edge distribuya tráfico a servidoresinternos para equilibrar la carga.
Habilitar aceleración (EnableAcceleration)
Cuando se habilita esta opción de forma global, cada IP virtual utiliza el motor LBde Capa 4 más rápido en lugar del motor LB de Capa 7.
La VIP TCP de Capa 4 se procesa antes que Edge Firewall para que no serequiera una regla Permitir firewall (Allow firewall). Las VIP HTTP/HTTPS deCapa 7 se procesan después de Edge Firewall.
Si se selecciona la opción Habilitar aceleración (Enable Acceleration), una reglade Edge Firewall debe permitir el acceso a la VIP HTTP/HTTPS de Capa 7.
Si se selecciona la marca Habilitar aceleración (Enable Acceleration) con la VIPTCP de Capa 4 y el grupo de servidores está en el modo no transparente, seagregará una regla SNAT. En consecuencia, asegúrese de que el firewall estéhabilitado en NSX Edge.
Si la marca Habilitar aceleración no está seleccionada (Enable Acceleration) conla VIP TCP de Capa 4 y el firewall está habilitado, la regla de Edge Firewalldeberá permitir acceso a la VIP HTTP/HTTPS de Capa 7.
Registro (Logging) El equilibrador de carga de NSX Edge recopila registros de tráfico.
Puede seleccionar el nivel de registro en el menú desplegable. Los registros seexportan al servidor syslog configurado. Asimismo, puede utilizar el comandoshow log follow para incluir los registros del equilibrio de carga en una lista.
Las opciones Depurar (Debug) e Información (Info) registran las solicitudes deusuarios finales. Las opciones Advertencia (Warning), Error y Crítico (Critical) noregistran las solicitudes de usuarios finales.
Habilitar inserción de servicios (EnableService Insertion)
Permite que el equilibrador de carga funcione con servicios de terceros.
Si tiene un servicio de equilibrador de carga de terceros implementado en suentorno, consulte Usar el equilibrador de carga de un partner.
7 Haga clic en Aceptar (OK).
Guía de administración de NSX
VMware, Inc. 239
Crear un monitor de servicioEl monitor de servicio se crea para definir los parámetros de comprobación de estado de un tipo detráfico de red en especial. Cuando asocia un monitor de servicio con un grupo, los miembros del grupose supervisan según los parámetros del monitor de servicio.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en una instancia de NSX Edge.
4 Haga clic en Administrar (Manage) y seleccione la pestaña Equilibrador de carga (Load Balancer).
5 En el panel de navegación izquierdo, haga clic en Supervisión de servicio (Service Monitoring).
6 Haga clic en el icono Agregar (Add) ( ).
7 Introduzca un nombre para el monitor de servicio.
8 Introduzca el intervalo en segundos en el cual se debe hacer ping al servidor.
9 Introduzca la cantidad de veces que se debe hacer ping al servidor antes de declararlo inactivo.
10 Introduzca la cantidad máxima de tiempo en segundos en la cual se debe recibir una respuesta delservidor.
11 Seleccione cómo enviar la solicitud de revisión de estado al servidor desde el menú desplegable.
12 En el caso de tráfico HTTP y HTTPS, realice los pasos siguientes.
a Introduzca la cadena en la que el monitor espera coincidir en la línea de estado de la respuestade HTTP en la sección esperada (Expected section).
Por ejemplo, 200, 301, 302, 401.
b Seleccione en el menú desplegable el método para detectar el estado del servidor.
c Introduzca la URL que se debe utilizar en la solicitud de muestra.
d Si selecciona el método POST, introduzca los datos que se deben enviar.
13 Introduzca la cadena que debe coincidir con la respuesta en la sección de recepción (Receivesection).
Si no coincide con la cadena de la sección esperada (Expected section), el monitor no intentarácoincidir con el contenido de recepción.
14 Introduzca los parámetros del monitor avanzados como las parejas key=value en la sección deextensión (Extension section).
Por ejemplo, warning=10 indica que si un servidor no responde en un lapso de 10 segundos, elestado se establecerá como advertencia (warning).
Guía de administración de NSX
VMware, Inc. 240
Todos los elementos de extensión deben separarse con un carácter de retorno de carro.
<extension>eregi="(OK1|OK2)"</extension>
Consulte la tabla para las extensiones de protocolo compatibles.
Tabla 15‑1. Extensiones para el protocolo TCP
Extensión del monitor Descripción
escape Se pueden utilizar \n, \r, \t o \ en la cadena send o quit. Debeaparecer antes de la opción send o quit. Valorpredeterminado: nada agregado a send, \r\n agregado al finalde quit.
all Todas las cadenas esperadas deben estar presentes en larespuesta del servidor. El valor predeterminado es any.
quit=STRING Cadena para enviar al servidor para iniciar un cierre correctode la conexión.
refuse=ok|warn|crit Se aceptan los rechazos de TCP en los estados ok, warn ocrit. El valor predeterminado es crit.
mismatch=ok|warn|crit Se aceptan las faltas de coincidencia de la cadena esperadacon los estados ok, warn o crit. El valor predeterminado eswarn.
jail Se ocultan los resultados del socket de TCP.
maxbytes=INTEGER Se cierra la conexión cuando se recibe una cantidad de bytessuperior a la especificada.
delay=INTEGER Segundos que se deben esperar entre el envío de la cadenay el sondeo de la respuesta.
certificate=INTEGER[,INTEGER] Cantidad mínima de días que debe tener de validez uncertificado. El primer valor es #days para la advertencia y elsegundo valor es critical (si no se especifica, 0).
ssl-version=3 Forzar protocolo de enlace de SSL a través de sslv3.
Sslv3 y tlsv1 están deshabilitadas de forma predeterminadaen la opción para comprobar el estado.
ssl-version=10 Forzar protocolo de enlace de SSL a través de tls 1.0.
ssl-version=11 Forzar protocolo de enlace de SSL a través de tls 1.1.
ssl-version=12 Forzar protocolo de enlace de SSL a través de tls 1.2.
ciphers=’ECDHE-RSA-AES256-GCM-SHA384’ Mostrar los cifrados utilizados para comprobar el estado deHTTPS.
warning=DOUBLE Tiempo de respuesta en segundos antes de que aparezca elestado de advertencia.
critical=DOUBLE Tiempo de respuesta en segundos antes de que aparezca elestado crítico.
Guía de administración de NSX
VMware, Inc. 241
Tabla 15‑2. Extensiones para el protocolo HTTP/HTTPS
Extensión del monitor Descripción
no-body No esperar el cuerpo del documento: se interrumpe la lecturadespués de los encabezados. Observe que se siguenhaciendo llamadas HTTP/GET o POST, no HEAD.
max-age=SECONDS Se advierte si el documento tiene más de segundos deantigüedad que el valor que se especifica en SECONDS. Elnúmero también puede tener el formato 10m para minutos,10h para horas o 10d para días.
content-type=STRING Se especifica el tipo de medios de encabezado Content-Typeen las llamadas POST.
linespan Se permite que la expresión regular expanda líneas nuevas(debe preceder -r o -R).
regex=STRING o ereg=STRING Se busca la expresión regular STRING en la página.
eregi=STRING Se busca la expresión regular STRING sin distinguir entremayúsculas y minúsculas en la página.
invert-regex Se devuelve CRITICAL si se encuentra, OK si no.
proxy-authorization=AUTH_PAIR Username:password en servidores proxy con autenticaciónbásica.
useragent=STRING Cadena que se debe enviar en encabezado HTTP comoUser Agent
header=STRING Cualquier otra etiqueta que se debe enviar en un encabezadoHTTP. Se utiliza varias veces para encabezados adicionales.
onredirect=ok|warning|critical|follow|sticky|stickyport Cómo controlar las páginas redirigidas. sticky es comofollow, pero se queda con la dirección IP especificada.stickyport también garantiza que el puerto permanezcaigual.
pagesize=INTEGER:INTEGER Tamaño de página mínimo necesario (bytes) : tamaño depágina máximo necesario (bytes).
warning=DOUBLE Tiempo de respuesta en segundos antes de que aparezca elestado de advertencia.
critical=DOUBLE Tiempo de respuesta en segundos antes de que aparezca elestado crítico.
Tabla 15‑3. Extensiones para el protocolo HTTPS
Extensión del monitor Descripción
sni Se habilita la compatibilidad con la extensión de nombre dehost SSL/TLS (SNI).
certificate=INTEGER Cantidad mínima de días que debe tener de validez uncertificado. El valor predeterminado del puerto es 443.Cuando se utiliza esta opción, no se comprueba la URL.
authorization=AUTH_PAIR Username:password en sitios con autenticación básica.
15 Haga clic en Aceptar (OK).
Guía de administración de NSX
VMware, Inc. 242
Qué hacer a continuación
Asocie un monitor de servicio con un grupo.
Agregar un grupo de servidoresEs posible agregar un grupo de servidores para administrar y compartir servidores de back-end de formaflexible y eficiente. Un grupo administra los métodos de distribución de equilibradores de carga ycontiene un monitor de servicios asociado para los parámetros de comprobación de estado.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en una instancia de NSX Edge.
4 Haga clic en Administrar (Manage) y seleccione la pestaña Equilibrador de carga (Load Balancer).
5 En el panel de navegación izquierdo, haga clic en Grupos (Pools).
6 Haga clic en el icono Agregar (Add) ( ).
7 Introduzca un nombre y una descripción para el grupo de equilibradores de carga.
8 Seleccione el método de equilibrio del algoritmo para cada servicio habilitado.
Opción Descripción
IP-HASH Selecciona un servidor según un hash de la dirección IP de origen y el peso totalde los servidores en ejecución.
Los parámetros del algoritmo se deshabilitan para esta opción.
LEASTCONN Se distribuyen las solicitudes de los clientes entre varios servidores según lacantidad de conexiones existentes en el servidor.
Las conexiones nuevas se envían al servidor con menos conexiones.
Los parámetros del algoritmo se deshabilitan para esta opción.
ROUND_ROBIN Se utiliza un servidor por vez según el peso que se le haya asignado a cada uno.
Este es el algoritmo más uniforme y justo para mantener el tiempo deprocesamiento de cada servidor distribuido equitativamente.
Los parámetros del algoritmo se deshabilitan para esta opción.
Guía de administración de NSX
VMware, Inc. 243
Opción Descripción
URI Se aplica un hash sobre la porción izquierda del URI (antes del signo deinterrogación) que se divide entre el peso total de los servidores en ejecución.
El resultado permite designar el servidor que recibirá la solicitud. Esto garantizaque cada URI se dirija siempre al mismo servidor, a menos que el servidor seactive o desactive.
El parámetro del algoritmo URI tiene dos opciones uriLength=<len> yuriDepth=<dep>. El rango del parámetro de longitud debe ser 1<=len<256. Elrango del parámetro de profundidad debe ser 1<=dep<10.
Los parámetros de longitud y de profundidad están seguidos de un númeroentero positivo. Estas opciones pueden equilibrar los servidores según elprincipio del URI exclusivamente. El parámetro de longitud indica que el algoritmosolo debe considerar los caracteres definidos al principio del URI para calcular elhash.
El parámetro de profundidad indica la profundidad del directorio que se va autilizar para calcular el hash. Se cuenta un nivel por cada barra diagonal en lasolicitud. Si se especifican ambos parámetros, la evaluación se detiene cuandose llega a cualquiera de los dos.
HTTPHEADER El nombre del encabezado HTTP se busca en cada solicitud HTTP.
El nombre del encabezado entre paréntesis no distingue entre mayúsculas yminúsculas, de forma similar a la función ACL "hdr()". Si no hay encabezado oeste no contiene ningún valor, se aplicará el algoritmo round robin.
El parámetro del algoritmo HTTPHEADER tiene una opciónheaderName=<name>. Por ejemplo, puede utilizar host como el parámetro delalgoritmo HTTPHEADER.
URL El parámetro URL especificado en el argumento se busca en la cadena deconsulta de cada solicitud HTTP GET.
Si el parámetro está seguido de un signo igual (=) y un valor, el valor se dividiráentre el peso total de los servidores en ejecución y se le aplicará un hash. Elresultado permite designar el servidor que recibirá la solicitud. Este proceso seutiliza para realizar el seguimiento de los identificadores de usuario de lassolicitudes y para garantizar que se envía el mismo ID de usuario al mismoservidor, a menos que el servidor se active o se desactive.
Si no se encuentra ningún parámetro o ningún valor, se aplica un parámetroround robin.
El parámetro del algoritmo URL tiene una opción urlParam=<url>.
9 (Opcional) Seleccione un monitor personalizado o uno predeterminado del menú desplegableMonitores (Monitors).
10 Agregue miembros al grupo.
a Haga clic en el icono Agregar (Add) ( ).
b Introduzca el nombre y la dirección IP del miembro del servidor o haga clic en Seleccionar(Select) para asignar objetos de grupo.
Los objetos de grupo pueden ser vCenter o NSX.
Guía de administración de NSX
VMware, Inc. 244
c Introduzca el puerto en el que el miembro recibirá el tráfico y el puerto de supervisión en el que elmiembro recibirá los pings de estado.
El valor del puerto debe ser nulo si el servidor virtual relacionado se configura con un rango depuerto.
d Introduzca la proporción de tráfico que el miembro va a manejar en la sección Peso (Weight).
e Introduzca la cantidad máxima de conexiones simultáneas que el miembro podrá manejar.
Cuando las solicitudes entrantes superen la cantidad máxima, se colocarán en cola hasta que selibere una conexión.
f Introduzca la cantidad mínima de conexiones simultáneas que el miembro deberá aceptar.
g Haga clic en Aceptar (OK).
11 Seleccione la opción Transparente (Transparent) para que las direcciones IP del cliente seanvisibles para los servidores backend.
Cuando la opción Transparente (Transparent) no está seleccionada (valor predeterminado), losservidores de backend ven la dirección IP de origen del tráfico como una dirección IP interna delequilibrador de carga. Cuando la opción Transparente está seleccionada, la IP de origen es la IP realdel cliente y NSX Edge se debe configurar como la puerta de enlace predeterminada para que lospaquetes devueltos pasen por el dispositivo NSX Edge.
12 Haga clic en Aceptar (OK).
Crear un perfil de aplicaciónPuede crear un perfil de aplicación para definir el comportamiento de un tipo de tráfico de red enparticular. Después de configurar un perfil, este debe asociarse con un servidor virtual. A continuación, elservidor virtual procesa el tráfico según los valores especificados en el perfil. El uso de perfiles mejora elcontrol de la administración del tráfico de red y hace que las tareas de administración de tráfico seanmás sencillas y eficaces.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en una instancia de NSX Edge.
4 Haga clic en Administrar (Manage) y seleccione la pestaña Equilibrador de carga (Load Balancer).
5 En el panel de navegación izquierdo, haga clic en Perfiles de aplicación (Application Profiles).
6 Haga clic en el icono Agregar (Add) ( ).
Guía de administración de NSX
VMware, Inc. 245
7 Escriba un nombre para el perfil y seleccione en el menú desplegable el tipo de tráfico para el que seestá creando el perfil.
Tipo de tráfico Método de persistencia admitido
TCP IP de origen, MSRDP
HTTP Cookie, IP de origen
HTTPS Cookie, ID de sesión SSL (SSL Passthrough habilitado), IP de origen
UDP IP de origen
8 Introduzca la URL a la que quiere redireccionar el tráfico HTTP.
Por ejemplo, puede redirigir el tráfico de http://myweb.com a https://myweb.com.
9 Especifique el tipo de persistencia para el perfil en el menú desplegable.
La persistencia realiza un seguimiento de los datos de la sesión como pro ejemplo, el miembro delgrupo específico que procesó una solicitud de cliente, y los almacena. Con la persistencia, lassolicitudes del cliente se dirigen al mismo miembro del grupo durante toda una sesión o durante lassesiones posteriores.
n Seleccione la persistencia de la Cookie para insertar una única cookie que identifique la sesiónla primera vez que un cliente acceda al sitio.
En las solicitudes posteriores se acude a la cookie para persistir en la conexión al servidorapropiado.
n Seleccione la persistencia de la IP de origen para hacer un seguimiento de las sesiones basadoen la dirección IP de origen.
Cuando un cliente solicita una conexión a un servidor virtual que admite la persistencia deafinidad de una dirección de origen, el equilibrador de carga comprueba si ese cliente se conectóanteriormente y, si lo hizo, devuelve el cliente al mismo miembro del grupo.
n Seleccione la persistencia del protocolo del escritorio remoto de Microsoft MSRDP paramantener sesiones persistentes entre los clientes de Windows y los servidores que se estánejecutando en el servicio del protocolo del escritorio remoto de Microsoft (RDP).
El escenario recomendado para habilitar la persistencia de MSRDP es crear un grupo deequilibrio de carga que cuente con miembros que ejecuten Windows Server 2003 o WindowsServer 2008, en el que todos los miembros pertenezcan a un clúster de Windows y participen enun directorio de sesiones de Windows.
Guía de administración de NSX
VMware, Inc. 246
10 Introduzca el nombre de una cookie y seleccione el modo en el que debe insertarse.
Opción Descripción
Insertar (Insert) NSX Edge envía una cookie.
Si el servidor envía una o varias cookies, el cliente recibe una cookie extra (la olas cookies del servidor + la cookie de Edge). Si el servidor no envía ningunacookie, el cliente recibe la cookie de Edge.
Prefijo (Prefix) Se selecciona esta opción si el cliente no admite más de una cookie.
NOTA: Todos los navegadores aceptan varias cookies. Si cuenta con unaaplicación propia que utilice un cliente propio que sea compatible con una solacookie. El servidor web envía la cookie de la forma habitual. NSX Edge inyecta (amodo de prefijo) la información de su cookie en el valor de la cookie del servidor.Esta información agregada de la cookie se elimina cuando NSX Edge la envía alservidor.
Sesión de la aplicación El servidor no envía una cookie. En su lugar, envía información de sesión delusuario como una URL.
Por ejemplo,http://mysite.com/admin/UpdateUserServlet;jsessionid=OI24B9ASD7BSSD,donde jsessionid es la información de la sesión del usuario y se utiliza para lapersistencia. No es posible ver la tabla de persistencia de Sesión de aplicación(App Session) para la solución de problemas.
11 Introduzca el tiempo de caducidad de la persistencia en segundos.
El valor de la persistencia por defecto es de cinco minutos.
En el escenario de persistencia de la IP de origen de la TCP del equilibrio de carga de Capa 7, eltiempo de espera de la entrada de persistencia se agota si no se producen nuevas conexiones TCPdurante un periodo de tiempo, aunque las conexiones existentes aún estén activas.
12 (Opcional) Crear un perfil de aplicación para el tráfico HTTPS.
Patrón de tráfico HTTPS compatible.
n Descarga SSL - Cliente > HTTPS -> LB (finalizar SSL) -> HTTP -> servidor
n Proxy SSL - Cliente > HTTPS -> LB (finalizar SSL) -> HTTPS -> servidor
n Passthrough SSL - Cliente > HTTPS -> LB (passthrough SSL) -> HTTPS -> servidor
n Cliente -> HTTP-> LB -> HTTP -> servidores
a (Opcional) Seleccione el encabezado Insertar HTTP X-Forwarded-For (Insert X-Forwarded-ForHTTP) para identificar la dirección IP originaria de un cliente que se conecte a un servidor web através del equilibrador de carga.
b Seleccione Configurar certificado de servicio (Configure Service Certificate) para seleccionarel certificado de servicio, los certificados de CA y las listas CLR pertinentes que se utilizan parafinalizar el tráfico HTTPS desde el cliente en el equilibrador de carga en la pestaña Certificadosde servidor virtual (Virtual Server Certificates).
Esto es necesario solo si la conexión Cliente -> LB es HTTPS.
Guía de administración de NSX
VMware, Inc. 247
c (Opcional) Seleccione Habilitar SSL del grupo (Enable Pool Side SSL) para habilitar lacomunicación HTTPS entre el equilibrador de carga y los servidores backend.
Se puede usar el SSL del grupo para configurar el SSL de un extremo a otro.
d (Opcional) Seleccione Configurar certificado de servicio (Configure Service Certificate) paraseleccionar el certificado de servicio, los certificados de CA y las listas CLR pertinentes que seutilizan para autenticar el equilibrador de carga desde el servidor en la pestaña Certificadosgrupo (Pool Certificates).
Esto es necesario solo para el patrón Cliente -> HTTPS -> LB -> HTTPS -> servidores.
Puede configurar el certificado de servicio si el equilibrador de carga de NSX Edge tiene uncertificado de CA y de CRL ya configurado y necesita comprobar el certificado de servicio de losservidores backend. Esta opción también se puede utilizar para proporcionar el certificado delequilibrador de carga al servidor backend si dicho servidor necesita comprobar el certificado deservicio del equilibrador de carga.
13 Introduzca los algoritmos de cifrado o el conjunto de cifrado negociado durante el protocolo deenlace SSL/TLS
Por ejemplo, solo se puede permitir el uso de tres conjuntos de cifrados 3DES.
14 Especifique en el menú desplegable si la autenticación del cliente se ignora o es necesaria.
Si selecciona que es necesaria, el cliente debe proporcionar un certificado tras la interrupción de lasolicitud o del protocolo de enlace.
15 Haga clic en Aceptar (OK).
Agregar una regla de aplicaciónPuede escribir una regla de aplicación para manipular directamente el tráfico de las aplicaciones yadministrarlo.
Para consultar ejemplos de reglas de aplicación, vaya a Ejemplos de reglas de aplicación.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en una instancia de NSX Edge.
4 Haga clic en Administrar (Manage) y seleccione la pestaña Equilibrador de carga (Load Balancer).
5 En el panel de navegación izquierdo, haga clic en Reglas de aplicación (Application Rules).
6 Haga clic en el icono Agregar (Add) ( ).
Guía de administración de NSX
VMware, Inc. 248
7 Introduzca un nombre y un script para la regla.
Para obtener información sobre la sintaxis de las reglas de aplicación, consulte http://cbonte.github.io/haproxy-dconv/configuration-1.5.html.
8 Haga clic en Aceptar (OK).
Ejemplos de reglas de aplicación
Redireccionamiento de HTTP/HTTPS basado en condición
Un perfil de aplicación permite especificar una redirección HTTP/HTTPS, en la cual el tráfico se redirigesiempre, independientemente de las direcciones URL de solicitud. También se obtiene flexibilidad paraespecificar las condiciones en las que se debe redirigir el tráfico HTTP/HTTPS.
move the login URL only to HTTPS.
acl clear dst_port 80
acl secure dst_port 8080
acl login_page url_beg /login
acl logout url_beg /logout
acl uid_given url_reg /login?userid=[^&]+
acl cookie_set hdr_sub(cookie) SEEN=1
redirect prefix https://mysite.com set-cookie SEEN=1 if !cookie_set
redirect prefix https://mysite.com if login_page !secure
redirect prefix http://mysite.com drop-query if login_page !uid_given
redirect location http://mysite.com/ if !login_page secure
redirect location / clear-cookie USERID= if logout
Enrutamiento por nombre de dominio
Es posible crear una regla de aplicación para dirigir las solicitudes a un grupo de equilibradores de cargaespecífico según el nombre de dominio. La siguiente regla dirige las solicitudes de foo.com a pool_1 y lassolicitudes de bar.com a pool_2.
acl is_foo hdr_dom(host) -i foo
acl is_bar hdr_dom(host) -i bar
use_backend pool_1 if is_foo
use_backend pool_2 if is_bar
Protección y equilibrio de carga RDP de Microsoft
En el siguiente escenario de prueba, el equilibrador de carga envía un nuevo usuario al servidor menoscargado y reanuda una sesión interrumpida. La dirección IP de la interfaz interna de NSX Edge para esteescenario es 10.0.0.18, la dirección IP de la interfaz interna es 192.168.1.1 y los servidores virtuales son192.168.1.100, 192.168.1.101, y 192.168.1.102.
1 Cree un perfil de aplicación para el tráfico de TCP con persistencia de Escritorio remoto de Microsoft(MSRDP).
2 Cree una supervisión de estado de TCP (tcp_monitor).
Guía de administración de NSX
VMware, Inc. 249
3 Cree un grupo (llamado rdp-pool) con 192.168.1.100:3389, 192.168.1.101:3389 y192.168.1.102:3389 como miembros.
4 Asocie tcp_monitor con rdp-pool.
5 Cree la siguiente regla de aplicación.
tcp-request content track-sc1 rdp_cookie(mstshash) table rdp-pool
tcp-request content track-sc2 src table ipv4_ip_table
# each single IP can have up to 2 connections on the VDI infrastructure
tcp-request content reject if { sc2_conn_cur ge 2 }
# each single IP can try up to 5 connections in a single minute
tcp-request content reject if { sc2_conn_rate ge 10 }
# Each user is supposed to get a single active connection at a time, block the second one
tcp-request content reject if { sc1_conn_cur ge 2 }
# if a user tried to get connected at least 10 times over the last minute,
# it could be a brute force
tcp-request content reject if { sc1_conn_rate ge 10 }
6 Cree un servidor virtual (con el nombre rdp-vs).
7 Asocie el perfil de aplicación a este servidor virtual y agregue la regla de aplicación creada en elpaso 4.
Esta regla aplicada recientemente en el servidor virtual protege los servidores RDP.
Registro avanzado
De forma predeterminada, el equilibrador de carga de NSX es compatible con el inicio de sesión básico.Es posible crear una regla de aplicación mediante los siguientes pasos para ver mensajes de registromás detallados para la solución de problemas.
# log the name of the virtual server
capture request header Host len 32
# log the amount of data uploaded during a POST
capture request header Content-Length len 10
# log the beginning of the referrer
capture request header Referer len 20
# server name (useful for outgoing proxies only)
capture response header Server len 20
# logging the content-length is useful with "option logasap"
capture response header Content-Length len 10
# log the expected cache behaviour on the response
capture response header Cache-Control len 8
Guía de administración de NSX
VMware, Inc. 250
# the Via header will report the next proxy's name
capture response header Via len 20
# log the URL location during a redirection
capture response header Location len 20
Después de asociar la regla de aplicación al servidor virtual, los registros incluirán mensajes detalladoscomo los que se muestran en el siguiente ejemplo.
2013-04-25T09:18:17+00:00 edge-187 loadbalancer[18498]: [org1]: 10.117.7.117 - - [25/Apr/2013:09:18:16
+0000] "GET /favicon.ico HTTP/1.1" 404 1440 "" "" 51656 856 "vip-http-complete"
"pool-http-complete" "m2" 145 0 1 26 172 --NI 1 1 0 0 0 0 0 "" "" "10.117.35.187" "Mozilla/5.0
(Windows NT 6.1; WOW64) AppleWebKit/537.31
(KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31" "Apache/2.2.15 (Linux" ""
2013-04-25T09:18:17+00:00 edge-187 loadbalancer[18498]: [org1]: 10.117.7.117 - - [25/Apr/2013:09:18:16
+0000] "GET /favicon.ico HTTP/1.1" 404 1440 "" "" 51657 856 "vip-http-complete"
"pool-http-complete" "m2" 412 0 0 2 414 --NI 0 0 0 0 0 0 0 "" "" "10.117.35.187" "Mozilla/5.0 (Windows
NT 6.1; WOW64) AppleWebKit/537.31
(KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31" "Apache/2.2.15 (Linux" ""
Para solucionar problemas en el tráfico HTTPS, es posible que sea necesario agregar más reglas. Lamayoría de las aplicaciones web utilizan respuestas 301/302 con un encabezado de ubicación pararedirigir el cliente a una página (casi siempre después de un inicio de sesión o una llamada POST) ytambién requieren una cookie de aplicación. Es por eso que el servidor de aplicaciones puede tenerdificultades para conocer la información de conexión del cliente y no pueda proporcionar las respuestascorrectas; incluso puede impedir que la aplicación funcione.
Para permitir que una aplicación web admita la descarga de SSL, agregue la siguiente regla.
# See clearly in the log if the application is setting up response for HTTP or HTTPS
capture response header Location len 32
capture response header Set-Cookie len 32
# Provde client side connection info to application server over HTTP header
http-request set-header X-Forwarded-Proto https if { ssl_fc }
http-request set-header X-Forwarded-Proto http if !{ ssl_
El equilibrador de carga insertará el siguiente encabezado cuando la conexión se establezca medianteSSL.
X-Forwarded-Proto: https
El equilibrador de carga insertará el siguiente encabezado cuando la conexión se establezca medianteHTTP.
X-Forwarded-Proto: http
Guía de administración de NSX
VMware, Inc. 251
Bloquear URL específicas
Es posible bloquear solicitudes que tengan palabras clave específicas en la URL. La siguiente reglacomprueba si la solicitud empieza por /private o /finance y bloquea las solicitudes que tienen dichostérminos.
acl block_url_list path_beg -i /private /finance
block if block_url_list
Redireccionamiento de autenticación HTTP si no hay cookies
Es posible redireccionar la solicitud de un cliente que no tenga cookies para obtener una autenticación.La siguiente regla comprueba si la solicitud de HTTP es auténtica y tiene cookies en el encabezado. Si lasolicitud no tiene cookies, la regla redirecciona la solicitud a / authent.php para la autenticación.
acl authent_url url /authent.php
acl cookie_present hdr_sub(cookie) cookie1=
redirect prefix /authent.php if !authent_url !cookie_present
Redireccionamiento de la página predeterminada
Es posible redireccionar la solicitud del cliente / a una página predeterminada. La siguiente reglacomprueba si la solicitud de HTTP es / y redirecciona la solicitud a la página de inicio de sesiónpredeterminada.
acl default_url url /
redirect prefix /login.php if default_url
Redireccionamiento al sitio de mantenimiento
Cuando el grupo primario esté fuera de servicio, puede usar un grupo de servidores de mantenimiento yredireccionar la URL a la página web de mantenimiento.
redirect location http://maitenance.xyz.com/maintenance.htm
Autenticación NT LAN Manager (NTLM)
Si no desea cerrar la sesión del servidor tras cada solicitud, puede mantener dicha sesión activa ysegura con el protocolo NTLM.
no option http-server-close
Guía de administración de NSX
VMware, Inc. 252
Reemplazar el encabezado del servidor
Puede eliminar el encabezado del servidor de la respuesta existente y reemplazarlo por otro servidor. Lasiguiente regla de ejemplo elimina el encabezado del servidor y lo reemplaza por el servidor web NGINXque puede actuar como servidor proxy inverso para los protocolos HTTP, HTTPS, SMTP, POP3, y IMAP,la caché HTTP y un equilibrador de carga.
rspidel Server
rspadd Server:\ nginx
Volver a escribir el redireccionamiento
Puede cambiar el encabezado de ubicación de HTTP a HTTPS. La siguiente regla de ejemplo identificael encabezado de ubicación y reemplaza HTTP por HTTPS.
rspirep ^Location:\ http://(.*) Location:\ https://\1
Seleccionar un grupo específico basado en un host
Puede redireccionar solicitudes con un host específico a los grupos definidos. La siguiente regla deejemplo revisa la solicitud de los hosts específicos app1.xyz.com, app2.xyz.com y host_any_app3 yredirecciona estas solicitudes respectivamente a los grupos definidos pool_app1, o pool_app2 ypool_app3. El resto de las solicitudes se redireccionan a los grupos existentes definidos en el servidorvirtual.
acl host_app1 hdr(Host) -i app1.xyz.com
acl host_app2 hdr(Host) -i app2.xyz.com
acl host_any_app3 hdr_beg(host) -i app3
use_backend pool_app1 if host_app1
use_backend pool_app2 if host_app2
use_backend pool_app3 if host_any_app3
Seleccionar un grupo específico basado en URL
Puede redireccionar solicitudes con palabras clave de URL a los grupos específicos. La siguiente reglade ejemplo comprueba si la solicitud comienza por /private o /finance y las redirecciona a los gruposdefinidos, pool_private o pool_finance. El resto de las solicitudes se redireccionan a los grupos existentesdefinidos en el servidor virtual.
acl site_private path_beg -i /private
acl site_finance path_beg -i /finance
use_backend pool_private if site_private
use_backend pool_finance if site_finance
Guía de administración de NSX
VMware, Inc. 253
Redireccionar cuando el grupo principal está fuera de servicio
Si los servidores están fuera de servicio en el grupo principal, puede redireccionar usuarios para utilizarlos servidores en el grupo secundario. La siguiente regla de ejemplo comprueba que pool_productionestá fuera de servicio y transfiere los usuarios a pool_sorry_server.
acl pool_production_down nbsrv(pool_production) eq 0
use_backend pool_sorry_server if pool_production_down
Conexión a TCP de la lista blanca
Puede bloquear las direcciones IP cliente para que no accedan al servidor. La siguiente regla de muestrabloquea la dirección IP definida y mantiene la conexión si la dirección IP no está en la lista blanca.
acl whitelist src 10.10.10.0 20.20.20.0
tcp-request connection reject if !whitelist
Habilitar sslv3 y tlsv1
Por defecto, sslv3 y tlsv1 son extensiones de supervisión de servicio deshabilitadas. Puede habilitarlasmediante la siguiente regla de aplicación.
sslv3 enable
tlsv1 enable
Configurar el tiempo de espera de la sesión del cliente
El tiempo de espera de la sesión es el tiempo de inactividad de conexión máximo en el lado de cliente. Eltiempo de espera de inactividad se aplica cuando se espera que el cliente confirme o envíe datos. En elmodo HTTP, es importante considerar este tiempo de espera durante la primera fase, cuando el clienteenvía la solicitud y durante la respuesta mientras el cliente está leyendo los datos enviados por elservidor. El valor del tiempo de espera por defecto es de cinco minutos.
La siguiente regla de muestra establece el periodo de tiempo de espera en 100 segundos.
timeout client 100s
Se puede establecer el tiempo como número entero con milisegundos, segundos, minutos, horas o días.
Agregar servidores virtualesEs posible agregar una interfaz interna o de vínculo superior de NSX Edge como un servidor virtual.
Prerequisitos
n Compruebe que está disponible el perfil de la aplicación. Consulte Crear un perfil de aplicación.
n Si está asociando una regla de una aplicación con el servidor virtual, consulte Crear un perfil deaplicación.
Guía de administración de NSX
VMware, Inc. 254
n Si está habilitando la aceleración para usar el equilibrador de carga rápido, se debe habilitar laaceleración cuando se configure el equilibrador de carga. Consulte Configurar el servicio deequilibrador de carga.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en una instancia de NSX Edge.
4 Haga clic en Administrar (Manage) y seleccione la pestaña Equilibrador de carga (Load Balancer).
5 En el panel de navegación izquierdo, haga clic en Servidores virtuales (Virtual Servers).
6 Haga clic en el icono Agregar (Add) ( ) .
7 Active Habilitar servidor virtual (Enable Virtual Server) para disponer de este servidor virtual parasu uso.
8 (Opcional) Active Habilitar aceleración (Enable Acceleration) para que el equilibrador de carga deNSX Edge utilice el motor del equilibrador de carga de Capa 4 más rápido en lugar del motor delequilibrador de carga de Capa 7.
Si la configuración de un servidor virtual que incluya por ejemplo, reglas de aplicación, tipo de HTTPo persistencia de cookies, está utilizando el motor del equilibrador de carga de Capa 7, dicho motorse utiliza independientemente de que la aceleración esté o no activada.
Puede usar el comando de la CLI show service load balancer virt para confirmar el motor delequilibrador de carga que está en uso.
9 Seleccione el perfil de aplicación que se asociará con el servidor virtual.
Se puede asociar un solo perfil de aplicación con el mismo protocolo que el servidor virtual que sedesea agregar. Se mostrarán los servicios compatibles con el grupo seleccionado.
10 Introduzca un nombre y una descripción para el servidor virtual.
11 Haga clic en Seleccionar dirección IP (Select IP Address) para especificar la dirección IP en la queel equilibrador de carga escucha y el tipo de protocolo que el servidor virtual utilizará.
El cuadro de diálogo Seleccionar dirección IP (Select IP Address) muestra solo la dirección IPprincipal. Si está creando una VIP mediante una dirección IP secundaria, introdúzcala de formamanual.
12 En el menú desplegable, seleccione el protocolo que utiliza el servidor virtual.
Guía de administración de NSX
VMware, Inc. 255
13 Introduzca el número de puerto en el que el equilibrador de carga escucha.
También puede establecer un rango de puertos como por ejemplo, 80,8001-8004,443, para compartirla configuración del servidor virtual que incluya opciones tales como grupo de servidores, perfil de laaplicación y regla de aplicación.
Para utilizar FTP, el protocolo TCP debe tener asignado el puerto 21.
14 Seleccione la regla de aplicación.
15 Introduzca las conexiones concurrentes máximas que el servidor virtual puede procesar en lasección Límite de conexión (Connection Limit section).
16 Introduzca las solicitudes de nueva conexión entrante máximas por segundo en la sección de Límitede velocidad de conexión (Connection Rate Limit section).
17 (Opcional) Haga clic en la pestaña Avanzado (Advanced) y agregue la regla de aplicación paraasociarla con el servidor virtual.
18 Haga clic en Aceptar (OK).
Administrar perfiles de aplicacionesTras crear un perfil de aplicaciones y asociarlo a un servidor virtual, puede actualizar el perfil existente obien eliminarlo para reducir el consumo de recursos del sistema.
Editar un perfil de aplicaciónEs posible editar un perfil de aplicación.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en una instancia de NSX Edge.
4 Haga clic en la pestaña Supervisar (Monitor) y, a continuación, en la pestaña Equilibrador de carga(Load Balancer).
5 En el panel de navegación izquierdo, haga clic en Perfiles de aplicación (Application Profiles).
6 Seleccione un perfil y haga clic en el icono Editar (Edit) ( ).
7 Realice los cambios apropiados de tráfico, persistencia, certificado o configuración de cifrado y hagaclic en Finalizar (Finish).
Guía de administración de NSX
VMware, Inc. 256
Configurar la terminación SSL para un equilibrador de cargaSin tener configurada la terminación SSL, no se inspeccionan las solicitudes HTTP. El equilibrador decarga ve las direcciones IP de origen y de destino y los datos cifrados. Si desea inspeccionar lassolicitudes HTTP, puede finalizar la sesión SSL del equilibrador de carga y crear una nueva sesión SSL através del grupo de celdas.
Prerequisitos
Diríjase a Administrar > Configuración > Certificados (Manage > Settings > Certificates) paraasegurarse de que existe un certificado válido.
Procedimiento
1 En el perfil de aplicación HTTPS a través de Administrar > Equilibrador de carga > Perfiles deaplicación (Manage > Load Balancer > Application Profiles).
2 Seleccione el tipo de HTTPS en el menú desplegable.
3 Compruebe que la opción Habilitar Passthrough SSL (Enable SSL Passthrough) aparece sinseleccionar.
4 Compruebe que la opción Configurar certificado de servicio está seleccionada.
5 Seleccione el certificado apropiado en la lista.
Guía de administración de NSX
VMware, Inc. 257
Eliminar un perfil de aplicaciónEs posible eliminar un perfil de aplicación.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en una instancia de NSX Edge.
4 Haga clic en Administrar (Manage) y seleccione la pestaña Equilibrador de carga (Load Balancer).
5 En el panel de navegación izquierdo, haga clic en Perfiles de aplicación (Application Profiles).
6 Seleccione un perfil y haga clic en el icono Eliminar (Delete).
Administrar monitores de servicioTras crear un monitor de servicio para definir los parámetros de comprobación de estado de un tráfico dered y asociarlo a un grupo, puede actualizar el monitor de servicio existente o bien eliminarlo para reducirel consumo de recursos del sistema.
Editar un monitor de servicioEs posible editar un monitor de servicio.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en una instancia de NSX Edge.
4 Haga clic en Administrar (Manage) y seleccione la pestaña Equilibrador de carga (Load Balancer).
5 En el panel de navegación izquierdo, haga clic en Supervisión de servicio (Service Monitoring).
6 Seleccione un monitor de servicio y haga clic en el icono Editar (Edit).
7 Realice los cambios necesarios y haga clic en Aceptar (OK).
Eliminar un monitor de servicioEs posible eliminar un monitor de servicio.
Procedimiento
1 Inicie sesión en vSphere Web Client.
Guía de administración de NSX
VMware, Inc. 258
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en una instancia de NSX Edge.
4 Haga clic en Administrar (Manage) y seleccione la pestaña Equilibrador de carga (Load Balancer).
5 En el panel de navegación izquierdo, haga clic en Supervisión de servicio (Service Monitoring).
6 Seleccione un monitor de servicio y haga clic en el icono Eliminar (Delete).
Administrar grupos de servidoresTras agregar un grupo de servidores para administrar la distribución del equilibrador de carga, puedeactualizar el grupo existente o eliminarlo para guardar recursos del sistema.
Editar un grupo de servidoresEs posible editar un grupo de servidores.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en una instancia de NSX Edge.
4 Haga clic en la pestaña Supervisar (Monitor) y, a continuación, en la pestaña Equilibrador de carga(Load Balancer).
5 Asegúrese de estar en la pestaña Grupo (Pool).
6 Seleccione el grupo que desea editar.
7 Haga clic en el icono Editar (Edit) ( ).
8 Realice los cambios adecuados y haga clic en Finalizar (Finish).
Configurar un equilibrador de carga para utilizar el modotransparenteLa opción Transparente (Transparent) indica si las direcciones IP del cliente son visibles para losservidores backend. Cuando la opción Transparente (Transparent) no está seleccionada (valorpredeterminado), los servidores backend ven la IP de origen del tráfico como una IP interna de equilibriode carga. Si la opción Transparente está seleccionada, la IP de origen es la IP del cliente real y NSXEdge debe estar en la ruta de la respuesta del servidor. Un diseño típico debe tener NSX Edge comopuerta de enlace predeterminada del servidor.
Guía de administración de NSX
VMware, Inc. 259
Procedimiento
u En la configuración del grupo de servidores en Administrar > Equilibrador de carga > Grupos(Manage > Load Balancer > Pools), habilite el modo transparente.
Eliminar un grupo de servidoresEs posible eliminar un grupo de servidores.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en una instancia de NSX Edge.
4 Haga clic en la pestaña Supervisar (Monitor) y, a continuación, en la pestaña Equilibrador de carga(Load Balancer).
5 Asegúrese de estar en la pestaña Grupo (Pool).
6 Seleccione el grupo que desea eliminar.
7 Haga clic en el icono Eliminar (Delete) ( ).
Administrar servidores virtualesTras agregar servidores virtuales, puede actualizar la configuración de los existentes o eliminarlos.
Guía de administración de NSX
VMware, Inc. 260
Editar un servidor virtualEs posible editar un servidor virtual.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en una instancia de NSX Edge.
4 Haga clic en la pestaña Supervisar (Monitor) y, a continuación, en la pestaña Equilibrador de carga(Load Balancer).
5 Haga clic en la pestaña Servidores virtuales (Virtual Servers).
6 Seleccione el servidor virtual que desea editar.
7 Haga clic en el icono Editar (Edit) ( ).
8 Realice los cambios adecuados y haga clic en Finalizar (Finish).
Eliminar un servidor virtualEs posible eliminar un servidor virtual.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en una instancia de NSX Edge.
4 Haga clic en la pestaña Supervisar (Monitor) y, a continuación, en la pestaña Equilibrador de carga(Load Balancer).
5 Haga clic en la pestaña Servidores virtuales (Virtual Servers).
6 Seleccione el servidor virtual que desea eliminar.
7 Haga clic en el icono Eliminar (Delete) ( ).
Administrar reglas de aplicacionesTras crear reglas de aplicaciones para configurar el tráfico de aplicaciones, puede editar la reglaexistente o bien eliminarla.
Guía de administración de NSX
VMware, Inc. 261
Editar una regla de aplicaciónEs posible editar una regla de aplicación.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en una instancia de NSX Edge.
4 Haga clic en Administrar (Manage) y seleccione la pestaña Equilibrador de carga (Load Balancer).
5 En el panel de navegación izquierdo, haga clic en Reglas de aplicación (Application Rules).
6 Seleccione una regla y haga clic en el icono Editar (Edit).
7 Realice los cambios necesarios y haga clic en Aceptar (OK).
Eliminar una regla de aplicaciónEs posible eliminar una regla de aplicación.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en una instancia de NSX Edge.
4 Haga clic en Administrar (Manage) y seleccione la pestaña Equilibrador de carga (Load Balancer).
5 En el panel de navegación izquierdo, haga clic en Perfiles de aplicación (Application Profiles).
6 Seleccione un perfil y haga clic en el icono Eliminar (Delete).
Guía de administración de NSX
VMware, Inc. 262
Servidores web de equilibrio de carga que utilizanautenticación NTLMDe forma predeterminada, NSX Load Balancer cierra la conexión TCP al servidor después de cadasolicitud de cliente. Dado que la autenticación NTLM requiere varias solicitudes HTTP en la mismasesión TCP, la autenticación a través de NSX Load Balancer se interrumpe.
Prerequisitos
Como solución alternativa, agregue la regla de aplicación siguiente en el equilibrio de carga VIP de losservidores web con la autenticación NTLM:
add # NTLM authentication and keep the server connection open between requests
no option http-server-close
Esta regla de aplicación mantiene abierta la conexión del servidor entre solicitudes.
Escenarios de configuración del equilibrador de carga deNSXPuede utilizar los escenarios de configuración del equilibrador de carga de NSX para comprender el flujode trabajo de extremo a extremo necesario.
Escenario: configurar un equilibrador de carga one-armedLa puerta de enlace de servicio de Edge (ESG) puede estar concebida como un proxy para el tráfico decliente entrante.
VM VM VM
Leyenda
Red lógica
SolicitudRespuesta
Guía de administración de NSX
VMware, Inc. 263
En modo proxy, el equilibrador de carga utiliza su propia dirección IP como dirección de origen paraenviar solicitudes a un servidor backend. El servidor backend ve todo el tráfico que se envía desde elequilibrador de carga y responde directamente al equilibrador de carga. Este modo también se conocecomo modo SNAT o modo no transparente.
Se implementa un equilibrador de carga one-armed de NSX en la misma subred con sus servidoresbackend, aparte del enrutador lógico. El servidor virtual del equilibrador de carga de NSX atiende a unaIP virtual para las solicitudes entrantes del cliente y distribuye las solicitudes a los servidores backend.Para el tráfico de retorno, es necesario que el NAT inverso cambie la dirección IP de origen desde elservidor backend a una dirección IP virtual (VIP) y que luego envíe la dirección IP virtual al cliente. Sinesta operación, se interrumpirá la conexión con el cliente.
Después de que la ESG reciba el tráfico, realiza dos operaciones: Traducción de operaciones de red dedestino, DNAT (Destination Network Address Translation), para cambiar la dirección VIP de la direcciónIP en una de las máquinas de equilibrador de carga y Traducción de direcciones de red de origen, SNAT(Source Network Address Translation), para intercambiar la dirección IP del cliente con la dirección IP deESG.
A continuación, el servidor de ESG envía el tráfico al equilibrador de carga y el servidor de este últimoenvía la respuesta de vuelta a ESG y luego de vuelta al cliente. Es más sencillo configurar esta opciónque configurar el modo en línea, pero tiene dos advertencias potenciales. La primera es que este modonecesita un servidor ESG dedicado y la segunda es que el servidor del equilibrador de carga no conocela dirección IP del cliente original. Una solución alternativa para las aplicaciones HTTP/HTTPS eshabilitar Insertar el reenvío de X (Insert X-Forwarded-For) en el perfil de la aplicación de HTTP para quelleve la dirección IP del cliente en el encabezado del reenvío de X (X-Forwarded-For) en la solicitudenviada al servidor backend.
Si es necesaria la visibilidad de la dirección IP del cliente en el servidor backend para aplicaciones queno sean HTTP/HTTPS, puede configurar el grupo de IP para que sean transparentes. En caso de que losclientes no estén en la misma subred que el servidor backend, se recomienda el modo en línea. De locontrario, debe usar la dirección IP del equilibrador de carga como puerta de enlace predeterminada delservidor backend.
NOTA: Normalmente, existen dos métodos para garantizar la integridad de la conexión:
n SNAT/proxy/modo no transparente (mencionado anteriormente)
n Direct server return (DSR)
En el modo DSR, el servidor backend responde directamente al cliente. Actualmente, el equilibrador decarga de NSX no admite DSR.
Guía de administración de NSX
VMware, Inc. 264
Procedimiento
1 Haga doble clic en Edge para crear un certificado y, a continuación, seleccione Administrar >Configuración > Certificado (Manage > Settings > Certificate).
2 Habilite el servicio de equilibrador de carga mediante la selección de Administrar > Equilibrador decarga > Configuración global > Editar (Manage > Load Balancer > Global Configuration > Edit).
Guía de administración de NSX
VMware, Inc. 265
3 Cree un perfil de aplicación HTTPS mediante la selección de Administrar > Equilibrador de carga> Perfiles de aplicación (Manage > Load Balancer > Application Profiles).
NOTA: La captura de pantalla anterior utiliza certificados autofirmados solo para documentación.
4 De forma opcional, haga clic en Administrar > Equilibrador de carga > Supervisión del servicio(Manage > Load Balancer > Service Monitoring) y edite la supervisión del servicio por defecto paracambiarla de HTTP/HTTPS básicos a URL/URIs específicas, según sea necesario.
Guía de administración de NSX
VMware, Inc. 266
5 Cree grupos de servidores mediante la selección de Administrar > Equilibrador de carga >Grupos (Manage > Load Balancer > Pools).
Para usar el modo SNAT, deje la casilla Transparente (Transparent) sin marcar en la configuracióndel grupo.
Compruebe que todas las máquinas virtuales están en la lista y habilitadas.
6 De forma opcional, haga clic en Administrar > Equilibrador de carga > Grupos > Mostrarestadísticas de grupo (Manage > Load Balancer > Pools > Show Pool Statistics) para revisar elestado.
Asegúrese de que el estado de miembro es LISTO (UP).
Guía de administración de NSX
VMware, Inc. 267
7 Cree un servidor virtual mediante la selección de Administrar > Equilibrador de carga >Servidores virtuales (Manage > Load Balancer > Virtual Servers).
Si quisiera utilizar el equilibrador de carga de Capa 4 para UDP o un rendimiento mayor de TCP,active Habilitar aceleración (Enable Acceleration). Si activa Habilitar aceleración (EnableAcceleration), asegúrese de que el estado del firewall es Habilitado (Enabled) en el equilibrador decarga de NSX Edge, porque se necesita un firewall para el SNAT de Capa 4.
Compruebe que la dirección IP está unida al grupo de servidores.
8 De forma opcional, si utiliza una regla de aplicaciones, compruebe la configuración en Administrar >Equilibrador de carga > Reglas de aplicaciones (Manage > Load Balancer > Application Rules).
Guía de administración de NSX
VMware, Inc. 268
9 SI utiliza una regla de aplicaciones, asegúrese de que dicha regla está asociada con el servidorvirtual en Administrar > Equilibrador de carga > Servidores virtuales > Avanzado (Manage >Load Balancer > Virtual Servers > Advanced).
Para ejemplos compatibles, consulte https://communities.vmware.com/docs/DOC-31772.
En el modo no transparente, el servidor backend no puede consultar la IP del cliente, pero sí puedever el equilibrador de carga de la dirección IP interna. Como solución alternativa al tráfico deHTTP/HTTPS, active el encabezado Insertar X-Forwarded-For HTTP (Insert X-Forwarded-ForHTTP). Con esta opción activa, el equilibrador de carga de Edge agrega el encabezado "X-Forwarded-For" con el valor de la dirección IP de origen del cliente.
Escenario: configurar el equilibrador de carga de NSX paraPlaftorm Services ControllerPlatform Services Controller (PSC) proporciona funciones de seguridad en infraestructuras, comovCenter Single Sign-On, la reserva de servidores, la administración de certificados y la concesión delicencias.
Cuando haya configurado el equilibrador de carga de NSX, puede proporcionar la dirección IP de lainterfaz del vínculo superior del dispositivo NSX Edge para vCenter Single Sign-On.
Prerequisitos
n Realice las tareas de preparación de disponibilidad alta de PSC que se indican en la base deconocimientos. Consulte http://kb.vmware.com/kb/2113315.
n Guarde los archivos /ha/lb.crt y /ha/lb_rsa.key desde el primer nodo de PSC para configurar loscertificados.
n Compruebe que haya un dispositivo NSX Edge configurado.
Guía de administración de NSX
VMware, Inc. 269
n Asegúrese de tener al menos un vínculo superior para configurar la VIP y una interfaz asociada alconmutador lógico interno.
Procedimiento
1 Agregue certificados de CA de PSC a la instancia de NSX Edge.
a Guarde el certificado y el archivo root.cer de PSC así como el RSA y la frase de contraseñagenerados por el comando OpenSSL.
b Haga doble clic en la instancia de Edge y seleccione Administrar (Manage) > Configuración(Settings) > Certificado (Certificate).
c Agregue el archivo guardado root.cer de contenido al contenido del certificado de CA.
d Agregue la frase de contraseña guardada a la sección de clave privada.
2 Habilite el servicio del equilibrador de carga.
a Seleccione Administrar (Manage) > Equilibrador de carga (Load Balancer) > Editar (Edit).
b Marque las opciones Habilitar equilibrio de carga (Enable Load Balancing) y Registro(Logging).
Guía de administración de NSX
VMware, Inc. 270
3 Cree perfiles de aplicaciones con los protocolos HTTPS y TCP.
a Seleccione Administrar (Manage) > Equilibrador de carga (Load Balancer) > Perfiles deaplicaciones (Application Profiles).
b Cree un perfil de aplicación TCP.
c Crear un perfil de aplicación de HTTPS.
Guía de administración de NSX
VMware, Inc. 271
4 Crear grupos de aplicaciones para agregar nodos de PSC de miembros.
a Seleccione Administrar (Manage) > Equilibrador de carga (Load Balancer) > Grupos(Pools).
b Cree dos grupos de aplicaciones con el puerto de supervisión 443.
Utilice la dirección IP del nodo de PSC.
c Cree dos grupos de aplicaciones con el puerto de supervisión 389.
Utilice la dirección IP del nodo de PSC.
Guía de administración de NSX
VMware, Inc. 272
5 Crear servidores virtuales para los protocolos HTTPS y TCP.
a Seleccione Administrar (Manage) > Equilibrador de carga (Load Balancer) > Servidoresvirtuales (Virtual Servers).
b Cree un servidor virtual para la VIP de TCP.
c Cree un servidor virtual para la VIP de HTTPS.
Guía de administración de NSX
VMware, Inc. 273
Otros servicios Edge 16Una puerta de enlace NSX Services ofrece agrupación de direcciones IP, asignación uno a uno dedirecciones IP estáticas y configuración de servidores DNS.
Para poder utilizar cualquiera de los servicios anteriores, debe tener una instancia de NSX Edge enfuncionamiento. Para obtener información sobre cómo configurar NSX Edge, consulte Configuración deNSX Edge.
Este capítulo cubre los siguientes temas:n Administrar servicio DHCP
n Configurar retransmisión de DHCP
n Configurar servidores DNS
Administrar servicio DHCPNSX Edge admite la agrupación de direcciones IP y la asignación de direcciones IP estáticas con unacorrespondencia uno a uno. El enlace de direcciones IP estáticas se basa en el identificador de lainterfaz y el identificador del objeto administrado de vCenter del cliente que realiza la solicitud.
El servicio DHCP de NSX Edge adhiere a las instrucciones siguientes:
n Escucha en la interfaz interna de NSX Edge para la detección de DHCP.
n Utiliza la dirección IP de la interfaz interna en NSX Edge como la dirección de puerta de enlacepredeterminada para todos los clientes (excepto para los grupos conectados de forma no directa) ylos valores transmisión y máscara de subred de la interfaz interna para la red del contenedor.
Debe reiniciar el servicio DHCP en las máquinas virtuales de clientes en las situaciones siguientes:n Si cambió o eliminó un grupo DHCP, una puerta de enlace predeterminada o un servidor DNS.
n Si cambió la dirección IP interna de la instancia de NSX Edge.
VMware, Inc. 274
Agregar un grupo de direcciones IP de DHCPEl servicio DHCP requiere un grupo de direcciones IP. Un grupo de direcciones IP es un rangosecuencial de direcciones IP dentro de la red. A las máquinas virtuales protegidas por NSX Edge que notienen una dirección vinculante se les asigna una dirección IP desde este grupo. El rango de un grupo dedirecciones IP no puede superponerse con otro, por lo que una dirección IP solo puede pertenecer a ungrupo.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Administrar (Manage) y, a continuación, haga clic en la pestaña DHCP.
5 Haga clic en el icono Agregar (Add) ( ).
6 Configure el grupo.
Opción Acción
Configuración automática de DNS(Auto Configure DNS)
Seleccione esta opción para utilizar la configuración del servicio DNS para elenlace DHCP.
La concesión nunca caduca (Leasenever expires)
Seleccione esta opción para vincular la dirección MAC de la máquina virtualindefinidamente. Si selecciona esta opción, se deshabilita Tiempo de concesión(Lease Time).
IP inicial (Start IP) Escriba la dirección IP inicial del grupo.
IP final (End IP) Escriba la dirección IP final del grupo.
Nombre de dominio (Domain Name) Escriba el nombre de dominio del servidor DNS. Esto es opcional.
Servidor de nombre principal (PrimaryName Server)
Si no seleccionó Configurar automáticamente DNS (Auto Configure DNS),escriba el Servidor de nombre principal (Primary Name Server) para el servicioDNS. Debe introducir la dirección IP de un servidor DNS para la resolución dedirecciones IP a nombre de host. Esto es opcional.
Servidor de nombre secundario(Secondary Name Server)
Si no seleccionó Configurar automáticamente DNS (Auto Configure DNS),escriba el Servidor de nombre secundario (Secondary Name Server) para elservicio DNS. Debe introducir la dirección IP de un servidor DNS para laresolución de direcciones IP a nombre de host. Esto es opcional.
Puerta de enlace predeterminada(Default Gateway)
Escriba la dirección de la puerta de enlace predeterminada. Si no especificó ladirección IP de la puerta de enlace predeterminada, la interfaz interna de lainstancia de NSX Edge se toma como puerta de enlace predeterminada. Esto esopcional.
Guía de administración de NSX
VMware, Inc. 275
Opción Acción
Máscara de subred (Subnet Mask) Especifique la máscara de subred. La máscara de subred debe ser la misma dela interfaz Edge o del relé DHCP, en caso de que se utilice un enrutadordistribuido.
Tiempo de concesión (Lease Time) Seleccione si desea arrendar la dirección para el cliente durante el tiempopredeterminado (1 día) o escriba un valor en segundos. No puede especificar eltiempo de concesión si seleccionó La concesión nunca caduca (Lease neverexpires). Esto es opcional.
7 Haga clic en Aceptar (OK).
Habilitar el servicio DHCPHabilite el servicio DHCP para permitir que NSX Edge asigne automáticamente una dirección IP a unamáquina virtual desde un grupo de direcciones IP definido.
Prerequisitos
Debe haber agregado un grupo de direcciones IP de DHCP.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Administrar (Manage) y, a continuación, haga clic en la pestaña DHCP.
5 Haga clic en Habilitar (Enable).
6 Seleccione Habilitar registro (Enable logging), si es necesario, y seleccione el nivel de registro.
7 Haga clic en Publicar cambios (Publish Changes).
Qué hacer a continuación
Cree un grupo de direcciones IP y enlaces.
Editar un grupo de direcciones IP de DHCPPuede editar el grupo de IP de DHCP para agregar o eliminar direcciones IP.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Administrar (Manage) y, a continuación, haga clic en la pestaña DHCP.
Guía de administración de NSX
VMware, Inc. 276
5 Seleccione un grupo de DHCP y haga clic en el icono Editar (Edit).
6 Realice los cambios necesarios y haga clic en Aceptar (OK).
Agregar un enlace DHCP estáticoSi tiene servicios en ejecución en una máquina virtual y no desea modificar la dirección IP, puedeenlazarla a la dirección MAC de una máquina virtual. La dirección IP que enlace no debe superponersecon un grupo de direcciones IP.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Administrar (Manage) y, a continuación, haga clic en la pestaña DHCP.
5 Seleccione Enlaces (Bindings) en el panel izquierdo.
6 Haga clic en el icono Agregar (Add) ( ).
7 Configure el enlace.
Opción Acción
Configuración automática de DNS(Auto Configure DNS)
Seleccione esta opción para utilizar la configuración del servicio DNS para elenlace DHCP.
La concesión nunca caduca (Leasenever expires)
Seleccione esta opción para vincular la dirección MAC de la máquina virtualindefinidamente.
Interfaz (Interface) Seleccione la interfaz de NSX Edge que desea enlazar.
Nombre de máquina virtual (VM Name) Seleccione la máquina virtual que desea enlazar.
Índice de vNIC de máquina virtual (VMvNIC Index)
Seleccione la NIC de la máquina virtual para enlazar la dirección IP.
Nombre de host (Host Name) Escriba el nombre de host de la máquina virtual del cliente DHCP.
Dirección IP (IP Address) Escriba la dirección a la cual enlazar la dirección MAC de la máquina virtualseleccionada.
Máscara de subred (Subnet Mask) Especifique la máscara de subred. La máscara de subred debe ser la misma dela interfaz de Edge o del relé DHCP, en caso de que se utilice un enrutadordistribuido.
Nombre de dominio (Domain Name) Escriba el nombre de dominio del servidor DNS.
Servidor de nombre principal (PrimaryName Server)
Si no seleccionó Configurar automáticamente DNS (Auto Configure DNS),escriba el Servidor de nombre principal (Primary Name Server) para el servicioDNS. Debe introducir la dirección IP de un servidor DNS para la resolución dedirecciones IP a nombre de host.
Servidor de nombre secundario(Secondary Name Server)
Si no seleccionó Configurar automáticamente DNS (Auto Configure DNS),escriba el Servidor de nombre secundario (Secondary Name Server) para elservicio DNS. Debe introducir la dirección IP de un servidor DNS para laresolución de direcciones IP a nombre de host.
Guía de administración de NSX
VMware, Inc. 277
Opción Acción
Puerta de enlace predeterminada(Default Gateway)
Escriba la dirección de la puerta de enlace predeterminada. Si no especificó ladirección IP de la puerta de enlace predeterminada, la interfaz interna de lainstancia de NSX Edge se toma como puerta de enlace predeterminada.
Tiempo de concesión (Lease Time) Si no seleccionó La concesión nunca caduca (Lease never expires), seleccionesi desea concesionar la dirección para el cliente durante el tiempopredeterminado (1 día) o escriba un valor en segundos.
8 Haga clic en Agregar (Add).
9 Haga clic en Publicar cambios (Publish Changes).
Editar enlace DHCPPuede asignar una dirección IP estática distinta que esté ligada a una dirección MAC de una máquinavirtual.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Administrar (Manage) y, a continuación, haga clic en la pestaña DHCP.
5 Seleccione Enlaces (Bindings) en el panel izquierdo y haga clic en el enlace para editarlo.
6 Haga clic en el icono Editar (Edit).
7 Realice los cambios necesarios y haga clic en Aceptar (OK).
Configurar retransmisión de DHCPLa retransmisión del protocolo Dynamic Host Configuration Protocol (DHCP) permite aprovechar lainfraestructura de DHCP existente en NSX sin interrupciones para la administración de direcciones IP delentorno. Los mensajes DHCP se retransmiten desde las máquinas virtuales hasta los servidores DHCPdesignados en el mundo físico. Esto permite que las direcciones IP en NSX continúen sincronizadas conlas direcciones IP de otros entornos.
La configuración de DHCP se aplica en el puerto del enrutador lógico y puede enumerar variosservidores DHCP. Las solicitudes se envían a todos los servidores enumerados. Mientras se retransmitela solicitud de DHCP desde el cliente, la retransmisión agrega una dirección IP de puerta de enlace a lasolicitud. El servidor DHCP externo utiliza esta dirección de puerta de enlace para buscar coincidenciascon un grupo y asignar una dirección IP a la solicitud. La dirección de la puerta de enlace debepertenecer a una subred del puerto NSX en el que se ejecuta la retransmisión.
Es posible especificar un servidor DHCP diferente para cada conmutador lógico y configurar variosservidores DHCP en cada enrutador lógico para proporcionar compatibilidad con varios dominios IP.
Guía de administración de NSX
VMware, Inc. 278
Cuando configure el grupo y el enlace en el servidor DHCP, asegúrese de que la máscara de subred delgrupo/enlace de las consultas retransmitidas sea la misma que la de la interfaz de retransmisión deDHCP. La información de la máscara de subred debe proporcionarse en la API mientras el DLR actúacomo retransmisión de DHCP entre las máquinas virtuales y la instancia de Edge que proporciona elservicio DHCP. Esta máscara de subred debe coincidir con la que está configurada en la interfaz depuerta de enlace de las máquinas virtuales en el DLR.
NOTA: n La retransmisión de DHCP no admite la superposición del espacio de dirección IP (opción 82).
n La retransmisión de DHCP y el servicio DHCP no pueden ejecutarse en un puerto/una vNIC almismo tiempo. Si un agente de retransmisión se configura en un puerto, no se puede configurar ungrupo de DHCP en las subredes de ese puerto.
Agregar servidor de relé DHCPAgregue los servidores de relé externos a los cuales desea retransmitir los mensajes DHCP. El servidorde relé puede ser un grupo de direcciones IP, un bloque de direcciones IP, un dominio o una combinaciónde todos los anteriores. Los mensajes se retransmiten a cada uno de los servidores DHCP incluidos enel listado.
Procedimiento
1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) >Instancias de NSX Edge (NSX Edges).
2 Haga doble clic en la instancia de Edge correspondiente y asegúrese de estar en la pestañaAdministrar (Manage) > DHCP.
3 Haga clic en Editar (Edit), junto a Configuración global de relé DHCP (DHCP Relay GlobalConfiguration).
Guía de administración de NSX
VMware, Inc. 279
4 Para agregar un grupo de direcciones IP como servidor:
a Haga clic en el icono Agregar (Add) y seleccione el grupo de direcciones IP.
b Mueva el grupo de direcciones IP seleccionado al listado Objetos seleccionados (Selected
Objects) haciendo clic en el icono .
c Haga clic en Aceptar (OK).
5 Para agregar direcciones IP o nombres de dominio, escriba la dirección o el nombre en el áreacorrespondiente.
6 Haga clic en Aceptar (OK).
Agregar agentes de reléAgregue las interfaces Edge desde las cuales deben retransmitirse mensajes DHCP a los servidores derelé DHCP externos.
Procedimiento
1 En el área Agentes de relé DHCP (DHCP Relay Agents), haga clic en el icono Agregar (Add).
2 En vNIC, asegúrese de seleccionar una vNIC interna.
La opción Dirección IP de puerta de enlace (Gateway IP Address) muestra la dirección IP principalde la vNic seleccionada.
3 Haga clic en Aceptar (OK).
Configurar servidores DNSEs posible configurar servidores DNS externos a los que NSX Edge pueda retransmitir las solicitudes deresolución de nombres de los clientes. NSX Edge retransmitirá las solicitudes de las aplicaciones clientea los servidores DNS para resolver el nombre de red completo y almacenar en la memoria caché larespuesta de los servidores.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en una instancia de NSX Edge.
4 Haga clic en la pestaña Administrar (Manage) y seleccione la pestaña Configuración (Settings).
5 En el panel Configuración de DNS (DNS Configuration), haga clic en Cambiar (Change).
6 Haga clic en Habilitar servicio DNS (Enable DNS Service) para habilitar el servicio DNS.
7 Introduzca las direcciones IP para los dos servidores DNS.
8 Cambie el tamaño predeterminado de la memoria caché si es necesario.
Guía de administración de NSX
VMware, Inc. 280
9 Haga clic en Habilitar registro (Enable Logging) para registrar el tráfico de DNS y seleccionar elnivel de registro.
Los registros generados se enviarán al servidor de Syslog.
10 Haga clic en Aceptar (OK).
Guía de administración de NSX
VMware, Inc. 281
Service Composer 17Service Composer permite aprovisionar y asignar los servicios de red y seguridad a las aplicaciones enuna infraestructura virtual. Estos servicios se asignan a un grupo de seguridad y se aplican a lasmáquinas virtuales del grupo de seguridad.
Grupo de seguridad
En principio, debe crear un grupo de seguridad para definir los activos que desea proteger. Los gruposde seguridad pueden ser estáticos (incluidas máquinas virtuales específicas) o dinámicos, y lapertenencia puede definirse en una o varias de las siguientes formas:
n Contenedores vCenter (clústeres, grupos de puertos o centros de datos)
n Etiquetas de seguridad, IPset, MACset o incluso otros grupos de seguridad Por ejemplo, puedeincluir un criterio para agregar al grupo de seguridad todos los miembros etiquetados con la etiquetade seguridad especificada (como AntiVirus.virusFound).
n Grupos de Active Directory (si NSX Manager se registró con Active Directory)
n Expresiones regulares, como máquinas virtuales con el nombre VM1
Tenga en cuenta que la pertenencia al grupo de seguridad cambia constantemente. Por ejemplo, unamáquina virtual que tiene la etiqueta AntiVirus.virusFound se mueve al grupo de seguridad paracuarentena. Cuando se borra el virus y se quita la etiqueta de la máquina virtual, vuelve a salir del grupode seguridad para cuarentena.
Directiva de seguridad
Una directiva de seguridad es una recopilación de las siguientes configuraciones de servicios.
Tabla 17‑1. Servicios de seguridad contenidos en una directiva de seguridad
Servicio Descripción Aplica a
Reglas defirewall
Reglas que definen el tráfico que se permitirá que circule desde, hacia o dentrodel grupo de seguridad.
vNIC
Servicio deextremo
Data Security o servicios de un proveedor de soluciones de terceros, comoservicios de administración de vulnerabilidad o antivirus.
máquinas virtuales
Servicios deintrospección dered
Servicios que supervisan la red, como IPS. máquinas virtuales
VMware, Inc. 282
Durante la implementación de servicios en NSX, el proveedor de soluciones de terceros selecciona lacategoría del servicio que se va a implementar. Para cada plantilla de proveedor se crea un perfil deservicios predeterminado.
Cuando los servicios del proveedor se actualizan a NSX 6.1, se crean perfiles de serviciopredeterminados para las plantillas de proveedores que se van a actualizar. Las directivas de serviciosexistentes que incluyen reglas de Guest Introspection se actualizan para establecer una referencia conlos perfiles de servicio creados durante la actualización.
Asignar una directiva de seguridad a un grupo de seguridad
Es posible asignar una directiva de seguridad (por ejemplo, DS1) a un grupo de seguridad (GS1). Losservicios configurados en DS1 se aplican a todas las máquinas virtuales que pertenecen a GS1.
NOTA: Si tiene muchos grupos de seguridad a los que debe aplicar la misma directiva de seguridad,cree un grupo de seguridad principal que incluya todos los grupos de seguridad secundarios y aplique ladirectiva de seguridad común al grupo principal. De este modo, se garantiza que Distributed Firewall deNSX utilice de forma eficiente la memoria del host ESXi.
Figura 17‑1. Descripción general de Service Composer
Grupo de seguridad
Si una máquina virtual pertenece a más de un grupo de seguridad, los servicios que se aplican a lamáquina virtual dependen de la prioridad de la directiva de seguridad asignada a los grupos deseguridad.
Los perfiles de Service Composer pueden exportarse e importarse como copias de seguridad o utilizarseen otros entornos. Este enfoque para la administración de servicios de red y seguridad permite laadministración de directivas de seguridad reiterativa y que se puede accionar.
Este capítulo cubre los siguientes temas:
n Utilizar Service Composer
n Vista gráfica de Service Composer
n Trabajar con etiquetas de seguridad
n Ver servicios efectivos
n Trabajar con directivas de seguridad
n Editar un grupo de seguridad
n Situaciones de Service Composer
Guía de administración de NSX
VMware, Inc. 283
Utilizar Service ComposerService Composer permite consumir servicios de seguridad con facilidad.
Veamos un ejemplo para mostrar de qué modo Service Composer permite proteger la red de extremo aextremo. Imaginemos que cuenta con las siguientes directivas de seguridad definidas en su entorno:
n Una directiva de seguridad estatal inicial que incluye un servicio de examen de vulnerabilidades(InitStatePolicy).
n Una directiva de seguridad de corrección que incluye un servicio IPS de red además de reglas defirewall y un servicio antivirus (RemPolicy).
Asegúrese de que la directiva RemPolicy tenga mayor peso (prioridad) que la directiva InitStatePolicy.
También cuenta con los siguientes grupos de seguridad instalados:
n Un grupo de activos de aplicaciones que incluye las aplicaciones empresariales críticas del entorno(AssetGroup).
n Un grupo de seguridad de corrección definido por una etiqueta que indica la vulnerabilidad de lamáquina virtual (VULNERABILITY_MGMT.VulnerabilityFound.threat=medium) denominadoRemGroup.
Ahora puede asignar la directiva InitStatePolicy en el grupo de activos AssetGroup para proteger todaslas aplicaciones empresariales críticas del entorno. También puede asignar la directiva RemPolicy en elgrupo de corrección RemGroup para proteger las máquinas virtuales vulnerables.
Cuando se inicia un examen de vulnerabilidad, se examinan todas las máquinas virtuales del grupo deactivos AssetGroup. Si el examen identifica una vulnerabilidad en una máquina virtual, aplica la etiquetaVULNERABILITY_MGMT.VulnerabilityFound.threat=medium en la máquina virtual.
Service Composer agrega de inmediato la máquina virtual etiquetada en el grupo RemGroup, donde yahay una solución IPS de red para proteger esta máquina virtual vulnerable.
Guía de administración de NSX
VMware, Inc. 284
Figura 17‑2. Service Composer en acción
Máquina virtual etiquetadaAplicación fundamental para
el negocio Grupo de seguridad
VULNERABILITY_MGMT.VulnerabilityFound.threat
=medium
Examen devulnerabilidad
Grupo de seguridadde corrección
VULNERABILITY_MGMT.VulnerabilityFound.threat
=medium
Aplicación fundamental
VULNERABILITY_MGMT.VulnerabilityFound.threat
=medium
Solución de partners
Solución de partners
para el negocio
En este tema ahora verá los pasos necesarios para consumir los servicios de seguridad que ofreceService Composer.
1 Crear un grupo de seguridad en Service Composer
Es posible crear un grupo de seguridad en el nivel de NSX Manager.
2 Crear una directiva de seguridad
Una directiva de seguridad es un conjunto de servicios de Guest Introspection, de firewall y deintrospección de red que se puede aplicar a un grupo de seguridad. La ponderación asociada con ladirectiva determina el orden en que se muestran las directivas de seguridad lo determina. De formapredeterminada, a una directiva nueva se le asigna la ponderación más alta para ubicarla en laparte superior de la tabla. Sin embargo, se puede modificar la ponderación sugeridapredeterminada para cambiar el orden asignado a la directiva nueva.
3 Aplicar una directiva de seguridad a un grupo de seguridad
Puede aplicar una directiva de seguridad a un grupo de seguridad para asegurar los escritoriosvirtuales, las aplicaciones esenciales del negocio y las conexiones entre ellos. También puede veruna lista de los servicios que no se aplicaron y el motivo por el cual no se los aplicó.
Crear un grupo de seguridad en Service ComposerEs posible crear un grupo de seguridad en el nivel de NSX Manager.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, haga clic en ServiceComposer.
Guía de administración de NSX
VMware, Inc. 285
3 Haga clic en la pestaña Grupos de seguridad (Security Groups) y, a continuación, en el iconoAgregar grupo de seguridad (Add Security Group).
4 Escriba un nombre y una descripción para el grupo de seguridad y haga clic en Siguiente (Next).
5 En la página Pertenencia dinámica (Dynamic Membership), defina los criterios que debe cumplir unobjeto para que se pueda agregar al grupo de seguridad que va a crear.
Por ejemplo, puede incluir un criterio para agregar al grupo de seguridad todos los miembrosetiquetados con la etiqueta de seguridad especificada (como AntiVirus.virusFound). Las etiquetas deseguridad distinguen entre mayúsculas y minúsculas.
NOTA: Si define un grupo de seguridad por las máquinas virtuales que tienen cierta etiqueta deseguridad aplicada, puede crear un flujo de trabajo dinámico o condicional. En el momento en que seaplica la etiqueta a la máquina virtual, esta se agrega automáticamente al grupo de seguridad.
O bien puede agregar al grupo de seguridad todas las máquinas virtuales que contengan el nombreW2008 y las máquinas virtuales que estén en el conmutador lógico global_wire.
6 Haga clic en Siguiente (Next).
7 En la página Seleccionar objetos para incluir (Select objects to include), seleccione el tipo de objetoen el menú desplegable.
8 Haga doble clic en el objeto que desea agregar a la lista para incluir. Puede incluir los siguientesobjetos en un grupo de seguridad.
n Otros grupos de seguridad para agrupar dentro del grupo de seguridad que se va a crear.
n Clúster
n Conmutador lógico
n Red
n Aplicación virtual
n Centro de datos
n Conjuntos de direcciones IP
Guía de administración de NSX
VMware, Inc. 286
n Grupos de AD
NOTA: La configuración de AD para los grupos de seguridad de NSX es diferente de laconfiguración de AD para vSphere SSO. La configuración de AD de NSX está destinada ausuarios finales que acceden a las máquinas virtuales invitadas mientras que vSphere SSO espara los administradores que utilizan vSphere y NSX.
n Conjuntos de direcciones MAC
n Etiqueta de seguridad
n vNIC
n Máquina virtual
n Grupo de recursos
n Grupo de puertos virtuales distribuidos
Los objetos aquí seleccionados se incluyen siempre en el grupo de seguridad, independientementede que coincidan o no con los criterios dinámicos.
Cuando se agrega un recurso a un grupo de seguridad, todos los recursos asociados se agreganautomáticamente. Por ejemplo, cuando selecciona una máquina virtual, la vNIC asociada se agregaautomáticamente al grupo de seguridad.
9 Haga clic en Siguiente (Next) y doble clic en los objetos que desea excluir del grupo de seguridad.
Los objetos aquí seleccionados se excluyen siempre del grupo de seguridad, aunque coincidan conlos criterios dinámicos o estén seleccionados en la lista de inclusión.
10 Haga clic en Finalizar (Finish).
La pertenencia a un grupo de seguridad se determina de la siguiente manera:
{Resultado de la expresión (derivados de Step 5) + Inclusiones (especificadas en Step 8} - Exclusión(especificada en Step 9)
lo cual significa que los elementos de inclusión se agregan primero al resultado de la expresión. Acontinuación, se restan los elementos de exclusión del resultado total.
Guía de administración de NSX
VMware, Inc. 287
Crear una directiva de seguridadUna directiva de seguridad es un conjunto de servicios de Guest Introspection, de firewall y deintrospección de red que se puede aplicar a un grupo de seguridad. La ponderación asociada con ladirectiva determina el orden en que se muestran las directivas de seguridad lo determina. De formapredeterminada, a una directiva nueva se le asigna la ponderación más alta para ubicarla en la partesuperior de la tabla. Sin embargo, se puede modificar la ponderación sugerida predeterminada paracambiar el orden asignado a la directiva nueva.
Prerequisitos
Asegúrese de que:
n Los servicios integrados de VMware requeridos (como Distributed Firewall, Data Security y GuestIntrospection) estén instalados.
n Los servicios de partners necesarios se hayan registrado con NSX Manager.
n La opción predeterminada que desee aplicar al valor se configura para las reglas del firewall deService Composer. Consulte Editar la opción "Se aplica a" (Applied to) del firewall de ServiceComposer.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, haga clic en ServiceComposer.
3 Haga clic en la pestaña Directivas de seguridad (Security Policies).
4 Haga clic en el icono Crear directiva de seguridad (Create Security Policy) ( ).
5 En el cuadro de diálogo Agregar directiva de seguridad (Add Security Policy), escriba un nombrepara la directiva de seguridad.
6 Escriba una descripción para la directiva de seguridad.
NSX asigna una ponderación predeterminada (la ponderación más alta +1.000) a la directiva. Porejemplo, si la ponderación más alta en la directiva existente es 1.200, a la directiva nueva se leasignará la ponderación 2.200.
Las directivas de seguridad se aplican según su ponderación: una directiva con ponderación másalta tiene precedencia sobre una con ponderación más baja.
7 Seleccione Heredar directiva de seguridad de directiva especificada (Inherit security policy fromspecified policy) si desea que la directiva que va a crear reciba servicios de otra directiva deseguridad. Seleccione la directiva primaria.
La directiva nueva hereda todos los servicios de la directiva primaria.
8 Haga clic en Siguiente (Next).
Guía de administración de NSX
VMware, Inc. 288
9 En la página Servicios de Guest Introspection (Guest Introspection Services), haga clic en el icono
Agregar servicio de Guest Introspection (Add Guest Introspection Service) ( ).
a En el cuadro de diálogo Agregar servicio de Guest Introspection (Add Guest IntrospectionService), escriba un nombre y una descripción para el servicio.
b Especifique si desea aplicar el servicio o bloquearlo.
Cuando hereda una directiva de seguridad, puede elegir bloquear un servicio de la directivaprimaria.
Si aplica un servicio, debe seleccionar un servicio y un perfil de servicio. Si bloquea un servicio,debe seleccionar el tipo de servicio que se debe bloquear.
c Si elige bloquear el servicio, seleccione el tipo de servicio.
Si selecciona Data Security, debe haber una directiva de seguridad de datos vigente. Consulte Capítulo 19 Data Security.
d Si eligió aplicar el servicio de Guest Introspection, seleccione el nombre del servicio.
Se muestra el perfil de servicio predeterminado del servicio seleccionado, que incluyeinformación sobre los tipos de funcionalidad de servicios admitidos por la plantilla de proveedorasociada.
e En Estado (State), especifique si desea habilitar el servicio de Guest Introspection odeshabilitarlo.
Puede agregar servicios de Guest Introspection como marcadores de posición para habilitar losservicios más adelante. Esto resulta particularmente útil en los casos en los que los servicios sedeben aplicar a petición (por ejemplo, aplicaciones nuevas).
f Seleccione si se debe aplicar el servicio de Guest Introspection (es decir, no se puede anular). Siel perfil de servicio seleccionado es compatible con varios tipos de funcionalidad de servicios,esto se establece en Aplicar (Enforce) de forma predeterminada y no se puede cambiar.
Si aplica un servicio de Guest Introspection en una directiva de seguridad, otras directivas queheredan esta directiva de seguridad requerirían que esta directiva se aplique antes que otrasdirectivas secundarias. Si no se aplica este servicio, una selección de herencia agregaría ladirectiva primaria una vez aplicadas las directivas secundarias.
g Haga clic en Aceptar (OK).
Es posible agregar servicios de Guest Introspection adicionales con los pasos anteriores. Losservicios de Guest Introspection se pueden administrar por medio de los iconos ubicados arriba de latabla de servicios.
Si desea exportar o copiar los servicios en esta página, haga clic en el icono en la parte inferiorderecha de la página Servicios de Guest Introspection (Guest Introspection Services).
10 Haga clic en Siguiente (Next).
Guía de administración de NSX
VMware, Inc. 289
11 En la página Firewall, haga clic en el icono Agregar regla de firewall (Add Firewall Rule) ( ).
Aquí define las reglas de firewall de los grupos de seguridad a los que se aplicará esta directiva deseguridad.
a Escriba un nombre y una descripción para la regla de firewall que está por agregar.
b Seleccione Permitir (Allow) o Bloquear (Block) para indicar si la regla debe permitir o bloquearel tráfico hacia el destino seleccionado.
c Seleccione el origen para la regla. De forma predeterminada, la regla se aplica al tráfico queproviene de los grupos de seguridad a los que se aplica esta directiva. Para cambiar el origenpredeterminado, haga clic en Cambiar (Change) y seleccione los grupos de seguridadadecuados.
d Seleccione el destino para la regla.
NOTA: El origen o el destino, o ambos, deben ser grupos de seguridad a los se aplica estadirectiva.
Supongamos que crea una regla con el Origen (Source) predeterminado, especifica el Destino(Destination) como Nómina (Payroll) y selecciona Negar destino (Negate Destination). Después,aplica esta directiva de seguridad al grupo de seguridad Ingeniería (Engineering). Esto permitiríaque Ingeniería (Engineering) acceda a todo excepto al servidor de Nómina (Payroll).
e Seleccione los servicios o los grupos de servicios a los que se aplica la regla.
f Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para especificar el estado de laregla.
g Seleccione Registrar (Log) para registrar las sesiones que coincidan con esta regla.
Si el registro se habilita, el rendimiento puede verse afectado.
h Haga clic en Aceptar (OK).
Es posible agregar reglas de firewall adicionales con los pasos anteriores. Es posible administrar lasreglas de firewall por medio de los iconos ubicados arriba de la tabla de firewall.
Si desea exportar o copiar las reglas en esta página, haga clic en el icono en la parte inferiorderecha de la página Firewall.
Las reglas de firewall que agrega aquí se muestran en la tabla de firewall. VMware recomienda noeditar las reglas de Service Composer en la tabla de firewall. Si debe hacerlo para solucionarproblemas en una emergencia, debe volver a sincronizar las reglas de Service Composer con las defirewall. Para ello, seleccione Sincronizar reglas de firewall (Synchronize Firewall Rules) en elmenú Acciones (Actions) de la pestaña Políticas de seguridad (Security Policies).
12 Haga clic en Siguiente (Next).
La página Servicios de introspección de red (Network Introspection Services) muestra los serviciosde NetX que se integraron con el entorno virtual de VMware.
Guía de administración de NSX
VMware, Inc. 290
13 Haga clic en el icono Agregar servicio de introspección de red (Add Network Introspection
Service) ( ).
a En el cuadro de diálogo Agregar servicio de introspección de red (Add Network IntrospectionService), escriba un nombre y una descripción para el servicio que va a agregar.
b Seleccione si desea redirigir el servicio o no.
c Seleccione el nombre y el perfil del servicio.
d Seleccione el origen y el destino.
e Seleccione el servicio de red que desea agregar.
Puede realizar selecciones adicionales según el servicio que seleccionó.
f Seleccione si desea habilitar o deshabilitar el servicio.
g Seleccione Registrar (Log) para registrar las sesiones que coincidan con esta regla.
h Haga clic en Aceptar (OK).
Es posible agregar servicios de introspección de red adicionales con los pasos anteriores. Losservicios de introspección de red se pueden administrar por medio de los iconos sobre la tabla deservicios.
Si desea exportar o copiar los servicios en esta página, haga clic en el icono en la parte inferiorderecha de la página Servicios de introspección de red (Network Introspection Services).
NOTA: Se sobrescribirán los enlaces creados manualmente para los perfiles de servicio utilizadosen las directivas de Service Composer.
14 Haga clic en Finalizar (Finish).
La directiva de seguridad se agrega a la tabla de directivas. Puede hacer clic en el nombre de ladirectiva y seleccionar la pestaña adecuada para ver un resumen de los servicios asociados con ladirectiva, ver los errores de servicio o editar un servicio.
Qué hacer a continuación
Asigne la directiva de seguridad a un grupo de seguridad.
Editar la opción "Se aplica a" (Applied to) del firewall de Service ComposerEs posible establecer la opción "Se aplica a" (Applied to) para todas las reglas del firewall creadas através de Service Composer para el Distributed Firewall o las directivas de los grupos de seguridad. Deforma predeterminada, "Se aplica a" (Applied to) se configura para el Distributed Firewall.
Cuando las reglas del firewall de Service Composer tienen una opción de "Se aplica a" (Applied to) paraconfigurar el firewall distribuido, las reglas se aplican a todos los clústeres en los que dicho firewall estéinstalado. Si se configuraron las reglas del firewall para aplicarse a los grupos de seguridad de ladirectiva, cuenta con más control granular sobre las reglas del firewall, pero puede necesitar variasdirectivas de seguridad o reglas del firewall para conseguir el resultado deseado.,
Guía de administración de NSX
VMware, Inc. 291
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security), en Service Composer y, por último, en lapestaña Directivas de seguridad (Security Policies).
3 Haga clic en Acciones > Editar configuración de directiva de firewall (Actions > Edit FirewallPolicy Settings). Seleccione una configuración predeterminada para "Se aplica a" (Applied to) y hagaclic en Aceptar (OK).
Opción Descripción
Distributed Firewall Las reglas del firewall se aplican a todos los clústeres en los que el DistributedFirewall está instalado.
Directivas de grupos de seguridad Las reglas del firewall se aplican a los grupos de seguridad a los que se apliquela directiva de seguridad.
La configuración predeterminada de "Se aplica a" (Applied to) también se puede ver y se puedecambiar a través de la API. Consulte la Guía de NSX API.
Ejemplo: Comportamiento de "Se aplica a" (Applied to)
En este escenario de ejemplo, la acción predeterminada de la regla de firewall está configurada para elbloqueo. Existen dos grupos de seguridad: web-servers y app-servers, que contienen las máquinasvirtuales. Cree una directiva de seguridad, allow-ssh-from-web, que incluya la siguiente regla de firewall yaplíquela a app-servers del grupo de seguridad.
n Nombre: allow-ssh-from-web
n Origen: web-servers
n Destino: directivas de grupos de seguridad
n Servicio: ssh
n Acción: permitir
Si la regla de firewall se aplica al Distributed Firewall, podrá realizar la acción ssh desde una máquinavirtual en web-servers del grupo de seguridad a una máquina virtual de app-servers del grupo deseguridad.
Si la regla del firewall se aplica al grupo de seguridad de la directiva, no podrá realizar la acción ssh yaque el tráfico se bloquea para alcanzar los servidores de la aplicación. Será necesario crear una directivade seguridad adicional para permitir la acción ssh para los servidores de la aplicación y aplicar estadirectiva a web-servers del grupo de seguridad.
n Nombre: allow-ssh-to-app
n Origen: grupo de seguridad de la directiva
n Destino: app-servers
n Servicio: ssh
n Acción: permitir
Guía de administración de NSX
VMware, Inc. 292
Aplicar una directiva de seguridad a un grupo de seguridadPuede aplicar una directiva de seguridad a un grupo de seguridad para asegurar los escritorios virtuales,las aplicaciones esenciales del negocio y las conexiones entre ellos. También puede ver una lista de losservicios que no se aplicaron y el motivo por el cual no se los aplicó.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, haga clic en ServiceComposer.
3 Haga clic en la pestaña Directiva de seguridad (Security Policy).
4 Seleccione una directiva de seguridad y haga clic en el icono Aplicar directiva de seguridad (Apply
Security Policy) ( ).
5 Seleccione el grupo de seguridad en el que desea aplicar la directiva.
Si selecciona un grupo de seguridad definido por máquinas virtuales que tienen una cierta etiquetade seguridad aplicada, puede crear un flujo de trabajo dinámico o condicional. En el momento en quese aplica la etiqueta a la máquina virtual, esta se agrega automáticamente a dicho grupo deseguridad.
Las reglas de introspección de red y las reglas de extremo asociadas con la directiva no surtiránefecto en los grupos de seguridad que contienen miembros IPSet o MacSet.
6 Haga clic en el icono Vista previa de estado del servicio (Preview Service Status) para ver losservicios que no se pueden aplicar al grupo de seguridad seleccionado y los motivos.
Por ejemplo, el grupo de seguridad puede incluir una máquina virtual que pertenece a un clúster enel que uno de los servicios de la directiva no se instaló. Debe instalar ese servicio en el clústeradecuado para que la directiva de seguridad funcione como se pretende.
7 Haga clic en Aceptar (OK).
Vista gráfica de Service ComposerService Composer ofrece una vista de lienzo donde se muestran todos los grupos de seguridad de lainstancia de NSX Manager seleccionada. La vista también muestra detalles como los miembros de cadagrupo de seguridad y la directiva de seguridad aplicada.
En este tema se presenta Service Composer desde un sistema parcialmente configurado de modo quese puedan visualizar las asignaciones entre los grupos de seguridad y los objetos de la directiva deseguridad en un nivel alto de la vista de lienzo.
Procedimiento
1 Inicie sesión en vSphere Web Client.
Guía de administración de NSX
VMware, Inc. 293
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, haga clic en ServiceComposer.
3 Haga clic en la pestaña Lienzo (Canvas).
Se muestran todos los grupos de seguridad de la instancia de NSX Manager seleccionada (que noestán incluidos en otro grupo de seguridad) junto con las directivas aplicadas en ellos. El menúdesplegable NSX Manager muestra todas las instancias de NSX Manager donde tiene un rolasignado el usuario cuya sesión está iniciada actualmente.
Figura 17‑3. Vista del nivel superior del lienzo de Service Composer
Cada casilla rectangular del lienzo representa un grupo de seguridad y los iconos dentro del rectángulorepresentan los miembros del grupo de seguridad y los detalles de la directiva de seguridad asignada.
Figura 17‑4. Grupo de seguridad
El número junto a cada icono indica la cantidad de instancias; por ejemplo, indica que ese grupode seguridad tiene asignada una directiva de seguridad.
Icono Haga clic para mostrar
Los grupos de seguridad anidados en el grupo de seguridad principal.
Las máquinas virtuales que actualmente forman parte del grupo de seguridad principal, así como los grupos deseguridad anidados. Haga clic en la pestaña Errores (Errors) para ver las máquinas virtuales con errores en el servicio.
Guía de administración de NSX
VMware, Inc. 294
Icono Haga clic para mostrar
Las directivas de seguridad efectivas asignadas al grupo de seguridad.n Para crear una nueva directiva de seguridad, haga clic en el icono Crear directiva de seguridad (Create Security
Policy) ( ). El objeto de la directiva de seguridad recién creada se asigna automáticamente al grupo de seguridad.n Para asignar otras directivas de seguridad al grupo de seguridad, haga clic en el icono Aplicar directiva de
seguridad (Apply Security Policy) ( ).
Los servicios Effective Endpoint asociados con la directiva de seguridad asignada al grupo de seguridad. Imaginemosque tiene dos directivas aplicadas en un grupo de seguridad y que ambas tienen configurada la misma categoría deservicio Endpoint. El recuento de servicios Effective Endpoint en este caso es 1 (dado que se anula el segundo servicioen prioridad más baja).
Los errores en el servicio Endpoint, si los hay, se indican con un icono de alerta. Haga clic en el icono para ver el error.
Las reglas de firewall de Effective Endpoint asociadas con la directiva de seguridad asignada al grupo de seguridad.
Los errores en el servicio, si los hay, se indican con un icono de alerta. Haga clic en el icono para ver el error.
Los servicios de introspección de red efectiva asociados con la directiva de seguridad asignada al grupo de seguridad.
Los errores en el servicio, si los hay, se indican con un icono de alerta. Haga clic en el icono para ver el error.
Haga clic en el icono para ver un cuadro de diálogo con los detalles correspondientes.
Figura 17‑5. Detalles que aparecen al hacer clic en un icono del grupo de seguridad
Puede buscar los grupos de seguridad por su nombre. Por ejemplo, si escribe PCI en el campo debúsqueda en la esquina superior derecha de la vista de lienzo, solo aparecerán los grupos de seguridadque tengan PCI en el nombre.
Para ver la jerarquía de los grupos de seguridad, haga clic en el icono Nivel superior (Top Level) ( )ubicado en la esquina superior izquierda de la ventana y seleccione el grupo de seguridad que desea
mostrar. Si un grupo de seguridad contiene grupos de seguridad anidados, haga clic en para ver losgrupos anidados. La barra superior muestra el nombre del grupo de seguridad primario y los iconos de labarra muestran la cantidad total de directivas de seguridad, servicios Endpoint, servicios de firewall yservicios de introspección de red aplicables al grupo principal. Puede desplazarse de vuelta hacia el nivel
superior: haga clic en el icono Subir un nivel (Go up one level) (icono ) ubicado en la parte superiorizquierda de la ventana.
Para hacer zoom para acercar o alejar la vista de lienzo lentamente, mueva el control deslizante delzoom en la esquina superior derecha de la ventana. El cuadro Navegador (Navigator) muestra una vistaalejada del lienzo completo. Si el lienzo es muy grande y no cabe en la pantalla, aparecerá un cuadroalrededor del área que sigue viéndose, que podrá mover para cambiar la sección del lienzo que deseamostrar.
Guía de administración de NSX
VMware, Inc. 295
Qué hacer a continuación
Ahora que vimos cómo funciona la asignación entre grupos de seguridad y directivas de seguridad,puede empezar a crear directivas de seguridad para definir los servicios de seguridad que desea aplicaren sus grupos de seguridad.
Asignar grupo de seguridad a directiva de seguridadPuede asignar el grupo de seguridad seleccionado a una directiva de seguridad.
Procedimiento
1 Seleccione la directiva de seguridad que desea aplicar en el grupo de seguridad.
2 Para crear una directiva nueva, seleccione Nuevo grupo de seguridad (New Security Group).
Consulte Crear una directiva de seguridad.
3 Haga clic en Guardar (Save).
Trabajar con etiquetas de seguridadPuede ver las etiquetas de seguridad aplicadas a una máquina virtual o crear una etiqueta de seguridaddefinida por el usuario.
Ver etiquetas de seguridad aplicadasPuede ver las etiquetas de seguridad aplicadas a las máquinas virtuales del entorno.
Prerequisitos
Deberá haberse ejecutado un examen antivirus o de seguridad de datos y deberá haberse aplicado unaetiqueta en la máquina virtual correspondiente.
NOTA: Consulte la documentación de la solución de terceros para ver los detalles de las etiquetas queaplican estas soluciones.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y seleccione Instancias de NSX Manager(NSX Managers).
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
4 Haga clic en la pestaña Etiquetas de seguridad (Security Tags).
Se muestra una lista de etiquetas aplicadas al entorno, junto con los detalles de las máquinasvirtuales en las que se aplicaron esas etiquetas. Anote el nombre exacto de la etiqueta si deseaagregar un grupo de seguridad para incluir máquinas virtuales con una etiqueta específica.
Guía de administración de NSX
VMware, Inc. 296
5 Haga clic en la cantidad en la columna Recuento de máquinas virtuales (VM Count) para ver lasmáquinas virtuales en las que se aplicó la etiqueta de esa fila.
Agregar una etiqueta de seguridadEs posible agregar manualmente una etiqueta de seguridad y aplicarla a una máquina virtual. Esto esparticularmente útil cuando se utiliza una solución que no es de NETX en el entorno y, por lo tanto, no sepueden registrar las etiquetas de la solución con NSX Manager.
Prerequisitos
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y seleccione Instancias de NSX Manager(NSX Managers).
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
4 Haga clic en la pestaña Etiquetas de seguridad (Security Tags).
5 Haga clic en el icono Nueva etiqueta de seguridad (New Security Tag) ( ).
6 Escriba un nombre y una descripción para la etiqueta, y haga clic en Aceptar (OK).
Asignar una etiqueta de seguridadAdemás de crear un flujo de trabajo condicional con una etiqueta de seguridad dinámica basada enpertenencia, es posible asignar manualmente una etiqueta de seguridad a una máquina virtual.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y seleccione Instancias de NSX Manager(NSX Managers).
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
4 Haga clic en la pestaña Etiquetas de seguridad (Security Tags).
5 Seleccione una etiqueta de seguridad y haga clic en el icono Asignar etiqueta de seguridad
(Assign Security Tag) .
6 Seleccione una o varias máquinas virtuales y haga clic en Aceptar (OK).
Guía de administración de NSX
VMware, Inc. 297
Editar una etiqueta de seguridadEs posible editar una etiqueta de seguridad definida por el usuario. Si un grupo de seguridad se basa enla etiqueta que está editando, los cambios en la etiqueta pueden afectar la pertenencia al grupo deseguridad.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y seleccione Instancias de NSX Manager(NSX Managers).
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
4 Haga clic en la pestaña Etiquetas de seguridad (Security Tags).
5 Seleccione una etiqueta de seguridad y haga clic en el icono Editar etiqueta de seguridad (Edit
Security Tag) ( ).
6 Realice los cambios necesarios y haga clic en Aceptar (OK).
Eliminar una etiqueta de seguridadEs posible eliminar una etiqueta de seguridad definida por el usuario. Si un grupo de seguridad estábasado en la etiqueta que va a eliminar, los cambios en la etiqueta pueden afectar la pertenencia algrupo de seguridad.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y seleccione Instancias de NSX Manager(NSX Managers).
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
4 Haga clic en la pestaña Etiquetas de seguridad (Security Tags).
5 Seleccione una etiqueta de seguridad y haga clic en el icono Eliminar etiqueta de seguridad
(Delete Security Tag) ( ).
Ver servicios efectivosPuede ver los servicios efectivos en un objeto de una directiva de seguridad o en una máquina virtual.
Guía de administración de NSX
VMware, Inc. 298
Ver servicios efectivos en una directiva de seguridadPuede ver los servicios efectivos en una directiva de seguridad, incluidos los servicios heredados de unadirectiva primaria.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, haga clic en ServiceComposer.
3 Haga clic en la pestaña Directivas de seguridad (Security Policies).
4 Haga clic en una directiva de seguridad en la columna Nombre (Name).
5 Asegúrese de estar en la pestaña Administrar (Manage) > Seguridad de la información(Information Security).
Cada una de las tres pestañas (Servicios Endpoint [Endpoint Services], Firewall, y Servicios deintrospección de red [Network Introspection Services]) muestra los correspondientes servicios de ladirectiva de seguridad.
Los servicios que no están efectivos aparecen atenuados. La columna Anulados (Overridden) muestralos servicios que en efecto se aplicaron a la directiva de seguridad y la columna Heredados de (Inheritedfrom) muestra la directiva de seguridad de la cual se heredan los servicios.
Ver errores de servicios en una directiva de seguridadPuede ver los servicios asociados con una directiva de seguridad que no pudo aplicarse a los grupos deseguridad asignados a la directiva.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, haga clic en ServiceComposer.
3 Haga clic en la pestaña Directivas de seguridad (Security Policies).
4 Haga clic en una directiva de seguridad en la columna Nombre (Name).
5 Asegúrese de estar en la pestaña Supervisar (Monitor) > Errores del servicio (Service Errors).
Si hace clic en el vínculo de la columna Estado (Status), llegará a la página Implementación delservicio (Service Deployment), donde puede corregir los errores del servicio.
Guía de administración de NSX
VMware, Inc. 299
Ver servicios efectivos en una máquina virtualPuede ver los servicios efectivos en una máquina virtual. Si se están aplicando varias directivas deseguridad en una máquina virtual (es decir, la máquina virtual integra varios grupos de seguridad condirectivas asignadas), entonces esta vista enumerará todos los servicios efectivos en estas directivas, enel orden en que se aplicaron. La columna del estado del servicio muestra el estado de cada servicio.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en vCenter y, a continuación, en Máquinas virtuales (Virtual Machines).
3 Haga clic en una máquina virtual de la columna Nombre (Name).
4 Asegúrese de estar en la pestaña Supervisar (Monitor) > Service Composer.
Trabajar con directivas de seguridadUna directiva de seguridad es un grupo de servicios de red y seguridad.
Los siguientes servicios de red y seguridad pueden agruparse en una directiva de seguridad:
n Servicios Endpoint: seguridad de datos, antivirus y administración de vulnerabilidades.
n Reglas de Distributed Firewall.
n Servicios de introspección de red: IPS de red y análisis forense de la red.
Administrar la prioridad de las directivas de seguridadLas directivas de seguridad se aplican según su ponderación: una directiva con ponderación más altatiene más prioridad. Cuando mueve una directiva hacia arriba o abajo en la tabla, la ponderación seajusta acorde al movimiento.
Se pueden aplicar varias directivas de seguridad a una máquina virtual, ya sea porque el grupo deseguridad que contiene la máquina virtual está asociado con varias directivas o porque la máquina virtuales parte de varios grupos de seguridad asociados con distintas directivas. Si hay un conflicto entre losservicios agrupados con cada directiva, la ponderación de la directiva determina los servicios que seaplicarán a la máquina virtual. Por ejemplo, supongamos que la directiva 1 bloquea el acceso a Internet ytiene un valor de ponderación de 1000, mientras que la directiva 2 permite el acceso a Internet y tiene unvalor de ponderación de 2000. En este caso en particular, la directiva 2 tiene mayor ponderación y, por lotanto, la máquina virtual podrá acceder a Internet.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, haga clic en ServiceComposer.
3 Haga clic en la pestaña Directivas de seguridad (Security Policies).
Guía de administración de NSX
VMware, Inc. 300
4 Haga clic en el icono Administrar precedencia (Manage Precedence) ( ).
5 En el cuadro de diálogo Administrar precedencia (Manage Precedence), seleccione la directiva deseguridad a la que desea modificarle la precedencia y haga clic en el icono Mover hacia arriba(Move Up) ( ) o Mover hacia abajo (Move Down) ( ).
6 Haga clic en Aceptar (OK).
Editar directiva de seguridadEs posible editar el nombre o la descripción de una directiva de seguridad, al igual que las reglas y losservicios asociados.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, haga clic en ServiceComposer.
3 Haga clic en la pestaña Directivas de seguridad (Security Policies).
4 Seleccione la directiva de seguridad que desea editar y haga clic en el icono Editar directiva de
seguridad (Edit Security Policy) ( ).
5 En el cuadro de diálogo Editar directiva de seguridad (Edit Security Policy), realice los cambiosadecuados y haga clic en Finalizar (Finish).
Eliminar una directiva de seguridadEs posible eliminar una directiva de seguridad.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, haga clic en ServiceComposer.
3 Haga clic en la pestaña Directivas de seguridad (Security Policies).
4 Seleccione la directiva de seguridad que desea eliminar y haga clic en el icono Eliminar directiva de
seguridad (Delete Security Policy) ( ).
Editar un grupo de seguridadEs posible editar un grupo de seguridad.
Procedimiento
1 Inicie sesión en vSphere Web Client.
Guía de administración de NSX
VMware, Inc. 301
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, haga clic en ServiceComposer.
3 Haga clic en la pestaña Grupos de seguridad (Security Groups).
4 Seleccione el grupo de seguridad que desea editar y haga clic en el icono Editar grupo deseguridad (Edit Security Group).
5 Realice los cambios necesarios y haga clic en Aceptar (OK).
Situaciones de Service ComposerEsta sección muestra algunas situaciones hipotéticas para Service Composer. Se da por sentado que aladministrador de cada situación se le asignó el rol Administrador de seguridad.
Situación de máquinas infectadas en cuarentenaService Composer puede identificar si hay sistemas infectados en la red con soluciones antivirus deterceros y ponerlos en cuarentena para evitar otras infecciones.
Nuestro caso de muestra explica cómo proteger los escritorios de extremo a extremo.
Figura 17‑6. Configurar Service Composer
Crear directiva de seguridadpara examinar escritorios
(DesktopPolicy)
Crear directiva de seguridadpara aislar sistemas infectados
(QuarantinePolicy)
Crear directiva de seguridad para máquinas virtuales
infectadas (QuarantinePolicy)
Crear directivade seguridad para
escritorios
Asignar QuarantinePolicy aQuarantineSecurityGroup
Tareas del administrador
Ejecutar exploración
del partner
Asignar DesktopPolicy aDesktopSecurityGroup
(DesktopPolicy)
de soluciones
Figura 17‑7. Flujo de trabajo condicional de Service Composer
Tareas del administrador Acción automática deService Composer
Exploraciónde administración
de vulnerabilidades
máquina virtual
vulnerable etiquetada
máquina virtual etiquetadaagregada instantáneamente a
QuarantineSecurityGroup
máquina virtual enQuarantineSecurityGroup
protegida con IPSvulnerable
Prerequisitos
Estamos al tanto de que las etiquetas de Symantec infectaron las máquinas virtuales con la etiquetaAntiVirus.virusFound.
Procedimiento
1 Instale, registre e implemente la solución Symantec Antimalware.
Guía de administración de NSX
VMware, Inc. 302
2 Cree una directiva de seguridad para los escritorios.
a Haga clic en la pestaña Directivas de seguridad (Security Policies) y, a continuación, en elicono Agregar directiva de seguridad (Add Security Policy).
b En Nombre (Name), escriba DesktopPolicy.
c En Descripción (Description), escriba Antivirus scan for all desktops.
d Cambie el promedio a 51.000. La prioridad de la directiva se establece como alta para garantizarque se aplique antes que las demás directivas.
e Haga clic en Siguiente (Next).
f En la página Agregar servicio de extremo (Add Endpoint Service), haga clic en y complete lossiguientes valores.
Opción Valor
Acción (Action) No modifique el valor predeterminado
Tipo de servicio (Service Type) Antivirus
Nombre del servicio (Service Name) Symantec Antimalware
Configuración del servicio (ServiceConfiguration)
Silver
Estado (State) No modifique el valor predeterminado
Aplicar (Enforce) No modifique el valor predeterminado
Nombre (Name) AV del escritorio
Descripción (Description) Directiva obligatoria para aplicar en todos los escritorios.
g Haga clic en Aceptar (OK).
h No agregue ningún servicio de introspección de red o firewall y haga clic en Finalizar (Finish).
3 Cree una directiva de seguridad para las máquinas virtuales infectadas.
a Haga clic en la pestaña Directivas de seguridad (Security Policies) y, a continuación, en elicono Agregar directiva de seguridad (Add Security Policy).
b En Nombre (Name), escriba QuarantinePolicy.
c En Descripción (Description), escriba Policy to be applied to all infected systems.
d No cambie el promedio predeterminado.
e Haga clic en Siguiente (Next).
f En la página Agregar servicio de extremo (Add Endpoint Service), no realice ninguna acción yhaga clic en Siguiente (Next).
g En Firewall, agregue tres reglas: una para bloquear todo el tráfico saliente, la siguiente parabloquear todo el tráfico con los grupos y la última para permitir el tráfico entrante solo desde lasherramientas de corrección.
h No agregue ningún servicio de introspección de red y haga clic en Finalizar (Finish).
Guía de administración de NSX
VMware, Inc. 303
4 Mueva QuarantinePolicy al principio de la tabla de directivas de seguridad para garantizar que seaplique antes que las demás directivas.
a Haga clic en el icono Administrar prioridades (Manage Priority).
b Seleccione QuarantinePolicy y haga clic en el icono Subir (Move Up).
5 Cree un grupo de seguridad para todos los escritorios del entorno.
a Inicie sesión en vSphere Web Client.
b Haga clic en Redes y seguridad (Networking & Security) y, a continuación, haga clic en ServiceComposer.
c Haga clic en la pestaña Grupos de seguridad (Security Groups) y, a continuación, en el iconoAgregar grupo de seguridad (Add Security Group).
d En Nombre (Name), escriba DesktopSecurityGroup.
e En Descripción (Description), escriba All desktops.
f Haga clic en Siguiente (Next) en las próximas páginas.
g Revise sus selecciones en la página Listo para finalizar (Ready to Complete) y haga clic enFinalizar (Finish).
6 Cree un grupo de seguridad para cuarentena donde colocará las máquinas virtuales infectadas.
a Haga clic en la pestaña Grupos de seguridad (Security Groups) y, a continuación, en el iconoAgregar grupo de seguridad (Add Security Group).
b En Nombre (Name), escriba QuarantineSecurityGroup.
c En Descripción (Description), escribaDynamic group membership based on infected VMs identified by the antivirus
scan.
d En la página Definir criterios de pertenencia (Define membership Criteria), haga clic en yagregue los siguientes criterios.
e No realice ninguna acción en las páginas Seleccionar objetos para incluir (Select objects toinclude) o Seleccionar objetos para excluir (Select objects to exclude) y haga clic en Siguiente(Next).
f Revise sus selecciones en la página Listo para finalizar (Ready to Complete) y haga clic enFinalizar (Finish).
Guía de administración de NSX
VMware, Inc. 304
7 Asigne la directiva DesktopPolicy al grupo de seguridad DesktopSecurityGroup.
a En la pestaña Directivas de seguridad (Security Policies), asegúrese de que se hayaseleccionado la directiva DesktopPolicy.
bHaga clic en el icono Aplicar directiva de seguridad (Apply Security Policy) ( ) y seleccioneel grupo SG_Desktops.
c Haga clic en Aceptar (OK).
Esta asignación garantiza que todos los escritorios (parte de DesktopSecurityGroup) seanalicen al activar un análisis antivirus.
8 Desplácese hasta la vista de lienzo para confirmar que QuarantineSecurityGroup aún no incluyaninguna máquina virtual.
a Haga clic en la pestaña Seguridad de la información (Information Security).
b
Confirme que haya 0 máquinas virtuales en el grupo ( )
9 Asigne QuarantinePolicy a QuarantineSecurityGroup.
Esta asignación garantiza que no circule tráfico hacia los sistemas infectados.
10 Desde la consola de Symantec Antimalware, active una exploración en la red.
La exploración detecta las máquinas virtuales infectadas y les asigna la etiqueta de seguridadAntiVirus.virusFound. Las máquinas virtuales etiquetadas se agregan de inmediato aQuarantineSecurityGroup. La directiva QuarantinePolicy permite que no circule tráfico por lossistemas infectados.
Realizar copias de seguridad de la configuración de seguridadService Composer puede ser una herramienta sumamente útil para realizar una copia de seguridad de laconfiguración de seguridad y restaurarla en otro momento.
Procedimiento
1 Instale, registre e implemente la solución Rapid 7 Vulnerability Management.
2 Cree un grupo de seguridad para el primer nivel de la aplicación SharePoint, los servidores web.
a Inicie sesión en vSphere Web Client.
b Haga clic en Redes y seguridad (Networking & Security) y, a continuación, haga clic en ServiceComposer.
c Haga clic en la pestaña Grupos de seguridad (Security Groups) y, a continuación, en el iconoAgregar grupo de seguridad (Add Security Group).
d En Nombre (Name), escriba SG_Web.
e En Descripción (Description), escriba Security group for application tier.
Guía de administración de NSX
VMware, Inc. 305
f No realice ningún cambio en la página Definir criterios de pertenencia (Define membershipCriteria) y haga clic en Siguiente (Next).
g En la página Seleccionar objetos para incluir (Select objects to include), seleccione las máquinasvirtuales del servidor web.
h No realice ningún cambio en la página Seleccionar objetos para excluir (Select objects toexclude) y haga clic en Siguiente (Next).
i Revise sus selecciones en la página Listo para finalizar (Ready to Complete) y haga clic enFinalizar (Finish).
3 Ahora, cree un grupo de seguridad para la base de datos y uno para los servidores SharePointServer, y asígneles los nombres SG_Database y SG_Server_SharePoint, respectivamente. Incluyalos objetos apropiados en cada grupo.
4 Cree un grupo de seguridad de nivel superior para los niveles de aplicación y asígnele el nombreSG_App_Group. Agregue SG_Web, SG_Database y SG_Server_SharePoint a este grupo.
5 Cree una directiva de seguridad para los servidores web.
a Haga clic en la pestaña Directivas de seguridad (Security Policies) y, a continuación, en el iconoAgregar directiva de seguridad (Add Security Policy).
b En Nombre (Name), escriba SP_App.
c En Descripción (Description), escriba SP for application web servers.
d Cambie el peso a 50000. La prioridad de la directiva es bastante alta para garantizar que seaplique por sobre la mayoría de las otras directivas (a excepción de la cuarentena).
e Haga clic en Siguiente (Next).
f En la página Servicios Endpoint (Endpoint Services), haga clic en (Agregar) y complete lossiguientes valores.
Opción Valor
Acción (Action) No modifique el valor predeterminado
Tipo de servicio (Service Type) Administración de la vulnerabilidad
Nombre del servicio (Service Name) Rapid 7
Configuración del servicio (ServiceConfiguration)
Silver
Estado (State) No modifique el valor predeterminado
Aplicar (Enforce) No modifique el valor predeterminado
g No agregue ningún servicio de introspección de red o firewall y haga clic en Finalizar (Finish).
6 Asigne SP_App a SG_App_Group.
Guía de administración de NSX
VMware, Inc. 306
7 Desplácese hasta la vista de lienzo para confirmar que SP_App se haya asignado a SG_App_Group.
a Haga clic en la pestaña Seguridad de la información (Information Security).
bHaga clic en el número junto al icono para ver si se asignó SP_App.
8 Exporte la directiva SP_App.
a Haga clic en la pestaña Directivas de seguridad (Security Policies) y seleccione el icono
Exportar plano técnico (Export Blueprint) .
b En Nombre (Name), escriba Template_ App_ y, en Prefijo (Prefix), escriba FromAppArchitect.
c Haga clic en Siguiente (Next).
d Seleccione la directiva SP_App y haga clic en Siguiente (Next).
e Revise las selecciones y haga clic en Finalizar (Finish).
f Seleccione el directorio de su equipo donde desea descargar el archivo exportado y haga clic enGuardar (Save).
Se exportará la directiva de seguridad junto con todos los grupos de seguridad en los que se aplicóesta directiva (en este caso, el grupo de seguridad Aplicación [Application] y los tres grupos deseguridad anidados en él).
9 Para probar el funcionamiento de la directiva exportada, elimine la directiva SP_App.
10 A continuación, restaure la directiva Template_ App_ DevTest que exportó en el paso 7.
a Haga clic en Acciones (Actions) y, a continuación, haga clic en el icono Importar configuraciónde servicios (Import Service Configuration).
b Seleccione el archivo FromAppArtchitect_Template_App en el escritorio (lo guardó en el paso7).
c Haga clic en Siguiente (Next).
d La página Listo para finalizar (Ready to complete) muestra las directivas de seguridad, junto conlos objetos asociados (grupos de seguridad en los que se han aplicado estas directivas, ademásde servicios de extremo, reglas de firewall y servicios de introspección de red) que se importarán.
e Haga clic en Finalizar (Finish).
La configuración y los objetos asociados se importarán al inventario de vCenter y se podrán veren la vista de lienzo.
Guía de administración de NSX
VMware, Inc. 307
Guest Introspection 18Guest Introspection descarga el procesamiento antivirus y antimalware en un dispositivo virtual protegidoy exclusivo que ofrecen los partners de VMware. Dado que el dispositivo virtual protegido (a diferencia deuna máquina virtual invitada) no se desconecta, puede actualizar continuamente firmas antivirus y, deeste modo, ofrecer protección ininterrumpida para las máquinas virtuales del host. Asimismo, las nuevamáquinas virtuales (o las existentes que se desconectaron) quedan protegidas de inmediato con lasfirmas antivirus más actuales al volver a conectarse.
El estado de mantenimiento de Guest Introspection se transmite mediante el uso de alarmas queaparecen en rojo en la consola de vCenter Server. Por otra parte, puede recopilarse más información delestado desde los registros de eventos.
IMPORTANTE: La instancia de vCenter Server debe estar correctamente configurada para la seguridadde Guest Introspection:n Guest Introspection no admite todos los sistemas operativos invitados. Las máquinas virtuales con
sistemas operativos no compatibles no quedan protegidas por la solución de seguridad.
n Todos los hosts del grupo de recursos que contienen máquinas virtuales protegidas deben estarpreparados para Guest Introspection, de modo que las máquinas virtuales sigan protegidas cuandose las mueva mediante vMotion desde un host ESX a otro dentro del grupo de recursos.
Este capítulo cubre los siguientes temas:n Instalar Guest Introspection
n Ver el estado de Guest Introspection
n Alarmas de Guest Introspection
n Eventos de Guest Introspection
n Mensajes de auditoría de Guest Introspection
n Recopilar información para solucionar problemas de Guest Introspection
n Desinstalar un módulo de Guest Introspection
VMware, Inc. 308
Instalar Guest IntrospectionAl instalar Guest Introspection se instalan automáticamente un nuevo VIB y una máquina virtual deservicio en cada host del clúster. Se requiere Guest Introspection para NSX Data Security, ActivityMonitoring y varias soluciones de seguridad de terceros.
Para instalar Auto Deploy en hosts sin estado, debe reiniciar manualmente la máquina virtual de servicio(SVM) de NSX for vSphere 6.x después de reiniciar un host ESXi. Para obtener más información,consulte el artículo http://kb.vmware.com/kb/2120649 de la base de conocimientos.
ADVERTENCIA: En un entorno VMware NSX for vSphere 6.x, cuando se migra una máquina virtual deservicio (SVM) (vMotion/SvMotion), pueden aparecer los siguientes síntomas:
n Una interrupción en el servicio (máquina virtual de carga de trabajo) para el que la máquina virtual deservicio (SVM) proporciona información.
n Error en el host ESXi con una pantalla de diagnóstico púrpura que contiene backtraces similares a:
@BlueScreen: #PF Exception 14 in world wwww:WorldName IP 0xnnnnnnnn addr 0x0
PTEs:0xnnnnnnnn;0xnnnnnnnn;0x0;
0xnnnnnnnn:[0xnnnnnnnn]VmMemPin_DecCount@vmkernel#nover+0x1b
0xnnnnnnnn:[0xnnnnnnnn]VmMemPinUnpinPages@vmkernel#nover+0x65
0xnnnnnnnn:[0xnnnnnnnn]VmMemPin_ReleaseMainMemRange@vmkernel#nover+0x6
0xnnnnnnnn:[0xnnnnnnnn]P2MCache_ReleasePages@vmkernel#nover+0x2a
0xnnnnnnnn:[0xnnnnnnnn][email protected]#v2_2_0_0+0x34
Este es un problema conocido que afecta a los hosts de VMware ESXi 5.5.x y 6.x. Como soluciónalternativa al problema, no migre de forma manual una máquina virtual de servicio (SVM)(vMotion/SvMotion) a otro host ESXi en el clúster. Para migrar una máquina virtual de servicio a otroalmacén de datos (svMotion), VMware recomienda hacer una migración en frío. Para ello, apague lamáquina virtual de servicio y, a continuación, realice la migración a otro almacén de datos.
Prerequisitos
Las instrucciones de instalación a continuación dan por sentado que se cuenta con el siguiente sistema:
n Un centro de datos con versiones compatibles de vCenter Server y ESXi instalado en cada host delclúster.
n Si los hosts de los clústeres se actualizaron de vCenter Server versión 5.0 a la versión 5.5, debeabrir los puertos 80 y 443 en esos hosts.
n Los hosts del clúster donde quiere instalar Guest Introspection deben estar preparados para NSX.Consulte cómo preparar el clúster del host para NSX (Prepare the Host Cluster for NSX) en Guía deinstalación de NSX. Guest Introspection no puede instalarse en hosts independientes. Si utiliza NSXpara implementar y administrar Guest Introspection solo para la capacidad de descarga antivirus, noes necesario que prepare los hosts para NSX, acción que no está permitida por la licencia de NSXpara vShield Endpoint.
Guía de administración de NSX
VMware, Inc. 309
n NSX Manager 6.2 instalado y en ejecución.
n Asegúrese de que NSX Manager y los hosts preparados que ejecuten los servicios de GuestIntrospection estén vinculados con el mismo servidor NTP y que la hora esté sincronizada. Un erroral realizar esta acción puede provocar que las máquinas virtuales no estén protegidas por losservicios de antivirus, aunque el estado del clúster aparezca en verde para Guest Introspection ycualquier servicio de terceras partes.
Si se agrega un servidor NTP, VMware recomienda que se vuelva a implementar Guest Introspectiony cualquier servicio de terceras partes.
Si desea asignar una dirección IP a la máquina virtual de servicio de Guest Introspection desde un grupode IP, cree el grupo de IP antes de instalar NSX Guest Introspection. Consulte cómo trabajar con gruposIP en la Guía de administración de NSX.
vSphere Fault Tolerance no funciona con Guest Introspection.
Procedimiento
1 En la pestaña Instalación (Installation), haga clic en Implementaciones de servicios (ServiceDeployments).
2 Haga clic en el icono Nueva implementación de servicios (New Service Deployment) ( ).
3 En el cuadro de diálogo Implementar servicios de red y seguridad (Deploy Network and SecurityServices), seleccione Guest Introspection.
4 En Especificar programación (Specify schedule) (en la parte inferior del cuadro de diálogo),seleccione Implementar ahora (Deploy now) para implementar Guest Introspection en cuanto estéinstalado, o bien seleccione una fecha y una hora para la implementación.
5 Haga clic en Siguiente (Next).
6 Seleccione el centro de datos y los clústeres donde desea instalar Guest Introspection y haga clic enSiguiente (Next).
7 En la página Seleccionar red de administración y almacenamiento (Select storage and ManagementNetwork), seleccione el almacén de datos donde desea agregar el almacenamiento de las máquinasvirtuales de servicio, o bien seleccione Especificado en el host (Specified on host). Se recomiendautilizar las redes y los almacenes de datos compartidos en lugar de la opción "Especificado en elhost" (Specified on host) de modo que los flujos de trabajo de la implementación se automaticen.
El almacén de datos seleccionado debe estar disponible en todos los hosts del clúster elegido.
Si seleccionó Especificado en el host (Specified on host), siga los pasos a continuación para cadahost del clúster.
a En la página de inicio de vSphere Web Client, haga clic en vCenter y, a continuación, en Hosts.
b Haga clic en un host en la columna Nombre (Name) y, a continuación, en la pestañaAdministrar (Manage).
Guía de administración de NSX
VMware, Inc. 310
c Haga clic en Configuración de la máquina virtual del agente (Agent VM Settings) y en Editar(Edit).
d Seleccione el almacén de datos y haga clic en Aceptar (OK).
8 Seleccione el grupo de puertos virtuales distribuidos donde se alojará la interfaz de administración. Sise estableció el almacén de datos en la opción Especificado en el host (Specified on host), la redtambién debe establecerse en la opción Especificado en el host.
El grupo de puertos seleccionado debe poder comunicarse con el grupo de puertos de NSX Managery estar disponible en todos los hosts del clúster seleccionado.
Si seleccionó Especificado en el host (Specified on host), siga los subpasos del paso 7 paraseleccionar una red del host. Para agregar un host (o varios hosts) al clúster, el almacén de datos yla red deben establecerse antes de agregar cada host al clúster.
9 En la asignación de direcciones IP, seleccione una de las siguientes opciones:
Seleccionar Para
DHCP Asignar una dirección IP a la máquina virtual de servicio de NSX GuestIntrospection mediante el protocolo de configuración dinámica de host (DHCP).Seleccione esta opción si los hosts se encuentran en diferentes subredes.
Grupo de direcciones IP Asignar una dirección IP a la máquina virtual de servicio de NSX GuestIntrospection a partir del grupo de direcciones IP seleccionado.
10 Haga clic en Siguiente (Next) y, a continuación, en Finalizar (Finish) en la página Listo para finalizar
(Ready to complete).
11 Supervise la implementación hasta que la columna Estado de instalación (Installation Status)muestre Correcto (Succeeded).
12 Si la columna Estado de instalación (Installation Status) muestra Con errores (Failed), haga clic enel icono junto a Con errores. Se muestran todos los errores de implementación. Haga clic enResolver (Resolve) para solucionar los errores. En algunos casos, al resolver los errores aparecenotros nuevos. Realice la acción requerida y haga clic de nuevo en Resolver (Resolve).
Qué hacer a continuación
Instale VMware Tools en las máquinas virtuales invitadas.
Guía de administración de NSX
VMware, Inc. 311
Instalar VMware Tools en las máquinas virtuales invitadasVMware Tools incluye NSX Thin Agent, que se debe instalar en cada máquina virtual invitada comoprotección. Las máquinas virtuales con VMware Tools instalado quedan automáticamente protegidascuando se inician en un host ESX con la solución de seguridad instalada. Es decir, las máquinas virtualesprotegidas mantienen la protección de seguridad durante los apagados y reinicios e incluso después deltraslado de vMotion a otro host ESX con la solución de seguridad instalada.
Prerequisitos
Asegúrese de que una máquina virtual invitada tenga ESX 5.1 o posterior y una versión compatible deWindows instalada. Los sistemas operativos de Windows siguientes son compatibles con NSX GuestIntrospection:
n Windows Vista (32 bit)
n Windows 7 (32/64 bit)
n Windows XP SP3 y posteriores (32 bit)
n Windows 2003 SP2 y posteriores (32/64 bit)
n Windows 2003 R2 (32/64 bit)
n Windows 2008 (32/64 bit)
n Windows 2008 R2 (64 bit)
n Windows 8 (32/64) -- a partir de vSphere 5.5 y posteriores
n Win2012 (64) -- a partir de vSphere 5.5 y posteriores
n Windows 8.1 (32/64) -- a partir de vSphere 5.5 Revisión 2 y posteriores
n Win2012 R2 (64) -- a partir de vSphere 5.5 Revisión 2 y posteriores
Procedimiento
1 Siga el procedimiento Instalar o actualizar VMware Tools en una máquina virtual de Windows deforma manual.
2 Después de seleccionar configuración Personalizada (Custom) en el paso 7, expanda la secciónControlador de VMCI (VMCI Driver), seleccione Controladores de vShield (vShield Drivers) yseleccione Esta característica se instalará en el disco duro local (This feature will be installed onthe local hard drive).
3 Siga los pasos restantes del procedimiento.
Guía de administración de NSX
VMware, Inc. 312
Ver el estado de Guest IntrospectionLa supervisión de una instancia de Guest Introspection implica verificar el estado de los componentes deGuest Introspection: la máquina virtual de seguridad (SVM), el módulo de Guest Introspection que resideen el host ESX y la instancia de Thin Agent que reside en la máquina virtual protegida.
Procedimiento
1 En vSphere Web Client, haga clic en vCenter y, a continuación, en Centros de datos (Datacenters).
2 En la columna Nombre (Name), haga clic en un centro de datos.
3 Haga clic en Supervisar (Monitor) y en Endpoint (Extremo).
La página Estado y alarmas de Guest Introspection (Guest Introspection Health and Alarms) muestrael estado de los objetos del centro de datos seleccionado, así como las alarmas activas. Los cambiosen el estado de mantenimiento se ven reflejados al minuto de ocurrido el evento que activó elcambio.
Alarmas de Guest IntrospectionLas alarmas indican al administrador de vCenter Server los eventos de Guest Introspection querequieren atención. Las alarmas se cancelan automáticamente en caso de que el estado de la alarma yano esté presente.
Las alarmas de vCenter Server pueden mostrarse sin un complemento personalizado de vSphere.Consulte la Guía de administración de vCenter Server sobre eventos y alarmas.
Tras registrarse como una extensión de vCenter Server, NSX Manager define las reglas que crean yeliminan alarmas, en función de los eventos provenientes de los tres componentes de GuestIntrospection: SVM, módulo de Guest Introspection y Thin Agent. Las reglas pueden personalizarse. Paraobtener instrucciones sobre cómo crear nuevas reglas personalizadas para las alarmas, consulte ladocumentación de vCenter Server. En algunos casos, hay varias causas posibles para la alarma. En lastablas que figuran a continuación se enumeran las posibles causas y las acciones correspondientes paracorregirlas.
Guía de administración de NSX
VMware, Inc. 313
Alarmas de hostLos eventos que afectan el estado de mantenimiento del módulo Guest Introspection generan alarmas dehost.
Tabla 18‑1. Errores (marcados en rojo)
Causa posible Acción
El módulo Guest Introspection se instaló en el host,pero ya no informa el estado a NSX Manager.
1 Asegúrese de que Guest Introspection se esté ejecutando. Para ello,inicie sesión en el host y escriba el comando /etc/init.d/vShield-Endpoint-Mux start.
2 Asegúrese de que la red se haya configurado correctamente para queGuest Introspection pueda conectarse a NSX Manager.
3 Reinicie NSX Manager.
Alarmas de SVMLas alarmas de SVM son generadas por eventos que afectan el estado de mantenimiento de SVM.
Tabla 18‑2. Alarmas rojas de SVM
Problema Acción
No coincide la versión del protocolo con el módulo deGuest Introspection.
Asegúrese de que el módulo de Guest Introspection y SVM tengan unprotocolo compatible con cada uno.
Guest Introspection no pudo establecer una conexióncon SVM.
Asegúrese de que SVM esté encendida y que la red esté configuradacorrectamente.
La SVM no informa su estado aunque los invitadosestán conectados.
Error interno. Póngase en contacto con su representante de soportetécnico de VMware.
Eventos de Guest IntrospectionLos eventos se utilizan para las condiciones de registro y auditoría dentro del sistema de seguridadbasado en Guest Introspection.
Los eventos pueden mostrarse sin un complemento personalizado de vSphere. Consulte la Guía deadministración de vCenter Server sobre eventos y alarmas.
Los eventos son la base de las alarmas que se generan. Tras registrarse como una extensión de vCenterServer, la instancia de NSX Manager define las reglas que crean y eliminan alarmas.
Algunos argumentos comunes de todos los eventos son la marca de tiempo del evento y el event_id deNSX Manager.
En la siguiente tabla se enumeran los eventos de Guest Introspection informados por la SVM y NSXManager.
Guía de administración de NSX
VMware, Inc. 314
Tabla 18‑3. Eventos de Guest Introspection
Descripción Gravedad Argumentos de VC
La solución de Guest Introspection SolutionName está habilitada. Laversión compatible versionNumber del protocolo VFile.
info marca de tiempo
El módulo de ESX está habilitado. info marca de tiempo
El módulo de ESX está desinstalado. info marca de tiempo
NSX Manager perdió la conexión con el módulo de ESX. info marca de tiempo
La solución de Guest Introspection SolutionName se puso en contactocon una versión no compatible del módulo de ESX.
error marca de tiempo, versión de lasolución, versión del módulo deESX
Se produjo un error en la conexión entre el módulo de ESX ySolutionName.
error marca de tiempo, versión delmódulo de ESX, versión de lasolución
Guest Introspection no se pudo conectar a la SVM. error marca de tiempo
Guest Introspection perdió la conexión con la SVM. error marca de tiempo
Mensajes de auditoría de Guest IntrospectionLos mensajes de auditoría incluyen errores irrecuperables y otros mensajes importantes de auditoría, yse registran en vmware.log.
Las siguientes condiciones se registran como mensajes de auditoría (AUDIT):
n Inicialización correcta de Thin Agent (y número de versión).
n Inicialización de Thin Agent con errores.
n Primera comunicación establecida con la SVM.
n Error al establecer la comunicación con la SVM (cuando ocurre el primer error).
Los mensajes de registro generados tienen las siguientes subcadenas cerca del comienzo de cadamensaje de registro: vf-AUDIT, vf-ERROR, vf-WARN, vf-INFO, vf-DEBUG.
Guía de administración de NSX
VMware, Inc. 315
Recopilar información para solucionar problemas deGuest IntrospectionEl soporte técnico de VMware solicita de forma rutinaria información del diagnóstico o un paquete desoporte cuando se gestiona una solicitud de soporte. La información del diagnóstico contiene archivos deregistro y de configuración de las máquinas virtuales.
Información para solucionar problemas del firewall de identidadSi el entorno del firewall basado en identidad utiliza Guest Introspection, puede encontrar información dediagnóstico en los artículos de la base de conocimientos sobre cómo solucionar problemas en vShieldEndpoint o NSX Guest Introspection (https://kb.vmware.com/kb/2094261) y en los artículos sobre cómorecopilar registros en la máquina virtual de servicio universal de VMware NSX for vSphere 6.x GuestIntrospection (https://kb.vmware.com/kb/2144624).
Desinstalar un módulo de Guest IntrospectionAl desinstalar Guest Introspection se extrae un VIB de los hosts del clúster y se extrae la máquina virtualde servicio de cada host del clúster. NSX Data Security, la supervisión de la actividad y varias solucionesde seguridad de terceros requieren Guest Introspection. La desinstalación de Guest Introspection puedetraer consecuencias de amplio alcance.
ADVERTENCIA: Antes de desinstalar un módulo de Guest Introspection del clúster, deberá desinstalartodos los productos de terceros que están utilizando Guest Introspection en los hosts de ese clúster. Sigalas instrucciones del proveedor de la solución.
Para desinstalar Guest Introspection:
1 En vCenter, desplácese hasta Inicio > Redes y seguridad > Instalación (Home > Networking &Security > Installation) y seleccione la pestaña Implementaciones de servicios (ServiceDeployments).
2 Seleccione una instancia de Guest Introspection y haga clic en el icono de eliminación.
3 Puede eliminarla ahora o programar la eliminación para más adelante.
Guía de administración de NSX
VMware, Inc. 316
Data Security 19NSX Data Security ofrece visibilidad de datos confidenciales almacenados en los entornos virtualizados oen la nube de la organización. Según las infracciones que informe NSX Data Security, es posiblegarantizar que los datos confidenciales estén protegidos adecuadamente y evaluar el cumplimiento enfunción de las normas que rigen en todo el mundo.
NOTA: Desde la versión 6.2.3 de NSX, la función de seguridad de datos de NSX pasó a estar obsoleta.En la versión 6.2.3 de NSX puede seguir utilizando esta función como desee, pero tenga en cuenta quese eliminará de NSX en versiones futuras.
Para comenzar a utilizar NSX Data Security, cree una directiva que defina las reglamentaciones que seaplican a la seguridad de datos en su organización, donde se especifiquen las áreas del entorno y losarchivos que se examinarán. Una reglamentación está compuesta por hojas de contenido, que permitenidentificar el contenido confidencial que se detectará. NSX admite solo reglamentaciones relacionadascon PCI, PHI y PII.
Al comenzar una exploración con Data Security, NSX analiza los datos en las máquinas virtuales delinventario de vSphere e informa sobre la cantidad de infracciones detectadas y los archivos queinfringieron la directiva.
Este capítulo cubre los siguientes temas:n Instalar NSX Data Security
n Roles del usuario de NSX Data Security
n Definir una directiva de seguridad de datos
n Ejecutar una exploración de Data Security
n Ver y descargar informes
n Crear expresiones regulares
n Desinstalar NSX Data Security
VMware, Inc. 317
Instalar NSX Data Security
NOTA: Desde la versión 6.2.3 de NSX, la función de seguridad de datos de NSX pasó a estar obsoleta.En la versión 6.2.3 de NSX puede seguir utilizando esta función como desee, pero tenga en cuenta quese eliminará de NSX en versiones futuras.
Prerequisitos
NSX Guest Introspection debe instalarse en el clúster donde se va a instalar Data Security.
Si desea asignar una dirección IP a la máquina virtual del servicio Data Security desde un grupo dedirecciones IP, cree el grupo de direcciones IP antes de instalar Data Security. Consulte Agrupar objetosen la Guía de administración de NSX.
Procedimiento
1 En la pestaña Instalación (Installation), haga clic en Implementaciones de servicios (ServiceDeployments).
2 Haga clic en el icono Nueva implementación de servicios (New Service Deployment) ( ).
3 En el cuadro de diálogo Implementar servicios de red y seguridad (Deploy Network and SecurityServices), seleccione Data Security y haga clic en Siguiente (Next).
4 En Especificar programación (Specify schedule), en la parte inferior del cuadro de diálogo,seleccione Implementar ahora (Deploy now) para implementar Data Security apenas se instale, obien seleccione una fecha y una hora de implementación.
5 Haga clic en Siguiente (Next).
6 Seleccione el centro de datos y los clústeres donde desea instalar Data Security y, a continuación,haga clic en Siguiente (Next).
7 En la página Seleccionar red de almacenamiento y administración (Select storage and ManagementNetwork), seleccione el almacén de datos en el que desea agregar las máquinas virtuales deservicio, o bien seleccione Especificado en el host (Specified on host).
El almacén de datos seleccionado debe estar disponible en todos los hosts del clúster elegido.
Si seleccionó Especificado en el host (Specified on host), el almacén de datos del host ESX debeespecificarse en la opción Configuración de máquinas virtuales de agente (AgentVM Settings) delhost antes de agregarse al clúster. Consulte la documentación de vSphere API/SDK.
Guía de administración de NSX
VMware, Inc. 318
8 Seleccione el grupo de puertos virtuales distribuidos donde se alojará la interfaz de administración.Este grupo de puertos debe poder comunicarse con el grupo de puertos de NSX Manager.
Si el almacén de datos se configura como Especificado en el host (Specified on host), la red que seutilizará debe especificarse en la propiedad agentVmNetwork de cada host en el clúster. Consulte ladocumentación de vSphere API/SDK.
Cuando agrega hosts al clúster, la propiedad agentVmNetwork del host debe configurarse antes deagregarse al clúster.
El grupo de puertos seleccionado debe estar disponible en todos los hosts del clúster seleccionado.
9 En la asignación de direcciones IP, seleccione una de las siguientes opciones:
Seleccionar Para
DHCP Asigne una dirección IP a las máquinas virtuales del servicio Data Security através del protocolo de configuración dinámica de host (DHCP).
Grupo de direcciones IP Asigne una dirección IP a las máquinas virtuales del servicio Data Security desdeel grupo de direcciones IP seleccionado.
Tenga en cuenta que no se admiten direcciones IP estáticas.
10 Haga clic en Siguiente (Next) y, a continuación, en Finalizar (Finish) en la página Listo para finalizar(Ready to complete).
11 Supervise la implementación hasta que la columna Estado de instalación (Installation Status)muestre Correcto (Succeeded).
12 Si la columna Estado de instalación (Installation Status) muestra Con errores (Failed), haga clic enel icono junto a Con errores. Se muestran todos los errores de implementación. Haga clic enResolver (Resolve) para solucionar los errores. En algunos casos, al resolver los errores aparecenotros nuevos. Realice la acción necesaria y vuelva a hacer clic en Resolver (Resolve).
Roles del usuario de NSX Data SecurityEl rol de un usuario determina las acciones que puede realizar.
Rol Acciones permitidas
Administrador de seguridad (SecurityAdministrator)
Cree y publique directivas y vea los informes de incumplimiento. No se puede iniciar nidetener un examen de Data Security.
Administrador de NSX (NSXAdministrator)
Inicie y detenga los exámenes de Data Security.
Auditor Vea las directivas configuradas y los informes de incumplimiento.
Guía de administración de NSX
VMware, Inc. 319
Definir una directiva de seguridad de datosPara detectar datos confidenciales en el entorno, debe crear una directiva de seguridad de datos. Debeser administrador de seguridad para crear directivas.
Para definir una directiva, debe especificar lo siguiente:
Normas Una norma es una ley de privacidad de datos para proteger la informaciónde PCI (sector de tarjetas de pago), PHI (información de estado protegida)y PII (información personal). Puede seleccionar las normas que suempresa debe cumplir. Cuando ejecuta una exploración, Data Securityidentifica los datos que infringen las normas de la directiva y que sonconfidenciales para su organización.
Filtros de archivos Puede crear filtros para limitar los datos que se van a analizar y excluir delanálisis los tipos de archivo con poca probabilidad de contener datosconfidenciales.
Seleccionar normasDespués de seleccionar las normas que debe cumplir la empresa en términos de datos, NSX puedeidentificar los archivos que contienen información sobre el incumplimiento de estas normas.
Prerequisitos
Debe tener el rol de Administrador de seguridad.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking and Security) y, a continuación, en Data Security.
3 Haga clic en la pestaña Administrar (Manage).
4 Haga clic en Editar (Edit) y, a continuación, en Todo (All) para ver todas las normas disponibles.
5 Seleccione las normas de las que desea obtener información sobre el cumplimiento.
NOTA: Para obtener más información sobre las normas disponibles, consulte la guía de referenciade seguridad de datos.
Ciertas normas requieren información adicional para que NSX Data Security reconozca los datosconfidenciales. Especifique un patrón de expresión regular para identificar los datos si seleccionóuna norma que supervisa los números de seguros de grupos, números de identificación depacientes, números de historias clínicas, números de beneficiarios de planes de salud, números decuentas bancarias estadounidenses, cuentas de clientes o números de identificación de estudiantes.
Guía de administración de NSX
VMware, Inc. 320
6 Verifique la precisión de la expresión regular.
Si se especifican expresiones regulares incorrectas, el proceso de detección puede volverse máslento. Para obtener más información sobre expresiones regulares, consulte Crear expresionesregulares.
7 Haga clic en Siguiente (Next).
8 Haga clic en Finalizar (Finish).
9 Haga clic en Publicar cambios (Publish Changes) para aplicar la directiva.
Especificar filtros de archivosLos archivos que se supervisarán se pueden restringir según el tamaño, la fecha de última modificación olas extensiones de archivo.
Prerequisitos
Debe tener asignado el rol de Administrador de seguridad.
Procedimiento
1 En la pestaña Administrar (Manage) del panel Data Security, haga clic en Editar (Edit) junto aArchivos para examinar (Files to scan).
2 Puede o bien supervisar todos los archivos de las máquinas virtuales del inventario, o bienseleccionar las restricciones que desea aplicar.
Opción Descripción
Se supervisan todos los archivos delas máquinas virtuales invitadas.
NSX Data Security examina todos los archivos.
Se supervisan únicamente los archivosque coinciden con las siguientescondiciones.
Seleccione las siguientes opciones según corresponda.n Tamaño (Size) indica que NSX Data Security solo debe examinar los
archivos cuyo tamaño es menor del especificado.n Fecha de última modificación (Last Modified Date) indica que NSX Data
Security solo debe examinar los archivos modificados entre las fechasespecificadas.
n Tipos: (Types:). Seleccione Solo archivos con las siguientes extensiones(Only files with the following extensions) para introducir los tipos de archivoque se examinarán. Seleccione Todos los archivos, excepto los quetienen extensiones (All files, except those with extensions) para introducirlos tipos de archivo que se excluirán del examen.
Para obtener información sobre los formatos de archivo que NSX Data Security puede detectar,consulte la guía de referencia de seguridad de datos.
3 Haga clic en Guardar (Save).
4 Haga clic en Publicar cambios (Publish Changes) para aplicar la directiva.
Guía de administración de NSX
VMware, Inc. 321
Ejecutar una exploración de Data SecurityLa ejecución de una exploración de Data Security identifica datos del entorno virtual que infringen ladirectiva.
Prerequisitos
Para iniciar, pausar o detener una exploración de Data Security debe ser administrador de NSX.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking and Security) y, a continuación, en Data Security.
3 Haga clic en la pestaña Administrar (Manage).
4 Haga clic en Iniciar (Start) junto a Exploración (Scanning).
NOTA: Si la máquina virtual está apagada, no se la podrá examinar hasta que vuelva aencenderse.
En un examen en curso, las opciones disponibles son Pausar (Pause) y Detener (Stop).
Si Data Security forma parte de una directiva de Service Composer, las máquinas virtuales del grupo deseguridad asignadas a esa directiva de Service Composer se examinan una vez durante unaexploración. Si la directiva se edita y publica mientras hay una exploración en curso, la exploración sereinicia. Esta nueva exploración garantiza que todas las máquinas virtuales cumplan con la directivaeditada. La nueva exploración se activa al editar y publicar una directiva, no al actualizar los datos de lasmáquinas virtuales.
Si se mueve una máquina virtual a un grupo de recursos o a un clúster excluido mientras está en curso laexploración de Data Security, los archivos de la máquina virtual no se examinan. Si vMotion mueve unamáquina virtual a otro host, la exploración continúa en el segundo host. Los archivos que se examinaronmientras la máquina virtual estaba en el primer host no se vuelven a examinar.
Cuando el motor de Data Security inicia la exploración de una máquina virtual, registra la hora de iniciode la exploración. Cuando la exploración se completa, registra la hora de su finalización. Puede ver lahora de inicio y finalización de la exploración de un clúster, un host o una máquina virtual desde lapestaña Tareas y eventos (Tasks and Events).
NSX Data Security acelera la cantidad de máquinas virtuales que se pueden examinar simultáneamenteen un host para minimizar el impacto en el rendimiento. VMware recomienda pausar la exploracióndurante el horario laboral normal a fin de evitar una sobrecarga en el rendimiento.
Guía de administración de NSX
VMware, Inc. 322
Ver y descargar informesCuando se inicia un examen de seguridad, NSX muestra la hora de inicio y finalización de cada examen,la cantidad de máquinas virtuales examinadas y la cantidad de incumplimientos detectados.
Prerequisitos
Debe tener el rol Administrador de seguridad o Auditor.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking and Security) y, a continuación, en Data Security.
3 Haga clic en la pestaña Informes (Reports).
4 Especifique el informe de recuentos de incumplimientos (Violation counts) o de incumplimiento dearchivos (Violating files).
Crear expresiones regularesUna expresión regular es un patrón que describe una cierta secuencia de caracteres de texto, tambiénconocida como cadena. Las expresiones regulares se utilizan para buscar cadenas o clases de cadenasespecíficas en el cuerpo de un texto, o buscar coincidencias con estas.
Utilizar una expresión regular es como realizar una búsqueda con comodines, pero las expresionesregulares son más eficaces. Las expresiones regulares pueden ser muy simples o muy complejas. Unejemplo de una expresión regular simple es cat.
Busca la primera instancia de la secuencia de letras cat en cualquier cuerpo de texto en el que se laaplique. Si desea asegurarse de que solamente busque la palabra cat y no otras cadenas como cats ohepcat, puede utilizar una expresión regular un poco más compleja: \bcat\b.
Esta expresión incluye caracteres especiales que garantizan una coincidencia si hay separación depalabras a ambos lados de la secuencia cat. Como otro ejemplo, para realizar un equivalente cercano ala cadena de búsqueda con comodines típica c+t, puede utilizar esta expresión regular: \bc\w+t\b.
Esto significa buscar un límite de palabra (\b) seguido por una c, seguido por uno o más caracteres queno sean espacios en blanco ni de puntuación (\w+), seguido por una t, seguido por un límite de palabra(\b). Esta expresión busca cot, cat, croat, pero no crate.
Las expresiones pueden ser muy complejas. La expresión siguiente encuentra cualquier dirección decorreo electrónico válida.
\b[A-Za-z0-9._%-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,4}\b
Para obtener más información sobre la creación de expresiones regulares, consulte http://userguide.icu-project.org/strings/regexp.
Guía de administración de NSX
VMware, Inc. 323
Desinstalar NSX Data SecurityDesinstale NSX Data Security si ya no lo usa o si está actualizando NSX Manager. NSX Data Security noes compatible con una actualización directa. Antes de actualizar NSX Manager, es importante desinstalarNSX Data Security y volver a instalarlo después de la actualización.
Desde la versión 6.2.3 de NSX, la función de seguridad de datos de NSX pasó a estar obsoleta. En laversión 6.2.3 de NSX puede seguir utilizando esta función como desee, pero tenga en cuenta que seeliminará de NSX en versiones futuras.
Procedimiento
1 En la pestaña Instalación (Installation), haga clic en Implementaciones de servicios (ServiceDeployments).
2 Seleccione el servicio NSX Data Security y haga clic en el icono Eliminar implementación de
servicios ( ) (Delete Service Deployment).
3 En el cuadro de diálogo Confirmar eliminación (Confirm Delete), haga clic en Eliminar ahora (Deletenow) o seleccione la fecha y hora en que tendrá lugar la eliminación.
4 Haga clic en Aceptar (OK).
Guía de administración de NSX
VMware, Inc. 324
Extensibilidad de la red 20Las redes de centros de datos involucran generalmente una amplia variedad de servicios de red,incluidos la conmutación, el enrutamiento, el firewall, el equilibrio de carga, etc. En la mayoría de loscasos, estos servicios son proporcionados por distintos proveedores. En el mundo físico, la conexión deestos servicios en la red es una práctica complicada de organización en bastidores y apilación dedispositivos de red físicos, establecimiento de conectividad física y administración de estos servicios porseparado. NSX simplifica la experiencia de conexión de los servicios adecuados en las rutas de accesode tráfico correctas y puede ayudar a crear redes complejas dentro de un único host ESX Server o envarios hosts ESX Server con fines de producción, prueba o desarrollo.
Cualquier dispositivo
vSphere
Superponer transporte
Cualquier hardware de red
NSX API
Extensiones de partner de software
Introspección de invitados y de red
Extensiones de partner de hardware
NSX
Cargas de trabajo virtuales o físicas
Redes virtuales
Inserción de servicio Edge
Existen varios métodos de implementación para insertar servicios de terceros en NSX.
Este capítulo cubre los siguientes temas:
n Inserción de servicio distribuido
n Inserción de servicio basado en Edge
n Integrar servicios de terceros
VMware, Inc. 325
n Implementar un servicio de partner
n Consumir servicios del proveedor mediante Service Composer
n Redireccionar el tráfico a la solución de un proveedor mediante el firewall lógico
n Usar el equilibrador de carga de un partner
n Quitar integración de terceros
Inserción de servicio distribuidoEn la inserción de servicio distribuido, un host único tiene todos los módulos de servicio, los módulos dekernel y las implementaciones de máquina virtual en una única máquina física. Todos los componentesdel sistema interactúan con los componentes dentro del host físico. Esto permite una comunicaciónmódulo a módulo más veloz y modelos de implementación compactos. Se puede replicar la mismaconfiguración en los sistemas físicos de la red a los fines de escalado, y mantener el control y el tráficodel plano de datos hacia y desde los módulos de servicio al vmkernel en el mismo sistema físico.Durante la ejecución de vMotion en las máquinas virtuales protegidas, la máquina de seguridad delpartner mueve el estado de la máquina virtual del host de origen al de destino.
Las soluciones de proveedores que utilizan este tipo de inserción de servicios incluyen servicio deprevención de intrusiones (IPS)/servicio de detección de intrusiones (IDS), firewall, antivirus, supervisiónde identidad de archivos (FIM) y administración de vulnerabilidad.
Inserción de servicio basado en EdgeNSX Edge se implementa como una máquina virtual en el clúster de servicios Edge junto con otrosservicios de red. NSX Edge tiene la capacidad de redirigir tráfico específico a servicios de red deterceros.
Las soluciones de proveedores que utilizan este tipo de inserción de servicios incluyen dispositivos ADCo de equilibrio de carga.
Integrar servicios de tercerosEste es un flujo de trabajo de alto nivel genérico para insertar un servicio de terceros en la plataforma deNSX.
Procedimiento
1 Registre el servicio de terceros con NSX Manager en la consola del proveedor.
Necesita las credenciales de inicio de sesión de NSX para registrar el servicio. Para obtener másinformación, consulte la documentación del proveedor.
2 Implemente el servicio en NSX. Consulte Implementar un servicio de partner.
Una vez implementado, el servicio de terceros se muestra en la ventana Definiciones de servicios deNSX (NSX Service Definitions) y está listo para utilizarse. El procedimiento para utilizar el servicio enNSX depende del tipo de servicio insertado.
Guía de administración de NSX
VMware, Inc. 326
Por ejemplo, puede habilitar un servicio de firewall basado en el host creando una directiva deseguridad en Service Composer o creando una regla de firewall para redirigir el tráfico al servicio.Consulte Consumir servicios del proveedor mediante Service Composer o Redireccionar el tráfico ala solución de un proveedor mediante el firewall lógico. Para obtener información sobre cómo utilizarun servicio basado en Edge, consulte Usar el equilibrador de carga de un partner.
Implementar un servicio de partnerSi la solución del partner incluye un dispositivo virtual host-residente, podrá implementar el servicio unavez que la solución esté registrada en NSX Manager.
Prerequisitos
Asegúrese de que:
n La solución del partner se registra en NSX Manager.
n NSX Manager puede acceder a la consola de administración de la solución del partner.
Procedimiento
1 Haga clic en Redes y seguridad (Networking & Security) y seleccione Instalación (Installation).
2 Haga clic en la pestaña Implementaciones de servicios (Service Deployments) y haga clic en el
icono Nueva implementación de servicios (New Service Deployments) ( ).
3 En el cuadro de diálogo Implementar servicios de red y seguridad (Deploy Network and SecurityServices), seleccione las soluciones adecuadas.
4 En Especificar programación (Specify schedule) (en la parte inferior del cuadro de diálogo),seleccione Implementar ahora (Deploy now) para implementar la solución inmediatamente oseleccionar una fecha y una hora de implementación.
5 Haga clic en Siguiente (Next).
6 Seleccione el centro de datos y los clústeres en los que desea implementar la solución y haga clic enSiguiente (Next).
7 Seleccione el almacén de datos en el que desea agregar el almacenamiento de máquinas virtualesdel servicio de soluciones o bien seleccione Especificado en el host (Specified on host).
El almacén de datos seleccionado debe estar disponible en todos los hosts del clúster elegido.
Si seleccionó Especificado en el host (Specified on host), el almacén de datos del host ESX debeespecificarse en la opción Configuración de máquinas virtuales de agente (AgentVM Settings) delhost antes de agregarse al clúster. Consulte la documentación de vSphere API/SDK.
8 Seleccione el grupo de puertos virtuales distribuidos donde se alojará la interfaz de administración.Este grupo de puertos debe poder comunicarse con el grupo de puertos de NSX Manager.
Si la red está establecida en Especificado en el host (Specified on host), la red que se utilizarádebe especificarse en la propiedad Configuración de máquina virtual agente > Red (Agent VMSettings > Network) de cada host del clúster. Consulte la documentación de vSphere API/SDK.
Guía de administración de NSX
VMware, Inc. 327
Debe establecer la propiedad de la red de la máquina virtual de agente en un host antes deagregarlo a un clúster. Acceda a Administrar > Configuración > Configuración de máquinavirtual agente > Red (Manage > Settings > Agent VM Settings > Network) y haga clic en Editar(Edit) para establecer la red de la máquina virtual de agente.
El grupo de puertos seleccionado debe estar disponible en todos los hosts del clúster seleccionado.
9 En la asignación de direcciones IP, seleccione una de las siguientes opciones:
Seleccionar Para
DHCP Asigne una dirección IP a la máquina virtual de servicios a través del protocoloDynamic Host Configuration Protocol (DHCP).
Grupo de direcciones IP Asigne una dirección IP a la máquina virtual de servicios desde el grupo dedirecciones IP seleccionado.
10 Haga clic en Siguiente (Next) y, a continuación, en Finalizar (Finish) en la página Listo para finalizar
(Ready to complete).
11 Supervise la implementación hasta que Estado de instalación (Installation Status) muestre Correcto(Successful). Si el estado muestra Con errores (Failed), haga clic en el icono junto a Con errores(Failed) y complete las acciones necesarias para solucionar el error.
Qué hacer a continuación
Ahora puede consumir el servicio del partner a través de la interfaz de usuario de NSX o NSX API.
Consumir servicios del proveedor mediante ServiceComposerLos servicios del proveedor externo incluyen el redireccionamiento de tráfico, el equilibrador de carga ylos servicios de seguridad invitados, como prevención de pérdida de datos, antivirus, etc. ServiceComposer permite aplicar estos servicios a un conjunto de objetos de vCenter.
Un grupo de seguridad es un conjunto de objetos de vCenter, como clústeres, máquinas virtuales, vNIC yconmutadores lógicos. Una directiva de seguridad es un conjunto de servicios de Guest Introspection,reglas de firewall y servicios de introspección de red.
Cuando se asigna una directiva de seguridad a un grupo de seguridad, se crean las reglas deredireccionamiento en el perfil de servicios del proveedor externo correspondiente. A medida que eltráfico circula desde las máquinas virtuales pertenecientes a ese grupo de seguridad, se redirecciona alos servicios de proveedor externo registrados que determinan cómo procesar ese tráfico. Para obtenermás información sobre Service Composer, consulte Utilizar Service Composer.
Guía de administración de NSX
VMware, Inc. 328
Redireccionar el tráfico a la solución de un proveedormediante el firewall lógicoPuede agregar reglas de firewall para redireccionar el tráfico a soluciones de proveedores registradas. Acontinuación, el servicio del proveedor procesa el tráfico redireccionado.
Prerequisitos
n El servicio de terceros debe estar registrado en NSX Manager y debe estar implementado en NSX.
n Si la acción de regla de firewall predeterminada está establecida en Bloquear (Block), debe agregaruna regla para permitir que se redireccione el tráfico.
Procedimiento
1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Firewall.
2 Haga clic en la pestaña Servicios de seguridad de partners (Partner security services).
3 En la sección donde desea agregar una regla, haga clic en el icono Agregar regla (Add rule) ( ).
Se agregará una nueva regla de permiso "any any" en la parte superior de la sección.
4 Coloque el puntero sobre la celda Nombre (Name) de la nueva regla, haga clic en y escriba unnombre para la regla.
5 Especifique las categorías Origen (Source), Destino (Destination) y Servicio (Service) de la regla.Para obtener más información, consulte Agregar una regla de firewall
6 Coloque el puntero sobre la celda Acción (Action) de la nueva regla y haga clic en .
a En Acción (Action), seleccione Redireccionar (Redirect).
b En Redireccionar a (Redirect To), seleccione el perfil de servicio y el conmutador lógico o elgrupo de seguridad donde desea vincular el perfil de servicio.
El perfil de servicio se aplica a las máquinas virtuales que están conectadas al conmutador lógicoo al grupo de seguridad seleccionado o incluidas allí.
c Indique si el tráfico redireccionado debe registrarse y escriba comentarios, si los hubiera.
d Haga clic en Aceptar (OK).
El perfil de servicio seleccionado se muestra como un vínculo en la columna Acción (Action). Alhacer clic en el vínculo del perfil de servicios se muestran los enlaces del perfil.
7 Haga clic en Publicar cambios (Publish Changes).
Guía de administración de NSX
VMware, Inc. 329
Usar el equilibrador de carga de un partnerPuede utilizar un equilibrador de carga de terceros para equilibrar el tráfico de una instancia de NSXEdge específica.
Prerequisitos
El equilibrador de carga de terceros debe estar registrado en NSX Manager y debe estar implementadoen NSX.
Procedimiento
1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) >Instancias de NSX Edge (NSX Edges).
2 Haga doble clic en una instancia de NSX Edge.
3 Haga clic en Administrar (Manage) y seleccione la pestaña Equilibrador de carga (Load Balancer).
4 Haga clic en Editar (Edit) junto a Configuración global del equilibrador de carga (Load balancerglobal configuration).
5 Seleccione Habilitar el equilibrador de carga (Enable Load Balancer) y Habilitar inserción delservicio (Enable Service Insertion).
6 En Definición del servicio (Service Definition) seleccione el equilibrador de carga del partnercorrespondiente.
7 En Configuración del servicio (Service Configuration) seleccione la configuración de serviciocorrespondiente.
8 Complete los campos restantes e instale el equilibrador de carga; para eso, agregue un monitor deservicio, un grupo de servidores, un perfil de aplicación, reglas de aplicación y un servidor virtual.Cuando agregue el servidor virtual, seleccione la plantilla proporcionada por el proveedor. Paraobtener más información, consulte Configurar equilibrio de carga.
La consola de administración del proveedor externo equilibra la carga del tráfico de la instancia Edgeespecificada.
Quitar integración de tercerosEn este ejemplo se describe cómo quitar una solución de integración de terceros de NSX.
Existe un orden correcto de software cuando se quita cualquier solución de software de terceros.
Procedimiento
1 En vSphere Web Client, desplácese hasta Redes y seguridad > Service Composer (Networking &Security > Service Composer) y elimine las reglas (o las directivas de seguridad) que redirigen eltráfico a la solución de terceros.
Guía de administración de NSX
VMware, Inc. 330
2 Desplácese hasta Definiciones de servicios (Service Definitions) y haga doble clic en el nombre dela solución de terceros.
3 Haga clic en Objetos relacionados (Related Objects) y elimine los objetos relacionados.
4 Desplácese hasta Instalación > Implementaciones de servicios (Installation > ServiceDeployments) y elimine la implementación de terceros.
Esta acción desinstala las máquinas virtuales asociadas.
5 Regrese a Definiciones de servicios (Service Definitions) y elimine cualquier subcomponente de ladefinición.
6 En la instancia del servicio, elimine el perfil del servicio.
7 Elimine la instancia del servicio.
8 Elimine la definición del servicio.
La solución de integración de terceros se elimina de NSX.
Qué hacer a continuación
Tome nota de la configuración y, a continuación, quite NSX de la solución de terceros. Por ejemplo, esposible que deba eliminar reglas que hacen referencia a otros objetos y, a continuación, eliminar losobjetos.
Guía de administración de NSX
VMware, Inc. 331
Administración de usuarios 21En muchas organizaciones, las operaciones de redes y seguridad están a cargo de diferentes equipos omiembros. Estas organizaciones pueden requerir una forma de limitar ciertas operaciones adeterminados usuarios. En este tema se describen las opciones que ofrece NSX para configurar estecontrol de acceso.
NSX también admite Single Sign-On (SSO), que habilita a NSX para que autentique a los usuarios desdeotros servicios de identidad, como Active Directory, NIS y LDAP.
La administración de usuarios en vSphere Web Client está separada de la administración de usuarios enla CLI de cualquier componente de NSX.
Este capítulo cubre los siguientes temas:
n Usuarios y permisos de NSX según la función
n Configurar Single Sign-On
n Administrar derechos de usuario
n Administrar la cuenta de usuario predeterminado
n Asignar una función a un usuario de vCenter
n Editar una cuenta de usuario
n Cambiar un rol de usuario
n Deshabilitar o habilitar una cuenta de usuario
n Eliminar una cuenta de usuario
Usuarios y permisos de NSX según la funciónPara implementar y administrar NSX, se necesitan algunos permisos de vCenter. NSX ofrece permisosamplios de lectura, así como de lectura y escritura para varios usuarios y varias funciones.
Definición de funcionesLas funciones disponibles son los siguientes:
roles = system_write, system_urm, super_user, vshield_admin, security_admin, auditor, dlp_svm,epsec_host, enterprise_admin, component_manager_user y replicator
VMware, Inc. 332
local_user_roles = system_write, system_urm, super_user, security_admin, auditor, dlp_svm,epsec_host, component_manager_user y replicator
system_roles = system_write, system_urm, dlp_svm, epsec_host y replicator
Tipos de permisosLos tipos de permisos son de lectura y de escritura.
Definición de acceso de funcionesLas definiciones de acceso de funciones determinan si una función tiene permiso de lectura o de lecturay escritura.
super_user.object_permission = lectura y escritura
vshield_admin.object_permission = lectura y escritura
security_admin.object_permission = lectura y escritura
auditor.object_permission = lectura
system_write.object_permission = lectura y escritura
system_urm.object_permission = lectura
dlp_svm.object_permission = lectura y escritura
epsec_host.object_permission = lectura y escritura
enterprise_admin.object_permission = lectura y escritura
replicator.object_permission = lectura y escritura
Definición de raízLa definición de raíz describe las funciones del superusuario.
super_user.superuser = true
system_write.superuser = true
Acceso de funciones a objetos para el ámbito globalvshield_admin.object_access_scope.global = true
super_user.object_access_scope.global = true
system_write.object_access_scope.global = true
system_urm.object_access_scope.global = true
dlp_svm.object_access_scope.global = true
epsec_host.object_access_scope.global = true
enterprise_admin.object_access_scope.global = true
Guía de administración de NSX
VMware, Inc. 333
Acceso de funciones a objetos para el ámbito universalReplicator.object_access_scope.universal = true
System_write.object_access_scope.universal = true
ServiciosLos siguientes servicios están disponibles en NSX:
administration, urm, edge, app, namespace, spoofguard, dlp, epsec, library, install, vdn, eam, si,truststore, component_manager, ipam, secfabric, security_policy, messaging y replicator
Definiciones de funcionesLas definiciones de funciones de cada servicio son las siguientes:
administration.featurelist = administration.configuration, administration.update,administration.system_events, administration.audit_logs y administration.debug
urm.featurelist = urm.user_account_management, urm.object_access_control yurm.feature_access_control
edge.featurelist = edge.system, edge.nat, edge.firewall, edge.dhcp, edge.loadbalancer, edge.vpn,edge.syslog, edge.support, edge.routing, edge.certificate, edge.appliance, edge.highavailability,edge.dns, edge.vnic, edge.ssh, edge.autoplumbing, edge.statistics, edge.bridging y edge.systemcontrol
app.featurelist = app.config, app.firewall, app.flow, app.forcesync, app.syslog y app.techsupport
pgi.featurelist = pgi.switch, pgi.portgroup y pgi.lkm
namespace.featurelist = namespace.config
spoofguard.featurelist = spoofguard.config
dlp.featurelist = dlp.scan_scheduling, dlp.reports, dlp.policy y dlp.svm_interaction
epsec.featurelist = epsec.registration, epsec.health_monitoring, epsec.manager, epsec.policy,epsec.svm_priv, epsec.scan y epsec.reports
library.featurelist = library.grouping, library.host_preparation y library.tagging
install.featurelist = install.app, install.epsec y install.dlp
vdn.featurelist = vdn.config_nsm y vdn.provision
eam.featurelist = eam.install
si.featurelist = si.service y si.serviceprofile
truststore.featurelist = truststore.trustentity_management
component_manager.featurelist = healthstatus
ipam.featurelist = ipam.configuration y ipam.ipallocation
Guía de administración de NSX
VMware, Inc. 334
secfabric.featurelist = secfabric.deploy y secfabric.alarms
security_policy.featurelist = security_policy.configuration y security_policy.security_group_binding
blueprint_sam.featurelist = blueprint_sam.reports, blueprint_sam.ad_config,blueprint_sam.control_data_collection, blueprint_sam.techsupport y blueprint_sam.db_maintain
messaging.featurelist = messaging.messaging
replicator.featurelist = replicator.configuration
Definiciones de acceso de funcionesPara cada combinación de características y funciones, la definición de acceso de características denotasi el usuario tiene permisos de solo lectura o de lectura y escritura.
Si no aparece una combinación de funciones y características, significa que el usuario que tiene dichafunción no tiene acceso a esta característica.
Por ejemplo:
auditor.app.firewall = lectura
security_admin.app.firewall = lectura y escritura
Esto significa que la función del auditor de la característica app.firewall tiene acceso de solo lectura,mientras que la función security_admin de la característica app.firewall tiene acceso de lectura yescritura.
Definiciones de acceso de funciones - system_urmsystem_urm.urm.user_account_management = lectura
Definiciones de acceso de funciones - vshield_adminvshield_admin.administration.configuration = lectura y escritura
vshield_admin.administration.update = lectura y escritura
vshield_admin.administration.system_events = lectura y escritura
vshield_admin.administration.audit_logs = lectura
vshield_admin.urm.user_account_management = lectura y escritura
vshield_admin.urm.object_access_control = lectura
vshield_admin.urm.feature_access_control = lectura
vshield_admin.edge.system = lectura y escritura
vshield_admin.edge.appliance = lectura y escritura
vshield_admin.edge.highavailability = lectura y escritura
vshield_admin.edge.vnic = lectura y escritura
Guía de administración de NSX
VMware, Inc. 335
vshield_admin.edge.dns = lectura
vshield_admin.edge.ssh = lectura y escritura
vshield_admin.edge.autoplumbing = lectura
vshield_admin.edge.statistics = lectura
vshield_admin.edge.nat = lectura
vshield_admin.edge.dhcp = lectura
vshield_admin.edge.loadbalancer = lectura
vshield_admin.edge.vpn = lectura
vshield_admin.edge.syslog = lectura y escritura
vshield_admin.edge.support = lectura y escritura
vshield_admin.edge.routing = lectura
vshield_admin.edge.firewall = lectura
vshield_admin.edge.bridging = lectura
vshield_admin.edge.certificate = lectura
vshield_admin.edge.systemcontrol = lectura y escritura
vshield_admin.library.grouping = lectura
vshield_admin.app.config = lectura y escritura
vshield_admin.app.forcesync = lectura y escritura
vshield_admin.app.syslog = lectura y escritura
vshield_admin.app.techsupport = lectura y escritura
vshield_admin.namespace.config = lectura y escritura
vshield_admin.dlp.scan_scheduling = lectura y escritura
vshield_admin.epsec.reports = lectura y escritura
vshield_admin.epsec.registration = lectura y escritura
vshield_admin.epsec.health_monitoring = lectura
vshield_admin.epsec.policy = lectura y escritura
vshield_admin.epsec.scan_scheduling = lectura y escritura
vshield_admin.library.host_preparation = lectura y escritura
vshield_admin.library.tagging = lectura
vshield_admin.install.app = lectura y escritura
vshield_admin.install.epsec = lectura y escritura
vshield_admin.install.dlp = lectura y escritura
Guía de administración de NSX
VMware, Inc. 336
vshield_admin.vdn.config_nsm = lectura y escritura
vshield_admin.vdn.provision = lectura y escritura
vshield_admin.eam.install = lectura y escritura
vshield_admin.si.service = lectura y escritura
vshield_admin.si.serviceprofile = lectura y escritura
vshield_admin.truststore.trustentity_management = lectura y escritura
vshield_admin.ipam.configuration = lectura y escritura
vshield_admin.ipam.ipallocation = lectura y escritura
vshield_admin.secfabric.deploy = lectura y escritura
vshield_admin.secfabric.alarms = lectura y escritura
vshield_admin.blueprint_sam.ad_config = lectura y escritura
vshield_admin.blueprint_sam.control_data_collection = lectura y escritura
vshield_admin.blueprint_sam.techsupport = lectura y escritura
vshield_admin.blueprint_sam.db_maintain = lectura y escritura
vshield_admin.messaging.messaging = lectura y escritura
vshield_admin.replicator.configuration = lectura y escritura
Definiciones de acceso de funciones - security_adminsecurity_admin.administration.system_events = lectura y escritura
security_admin.administration.audit_logs = lectura
security_admin.edge.system = lectura
security_admin.edge.appliance = lectura
security_admin.edge.highavailability = lectura
security_admin.edge.vnic = lectura y escritura
security_admin.edge.dns = lectura y escritura
security_admin.edge.ssh = lectura y escritura
security_admin.edge.autoplumbing = lectura y escritura
security_admin.edge.statistics = lectura
security_admin.edge.nat = lectura y escritura
security_admin.edge.dhcp = lectura y escritura
security_admin.edge.loadbalancer = lectura y escritura
security_admin.edge.vpn = lectura y escritura
Guía de administración de NSX
VMware, Inc. 337
security_admin.edge.syslog = lectura y escritura
security_admin.edge.support = lectura y escritura
security_admin.edge.routing = lectura y escritura
security_admin.edge.firewall = lectura y escritura
security_admin.edge.bridging = lectura y escritura
security_admin.edge.certificate = lectura y escritura
security_admin.edge.systemcontrol = lectura y escritura
security_admin.app.firewall = lectura y escritura
security_admin.app.flow = lectura y escritura
security_admin.app.forcesync = lectura
security_admin.app.syslog = lectura
security_admin.namespace.config = lectura
security_admin.spoofguard.config = lectura y escritura
security_admin.dlp.reports = lectura y escritura
security_admin.dlp.policy = lectura y escritura
security_admin.epsec.policy = lectura y escritura
security_admin.epsec.reports = lectura
security_admin.epsec.health_monitoring = lectura
security_admin.library.grouping = lectura y escritura
security_admin.library.tagging = lectura y escritura
security_admin.install.app = lectura
security_admin.install.epsec = lectura
security_admin.install.dlp = lectura
security_admin.vdn.config_nsm = lectura
security_admin.vdn.provision = lectura
security_admin.eam.install = lectura
security_admin.si.service = lectura y escritura
security_admin.si.serviceprofile = lectura
security_admin.truststore.trustentity_management = lectura y escritura
security_admin.ipam.configuration = lectura y escritura
security_admin.ipam.ipallocation = lectura y escritura
security_admin.secfabric.alarms = lectura
Guía de administración de NSX
VMware, Inc. 338
security_admin.secfabric.deploy = lectura
security_admin.security_policy.configuration = lectura y escritura
security_admin.security_policy.security_group_binding = lectura y escritura
security_admin.blueprint_sam.reports = lectura
security_admin.blueprint_sam.ad_config = lectura
security_admin.blueprint_sam.control_data_collection = lectura
security_admin.blueprint_sam.db_maintain = lectura
security_admin.messaging.messaging = lectura y escritura
security_admin.replicator.configuration = lectura
Definiciones de acceso de funciones- auditorauditor.administration.system_events = lectura
auditor.administration.audit_logs = lectura
auditor.edge.appliance = lectura
auditor.edge.highavailability = lectura
auditor.edge.vnic = lectura
auditor.edge.dns = lectura
auditor.edge.ssh = lectura
auditor.edge.autoplumbing = lectura
auditor.edge.statistics = lectura
auditor.edge.nat = lectura
auditor.edge.dhcp = lectura
auditor.edge.loadbalancer = lectura
auditor.edge.vpn = lectura
auditor.edge.syslog = lectura
auditor.edge.routing = lectura
auditor.edge.firewall = lectura
auditor.edge.bridging = lectura
auditor.edge.system = lectura
auditor.edge.certificate = lectura
auditor.edge.systemcontrol = lectura
auditor.app.firewall = lectura
Guía de administración de NSX
VMware, Inc. 339
auditor.app.flow = lectura
auditor.app.forcesync = lectura
auditor.app.syslog = lectura
auditor.namespace.config = lectura
auditor.spoofguard.config = lectura
auditor.dlp.scan_scheduling = lectura
auditor.dlp.policy = lectura
auditor.dlp.reports = lectura
auditor.library.grouping = lectura
auditor.epsec_host.health_monitoring = lectura
auditor.epsec.policy = lectura
auditor.epsec.reports = lectura
auditor.epsec.registration = lectura
auditor.vdn.config_nsm = lectura
auditor.epsec.scan_scheduling = lectura
auditor.vdn.provision = lectura
auditor.si.service = lectura
auditor.si.serviceprofile = lectura
auditor.truststore.trustentity_management = lectura
auditor.secfabric.alarms = lectura
auditor.secfabric.deploy = lectura
auditor.security_policy.configuration = lectura
auditor.security_policy.security_group_binding = lectura
auditor.blueprint_sam.reports = lectura
auditor.blueprint_sam.ad_config = lectura
auditor.blueprint_sam.control_data_collection = lectura
auditor.blueprint_sam.db_maintain = lectura
auditor.library.tagging = lectura
auditor.ipam.configuration = lectura
auditor.ipam.ipallocation = lectura
auditor.messaging.messaging = lectura
auditor.replicator.configuration = lectura
Guía de administración de NSX
VMware, Inc. 340
Definiciones de acceso de funciones - dlp_svmdlp_svm.dlp.svm_interaction = lectura y escritura
dlp_svm.epsec.svm_priv = lectura y escritura
dlp_svm.epsec.registration = lectura
dlp_svm.epsec.policy = lectura
dlp_svm.epsec.scan_scheduling = lectura
dlp_svm.library.host_preparation = lectura y escritura
dlp_svm.library.tagging = lectura y escritura
Definiciones de acceso de funciones - epsec_hostepsec_host.epsec.registration = lectura
epsec_host.epsec.health_monitoring = escritura
Definiciones de acceso de funciones - enterprise_adminenterprise_admin.administration.configuration = lectura y escritura
enterprise_admin.administration.update = lectura y escritura
enterprise_admin.administration.system_events = lectura y escritura
enterprise_admin.administration.audit_logs = lectura
enterprise_admin.urm.user_account_management = lectura y escritura
enterprise_admin.urm.object_access_control = lectura
enterprise_admin.urm.feature_access_control = lectura
enterprise_admin.edge.system = lectura y escritura
enterprise_admin.edge.appliance = lectura y escritura
enterprise_admin.edge.highavailability = lectura y escritura
enterprise_admin.edge.vnic = lectura y escritura
enterprise_admin.edge.dns = lectura y escritura
enterprise_admin.edge.ssh = lectura y escritura
enterprise_admin.edge.autoplumbing = lectura y escritura
enterprise_admin.edge.statistics = lectura y escritura
enterprise_admin.edge.nat = lectura y escritura
enterprise_admin.edge.dhcp = lectura y escritura
Guía de administración de NSX
VMware, Inc. 341
enterprise_admin.edge.loadbalancer = lectura y escritura
enterprise_admin.edge.vpn = lectura y escritura
enterprise_admin.edge.syslog = lectura y escritura
enterprise_admin.edge.support = lectura y escritura
enterprise_admin.edge.routing = lectura y escritura
enterprise_admin.edge.firewall = lectura y escritura
enterprise_admin.edge.bridging = lectura y escritura
enterprise_admin.edge.certificate = lectura y escritura
enterprise_admin.edge.systemcontrol = lectura y escritura
enterprise_admin.library.grouping = lectura y escritura
enterprise_admin.library.host_preparation = lectura y escritura
enterprise_admin.library.tagging = lectura y escritura
enterprise_admin.app.config = lectura y escritura
enterprise_admin.app.forcesync = lectura y escritura
enterprise_admin.app.syslog = lectura y escritura
enterprise_admin.app.techsupport = lectura y escritura
enterprise_admin.app.firewall = lectura y escritura
enterprise_admin.app.flow = lectura y escritura
enterprise_admin.namespace.config = lectura y escritura
enterprise_admin.dlp.scan_scheduling = lectura y escritura
enterprise_admin.dlp.reports = lectura y escritura
enterprise_admin.dlp.policy = lectura y escritura
enterprise_admin.epsec.registration = lectura y escritura
enterprise_admin.epsec.health_monitoring = lectura
enterprise_admin.epsec.scan_scheduling = lectura y escritura
enterprise_admin.epsec.reports = lectura y escritura
enterprise_admin.epsec.policy = lectura y escritura
enterprise_admin.install.app = lectura y escritura
enterprise_admin.install.epsec = lectura y escritura
enterprise_admin.install.dlp = lectura y escritura
enterprise_admin.eam.install = lectura y escritura
enterprise_admin.spoofguard.config = lectura y escritura
Guía de administración de NSX
VMware, Inc. 342
enterprise_admin.vdn.config_nsm = lectura y escritura
enterprise_admin.vdn.provision = lectura y escritura
enterprise_admin.si.service = lectura y escritura
enterprise_admin.si.serviceprofile = lectura y escritura
enterprise_admin.truststore.trustentity_management = lectura y escritura
enterprise_admin.ipam.configuration = lectura y escritura
enterprise_admin.ipam.ipallocation = lectura y escritura
enterprise_admin.secfabric.deploy = lectura y escritura
enterprise_admin.secfabric.alarms = lectura y escritura
enterprise_admin.security_policy.configuration = lectura y escritura
enterprise_admin.security_policy.security_group_binding = lectura y escritura
enterprise_admin.blueprint_sam.reports = lectura
enterprise_admin.blueprint_sam.ad_config = lectura y escritura
enterprise_admin.blueprint_sam.control_data_collection = lectura y escritura
enterprise_admin.blueprint_sam.techsupport = lectura y escritura
enterprise_admin.blueprint_sam.db_maintain = lectura y escritura
enterprise_admin.messaging.messaging = lectura y escritura
enterprise_admin.replicator.configuration = lectura y escritura
Definiciones de acceso de funciones - component_manager_usercomponent_manager_user.component_manager.healthstatus = lectura
Definiciones de acceso de funciones - replicatorreplicator.administration.configuration = lectura y escritura
replicator.administration.update = lectura y escritura
replicator.administration.system_events = lectura y escritura
replicator.administration.audit_logs = lectura
replicator.urm.user_account_management = lectura y escritura
replicator.urm.object_access_control = lectura
replicator.urm.feature_access_control = lectura
replicator.edge.system = lectura y escritura
replicator.edge.appliance = lectura y escritura
Guía de administración de NSX
VMware, Inc. 343
replicator.edge.highavailability = lectura
replicator.edge.vnic = lectura y escritura
replicator.edge.dns = lectura
replicator.edge.ssh = lectura
replicator.edge.autoplumbing = lectura y escritura
replicator.edge.statistics = lectura
replicator.edge.nat = lectura
replicator.edge.dhcp = lectura y escritura
replicator.edge.loadbalancer = lectura
replicator.edge.vpn = lectura
replicator.edge.syslog = lectura
replicator.edge.support = lectura
replicator.edge.routing = lectura y escritura
replicator.edge.firewall = lectura
replicator.edge.bridging = lectura
replicator.edge.certificate = lectura
replicator.edge.systemcontrol = lectura
replicator.library.grouping = lectura y escritura
replicator.library.host_preparation = lectura y escritura
replicator.library.tagging = lectura y escritura
replicator.app.config = lectura y escritura
replicator.app.forcesync = lectura y escritura
replicator.app.syslog = lectura y escritura
replicator.app.techsupport = lectura y escritura
replicator.app.firewall = lectura y escritura
replicator.app.flow = lectura y escritura
replicator.namespace.config = lectura y escritura
replicator.dlp.scan_scheduling = lectura y escritura
replicator.dlp.reports = lectura y escritura
replicator.dlp.policy = lectura y escritura
replicator.epsec.registration = lectura y escritura
replicator.epsec.health_monitoring = lectura
Guía de administración de NSX
VMware, Inc. 344
replicator.epsec.scan_scheduling = lectura y escritura
replicator.epsec.reports = lectura y escritura
replicator.epsec.policy = lectura y escritura
replicator.install.app = lectura y escritura
replicator.install.epsec = lectura y escritura
replicator.install.dlp = lectura y escritura
replicator.eam.install = lectura y escritura
replicator.spoofguard.config = lectura y escritura
replicator.vdn.config_nsm = lectura y escritura
replicator.vdn.provision = lectura y escritura
replicator.si.service = lectura y escritura
replicator.si.serviceprofile = lectura y escritura
replicator.truststore.trustentity_management = lectura y escritura
replicator.ipam.configuration = lectura y escritura
replicator.ipam.ipallocation = lectura y escritura
replicator.secfabric.deploy = lectura y escritura
replicator.secfabric.alarms = lectura y escritura
replicator.security_policy.configuration = lectura y escritura
replicator.security_policy.security_group_binding = lectura y escritura
replicator.blueprint_sam.reports = lectura
replicator.blueprint_sam.ad_config = lectura y escritura
replicator.blueprint_sam.control_data_collection = lectura y escritura
replicator.blueprint_sam.techsupport = lectura y escritura
replicator.blueprint_sam.db_maintain = lectura y escritura
replicator.messaging.messaging = lectura y escritura
replicator.replicator.configuration = lectura y escritura
Sobrescribir permisos de características de funciones en el nodosecundario de objetos universalessecondary.super_user.edge.highavailability = lectura y escritura
secondary.enterprise_admin.edge.highavailability = lectura y escritura
secondary.vshield_admin.edge.highavailability = lectura y escritura
Guía de administración de NSX
VMware, Inc. 345
secondary.super_user.edge.ssh = lectura y escritura
secondary.enterprise_admin.edge.ssh = lectura y escritura
secondary.security_admin.edge.ssh = lectura y escritura
secondary.vshield_admin.edge.ssh = lectura y escritura
secondary.super_user.edge.syslog = lectura y escritura
secondary.enterprise_admin.edge.syslog = lectura y escritura
secondary.security_admin.edge.syslog = lectura y escritura
secondary.vshield_admin.edge.syslog = lectura y escritura
secondary.super_user.edge.support = lectura y escritura
secondary.enterprise_admin.edge.support = lectura y escritura
secondary.security_admin.edge.support = lectura y escritura
secondary.vshield_admin.edge.support = lectura y escritura
secondary.super_user.edge.routing = lectura y escritura
secondary.security_admin.edge.routing = lectura y escritura
secondary.enterprise_admin.edge.routing = lectura y escritura
secondary.super_user.edge.appliance = lectura y escritura
secondary.vshield_admin.edge.appliance = lectura y escritura
secondary.enterprise_admin.edge.appliance = lectura y escritura
secondary.super_user.edge.vnic = lectura y escritura
secondary.vshield_admin.edge.vnic = lectura y escritura
secondary.enterprise_admin.edge.vnic = lectura y escritura
secondary.super_user.edge.firewall = lectura y escritura
secondary.vshield_admin.edge.firewall = lectura y escritura
secondary.enterprise_admin.edge.firewall = lectura y escritura
Guía de administración de NSX
VMware, Inc. 346
Configurar Single Sign-OnSSO hace que vSphere y NSX sean más seguros, ya que permite que distintos componentes secomuniquen entre sí mediante un mecanismo de intercambio de token seguro, en lugar de solicitar quecada componente autentique un usuario por separado. Puede configurar un servicio de búsqueda enNSX Manager y proporcionar las credenciales de administrador de SSO para registrar NSX ManagementService como usuario de SSO. La integración del servicio Single Sign-On (SSO) con NSX mejora laseguridad de la autenticación de usuarios en vCenter y permite que NSX autentique usuarios de otrosservicios de identidad, como AD, NIS y LDAP.
Con SSO, NSX admite la autenticación mediante tokens autenticados de lenguaje de marcado deaserción de seguridad (SAML) de una fuente confiable mediante llamadas API de REST. NSX Managertambién puede adquirir tokens de autenticación SAML para utilizarlos con las soluciones de VMware.
NSX almacena en la memoria caché la información grupal de los usuarios de SSO. Los cambios en losmiembros de grupos tardan hasta 60 minutos en propagarse desde el proveedor de identidad (porejemplo, Active Directory) hasta NSX.
Prerequisitos
n Para utilizar SSO en NSX Manager, es necesario tener la versión vCenter Server 5.5 o posterior, y elservicio de autenticación Single Sign-On (SSO) debe estar instalado en vCenter Server. Tenga encuenta que esto aplica al servicio SSO integrado. En cambio, la implementación debe utilizar unservidor SSO externo centralizado.
Para obtener información sobre los servicios SSO que ofrece vSphere, consulte http://kb.vmware.com/kb/2072435 y http://kb.vmware.com/kb/2113115.
n Debe especificarse el servidor NTP para que la hora del servidor SSO y la hora de NSX Managerestén sincronizadas.
Por ejemplo:
Guía de administración de NSX
VMware, Inc. 347
Procedimiento
1 Inicie sesión en el dispositivo virtual de NSX Manager.
En un explorador web, desplácese hasta la GUI del dispositivo NSX Manager en https://<nsx-manager-ip> o https://<nsx-manager-hostname> e inicie sesión como administrador con lacontraseña que configuró al instalar NSX Manager.
2 Haga clic en la pestaña Administrar (Manage) y, a continuación, en NSX Management Service.
3 Escriba el nombre o la dirección IP del host que tiene el servicio de búsqueda.
Si va a utilizar vCenter para realizar el servicio de búsqueda, introduzca el nombre de host o ladirección IP de vCenter Server y, a continuación, introduzca el nombre de usuario y la contraseña devCenter Server.
4 Escriba el número de puerto.
Escriba 443 si va a utilizar vSphere 6.0. Para la versión vSphere 5.5, escriba el número de puerto7444.
Se mostrará la URL de Lookup Service según el host y el puerto especificados.
Por ejemplo:
5 Compruebe si la huella digital del certificado coincide con el certificado de vCenter Server.
Si instaló un certificado firmado por la entidad de certificación en el servidor de la entidad decertificación, verá la huella digital del certificado firmado por la entidad de certificación. De locontrario, verá un certificado autofirmado.
Guía de administración de NSX
VMware, Inc. 348
6 Confirme que el estado de Lookup Service sea Conectado (Connected).
Por ejemplo:
Qué hacer a continuación
Asigne un rol al usuario de SSO.
Administrar derechos de usuarioEl rol de un usuario define las acciones que tiene permitidas realizar el usuario en un recurso dado. El roldetermina las actividades autorizadas del usuario en el recurso dado, asegura que un usuario tengaacceso solo a las funciones necesarias para completar las funciones correspondientes. Esto permite elcontrol del dominio en recursos específicos, o control en todo el sistema si su derecho no tienerestricciones.
Se aplican las reglas siguientes:
n Un usuario puede tener un solo rol.
n No puede agregar un rol a un usuario o quitar un rol asignado de un usuario. Puede, sin embargo,cambiar el rol asignado de un usuario.
Tabla 21‑1. Roles de usuario de NSX Manager
Derecho Permisos
Administrador empresarial Funcionamiento y seguridad de NSX.
Administrador de NSX (NSXAdministrator)
Solo funcionamiento de NSX: por ejemplo, instalar dispositivos virtuales, configurar grupos depuertos.
Administrador de seguridad(Security Administrator)
Solo seguridad de NSX: por ejemplo, definir directivas de seguridad de datos, crear grupos depuertos, crear informes de módulos de NSX.
Auditor Solo lectura.
Solo se pueden asignar las funciones de administrador empresarial y administrador de NSX a usuariosde vCenter.
Guía de administración de NSX
VMware, Inc. 349
Administrar la cuenta de usuario predeterminadoLa interfaz de usuario de NSX Manager incluye una cuenta de usuario que tiene derechos de acceso atodos los recursos. No puede editar los derechos de este usuario ni eliminarlo. El nombre del usuariopredeterminado es admin y la contraseña predeterminada es default o la contraseña que especificódurante la instalación de NSX Manager.
Puede administrar el usuario admin del dispositivo NSX Manager solo a través de comandos de CLI.
Asignar una función a un usuario de vCenterCuando se asigna un rol a un usuario de SSO, vCenter autentica al usuario mediante el servicio deidentidad configurado en el servidor SSO. Si el servidor SSO no se configuró o no se encuentradisponible, se autentica al usuario de forma local o mediante Active Directory según la configuración devCenter.
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y seleccione Instancias de NSX Manager(NSX Managers).
3 Haga clic en una instancia de NSX Manager en la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
4 Haga clic en Usuarios (Users).
5 Haga clic en Agregar (Add).
Se abrirá la ventana Asignar rol (Assign Role).
6 Haga clic en Especificar un usuario de vCenter (Specify a vCenter user) o en Especificar ungrupo de vCenter (Specify a vCenter group).
7 Especifique el nombre de Usuario (User) o Grupo (Group) de vCenter para el usuario.
Consulte el siguiente ejemplo para obtener más información.
Nombre de dominio: corp.vmware.com
Alias: corp
Nombre de grupo: [email protected]
Nombre de usuario: [email protected]
Cuando se asigna una función a un grupo en NSX Manager, cualquier usuario de ese grupo puedeiniciar sesión en la interfaz de usuario de dicho producto.
Para asignar un rol a un usuario, escriba el alias de usuario. Por ejemplo, user1@corp.
8 Haga clic en Siguiente (Next).
9 Seleccione el rol para el usuario y haga clic en Siguiente (Next). Para obtener más informaciónsobre los roles disponibles, consulte Administrar derechos de usuario.
Guía de administración de NSX
VMware, Inc. 350
10 Haga clic en Finalizar (Finish).
Se mostrará la cuenta de usuario en la tabla Usuarios (Users).
Información sobre la asignación de roles según el grupoLas organizaciones crean grupos de usuarios para administrar correctamente los usuarios. Después dela integración con SSO, NSX Manager puede obtener detalles sobre los grupos a los que pertenece elusuario. En lugar de asignar roles a usuarios individuales que pueden pertenecer al mismo grupo, NSXManager asigna roles a los grupos. En las siguientes situaciones se muestra la forma en que NSXManager asigna los roles.
Ejemplo: Situación de control de acceso basado en rolesEn esta situación se otorga a Sally Moore (ingeniera de redes de TI) acceso a los componentes de NSXen el siguiente entorno.
Dominio de AD: corp.local, grupo de vCenter: [email protected], nombre de usuario:[email protected]
Requisitos previos: vCenter Server registrado en NSX Manager y SSO configurado.
1 Asigne un rol a Sally.a Inicie sesión en vSphere Web Client.
b Haga clic en Redes y seguridad (Networking & Security) y seleccione Instancias de NSXManager (NSX Managers).
c Haga clic en una instancia de NSX Manager en la columna Nombre (Name) y seleccione lapestaña Administrar (Manage).
d Haga clic en Usuarios (Users) y seleccione Agregar (Add).
Se abrirá la ventana Asignar función (Assign Role).
e Haga clic en Especificar un grupo de vCenter (Specify a vCenter group) y [email protected] en Grupo (Group).
f Haga clic en Siguiente (Next).
g En Seleccionar roles (Select Roles), haga clic en Administrador de NSX (NSX Administrator) yseleccione Siguiente (Next).
2 Otorgue permiso a Sally para acceder al centro de datos.a Haga clic en el icono Inicio (Home) y seleccione Inicio de vCenter (vCenter Home) > Centros
de datos (Datacenters).
b Seleccione un centro de datos y haga clic en Acciones (Actions) > Todas las acciones devCenter (All vCenter Actions) > Agregar permiso (Add Permission).
c Haga clic en Agregar (Add) y seleccione el dominio CORP.
d En Usuarios y grupos (Users and Groups), seleccione Mostrar grupos primero (Show GroupsFirst).
Guía de administración de NSX
VMware, Inc. 351
e Seleccione Ing. redes (NetEng) y haga clic en Aceptar (OK).
f En Rol asignado (Assigned Role), seleccione Solo lectura (Read-only), anule la selección dePropagar a objetos secundarios (Propagate to children) y haga clic en Aceptar (OK).
3 Cierre la sesión de vSphere Web Client y vuelva a iniciar sesión como [email protected].
Sally solo podrá realizar operaciones de NSX. Por ejemplo, instalar dispositivos virtuales, crearconmutadores lógicos, etc.
Ejemplo: Situación de herencia de permisos mediante pertenenciade grupo o de usuario
Opción de grupo Valor
Nombre G1
Rol asignado Auditor (solo lectura)
Recursos Raíz global
Opción de usuario Valor
Nombre John
Pertenece al grupo G1
Rol asignado Ninguno
John pertenece al grupo G1, al que se le ha asignado el rol Auditor. John hereda los permisos sobrerecursos y el rol de ese grupo.
Ejemplo: Situación de usuario miembro de varios grupos
Opción de grupo Valor
Nombre G1
Rol asignado Auditor (solo lectura)
Recursos Raíz global
Opción de grupo Valor
Nombre G2
Rol asignado Administrador de seguridad (lectura y escritura)
Recursos Centro de datos 1
Opción de usuario Valor
Nombre Joseph
Pertenece al grupo G1, G2
Rol asignado Ninguno
Guía de administración de NSX
VMware, Inc. 352
Joseph pertenece a los grupos G1 y G2, y hereda una combinación de los derechos y los permisosincluidos en los roles Auditor y Administrador de seguridad. Por ejemplo, Joseph posee los siguientespermisos:
n Lectura y escritura (rol Administrador de seguridad) para Centro de datos 1
n Solo lectura (Auditor) para raíz global
Ejemplo: Situación de usuario miembro de varios roles
Opción de grupo Valor
Nombre G1
Rol asignado Administrador empresarial
Recursos Raíz global
Opción de usuario Valor
Nombre Bob
Pertenece al grupo G1
Rol asignado Administrador de seguridad (lectura y escritura)
Recursos Centro de datos 1
Se asignó el rol Administrador de seguridad a Bob; es por eso que no hereda los permisos de los rolesdel grupo. Bob posee los siguientes permisos:
n Lectura y escritura (rol Administrador de seguridad) para Centro de datos 1 y sus recursossecundarios
n Rol Administrador empresarial en Centro de datos 1.
Editar una cuenta de usuarioEs posible editar una cuenta de usuario para cambiar el rol o el ámbito. No se puede editar la cuentaadmin.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redesy seguridad (Networking & Security Inventory), haga clic en NSX Managers.
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
4 Haga clic en Usuarios (Users).
5 Seleccione el usuario que desea editar.
6 Haga clic en Editar (Edit).
7 Realice los cambios necesarios
Guía de administración de NSX
VMware, Inc. 353
8 Haga clic en Finalizar (Finish) para guardar los cambios.
Cambiar un rol de usuarioEs posible cambiar la asignación de roles de todos los usuarios, excepto el usuario admin.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redesy seguridad (Networking & Security Inventory), haga clic en NSX Managers.
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
4 Haga clic en Usuarios (Users).
5 Seleccione el usuario cuyo rol desea cambiar.
6 Haga clic en Cambiar rol (Change Role).
7 Realice los cambios necesarios
8 Haga clic en Finalizar (Finish) para guardar los cambios.
Deshabilitar o habilitar una cuenta de usuarioEs posible deshabilitar una cuenta de usuario para evitar que ese usuario inicie sesión en NSX Manager.No se pueden deshabilitar el usuario admin o un usuario que se encuentre conectado a NSX Manager.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redesy seguridad (Networking & Security Inventory), haga clic en NSX Managers.
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
4 Haga clic en Usuarios (Users).
5 Seleccione una cuenta de usuario.
6 Haga clic en el icono Habilitar (Enable) o Deshabilitar (Disable).
Guía de administración de NSX
VMware, Inc. 354
Eliminar una cuenta de usuarioEs posible eliminar cualquier cuenta de usuario creada. No se puede eliminar la cuenta admin. Losregistros de auditoría de los usuarios eliminados se mantienen en la base de datos y se puede hacerreferencia a ellos en un informe de registro de auditoría.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redesy seguridad (Networking & Security Inventory), haga clic en NSX Managers.
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
4 Haga clic en Usuarios (Users).
5 Seleccione una cuenta de usuario.
6 Haga clic en Eliminar (Delete).
7 Haga clic en Aceptar (OK) para confirmar la eliminación.
Si elimina una cuenta de usuario de vCenter, solo se elimina la asignación de rol de NSX Manager.No se elimina la cuenta de usuario en vCenter.
Guía de administración de NSX
VMware, Inc. 355
Objetos de seguridad y red 22En esta sección se describen los contenedores de seguridad y red personalizados. Estos contenedoresse pueden utilizar en un Distributed Firewall y Service Composer. En un entorno de Cross-vCenter NSX,puede crear contenedores de seguridad y red universales para utilizarlos en las reglas de DistributedFirewall universales. No puede utilizar objetos de seguridad y red universales en Server Composer.
Este capítulo cubre los siguientes temas:
n Trabajar con grupos de direcciones IP
n Trabajar con grupos de direcciones MAC
n Trabajar con grupos de direcciones IP
n Trabajar con grupos de seguridad
n Trabajar con servicios y grupos de servicios
Trabajar con grupos de direcciones IP
Crear un grupo de direcciones IPEs posible crear un grupo de direcciones IP y, a continuación, agregar este grupo como el origen o eldestino en una regla de firewall. Dicha regla puede servir de ayuda para proteger las máquinas físicas delas virtuales o viceversa.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redesy seguridad (Networking & Security Inventory), haga clic en NSX Managers.
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
u Debe seleccionar la instancia de NSX Manager principal si necesita administrar grupos dedirecciones IP universales.
4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic enConjuntos de direcciones IP (IP Sets).
VMware, Inc. 356
5 Haga clic en el icono Agregar (Add) ( ).
6 Escriba un nombre para el grupo de direcciones.
7 (Opcional) Escriba una descripción para el grupo de direcciones.
8 Escriba las direcciones IP que se deben incluir en el grupo.
9 (Opcional) Seleccione Habilitar herencia para tener visibilidad en ámbitos subyacentes (Enableinheritance to allow visibility at underlying scopes).
10 (Opcional) Seleccione Marcar este objeto para sincronización universal (Mark this object forUniversal Synchronization) para crear un grupo de direcciones IP universal.
11 Haga clic en Aceptar (OK).
Editar un grupo de direcciones IP
Prerequisitos
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redesy seguridad (Networking & Security Inventory), haga clic en NSX Managers.
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
u Debe seleccionar la instancia de NSX Manager principal si necesita administrar grupos dedirecciones IP universales.
4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic enConjuntos de direcciones IP (IP Sets).
5 Seleccione el grupo que desea editar y haga clic en el icono Editar (Edit) ( ).
6 En el cuadro de diálogo Editar conjuntos de direcciones IP (Edit IP Sets), realice los cambiosadecuados.
7 Haga clic en Aceptar (OK).
Eliminar un grupo de direcciones IPProcedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redesy seguridad (Networking & Security Inventory), haga clic en NSX Managers.
Guía de administración de NSX
VMware, Inc. 357
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
u Debe seleccionar la instancia de NSX Manager principal si necesita administrar grupos dedirecciones IP universales.
4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic enConjuntos de direcciones IP (IP Sets).
5 Seleccione el grupo que desea eliminar y haga clic en el icono Eliminar (Delete) ( ).
Trabajar con grupos de direcciones MAC
Crear un grupo de direcciones MACPuede crear un grupo de direcciones MAC compuesto por un rango de direcciones MAC y, acontinuación, agregar este grupo como origen o destino en una regla de Distributed Firewall. Dicha reglapuede servir de ayuda para proteger las máquinas físicas de las virtuales o viceversa.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redesy seguridad (Networking & Security Inventory), haga clic en NSX Managers.
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
u Debe seleccionar la instancia de NSX Manager principal si necesita administrar grupos dedirecciones MAC universales.
4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic enConjuntos de direcciones MAC (MAC Sets).
5 Haga clic en el icono Agregar (Add) ( ).
6 Escriba un nombre para el grupo de direcciones.
7 (Opcional) Escriba una descripción para el grupo de direcciones.
8 Escriba las direcciones MAC que se deben incluir en el grupo.
9 (Opcional) Seleccione Habilitar herencia para tener visibilidad en ámbitos subyacentes (Enableinheritance to allow visibility at underlying scopes).
10 (Opcional) Seleccione Marcar este objeto para sincronización universal (Mark this object forUniversal Synchronization) para crear un grupo de direcciones MAC universal.
11 Haga clic en Aceptar (OK).
Guía de administración de NSX
VMware, Inc. 358
Editar un grupo de direcciones MACProcedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redesy seguridad (Networking & Security Inventory), haga clic en NSX Managers.
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
u Debe seleccionar la instancia de NSX Manager principal si necesita administrar grupos dedirecciones MAC universales.
4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic enConjuntos de direcciones MAC (MAC Sets).
5 Seleccione el grupo que desea editar y haga clic en el icono Editar (Edit) ( ).
6 En el cuadro de diálogo Editar conjunto de direcciones MAC (Edit MAC Set), realice los cambiosadecuados.
7 Haga clic en Aceptar (OK).
Eliminar un grupo de direcciones MACProcedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redesy seguridad (Networking & Security Inventory), haga clic en NSX Managers.
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
u Debe seleccionar la instancia de NSX Manager principal si necesita administrar grupos dedirecciones MAC universales.
4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic enConjuntos de direcciones MAC (MAC Sets).
5 Seleccione el grupo que desea eliminar y haga clic en el icono Eliminar (Delete) ( ).
Trabajar con grupos de direcciones IPPuede editar o eliminar un grupo de direcciones IP.
Para obtener información sobre cómo agregar un grupo de direcciones IP, consulte Configurar el accesode red de SSL VPN-Plus o Configurar el acceso web de SSL VPN-Plus.
Guía de administración de NSX
VMware, Inc. 359
Crear un grupo de direcciones IPProcedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redesy seguridad (Networking & Security Inventory), haga clic en NSX Managers.
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Grupode direcciones IP (IP Pool).
5 Haga clic en el icono Agregar grupo de direcciones IP nuevo (Add New IP Pool).
6 Escriba un nombre para el grupo de direcciones IP y escriba la longitud del prefijo y la puerta deenlace predeterminados.
7 (Opcional) Escriba los DNS principal y secundario y el sufijo DNS.
8 Escriba los rangos de direcciones IP que se deben incluir en el grupo y haga clic en Aceptar (OK).
Editar un grupo de direcciones IPEs posible editar un grupo de direcciones IP, pero no la puerta de enlace o CIDR.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redesy seguridad (Networking & Security Inventory), haga clic en NSX Managers.
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Gruposde direcciones IP (IP Pools).
5 Seleccione un grupo de direcciones IP y haga clic en el icono Editar (Edit).
6 Realice los cambios necesarios y haga clic en Aceptar (OK).
Eliminar grupo de direcciones IPProcedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redesy seguridad (Networking & Security Inventory), haga clic en NSX Managers.
Guía de administración de NSX
VMware, Inc. 360
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Grupode direcciones IP (IP Pool).
5 Seleccione el grupo de direcciones IP que desea eliminar y haga clic en el icono Eliminar (Delete).
Trabajar con grupos de seguridadUn grupo de seguridad es una recopilación de activos u objetos agrupados del inventario de vSphere.
Crear un grupo de seguridadEs posible crear un grupo de seguridad en el nivel de NSX Manager.
Prerequisitos
Si crea un grupo de seguridad basado en objetos de grupos de Active Directory, asegúrese de que hayauno o varios dominios registrados en NSX Manager. NSX Manager obtiene información del grupo y delusuario, así como de la relación existente entre estos elementos, desde cada dominio con el que estáregistrado. Consulte Registrar un dominio de Windows con NSX Manager.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redesy seguridad (Networking & Security Inventory), haga clic en NSX Managers.
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
u Debe seleccionar la instancia de NSX Manager principal si necesita administrar grupos deseguridad universales.
4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Grupode seguridad (Security Group) y en el icono Agregar grupo de seguridad (Add Security Group).
5 Escriba un nombre y, de manera opcional, una descripción para el grupo de seguridad.
6 (Opcional) Si debe crear un grupo de seguridad universal, seleccione Marcar este objeto parasincronización universal (Mark this object for universal synchronization).
7 Haga clic en Siguiente (Next).
Guía de administración de NSX
VMware, Inc. 361
8 En la página Pertenencia dinámica (Dynamic Membership), defina los criterios que debe cumplir unobjeto para que se pueda agregar al grupo de seguridad que va a crear. Al definir un filtro de criterioscon una serie de parámetros compatibles con los criterios de búsqueda, se pueden incluir máquinasvirtuales.
NOTA: Si crea un grupo de seguridad universal, el paso Definir pertenencia dinámica (Definedynamic membership) no está disponible.
Por ejemplo, puede incluir un criterio para agregar al grupo de seguridad todas las máquinasvirtuales etiquetadas con la etiqueta de seguridad específica (como AntiVirus.virusFound). Lasetiquetas de seguridad distinguen entre mayúsculas y minúsculas.
O bien puede agregar al grupo de seguridad todas las máquinas virtuales que contengan el nombreW2008 y las máquinas virtuales que estén en el conmutador lógico global_wire.
9 Haga clic en Siguiente (Next).
Guía de administración de NSX
VMware, Inc. 362
10 En la página Seleccionar los objetos que se van a incluir (Select objects to include), seleccione lapestaña del recurso que desea agregar y, a continuación, seleccione uno o varios recursos paraagregarlos al grupo de seguridad. Puede incluir los siguientes objetos en un grupo de seguridad.
Tabla 22‑1. Objetos que pueden incluirse en grupos de seguridad y grupos de seguridaduniversales.
Grupo de seguridad Grupo de seguridad universal
n Otros grupos de seguridad para agrupar dentro del grupode seguridad que se va a crear.
n Clústern Conmutador lógicon Redn Aplicación virtualn Centro de datosn Conjuntos de direcciones IPn Grupos de directorios
NOTA: La configuración de Active Directory para losgrupos de seguridad de NSX es diferente de laconfiguración de Active Directory para vSphere SSO. Laconfiguración de grupos de AD de NSX es para losusuarios finales que acceden a máquinas virtualesinvitadas, mientras que vSphere SSO es para losadministradores que utilizan vSphere y NSX. Para utilizarestos grupos de directorio debe sincronizarse con ActiveDirectory. Consulte Capítulo 11 Introducción al firewall deidentidad.
n Conjuntos de direcciones MACn Etiqueta de seguridadn vNICn Máquina virtualn Grupo de recursosn Grupo de puertos virtuales distribuidos
n Otros grupos de seguridad universales para agrupardentro del grupo de seguridad universal que se va acrear.
n Conjuntos de direcciones IP universalesn Conjuntos de direcciones MAC universales
Los objetos seleccionados aquí siempre se incluyen en el grupo de seguridad, más allá de sicoinciden o no con los criterios mencionados en el Step 8.
Cuando se agrega un recurso a un grupo de seguridad, todos los recursos asociados se agreganautomáticamente. Por ejemplo, cuando selecciona una máquina virtual, la vNIC asociada se agregaautomáticamente al grupo de seguridad.
11 Haga clic en Siguiente (Next) y seleccione los objetos que desea excluir del grupo de seguridad.
NOTA: Si crea un grupo de seguridad universal, el paso Seleccionar los objetos que se van aexcluir (Select objects to exclude) no está disponible.
Los objetos seleccionados aquí siempre se excluyen del grupo de seguridad, más allá de sicoinciden o no con los criterios dinámicos.
12 Haga clic en Finalizar (Finish).
Guía de administración de NSX
VMware, Inc. 363
La pertenencia a un grupo de seguridad se determina de la siguiente manera:
{Resultado de la expresión (derivado del Step 8) + Inclusiones (especificadas en el Step 10} - Exclusión(especificada en el Step 11)
Esto significa que los elementos de inclusión se agregan primero al resultado de la expresión. Acontinuación, se restan los elementos de exclusión del resultado total.
Editar un grupo de seguridadProcedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redesy seguridad (Networking & Security Inventory), haga clic en NSX Managers.
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
u Debe seleccionar la instancia de NSX Manager principal si necesita administrar grupos deseguridad universales.
4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Grupode seguridad (Security Group).
5 Seleccione el grupo que desea editar y haga clic en el icono Editar (Edit) ( ).
6 En el cuadro de diálogo Editar grupo de seguridad (Edit Security Group), realice los cambiosadecuados.
7 Haga clic en Aceptar (OK).
Eliminar un grupo de seguridadProcedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redesy seguridad (Networking & Security Inventory), haga clic en NSX Managers.
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
u Debe seleccionar la instancia de NSX Manager principal si necesita administrar grupos deseguridad universales.
4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Grupode seguridad (Security Group).
5 Seleccione el grupo que desea eliminar y haga clic en el icono Eliminar (Delete) ( ).
Guía de administración de NSX
VMware, Inc. 364
Trabajar con servicios y grupos de serviciosUn servicio es una combinación de puerto y protocolo, mientras que un grupo de servicios es un grupoque incluye servicios u otros grupos de servicios.
Crear un servicioEs posible crear un servicio y, a continuación, definir reglas para ese servicio.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redesy seguridad (Networking & Security Inventory), haga clic en NSX Managers.
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
u Debe seleccionar la instancia de NSX Manager principal si necesita administrar serviciosuniversales.
4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Servicio(Service).
5 Haga clic en el icono Agregar (Add) ( ).
6 Escriba un Nombre (Name) para identificar el servicio.
7 (Opcional) Escriba una Descripción (Description) para el servicio.
8 Seleccione un Protocolo (Protocol).
a Según el protocolo seleccionado, es posible que se le solicite introducir más información, comoel puerto de destino.
9 (Opcional) Seleccione Habilitar herencia para tener visibilidad en ámbitos subyacentes (Enableinheritance to allow visibility at underlying scopes).
10 (Opcional) Seleccione Marcar este objeto para sincronización universal (Mark this object forUniversal Synchronization) para crear un servicio universal.
11 Haga clic en Aceptar (OK).
El servicio aparece en la tabla Servicios (Services).
Crear un grupo de serviciosEs posible crear un grupo de servicios y, a continuación, definir reglas para ese grupo de servicios.
Procedimiento
1 Inicie sesión en vSphere Web Client.
Guía de administración de NSX
VMware, Inc. 365
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redesy seguridad (Networking & Security Inventory), haga clic en NSX Managers.
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
u Debe seleccionar la instancia de NSX Manager principal si necesita administrar grupos deservicio universales.
4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Gruposde servicios (Service Groups).
5 Haga clic en el icono Agregar (Add).
6 Escriba un Nombre (Name) para identificar el grupo de servicios.
7 (Opcional) Escriba una Descripción (Description) para el grupo de servicios.
8 (Opcional) Seleccione Marcar este objeto para sincronización universal (Mark this object forUniversal Synchronization) para crear un grupo de servicios universal.
9 En Miembros (Members), seleccione los servicios o los grupos de servicios que desea agregar algrupo.
10 (Opcional) Seleccione Habilitar herencia para tener visibilidad en ámbitos subyacentes (Enableinheritance to allow visibility at underlying scopes).
11 Haga clic en Aceptar (OK).
Editar un servicio o un grupo de serviciosEs posible editar servicios o grupos de servicios.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redesy seguridad (Networking & Security Inventory), haga clic en NSX Managers.
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
u Debe seleccionar la instancia de NSX Manager principal si necesita administrar servicios ogrupos de servicio universales.
4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Servicio(Service) o Grupos de servicios (Service Groups).
5 Seleccione un servicio o un grupo de servicios personalizado y haga clic en el icono Editar (Edit)
( ).
6 Realice los cambios adecuados.
7 Haga clic en Aceptar (OK).
Guía de administración de NSX
VMware, Inc. 366
Eliminar un servicio o un grupo de serviciosEs posible eliminar servicios o un grupo de servicios.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redesy seguridad (Networking & Security Inventory), haga clic en NSX Managers.
3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).
u Debe seleccionar la instancia de NSX Manager principal si necesita administrar servicios ogrupos de servicio universales.
4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Servicio(Service) o Grupos de servicios (Service Groups).
5 Seleccione un servicio o un grupo de servicios personalizados y haga clic en el icono Eliminar
(Delete) ( ).
6 Haga clic en Sí (Yes).
Se eliminan el servicio o el grupo de servicios.
Guía de administración de NSX
VMware, Inc. 367
Operaciones y administración 23Este capítulo cubre los siguientes temas:
n Cambiar la contraseña de la controladora
n Recuperación de un error de NSX Controller
n Cambiar el puerto de VXLAN
n Comprobar estado del canal de comunicación
n Programa de mejora de la experiencia de cliente
n Eventos del sistema y registros de auditoría
n Configuración del sistema de administración
n Trabajar con traps SNMP
n Copia de seguridad y restauración de NSX
n Flow Monitoring
n Supervisión de actividad
n Traceflow
Cambiar la contraseña de la controladoraPara garantizar la seguridad de los datos, es posible cambiar las contraseñas de las instancias de NSXController.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y seleccione Instalación (Installation).
3 En Administración (Management), seleccione la controladora cuya contraseña desea cambiar.
4 Haga clic en Acciones (Actions) y seleccione Cambiar contraseña de clúster de la controladora(Change Controller Cluster Password).
5 Introduzca una contraseña nueva y haga clic en Aceptar (OK).
Se cambiará la contraseña de la controladora.
VMware, Inc. 368
Recuperación de un error de NSX ControllerEn caso de que se produzca un error en NSX Controller, posiblemente aún queden dos controladorasque funcionen. La mayoría del clúster se mantiene y el plano de control sigue funcionando. A pesar deesto, es importante eliminar las tres controladoras y agregar nuevas, a fin de mantener un clúster de tresnodos completamente funcional.
Se recomienda eliminar el clúster de controladoras cuando una o más controladoras sufren errorescatastróficos e irrecuperables, o cuando una o más de las máquinas virtuales de la controladora dejan deser accesibles y esto no se puede solucionar.
Se recomienda eliminar todas las controladoras en tal caso, aun cuando algunas parezcan tener unestado normal. El proceso recomendado es crear un clúster de controladoras nuevo y utilizar elmecanismo Actualizar estado de controladora (Update Controller State) en NSX Manager parasincronizar el estado de las controladoras.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 En Redes y seguridad (Networking & Security), haga clic en Instalación > Administración(Installation > Management).
3 En la sección de nodos de NSX Controller, haga clic en cada controladora y tome capturas oimpresiones de pantalla de las pantallas de detalle, o bien escriba la información de configuraciónpara usarla como referencia en el futuro.
Por ejemplo:
4 En la sección de nodos de NSX Controller, elimine los tres nodos. Para ello, seleccione cada nodo yhaga clic en el icono Eliminar nodo (x) (Delete Node [x]).
Cuando no hay controladoras en el sistema, los hosts funcionan en lo que se denomina modo "sinperiféricos". Las máquinas virtuales migradas con vMotion o las máquinas virtuales nuevas tendránproblemas de red hasta que se implementen las controladoras nuevas y se complete lasincronización.
5 Implemente tres nodos nuevos de NSX Controller. Para ello, haga clic en el icono Agregar nodo (+)(Add Node [+]).
Guía de administración de NSX
VMware, Inc. 369
6 En el cuadro de diálogo Agregar controladora (Add Controller), seleccione el centro de datos en elque agregará los nodos y configure las opciones de la controladora.
a Seleccione el clúster adecuado.
b Seleccione un host en el clúster y el almacenamiento.
c Seleccione el grupo de puertos distribuidos.
d Seleccione el grupo de direcciones IP desde el cual se deben asignar las direcciones IP al nodo.
e Haga clic en Aceptar (OK), espere a que finalice la instalación y compruebe que todos los nodostengan el estado Normal.
7 Vuelva a sincronizar el estado de la controladora. Para ello, haga clic en Acciones > Actualizarestado de controladora (Actions > Update Controller State).
La opción Actualizar estado de controladora (Update Controller State) realiza un envío push de laconfiguración del enrutador lógico distribuido y el VXLAN actual (que incluye los objetos universalesde una implementación de Cross-VC NSX) de NSX Manager al clúster de NSX Controller.
Cambiar el puerto de VXLANEs posible cambiar el puerto utilizado para el tráfico de VXLAN.
En NSX 6.2.3., el puerto VXLAN predeterminado es el 4789, el puerto estándar que asigna la IANA.Antes de NSX 6.2.3, el número de puerto UDP de VXLAN predeterminado era el 8472.
Las instalaciones nuevas de NSX utilizarán el puerto UDP 4789 para VXLAN.
Si en la actualización a NSX 6.2.3 y en la instalación se utilizó el puerto antiguo predeterminado (8472) oun número de puerto personalizado predeterminado (por ejemplo, el 8888) antes de la actualización,dicho puerto seguirá utilizándose tras la actualización a menos que realice los pasos necesarios paracambiarlo.
Si la instalación que actualizó utiliza o utilizará puertas de enlace de VTEP de hardware (puertas deenlace ToR), debe cambiar al puerto 4789 de VXLAN.
No es necesario que utilice el puerto 4789 para el puerto VXLAN en Cross-vCenter NSX; sin embargo,todos los hosts de un entorno de Cross-vCenter NSX deben estar configurados para usar el mismopuerto VXLAN. Si cambia al puerto 4789, garantiza que las nuevas instalaciones de NSX agregadas alentorno de Cross-vCenter NSX utilizan el mismo puerto que las implementaciones de NSX.
Guía de administración de NSX
VMware, Inc. 370
El cambio del puerto de VXLAN se realiza en un proceso de tres fases y no interrumpirá el tráfico deVXLAN. En un entorno de Cross-vCenter NSX, el cambio se propagará a todos los dispositivos de NSXManager y a todos los hosts del entorno de Cross-vCenter NSX.
Prerequisitos
n Compruebe que un firewall no bloquee el puerto que desea utilizar para VXLAN.
n Compruebe que la preparación del host no se esté ejecutando a la vez que cambia el puerto deVXLAN.
Procedimiento
1 Haga clic en la pestaña Preparación de red lógica (Logical Network Preparation) y, a continuación,haga clic en Transporte de VXLAN (VXLAN Transport).
2 Haga clic en el botón Cambiar (Change) en el panel del puerto de VXLAN. Introduzca el puerto alque desee cambiar. El puerto 4789 es el que asigna la IANA para VXLAN.
El cambio de puerto tardará un breve periodo de tiempo en propagarse a todos los hosts.
3 (Opcional) Compruebe el progreso del cambio de puerto con la solicitud API deGET /api/2.0/vdn/config/vxlan/udp/port/taskStatus.
GET https://nsxmgr-01a/api/2.0/vdn/config/vxlan/udp/port/taskStatus
<?xml version="1.0" encoding="UTF-8"?>
<vxlanPortUpdatingStatus>
<prevPort>8472</prevPort>
<targetPort>4789</targetPort>
<taskPhase>PHASE_TWO</taskPhase>
<taskStatus>PAUSED</taskStatus>
</vxlanPortUpdatingStatus>
...
<?xml version="1.0" encoding="UTF-8"?>
<vxlanPortUpdatingStatus>
<prevPort>8472</prevPort>
<targetPort>4789</targetPort>
<taskPhase>FINISHED</taskPhase>
<taskStatus>SUCCEED</taskStatus>
</vxlanPortUpdatingStatus>
Guía de administración de NSX
VMware, Inc. 371
Comprobar estado del canal de comunicaciónNSX comprueba el estado de la comunicación entre NSX Manager y el agente de firewall, NSX Managery el agente de plano de control, y el agente de plano de control y las controladoras.
Procedimiento
1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) >Instalación (Installation) > Preparación del host (Host Preparation).
2 Seleccione un clúster o expanda los clústeres y seleccione un host. Haga clic en Acciones (Actions)
y seleccione Estado de canal de comunicación (Communication Channel Health).
Se mostrará información sobre el estado del canal de comunicación.
Programa de mejora de la experiencia de clienteNSX participa en el programa de mejora de la experiencia de cliente (CEIP) de VMware.
Los detalles relacionados con los datos recopilados mediante el CEIP, así como los fines para los queVMware los utiliza, se pueden encontrar en el Centro de seguridad y confianza en http://www.vmware.com/trustvmware/ceip.html.
Si desea unirse o abandonar el CEIP de NSX o editar la configuración del programa, consulte Editar laopción del programa de mejora de la experiencia de cliente.
Guía de administración de NSX
VMware, Inc. 372
Editar la opción del programa de mejora de la experiencia declienteCuando se instala o actualiza NSX Manager, se puede seleccionar unirse al CEIP. Puede unirse al CEIPo bien salir posteriormente. También se puede definir la frecuencia y los días en los que la información serecopilará.
Prerequisitos
n Compruebe que NSX Manager está conectado y se puede sincronizar con vCenter Server.
n Compruebe que DNS está configurado en NSX Manager.
n Compruebe que NSX está conectado a una red pública para subir datos.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Seleccione Redes y seguridad (Networking & Security).
3 En el inventario de redes y seguridad (Networking & Security Inventory), seleccione NSX Managers.
4 Haga doble clic en la instancia de NSX Manager que desee modificar.
5 Haga clic en la pestaña Resumen (Summary).
6 Haga clic en Editar (Edit) en el cuadro de diálogo del programa de mejora de la experiencia decliente.
7 Seleccione o desmarque la opción Unirse al programa de mejora de la experiencia de cliente deVMware (Join the VMware Customer Experience Improvement Program).
8 (Opcional) Configure los ajustes de periodicidad.
9 Haga clic en Aceptar (OK).
Eventos del sistema y registros de auditoríaLos eventos del sistema son eventos que están relacionados con operaciones de NSX. Se elevan paradar detalles de cada evento operativo. Los eventos incluso pueden relacionarse con el funcionamientobásico (Informativo) o con un error crítico (Crítico).
A través de la característica NSX Ticket Logger, con un identificador de ticket puede hacer unseguimiento de los cambios realizados. Los registros de auditoría de las operaciones registradas en unticket incluirán el identificador de ticket.
Guía de administración de NSX
VMware, Inc. 373
Acerca de los registros de NSXEn esta sección se describe de qué manera puede configurar el servidor de Syslog y ver registros desoporte técnico para cada componente de NSX. Hay registros de planos de administración disponiblesen NSX Manager y registros de planos de datos disponibles en vCenter Server. Por ese motivo, serecomienda especificar el mismo servidor de Syslog para el componente de NSX y vCenter Server, a finde tener un panorama completo al ver los registros en el servidor de Syslog.
Para obtener información sobre la configuración de Syslog para hosts administrados por una instancia devCenter Server, consulte la documentación de VMware vSphere ESXi y vCenter Server 5.5.
NOTA: Los servidores syslog o de salto que se utilizan para recopilar registros y acceder a la máquinavirtual de control del enrutador lógico distribuido (DLR) de NSX no pueden estar en el conmutador lógicoque está directamente conectado a las interfaces lógicas de ese DLR.
NSX ManagerPara especificar un servidor de Syslog, consulte Especificar un servidor syslog.
Para descargar registros de soporte técnico, consulte Descargar registros de soporte técnico para NSX.
NSX EdgePara especificar un servidor syslog, consulte Configurar los servidores de Syslog remotos.
Para descargar registros de soporte técnico, consulte Descargar registros de soporte técnico para NSXEdge.
FirewallDebe configurar el servidor de Syslog remoto para cada clúster donde el firewall está habilitado. Elservidor de Syslog remoto está especificado en el atributo Syslog.global.logHost. Consulte ladocumentación de ESXi y vCenter Server 5.5.
Esta es una línea de ejemplo de un archivo de registro del host.
2013-10-02T05:41:12.670Z cpu11:1000046503)vsip_pkt: INET, match, PASS, Rule 0/3, Ruleset domain-c7,
Rule ID 100, OUT, Len 60, SRC 10.24.106.96, DST 10.24.106.52, TCP SPORT 59692, DPORT 22 S
que consiste en tres partes:
Tabla 23‑1. Componentes de una entrada de archivo de registro
Valor en el ejemplo
La porción de registro común de VMkernelconsiste en fecha, hora, CPU y WorldID
2013-10-02T05:41:12.670Z cpu11:1000046503)
Identificador vsip_pkt
Porción específica del firewall INET, match, PASS, Rule 0/3, Ruleset domain-c7, Rule ID 100, OUT, Len 60, SRC10.24.106.96, DST 10.24.106.52, TCP SPORT 59692, DPORT 22 S
Guía de administración de NSX
VMware, Inc. 374
Tabla 23‑2. Porción específica del firewall de la entrada del archivo de registro
Entidad Valores posibles
Valor AF INET, INET6
Motivo Valores posibles: match, bad-offset, fragment, short, normalize, memory, bad-timestamp, congestion, ip-option, proto-cksum, state-mismatch, state-insert, state-limit, src-limit, synproxy, spoofguard
Acción PASS, DROP, SCRUB, NOSCRUB, NAT, NONAT, BINAT, NOBINAT, RDR, NORDR, SYNPROXY_DROP,PUNT, REDIRECT, COPY
Identificador de laregla
Identificador
Valor de la regla Identificador del conjunto de reglas y posición de la regla (detalles internos)
Identificador delconjunto de reglas
Identificador
Valor del conjuntode reglas
Nombre del conjunto de reglas
Identificador delidentificador dereglas
Identificador
Identificador dereglas
Coincidencia de identificador
Dirección ROUT, IN
Identificador delongitud
Len seguido de la variable
Valor de la longitud Longitud de paquetes
Identificador deorigen
SRC
Dirección IP deorigen
Dirección IP
Identificador dedestino
Dirección IP
Protocolo TCP, UDP, PROTO
Identificador depuerto de origen
SPORT
Puerto de origen Número de puerto de origen para TDP y UDP
Identificador depuerto de origen
Identificador de puerto de destino
Puerto de destino Número de puerto de destino para TDP y UDP
Marca Marca de TCP
Guía de administración de NSX
VMware, Inc. 375
Usar NSX Ticket LoggerNSX Ticket Logger permite hacer un seguimiento de los cambios de infraestructura realizados. Todas lasoperaciones están etiquetadas con el identificador de ticket especificado, y los registros de auditoría deestas operaciones incluyen el identificador de ticket. Los archivos de registro de estas operaciones estánetiquetados con el mismo identificador de ticket.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en la pestañaAdministrar (Manage).
3 Haga clic en Editar (Edit) junto a Configuración de NSX Ticket Logger (NSX Ticket LoggerSettings).
4 Escriba el identificador de un ticket y haga clic en Activar (Turn On).
Aparecerá el panel Registro de tickets de NSX (NSX Ticket Logging) en el lateral derecho de laventana de vSphere Web Client. Los registros de auditoría de las operaciones realizadas en lasesión actual de la interfaz de usuario incluyen el identificador de ticket en la columna Etiquetas deoperación (Operation Tags).
Figura 23‑1. Panel de NSX Ticket Logger
Si vSphere Web Client está administrando varias instancias de vCenter Server, el identificador deticket se utiliza para conectarse a todas las instancias correspondientes de NSX Manager.
Qué hacer a continuación
El registro de tickets está basado en la sesión. Si el registro de tickets está activado y se cierra la sesióno si se pierde la sesión, se desactivará el registro de tickets de forma predeterminada cuando vuelva ainiciar sesión en la interfaz de usuario. Para completar las operaciones de un ticket, desactive el registrorepitiendo los pasos 2 y 3, y haga clic en Desactivar (Turn Off).
Guía de administración de NSX
VMware, Inc. 376
Ver el informe de eventos del sistemaDesde vSphere Web Client puede ver los eventos del sistema para todos los componentes administradospor NSX Manager.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redesy seguridad (Networking & Security Inventory), haga clic en NSX Managers.
3 Haga clic en una instancia de NSX Manager en la columna Nombre (Name) y, a continuación, en lapestaña Supervisar (Monitor).
4 Haga clic en la pestaña Eventos del sistema (System Events).
Puede hacer clic en las flechas de los encabezados de las columnas para ordenar eventos, o utilizarel cuadro de texto Filtrar (Filter) para filtrar eventos.
Eventos del dispositivo virtual NSX Manager
Los siguientes eventos son específicos del dispositivo virtual de NSX Manager.
Tabla 23‑3. Eventos del dispositivo virtual NSX Manager
Apagado Encendido Interfaz desactivada Interfaz activada
CLI local Ejecute el comando showlog follow.
Ejecute el comando showlog follow.
Ejecute el comando showlog follow.
Ejecute el comando showlog follow.
Interfazgráfica deusuario
No corresponde No corresponde No corresponde No corresponde
Tabla 23‑4. Eventos del dispositivo virtual NSX Manager
CPU Memoria Almacenamiento
CLI local Ejecute el comando show processmonitor.
Ejecute el comando show systemmemory.
Ejecute el comando showfilesystem.
Interfazgráfica deusuario
No corresponde No corresponde No corresponde
Guía de administración de NSX
VMware, Inc. 377
Acerca del formato de Syslog
El mensaje de evento del sistema registrado en el servidor de Syslog tiene la siguiente estructura.
syslog header (timestamp + hostname + sysmgr/)
Timestamp (from the service)
Name/value pairs
Name and value separated by delimiter '::' (double colons)
Each name/value pair separated by delimiter ';;' (double semi-colons)
Los campos y los tipos de eventos del sistema contienen la siguiente información.
Event ID :: 32 bit unsigned integer
Timestamp :: 32 bit unsigned integer
Application Name :: string
Application Submodule :: string
Application Profile :: string
Event Code :: integer (possible values: 10007 10016 10043 20019)
Severity :: string (possible values: INFORMATION LOW MEDIUM HIGH CRITICAL)
Message ::
Ver el registro de auditoríaLa pestaña Registros de auditoría (Audit Logs) proporciona una vista de las acciones realizadas portodos los usuarios de NSX Manager. NSX Manager conserva hasta 1.000.000 de registros de auditoría.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redesy seguridad (Networking & Security Inventory), haga clic en NSX Managers.
3 En la columna Nombre (Name), haga clic en un servidor NSX y, a continuación, en la pestañaSupervisar (Monitor).
4 Haga clic en la pestaña Registros de auditoría (Audit Logs).
5 Cuando hay detalles disponibles sobre un registro de auditoría, se puede hacer clic en el texto de lacolumna Operación (Operation) de ese registro. Para ver los detalles de un registro de auditoría,haga clic en el texto de la columna Operación (Operation).
6 En Detalles de cambios en los registros de auditoría (Audit Log Change Details), seleccione Filascon cambios (Changed Rows) para ver solo aquellas propiedades cuyos valores cambiaron en laoperación de este registro de auditoría.
Guía de administración de NSX
VMware, Inc. 378
Configuración del sistema de administraciónPuede editar vCenter Server, el servidor NTP y DNS, y el servidor Lookup que especificó durante elprimer inicio de sesión. NSX Manager necesita comunicación con vCenter Server y los servicios comoDNS y NTP para brindar detalles sobre el inventario de VMware Infrastructure.
Iniciar sesión en el dispositivo virtual de NSX ManagerDespués de haber instalado y configurado la máquina virtual de NSX Manager, inicie sesión en eldispositivo virtual de NSX Manager para revisar la configuración especificada durante la instalación.
Procedimiento
1 Abra una ventana del explorador web y escriba la dirección IP asignada a NSX Manager. Porejemplo, https://192.168.110.42.
Se abre la interfaz de usuario de NSX Manager en una ventana del explorador web con SSL.
2 Acepte el certificado de seguridad.
NOTA: Puede utilizar un certificado SSL para la autenticación.
Aparece la pantalla de inicio de sesión de NSX Manager.
3 Inicie sesión en el dispositivo virtual de NSX Manager con el nombre de usuario admin y lacontraseña que estableció durante la instalación.
4 Haga clic en Iniciar sesión (Log In).
Editar fecha y hora de NSX ManagerPuede cambiar el servidor NTP especificado durante el primer inicio de sesión.
Procedimiento
1 Inicie sesión en el dispositivo virtual de NSX Manager.
2 En Administración de dispositivos (Appliance Management), haga clic en Administrarconfiguración de dispositivos (Manage Appliance Settings).
3 Haga clic en Editar (Edit) junto a Configuración de hora (Time Settings).
4 Realice los cambios adecuados.
5 Haga clic en Aceptar (OK).
6 Reinicie NSX Manager.
Guía de administración de NSX
VMware, Inc. 379
Especificar un servidor syslogSi especifica un servidor de Syslog, NSX Manager envía todos los registros de auditoría y los eventos delsistema al servidor de Syslog.
Los datos de Syslog son útiles para solucionar problemas y revisar los datos registrados durante lainstalación y la configuración.
NSX Edge es compatible con dos servidores syslog. NSX Manager y las instancias de NSX Controllerson compatibles con un servidor syslog.
Procedimiento
1 En un navegador web, acceda a la interfaz gráfica de usuario (GUI) del dispositivo NSX Manager enhttps://<nsx-manager-ip> o https://<nsx-manager-hostname>.
2 Inicie sesión como administrador con la contraseña que estableciera durante la instalación de NSXManager.
3 Haga clic en Manage Appliance Settings (Administrar configuración de dispositivo).
Por ejemplo:
4 En el panel Configuración (Settings), haga clic en General.
5 Haga clic en Editar (Edit) junto a Servidor de Syslog (Syslog Server).
Guía de administración de NSX
VMware, Inc. 380
6 Escriba el nombre del host o la dirección IP, el puerto y el protocolo del servidor de Syslog.
Si no especifica un puerto, se utiliza el puerto UDP predeterminado para la dirección IP o el nombrede host del servidor de Syslog.
Por ejemplo:
7 Haga clic en Aceptar (OK).
Se habilita el registro remoto en vCenter Server y los registros se almacenan en el servidor de Syslogindependiente.
Editar servidores DNSPuede cambiar los servidores DNS especificados durante la instalación de Manager.
Procedimiento
1 Inicie sesión en el dispositivo virtual de NSX Manager.
2 En Administración de dispositivos (Appliance Management), haga clic en Administrarconfiguración de dispositivos (Manage Appliance Settings).
3 En el panel Configuración (Settings), haga clic en Red (Network).
4 Haga clic en Editar (Edit) junto a Servidores DNS (DNS Servers).
5 Realice los cambios adecuados.
6 Haga clic en Aceptar (OK).
Editar detalles de Lookup ServiceEs posible cambiar los detalles de Lookup Service especificados durante el primer inicio de sesión.
Procedimiento
1 Inicie sesión en el dispositivo virtual de NSX Manager.
2 En Administración de dispositivos (Appliance Management), haga clic en Administrarconfiguración de dispositivos (Manage Appliance Settings).
3 En el panel Configuración (Settings), haga clic en Servicio de administración de NSX (NSXManagement Service).
Guía de administración de NSX
VMware, Inc. 381
4 Haga clic en Editar (Edit) junto a Lookup Service.
5 Realice los cambios adecuados.
6 Haga clic en Aceptar (OK).
Editar vCenter ServerPuede cambiar la instancia de vCenter Server con la cual registró NSX Manager durante la instalación.Debe hacerlo únicamente si cambia la dirección IP de la instancia actual de vCenter Server.
Procedimiento
1 Si inició sesión en vSphere Web Client, cierre la sesión.
2 Inicie sesión en el dispositivo virtual de NSX Manager.
3 En Administración de dispositivos (Appliance Management), haga clic en Administrarconfiguración de dispositivos (Manage Appliance Settings).
4 En el panel Configuración (Settings), haga clic en Servicio de administración de NSX (NSXManagement Service).
5 Haga clic en Editar (Edit) junto a vCenter Server.
6 Realice los cambios adecuados.
7 Haga clic en Aceptar (OK).
Descargar registros de soporte técnico para NSXEs posible descargar los registros del sistema NSX Manager y de Web Manager en el escritorio.
Procedimiento
1 Inicie sesión en el dispositivo virtual de NSX Manager.
2 En Administración de dispositivos (Appliance Management), haga clic en Administrarconfiguración de dispositivos (Manage Appliance Settings).
3Haga clic en y, a continuación, en Descargar registro de soporte técnico (Download TechSupport Log).
4 Haga clic en Descargar (Download).
5 Una vez listo el registro, haga clic en Guardar (Save) para descargar el registro en el escritorio.
Se comprime el registro y tiene la extensión de archivo .gz.
Qué hacer a continuación
Puede abrir el registro con una utilidad de descompresión; para ello, busque Todos los archivos (AllFiles) en el directorio en el que guardó el archivo.
Guía de administración de NSX
VMware, Inc. 382
Certificación SSL de NSX ManagerNSX Manager requiere un certificado firmado para autenticar la identidad del servicio web de NSXManager y para cifrar la información que se envía al servidor web de NSX Manager. El proceso implicagenerar una solicitud de firma de certificado (CSR), hacerla firmar por una entidad de certificación eimportar el certificado SSL firmado en NSX Manager. La práctica recomendada de seguridad indicautilizar la opción de generación de certificados para generar una clave pública y una clave privada; estaúltima se guarda en NSX Manager.
Para obtener un certificado de NSX Manager, puede utilizar el generador de CSR integrado de NSXManager u otra herramienta, como OpenSSL.
La CSR generada mediante el generador de CSR integrado de NSX Manager no puede conteneratributos extendidos, como un nombre alternativo de sujeto (SAN). Si desea incluir atributos extendidos,debe utilizar otra herramienta para generar las CSR. Si utiliza otra herramienta, como OpenSSL, paragenerar la CSR, el proceso implicará 1) generar la CSR, 2) hacerla firmar y 3) seguir con la sección Convertir el archivo de certificado de NSX Manager a formato PKCS#12.
Utilizar el generador de CSR integradoUn método para obtener los certificados SSL en NSX Manager es utilizar el generador de CSR integrado.
Este método es limitado, ya que la solicitud CSR no puede contener atributos extendidos, como unnombre alternativo de sujeto (SAN). Si desea incluir atributos extendidos, deberá utilizar otra herramientapara generar las solicitudes CSR. Si está utilizando otra herramienta para generar solicitudes CSR, omitaeste procedimiento.
Procedimiento
1 Inicie sesión en el dispositivo virtual de NSX Manager.
2 Haga clic en Manage Appliance Settings (Administrar configuración de dispositivo).
3 En el panel Configuración (Settings), haga clic en Certificados SSL (SSL Certificates).
4 Haga clic en Generar CSR (Generate CSR).
Guía de administración de NSX
VMware, Inc. 383
5 Complete el formulario llenando los siguientes campos:
Opción Acción
Tamaño de clave (Key Size) Seleccione la longitud de clave utilizada en el algoritmo seleccionado.
Nombre común (Common Name) Escriba la dirección IP o el nombre de dominio completo (Fully Qualified DomainName, FQDN) de NSX Manager. VMware recomienda introducir el FQDN.
Unidad de organización (OrganizationUnit)
Introduzca el departamento de la empresa que está solicitando el certificado.
Nombre de organización (OrganizationName)
Introduzca la razón social completa de la empresa.
Nombre de la ciudad (City Name) Introduzca el nombre completo de la ciudad donde está ubicada la empresa.
Nombre del estado (State Name) Introduzca el nombre completo del estado donde está ubicada la empresa.
Código de país (Country Code) Introduzca el código de dos dígitos que representa al país. Por ejemplo, paraEE. UU. es US.
6 Haga clic en Aceptar (OK).
7 Envíe la solicitud CSR a la entidad de certificación para que la firme.
a Para descargar la solicitud generada, haga clic en Descargar CSR (Download CSR).
Mediante este método, la clave privada nunca sale de NSX Manager.
b Envíe la solicitud a la entidad de certificación.
c Obtenga el certificado firmado, así como los certificados de una entidad de certificación raíz ointermedia en formato PEM.
d Para convertir los certificados con formato CER/DER en formato PEM, utilice el siguientecomando OpenSSL:
openssl x509 -inform der -in Cert.cer -out 4-nsx_signed.pem
e Concatene todos los certificados (de servidor, intermediarios y raíz) en un archivo de texto.
f En la interfaz de usuario de NSX Manager, haga clic en Importar (Import) y desplácese hasta elarchivo de texto con todos los certificados.
g Una vez que la importación se haya realizado correctamente, el certificado de servidor y todoslos certificados de la entidad de certificación aparecerán en la página Certificados de SSL (SSLCertificates).
Qué hacer a continuación
Importe el certificado SSL firmado en NSX Manager.
Guía de administración de NSX
VMware, Inc. 384
Convertir el archivo de certificado de NSX Manager a formato PKCS#12Si utilizó otra herramienta, como OpenSSL, para obtener el certificado de NSX Manager, asegúrese deque el certificado y la clave privada tengan el formato PKCS#12. Si el certificado y la clave privada deNSX Manager no tienen el formato PKCS#12, debe convertirlos para poder importarlos en NSX Manager.
Prerequisitos
Compruebe que OpenSSL esté instalado en el sistema. Puede descargar openssl desde http://www.openssl.org.
Procedimiento
u Después de recibir el certificado firmado por un firmante autorizado, utilice OpenSSL para generar unarchivo de almacén de claves PKCS#12 (.pfx o .p12) desde el archivo de certificado y la claveprivada.
Por ejemplo:
openssl pkcs12 -export -out server.p12 -inkey server.key -in server.crt -certfile CACert.crt
En este ejemplo, CACert.crt es el nombre del certificado raíz que devolvió la entidad de certificación.
Qué hacer a continuación
Importe el certificado SSL firmado en NSX Manager.
Importar un certificado SSLPuede importar un certificado SSL preexistente o firmado por la entidad de certificación para que loutilice NSX Manager.
Prerequisitos
Cuando instale un certificado en NSX Manager, solo se admite el formato de almacén de clavesPKCS#12, y debe contener una sola clave privada y su correspondiente certificado o cadena decertificados firmados.
Procedimiento
1 Inicie sesión en el dispositivo virtual de NSX Manager.
2 Haga clic en Manage Appliance Settings (Administrar configuración de dispositivo).
3 En el panel Configuración (Settings), haga clic en Certificados SSL (SSL Certificates).
Guía de administración de NSX
VMware, Inc. 385
4 Haga clic en Cargar almacén de claves PKCS#12 (Upload PKCS#12 Keystore).
5 Haga clic en Elegir archivo (Choose File) para ubicar el archivo.
6 Haga clic en Importar (Import).
7 Para aplicar el certificado, reinicie el dispositivo NSX Manager.
El certificado se almacena en NSX Manager.
Trabajar con traps SNMPNSX Manager recibe eventos del sistema que son informativos, de advertencia y críticos de, por ejemplo,NSX Edge y el hipervisor. Los agentes SNMP reenvían las traps SNMP con los OID al receptor SNMP.
Los traps SNMP deben tener la versión SNMPv2c. Los traps deben estar asociados con una base dedatos de información de la administración (MIB) para que el receptor SNMP pueda procesar los traps conidentificadores de objetos (OID).
De forma predeterminada, el mecanismo de traps SNMP está deshabilitado. Habilitar el trap SNMP soloactiva las notificaciones críticas y de gravedad alta para que el administrador SNMP no reciba un granvolumen de notificaciones. Una dirección IP o el nombre de un host define el destino del trap. Para que elnombre del host funcione en el destino del trap, el dispositivo debe estar configurado para solicitar unservidor de Sistema de nombres de dominio (DNS).
Cuando habilita el servicio SNMP, la primera vez se envía un trap coldStart con el OID1.3.6.1.6.3.1.1.5.1. Posteriormente se envía un trap warmStart con el OID 1.3.6.1.6.3.1.1.5.2 en cadainicio y parada de los receptores SNMP configurados.
Si el servicio SNMP continúa habilitado, cada cinco minutos se envía un trap latido vmwHbHeartbeat conel OID 1.3.6.1.4.1.6876.4.190.0.401. Cuando deshabilita el servicio, se envía un trapvmwNsxMSnmpDisabled con el OID 1.3.6.1.4.1.6876.90.1.2.1.0.1. El proceso detiene la ejecución deltrap vmwHbHeartbeat y deshabilita el servicio.
Cuando agrega, modifica o elimina un valor del receptor de SNMP, se envían un trap warmStart con elOID 1.3.6.1.6.3.1.1.5.2 y un trap vmwNsxMSnmpManagerConfigUpdated con el OID1.3.6.1.4.1.6876.90.1.2.1.0.2 a las nuevas configuraciones o actualizaciones de los receptores SNMP.
NOTA: El polling de SNMP no es compatible.
Guía de administración de NSX
VMware, Inc. 386
Configurar los ajustes de SNMPPuede habilitar los ajustes de SNMP y configurar los receptores de destino para enviar traps que seancríticos, avanzados o informativos.
Prerequisitos
n Familiarícese con el mecanismo de trap de SNMP. Consulte Trabajar con traps SNMP.
n Compruebe esté configurado un receptor SNMP.
n Descargue e instale el módulo MIB para NSX Manager de forma que el receptor SNMP puedaprocesar los traps con OID. Consulte http://kb.vmware.com/kb/1013445.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Seleccione Redes y seguridad > Inventario de redes y seguridad > NSX Managers (Networking &Security > Networking & Security Inventory > NSX Managers).
3 Seleccione una dirección IP de NSX Manager.
4 Seleccione las pestañas Administrar > Eventos del sistema (Manage > System Events).
5 Haga clic en Editar (Edit) para configurar las opciones de SNMP.
Opción Descripción
Servicio Enviar trap de SNMP.
De forma predeterminada, esta opción está deshabilitada.
Notificaciones de grupo Opciones predefinidas de grupos para algunos eventos del sistema que seutilizan para agregar los eventos que puedan ocurrir. De forma predeterminada,esta opción está habilitada.
Por ejemplo, si un evento del sistema pertenece a un grupo, el trap de esoseventos agrupados está retenido. Cada cinco minutos se envía un trap detallandoel número de eventos del sistema que se recibieron de NSX Manager. Si seenvían menos traps, se ahorran recursos del receptor SNMP.
Receptores Puede configurar hasta cuatro receptores para que se envíen los traps.
Debe completar las siguientes secciones cuando agregue un receptor SNMP.
Dirección de receptor: dirección IP o el nombre de plenamente cualificado delhost receptor.
Puerto del receptor: el puerto UDP predeterminado del receptor SNMP es 162.
Cadena de comunidad: se debe enviar la información como parte del trap denotificación.
Habilitar: indica si el receptor está enviando un trap.
6 Haga clic en Aceptar (OK).
El servicio SNMP está habilitado y los traps se envían a los receptores.
Guía de administración de NSX
VMware, Inc. 387
Qué hacer a continuación
Comprobar si la configuración del SNMP funciona. Consulte Comprobar la configuración del trap deSNMP.
Comprobar la configuración del trap de SNMPAntes de empezar a editar un trap del sistema, debe comprobar si el servicio SNMP recién habilitado o elSNMP actualizado funcionan correctamente.
Prerequisitos
Compruebe que el SNMP está configurado. Consulte Configurar los ajustes de SNMP.
Procedimiento
1 Compruebe la conexión del receptor y la configuración de SNMP.
a Seleccione las pestañas Administrar > Eventos del sistema (Manage > System Events).
b Haga clic en Editar (Edit) para configurar las opciones de SNMP.
No cambie las opciones del cuadro de diálogo.
c Haga clic en Aceptar (OK).
Se enviará un trap warmStart con el OID 1.3.6.1.6.3.1.1.5.2 a todos los receptores SNMP.
2 Depure la configuración de SNMP o solucione los problemas del receptor.
a Si el receptor SNMP no recibe los traps, compruebe que el receptor SNMP se esté ejecutandoen un puerto configurado.
b Compruebe la precisión de la información del receptor en la sección Configuración de SNMP(SNMP settings).
c Si el receptor SNMP deja de recibir un trap vmwHbHeartbeat con el OID1.3.6.1.4.1.6876.4.190.0.401 cada cinco minutos, compruebe si el dispositivo NSX Manager o elagente SNMP de NSX Manager funcionan.
d Si el trap latido se detiene, compruebe si el servicio SNMP está deshabilitado o si la conectividadde red entre NSX Manager y el receptor SNMP funciona.
Editar los traps del sistemaEs posible editar un trap del sistema para aumentar o disminuir la gravedad y la habilitación de un trappara que dichos traps se envían a los receptores o bien se retienen.
Si el valor de la columna habilitada del trap del módulo, OID o SNMP aparece como --, significa que nose asignó a dichos eventos una OID de trap. Por lo tanto, no se enviará ningún trap para dichos eventos.
Un trap del sistema tiene varias columnas en las que se muestran distintos aspectos de un evento delsistema.
Guía de administración de NSX
VMware, Inc. 388
Opción Descripción
Código de evento Código de evento estático asociado a un evento.
Descripción Resumen que describe el evento.
Módulo Subcomponentes que activan un evento.
Gravedad El nivel de un evento puede ser informativo, bajo, medio, principal, crítico o alto.
De forma predeterminada, cuando se habilita el servicio SNMP, se envían los traps solo para los eventos degravedad crítica y alta para resaltar los traps que necesitan atención inmediata.
OID de SNMP Representa la OID individual que se envía cuando ocurre un evento en el sistema.
La notificación del grupo está habilitada de forma predeterminada. Cuando las notificaciones del grupo estánhabilitadas, el evento o los traps que estén en este grupo muestran la OID del grupo al que el evento o el trappertenecen.
Por ejemplo, la OID de la notificación de grupo clasificada en el grupo de la configuración tiene la OID1.3.6.1.4.1.6876.90.1.2.0.1.0.1.
Trap de SNMPhabilitado
Muestra si el envío del trap para este evento está habilitado o no.
Es posible alternar el icono para activar de forma individual la habilitación de un trap o un evento. Cuando lanotificación de grupo esté habilitada, no se puede alternar la habilitación del trap.
Filtrar Buscar términos para filtrar los traps del sistema.
Prerequisitos
Compruebe que la configuración de SNMP está disponible. Consulte Configurar los ajustes de SNMP.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Seleccione Redes y seguridad > Inventario de redes y seguridad > NSX Managers (Networking &Security > Networking & Security Inventory > NSX Managers).
3 Seleccionar una dirección IP de NSX Manager.
4 Seleccione las pestañas Administrar > Eventos del sistema (Manage > System Events).
5 Seleccione un evento del sistema en la sección de Traps del sistema (System Traps).
6 Haga clic en el icono Editar (Edit) ( ).
No se puede editar la habilitación de un trap si la notificación de grupo está habilitada. Es posiblecambiar la habilitación de traps que no pertenecen a un grupo.
7 Puede cambiar la gravedad del evento del sistema en el menú desplegable.
8 Si cambia la gravedad de informativo a crítico, active la casilla de verificación Habilitar comocaptura de SNMP (Enable as SNMP Trap).
9 Haga clic en Aceptar (OK).
10 (Opcional) Haga clic en el icono Habilitar ( ) o el icono Deshabilitar ( ) en el encabezado parahabilitar o deshabilitar el envío de un trap del sistema.
Guía de administración de NSX
VMware, Inc. 389
11 (Opcional) Haga clic en el icono Copiar ( ) para copiar una o más filas de eventos en elportapapeles.
Copia de seguridad y restauración de NSXRealizar copias de seguridad apropiadas de todos los componentes de NSX es crucial para restaurar elsistema a su estado funcional en caso de errores.
La copia de seguridad de NSX Manager contiene toda la configuración de vShield, incluidas lascontroladoras, la conmutación lógica, las entidades en red, la seguridad, las reglas de firewall y todo loque configure dentro de la UPI o la API de NSX Manager. Se debe realizar una copia de seguridad porseparado de la base de datos de vCenter y los elementos relacionados como por ejemplo, losconmutadores virtuales.
Como mínimo, recomendamos realizar copias de seguridad regulares de NSX Manager y vCenter. Lafrecuencia y la programación de las copias de seguridad pueden variar según las necesidadescomerciales y los procedimientos operativos. Recomendamos realizar copias de seguridad de NSX confrecuencia en momentos de cambios de configuración continuos.
Las copias de seguridad de NSX Manager pueden realizarse a petición o por hora, por día o por semana.
Recomendamos realizar copias de seguridad en las siguientes situaciones:
n Antes de una actualización de NSX o vCenter.
n Después de una actualización de NSX o vCenter.
n Después de una implementación desde cero y de la configuración inicial de componentes de NSX.Por ejemplo, después de crear controladoras NSX Controller, conmutadores lógicos, enrutadoreslógicos, puertas de enlace de servicios Edge y directivas de seguridad y firewall.
n Después de cambios de infraestructura o topología.
n Después de cualquier cambio importante de día 2.
Para proporcionar el estado de todo un sistema al que se pueda revertir en un momento determinado, serecomiendan sincronizar las copias de seguridad de los componentes de NSX (por ejemplo, NSXManager) con la programación de copias de seguridad de otros componentes con los que existainteracción, como vCenter, sistemas de administración en la nube, herramientas operativas, etc.
Hacer copias de seguridad de los datos de NSX ManagerPara hacer copias de seguridad de los datos de NSX Manager, puede hacer una copia de seguridad apetición o una copia de seguridad programada.
La copia de seguridad y la restauración de NSX Manager pueden configurarse desde la interfaz web deldispositivo virtual de NSX Manager o a través de la API de NSX Manager Las copias de seguridadpueden programarse por hora, por día o por semana.
El archivo de copia de seguridad se guarda en una ubicación de FTP o SFTP remota a la que NSXManager tenga acceso. Los datos de NSX Manager incluyen tablas de configuración, de eventos y deregistros de auditoría. Las tablas de configuración se incluyen en todas las copias de seguridad.
Guía de administración de NSX
VMware, Inc. 390
La restauración solo se permite en la misma versión de NSX Manager que la versión de la copia deseguridad. Por este motivo, es importante crear un nuevo archivo de copia de seguridad antes y despuésde realizar una actualización de NSX, una para la versión anterior y otra para la nueva.
Procedimiento
1 Inicie sesión en el dispositivo virtual de NSX Manager.
2 En Administración de dispositivos (Appliance Management), haga clic en Copias de seguridad yrestauración (Backups & Restore).
3 Para especificar la ubicación de la copia de seguridad, haga clic en Cambiar (Change), junto aConfiguración de servidor FTP (FTP Server Settings).
a Escriba la dirección IP o el nombre del host del sistema de copia de seguridad.
b En el menú desplegable Protocolo de transferencia (Transfer Protocol), seleccione SFTP oFTP, según lo que admita el destino.
c Si es necesario, edite el puerto predeterminado.
d Escriba el nombre de usuario y la contraseña requeridos para iniciar sesión en el sistema decopia de seguridad.
e En el campo Directorio de copia de seguridad (Backup Directory), escriba la ruta de accesoabsoluta donde se almacenarán las copias de seguridad.
Para determinar la ruta de acceso absoluta, puede iniciar sesión en el servidor FTP, desplazarsehasta el directorio que desea utilizar y ejecutar el comando de directorio de trabajo presente(pwd). Por ejemplo:
PS C:\Users\Administrator> ftp 192.168.110.60
Connected to 192.168.110.60.
220 server-nfs FTP server ready.
User (192.168.110.60:(none)): admin
331 Password required for admin.
Password:
230 User admin logged in.
ftp> ls
200 PORT command successful.
150 Opening BINARY mode data connection for 'file list'.
datastore-01
226 Transfer complete.
ftp: 22 bytes received in 0.00Seconds 22000.00Kbytes/sec.
ftp> cd datastore-01
250 CWD command successful.
ftp> pwd
257 "/datastore-01" is current directory.
f Escriba una cadena de texto en Prefijo de nombre de archivo (Filename Prefix).
Este texto se agrega antes del nombre de archivo de cada copia de seguridad para que elsistema de copia de seguridad lo reconozca fácilmente. Por ejemplo, si escribe ppdb, la copia deseguridad resultante se denominará ppdbHH_MM_SS_DayDDMonYYYY.
Guía de administración de NSX
VMware, Inc. 391
g Escriba la frase de contraseña para proteger la copia de seguridad.
Necesitará esta frase de contraseña para restaurar la copia de seguridad.
h Haga clic en Aceptar (OK).
Por ejemplo:
4 En el caso de una copia de seguridad a petición, haga clic en Copia de seguridad (Backup).
Se agrega un archivo nuevo en Historial de copias de seguridad (Backup History).
5 En el caso de una copia de seguridad programada, haga clic en Cambiar (Change), junto aProgramación (Scheduling).
a En el menú desplegable Frecuencia de copia de seguridad (Backup Frequency), seleccionePor hora (Hourly), Por día (Daily) o Por semana (Weekly). Los menús desplegables Día de lasemana (Day of Week), Hora del día (Hour of Day) y Minuto (Minute) se deshabilitan según lafrecuencia seleccionada. Por ejemplo, si selecciona Por día (Daily), el menú desplegable Día dela semana (Day of Week) se deshabilita, ya que este campo no se aplica a una frecuencia diaria.
b Para las copias de seguridad por semana, seleccione el día de la semana en que debe realizarseuna copia de seguridad de los datos.
c Para las copias de seguridad por semana o por día, seleccione la hora en que debe iniciarse lacopia de seguridad.
d Seleccione el minuto en que desea comenzar y haga clic en Programar (Schedule).
Guía de administración de NSX
VMware, Inc. 392
6 Para excluir datos de registros y flujos de la copia de seguridad, haga clic en Cambiar (Change),junto a Excluir (Exclude).
a Seleccione los elementos que desea excluir de la copia de seguridad.
b Haga clic en Aceptar (OK).
7 Guarde la dirección IP o el nombre del host, las credenciales, los detalles de directorio y la frase decontraseña del servidor FTP. Esta información es necesaria para restaurar la copia de seguridad.
Restaurar una copia de seguridad de NSX ManagerLa restauración de NSX Manager provoca que se cargue un archivo de copia de seguridad en undispositivo NSX Manager. El archivo de copia de seguridad debe guardarse en una ubicación de FTP oSFTP remota a la que tenga acceso NSX Manager. Los datos de NSX Manager incluyen tablas deconfiguración, de eventos y de registros de auditoría.
IMPORTANTE: Haga una copia de seguridad de los datos actuales antes de restaurar un archivo decopia de seguridad.
Prerequisitos
Antes de restaurar los datos de NSX Manager, se recomienda volver a instalar el dispositivo NSXManager. Ejecutar la operación de restauración en un dispositivo NSX Manager existente también podríaser efectivo, pero no posee soporte oficial. Se da por sentado que el dispositivo NSX Manager existenteposee errores y, en consecuencia, se implementa un nuevo dispositivo NSX Manager.
La práctica recomendada es realizar capturas de pantalla o tomar notas de la configuración actual deldispositivo NSX Manager antiguo para utilizarlas en el momento de especificar la información dedirección IP y ubicación de copias de seguridad del dispositivo NSX Manager recientementeimplementado.
Procedimiento
1 Realice capturas de pantalla o anote todas las opciones de configuración del dispositivo NSXManager existente.
2 Implemente un nuevo dispositivo NSX Manager.
La versión debe ser igual a la del dispositivo NSX Manager de la copia de seguridad.
3 Inicie sesión en el dispositivo NSX Manager nuevo.
4 En Administración de dispositivos (Appliance Management), haga clic en Copias de seguridad yrestauración (Backups & Restore).
Guía de administración de NSX
VMware, Inc. 393
5 En Configuración del servidor FTP (FTP Server Settings), haga clic en Cambiar (Change) y agreguelas opciones de configuración.
En los campos Dirección IP de host (Host IP Address), Nombre de usuario (User Name),Contraseña (Password), Directorio de copia de seguridad (Backup Directory), Prefijo de nombrede archivo (Filename Prefix) y Frase de contraseña (Pass Phrase) en la pantalla Ubicación decopia de seguridad (Backup Location) se debe poder identificar la ubicación de la copia de seguridadque se desea restaurar.
6 En la sección Historial de copias de seguridad (Backups History), active la casilla de la copia deseguridad que desea restaurar y haga clic en Restaurar (Restore).
Hacer copias de seguridad de NSX EdgeSe hacen copias de seguridad de todas las configuraciones de NSX Edge (enrutadores lógicos y puertasde enlace de servicios Edge) como parte de las copias de seguridad de datos de NSX Manager.
Si tiene una configuración de NSX Manager intacta, puede recrear una máquina virtual de dispositivoEdge inaccesible o con errores volviendo a implementar NSX Edge (haga clic en el icono Volver aimplementar NSX Edge [Redeploy NSX Edge] en vSphere Web Client).
No se admite la realización de copias de seguridad individuales de NSX Edge.
Hacer copias de seguridad de conmutadores distribuidos devSpherePuede exportar la configuración de un conmutador distribuido de vSphere y de un grupo de puertosdistribuidos a un archivo.
El archivo conserva los valores de red válidos, lo que permite la distribución de estos valores a otrasimplementaciones.
Esta funcionalidad solo está disponible con vSphere Web Client 5.1 o posterior. La configuración de VDSy la configuración del grupo de puertos se incluyen en la importación.
La práctica recomendada consiste en importar la configuración de VDS antes de preparar el clúster paraVXLAN. Para obtener instrucciones detalladas, consulte http://kb.vmware.com/kb/2034602.
Hacer una copia de seguridad de vCenterPara proteger la implementación de NSX, es importante hacer una copia de seguridad de la base dedatos de vCenter y crear instantáneas de las máquinas virtuales.
Consulte la documentación de su versión de vCenter para conocer los procedimientos y las prácticasrecomendadas de copias de seguridad y restauraciones de vCenter.
Para las instantáneas de máquinas virtuales, consulte http://kb.vmware.com/kb/1015180.
Vínculos útiles para vCenter 5.5:
n http://kb.vmware.com/kb/2057353
Guía de administración de NSX
VMware, Inc. 394
n http://kb.vmware.com/kb/2034505
n http://www.vmware.com/files/pdf/techpaper/vmware-vcenter-server-availability-guide.pdf
Vínculos útiles para vCenter 6.0:
n https://pubs.vmware.com/vsphere-60/topic/com.vmware.vsphere.install.doc/GUID-539B47B4-114B-49BC-9736-F14058127ECA.html
n http://kb.vmware.com/kb/2110294
Flow MonitoringFlow monitoring es una herramienta de análisis de tráfico que proporciona una vista detallada del tráficohacia y desde las máquinas virtuales protegidas. Cuando la opción Flow monitoring está habilitada, elresultado define qué máquinas están intercambiando datos y por medio de qué aplicación. Estos datosincluyen la cantidad de sesiones y los paquetes que se transmiten por sesión. Los detalles de la sesiónincluyen los orígenes, los destinos, las aplicaciones y los puertos que se están utilizando. Los detalles dela sesión pueden utilizarse para crear un firewall para permitir o bloquear reglas.
Puede ver los datos de flujo de varios tipos de protocolo diferentes, incluidos TCP, UDP, ARP, ICMP, etc.Puede supervisar en tiempo real las conexiones TCP y UDP desde y hacia una vNIC seleccionada.También puede excluir flujos por medio de la especificación de filtros.
Por lo tanto, Flow monitoring puede utilizarse como una herramienta forense para detectar serviciosmaliciosos y examinar sesiones salientes.
Ver datos de Flow MonitoringPuede ver las sesiones de tráfico de las máquinas virtuales en un período determinado. De formapredeterminada se muestran los datos de las últimas 24 horas; el período mínimo es una hora y elmáximo es dos semanas.
Prerequisitos
Los datos de Flow Monitoring solo están disponibles en las máquinas virtuales de clústeres que tieneninstalados componentes de virtualización de red y un firewall habilitado. Consulte la Guía de instalaciónde NSX.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Seleccione Redes y seguridad (Networking & Security) en el panel de navegación izquierdo y, acontinuación, seleccione Flow Monitoring.
3 Asegúrese de estar en la pestaña Panel (Dashboard).
Guía de administración de NSX
VMware, Inc. 395
4 Haga clic en Flow Monitoring.
La página puede tardar varios segundos en cargarse. La parte superior de la página muestra elporcentaje de tráfico permitido, el tráfico bloqueado por reglas de firewall y el tráfico bloqueado porSpoofGuard. El gráfico de varias líneas muestra el flujo de datos de cada servicio del entorno.Cuando se señala un servicio en el área de leyendas, el trazado de ese servicio aparece resaltado.
Las estadísticas de tráfico se muestran en tres pestañas:
n Flujos principales (Top Flows) muestra el tráfico total entrante y saliente por cada servicio en elperíodo especificado, en función del valor total de bytes (y no de sesiones/paquetes). Semuestran los principales cinco servicios. Los flujos bloqueados no se tienen en cuenta paracalcular los flujos principales.
n Destinos principales (Top Destinations) muestra el tráfico entrante por cada destino en elperíodo especificado. Se muestran los principales cinco destinos.
n Orígenes principales (Top Sources) muestra el tráfico saliente por cada origen en el períodoespecificado. Se muestran los principales cinco orígenes.
Guía de administración de NSX
VMware, Inc. 396
5 Haga clic en la pestaña Detalles por servicio (Details by Service).
Se muestran los detalles de todo el tráfico relacionado con el servicio seleccionado. La pestañaFlujos permitidos (Allowed Flows) muestra las sesiones de tráfico permitido y la pestaña Flujosbloqueados (Blocked Flows) muestra el tráfico bloqueado.
Puede buscar por los nombres del servicio.
6 Haga clic en un elemento de la tabla para ver las reglas que permitieron o bloquearon el flujo detráfico.
7 Haga clic en Identificador de regla (Rule Id) para mostrar los detalles de la regla.
Cambiar el intervalo de fechas de los gráficos de Flow MonitoringEs posible cambiar el intervalo de fechas de los datos de Flow Monitoring en las pestañas Panel(Dashboard) y Detalles (Details).
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Seleccione Redes y seguridad (Networking & Security) en el panel de navegación izquierdo y, acontinuación, seleccione Flow Monitoring.
3 Haga clic en junto a Intervalo de tiempo (Time interval).
4 Seleccione un período o introduzca fechas de inicio y de finalización nuevas.
El alcance máximo de la vista con los datos de Flow Monitoring es dos semanas atrás.
Guía de administración de NSX
VMware, Inc. 397
5 Haga clic en Aceptar (OK).
Agregar o editar una regla de firewall desde el informe de FlowMonitoringAl explorar en profundidad los datos de tráfico, es posible evaluar el uso de los recursos y enviarinformación sobre la sesión a Distributed Firewall con el fin de crear una nueva regla de permiso obloqueo en cualquier nivel.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Seleccione Redes y seguridad (Networking & Security) en el panel de navegación izquierdo y, acontinuación, seleccione Flow Monitoring.
3 Haga clic en la pestaña Detalles por servicio (Details by Service).
4 Haga clic en un servicio para ver el flujo de tráfico para ese servicio.
Según la pestaña seleccionada, se mostrarán las reglas por las que se permitió o se denegó eltráfico en este servicio.
5 Haga clic en el identificador de una regla para ver los detalles de la regla.
6 Realice una de las siguientes acciones:
n Para editar una regla:
1 Haga clic en Editar regla (Edit Rule) en la columna Acciones (Actions).
2 Cambie el nombre, la acción o los comentarios para la regla.
3 Haga clic en Aceptar (OK).
n Para agregar una regla:
1 Haga clic en Agregar regla (Add Rule) en la columna Acciones (Actions).
2 Complete el formulario para agregar una regla. Para obtener información sobre la manera decompletar el formulario de reglas de firewall, consulte Agregar una regla de firewall.
3 Haga clic en Aceptar (OK).
La regla se agregará a la parte superior de la sección de reglas de firewall.
Ver flujo en tiempo realPuede ver las conexiones de UDP y TCP con una vNIC seleccionada. Para ver el tráfico que circulaentre dos máquinas virtuales, puede ver el tráfico directo de una máquina virtual en un equipo y la otramáquina en un segundo equipo. Puede ver el tráfico de dos vNIC por host y de cinco vNIC porinfraestructura, como máximo.
La visualización de flujos directos puede afectar el rendimiento de NSX Manager y de la correspondientemáquina virtual.
Guía de administración de NSX
VMware, Inc. 398
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Seleccione Redes y seguridad (Networking & Security) en el panel de navegación izquierdo y, acontinuación, seleccione Flow Monitoring.
3 Haga clic en la pestaña Flujo directo (Live Flow).
4 Haga clic en Explorar (Browse) y seleccione una vNIC.
5 Haga clic en Inicio (Start) para empezar a ver el flujo directo.
La página se actualizará cada cinco segundos. Puede seleccionar otra frecuencia desde el menúdesplegable Velocidad de actualización (Refresh Rate).
6 Haga clic en Detener (Stop) cuando termine la depuración o la solución de problemas a fin de evitarque se afecte el rendimiento de NSX Manager o de la máquina virtual seleccionada.
Configurar recopilación de datos de Flow MonitoringDespués de ver y filtrar los datos de Flow Monitoring que se desean recopilar, es posible configurar larecopilación de datos. Para filtrar los datos que se muestran, se puede especificar un criterio deexclusión. Por ejemplo, es posible que se desee excluir un servidor proxy para evitar ver flujosduplicados. O bien al ejecutar una exploración Nessus en las máquinas virtuales de un inventario, esposible evitar que se recopilen los flujos de exploración. Se puede configurar IPFix de modo que lainformación de flujos específicos se exporte directamente de un firewall a un recopilador de flujos. Losgráficos de Flow Monitoring no incluyen los flujos de IPFix. Esos flujos se muestran en la interfaz delrecopilador de IPFix.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Seleccione Redes y seguridad (Networking & Security) en el panel de navegación izquierdo y, acontinuación, seleccione Flow Monitoring.
3 Seleccione la pestaña Configuración (Configuration).
4 Asegúrese de que la opción Estado de la recopilación global de flujos (Global Flow CollectionStatus) se encuentre Habilitada (Enabled).
Se recopilarán todos los flujos relacionados con el firewall en el inventario, excepto los objetosespecificados en Configuración de exclusión (Exclusion Settings).
Guía de administración de NSX
VMware, Inc. 399
5 Para especificar criterios de filtrado, haga clic en Exclusión de flujos (Flow Exclusion) y siga lospasos a continuación.
a Haga clic en la pestaña correspondiente a los flujos que desea excluir.
b Especifique la información obligatoria.
Si seleccionó Especifique esta información
Recopilar flujos bloqueados (CollectBlocked Flows)
Seleccione No para excluir los flujos bloqueados.
Recopilar flujos de Capa 2 (CollectLayer2 Flows)
Seleccione No para excluir los flujos de la Capa 2.
Origen (Source) No se recopilarán los flujos para los orígenes especificados.
1 Haga clic en el icono Agregar (Add).
2 En Ver (View), seleccione el contenedor apropiado.
3 Seleccione los objetos que desea excluir.
Destino (Destination) No se recopilarán los flujos para los destinos especificados.
1 Haga clic en el icono Agregar (Add).
2 En Ver (View), seleccione el contenedor apropiado.
3 Seleccione los objetos que desea excluir.
Puertos de destino (Destinationports)
Se excluirán los flujos a los puertos especificados.
Escriba los números de los puertos que desea excluir.
Servicio (Service) Se excluirán los flujos para los servicios y los grupos de serviciosespecificados.
1 Haga clic en el icono Agregar (Add).
2 Seleccione los servicios o los grupos de servicios apropiados.
c Haga clic en Guardar (Save).
Guía de administración de NSX
VMware, Inc. 400
6 Para configurar la recopilación de flujos, haga clic en IPFix y siga los pasos a continuación.
a Haga clic en la opción Editar (Edit) junto a Configuración de IPFix (IPFix Configuration) yseleccione Habilitar configuración de IPFix (Enable IPFix Configuration).
b En Identificador de dominio de observación (Observation Domain ID), introduzca unidentificador de 32 bits con el cual el recopilador de flujos identifique al exportador del firewall.
c En Tiempo de espera de exportación de flujos activos (Active Flow Export Timeout),introduzca el tiempo (en minutos) después del cual se exportarán los flujos activos al recopiladorde flujos. El valor predeterminado es 5. Por ejemplo, si el flujo permanece activo por 30 minutosy el tiempo de espera de exportación es 5 minutos, el flujo de exportará 7 veces durante su vidaútil. Una vez para la creación, otra para la eliminación y 5 veces durante el período activo.
d En IP de recopilador (Collector IPs), haga clic en icono Agregar (Add) y especifique ladirección IP y el puerto UDP del recopilador de flujos.
e Haga clic en Aceptar (OK).
Supervisión de actividadLa supervisión de actividad ofrece visibilidad en las aplicaciones en uso en máquinas virtuales deescritorio Windows administradas por vCenter. Esta visibilidad ayuda a garantizar que se apliquencorrectamente las directivas de seguridad en la organización.
Una directiva de seguridad puede establecer quién puede acceder a determinadas aplicaciones. Eladministrador de la nube puede generar informes de supervisión de actividad para determinar si la reglade firewall basada en dirección IP que estableció tiene el efecto deseado. Al ofrecer detalles en el niveldel usuario y de la aplicación, la supervisión de actividad traduce directivas de seguridad de alto nivel enimplementaciones de bajo nivel basadas en red y dirección IP.
Figura 23‑2. El entorno virtual actual
NSX ManagerVM
WMware ESXi
VM VM
Active directory
John
Origen Destino
172.16.254.1 172.16.112.2
Una vez que habilite la recopilación de datos para Supervisión de actividad, podrá ejecutar informes paraver el tráfico entrante (como máquinas virtuales a las que acceden los usuarios) y el tráfico saliente(utilización de recursos, interacción entre contenedores de inventario y grupos de AD que accedieron aun servidor).
Guía de administración de NSX
VMware, Inc. 401
Figura 23‑3. El entorno virtual con Supervisión de actividad
Dispositivo virtual
VM
WMware ESXi
VM
Active directory
John
VMExtremo Extremo Extremo
NSX Manager
Usuario Grupo de AD
John Doctores
Nombre de Nombre de
virtual de origen
Nombre de
virtual de destinoIP de origen IP de destino
Epic.exe DoctorsWS13 EpicSVR3 172.16.254.1 172.16.112.2
la aplicación máquina máquina
IMPORTANTE: La supervisión de actividad no es compatible con máquinas virtuales Linux.
Configurar la supervisión de actividadPara que la supervisión de actividad funcione, deben realizarse varios procedimientos obligatorios, entreellos, instalar el controlador de Guest Introspection, instalar las máquinas virtuales de GuestIntrospection y habilitar la supervisión de actividad de NSX. Como opción, puede utilizar ServiceComposer para controlar qué máquinas virtuales se supervisarán.
Prerequisitos
n NSX debe estar instalado y operativo.
n NSX Manager debe estar vinculado con el servidor de AD donde estarán los grupos a los cualesasignará usuarios de las máquinas virtuales de Windows.
n El inventario de vCenter debe contener una o más máquinas virtuales de escritorio de Windows.
n VMware Tools debe estar actualizado y en ejecución en las máquinas virtuales de escritorio deWindows.
Guía de administración de NSX
VMware, Inc. 402
Procedimiento
1 Instale el controlador de Guest Introspection en las máquinas virtuales de Windows del inventario devCenter, si aún no está instalado.
a Desplácese hasta Panel de control/Programas/Programas y características (ControlPanel\Programs\Programs and Features), haga clic con el botón derecho en VMware Tools yseleccione Cambiar (Change).
b Seleccione Modificar (Modify).
c En Controlador VMCI (VMCI Driver), haga clic en Controladores de Guest Introspection > Seinstalarán en el disco duro local (Guest Introspection Drivers > Will be installed on local harddrive).
Guía de administración de NSX
VMware, Inc. 403
El controlador de Guest Introspection detecta cuáles son las aplicaciones que se están ejecutandoen cada máquina virtual de Windows y envía esta información a la máquina virtual de GuestIntrospection.
2 Instale las máquinas virtuales de Guest Introspection.
Cuando inicie por primera vez la instalación de VMware Tools, elija la opción Personalizado(Custom). En la carpeta VMCI, seleccione Controlador de Guest Introspection (GuestIntrospection Driver). El controlador no está seleccionado de forma predeterminada.
Para agregarlo una vez que ya esté instalado VMware Tools:
a En vCenter Web Client, desplácese hasta Redes y seguridad > Instalación >Implementaciones de servicios (Networking & Security > Installation > Service Deployments).
b Agregue una nueva implementación de servicio.
c Seleccione Guest Introspection.
d Seleccione los clústeres de hosts que contienen máquinas virtuales de Windows.
e Seleccione los almacenes de datos, las redes y el mecanismo de generación de direcciones IPcorrespondientes. Si no está utilizando DHCP para las máquinas virtuales de GuestIntrospection, cree y asigne un grupo de direcciones IP.
Se instalarán dos máquinas virtuales de Guest Introspection, una en cada host de cada clúster.
Guía de administración de NSX
VMware, Inc. 404
3 Habilite la supervisión de actividad en las máquinas virtuales de Windows.
a En la vista Hosts y clústeres (Hosts and Clusters), seleccione la máquina virtual de Windows yla pestaña Resumen (Summary).
b En NSX Activity Monitoring, haga clic en Editar (Edit) y en Sí (Yes).
Repita este paso para todas las máquinas virtuales de Windows que desea supervisar.
4 (Opcional) Modifique la lista de objetos de vCenter que se supervisan o defina una regla depertenencia dinámica.
a En vCenter Web Client, desplácese hasta Redes y seguridad > Service Composer (Networking& Security > Service Composer).
b Edite el grupo de seguridad Recopilación de datos para supervisión de actividad (ActivityMonitoring Data Collection).
Guía de administración de NSX
VMware, Inc. 405
c Defina una regla de pertenencia dinámica de modo que, a medida que se agreguen nuevasmáquinas virtuales Windows al clúster, la máquina virtual se supervise automáticamente.
d Seleccione los objetos de vCenter que desea incluir o excluir del grupo de seguridad desupervisión de actividad.
Las máquinas virtuales en las que está habilitada la supervisión de actividad se incluyenautomáticamente en el grupo de seguridad de supervisión de actividad.
En este ejemplo, todas las máquinas virtuales cuyo nombre empieza con "win" se agreganautomáticamente al grupo de seguridad de supervisión de actividad. Esto significa que lacaracterística de supervisión de actividad se habilitará en ellas automáticamente.
Situaciones de supervisión de actividadEn esta sección se describen algunas situaciones hipotéticas para la supervisión de actividad.
Acceso de usuarios a las aplicacionesNuestra empresa imaginaria, ACME Enterprise, solo permite que usuarios autorizados accedan adeterminadas aplicaciones de los activos corporativos.
Los términos de su directiva de seguridad son los siguientes:
n Se permite que únicamente los usuarios autorizados accedan a las aplicaciones empresarialescríticas.
n Se permiten únicamente aplicaciones autorizadas en los servidores corporativos.
n Se permite el acceso únicamente a los puertos requeridos desde redes específicas.
Guía de administración de NSX
VMware, Inc. 406
Según lo anterior, la empresa debe controlar el acceso de los empleados en función de la identidad delusuario para proteger los activos corporativos. Como punto de partida, el operador de seguridad deACME Enterprise debe poder comprobar que solo se permita el acceso administrativo a los servidoresMS SQL.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security y, a continuación, en Supervisión deactividad (Activity Monitoring).
3 Haga clic en la pestaña Actividad entrante (Inbound Activity).
4 En Saliente desde (Outbound from), deje el valor como Todos los grupos de AD observados (AllObserved AD Groups) para ver el acceso desde cualquier empleado.
5 En Donde la máquina virtual de destino (Where destination virtual machine), seleccione incluye(includes) y deje seleccionado todas las máquinas virtuales de destino observadas (all observeddestination virtual machines).
6 En Y donde la aplicación de destino (And where destination application), seleccione incluye(includes), haga clic en todas las aplicaciones de destino observadas (all observed destinationapplications) y seleccione los servidores MS SQL.
7 Haga clic en Buscar (Search).
Los resultados de la búsqueda muestran que solo los usuarios administradores están accediendo alos servidores MS SQL. Tenga en cuenta que no hay grupos (como Finanzas o Recursos Humanos)que estén accediendo a estos servidores.
8 Ahora podemos invertir la consulta configurando el valor de Saliente desde (Outbound from) en losgrupos de Recursos Humanos (HR) y Finanzas (Finance).
9 Haga clic en Buscar (Search).
No se muestran registros, lo cual confirma que ningún usuario de ninguno de estos grupos puedeacceder a los servidores MS SQL.
Aplicaciones en el centro de datosComo parte de sus directivas de seguridad, ACME Enterprise necesita visibilidad sobre todas lasaplicaciones de centros de datos. Esto puede ayudar a identificar las aplicaciones maliciosas querecolectan información confidencial o desvían datos confidenciales a orígenes externos.
John, administrador de la nube de ACME Enterprise, desea confirmar que solo se pueda acceder aSharePoint Server a través de Internet Explorer y que ninguna aplicación maliciosa (como FTP o RDP)pueda acceder a este servidor.
Procedimiento
1 Inicie sesión en vSphere Web Client.
Guía de administración de NSX
VMware, Inc. 407
2 Haga clic en Redes y seguridad (Networking & Security y, a continuación, en Supervisión deactividad (Activity Monitoring).
3 Haga clic en la pestaña Actividad de máquina virtual (VM Activity).
4 En Donde la máquina virtual de origen (Where source VM), seleccione incluya (includes) y dejeseleccionada la opción Todas las máquinas virtuales observadas (All observed virtual machines)para capturar el tráfico procedente de todas las máquinas virtuales en el centro de datos.
5 En Donde la máquina virtual de destino (Where destination VM), seleccione incluya (includes),haga clic en Todas las máquinas virtuales observadas (All observed virtual machines) yseleccione SharePoint Server.
6 Haga clic en Buscar (Search).
En la columna Nombre de producto de aplicación saliente (Outbound App Product Name) de losresultados de la búsqueda se mostrará que todo el acceso a SharePoint Server se realizó a través deInternet Explorer. Los resultados de la búsqueda relativamente homogéneos indican que se aplicó unaregla de firewall a este servidor SharePoint Server para evitar cualquier otro método de acceso.
También se puede observar que los resultados de la búsqueda muestran el usuario de origen del tráficoobservado en lugar del grupo de origen. Al hacer clic en la flecha de los resultados de la búsqueda, semostrarán detalles sobre el usuario de origen como el grupo de AD al que pertenece el usuario.
Comprobar puertos abiertosUna vez que John Admin sabe que al servidor SharePoint de ACME Enterprise solo están accediendolas aplicaciones autorizadas, puede asegurarse de que la empresa permita que solo se abran los puertosrequeridos en función del uso esperado.
Prerequisitos
En el escenario Aplicaciones en el centro de datos, John Admin había observado la circulación de tráficohacia el servidor SharePoint de ACME Enterprise. Ahora quiere asegurarse de que todo el acceso desdeel servidor SharePoint hacia el servidor MSSQL se realice mediante las aplicaciones y los protocolosesperados.
Procedimiento
1 Haga clic en el icono Ir a Inicio (Go Home).
2 Haga clic en Inicio de vCenter (vCenter Home) y, a continuación, en Máquinas virtuales (VirtualMachines).
3 Seleccione win_sharepoint y, a continuación, haga clic en la pestaña Supervisar (Monitor).
4 Haga clic en Supervisión de la actividad (Activity Monitoring).
5 En Donde destino (Where destination), seleccione win2K-MSSQL.
6 Haga clic en Buscar (Search).
Guía de administración de NSX
VMware, Inc. 408
Los resultados de la búsqueda muestran la circulación de tráfico desde el servidor SharePoint hacia elservidor MSSQL. Las columnas Usuario (User) y Aplicación saliente (Outbound App) muestran quesolo los procesos del sistema se están conectando al servidor MSSQL, que es lo que espera ver John.
Las columnas Puerto entrante (Inbound Port) y Aplicación (App) muestran que todo el acceso estádirigido al servidor MSSQL que está ejecutándose en el servidor de destino.
Debido a que hay demasiados registros en los resultados de la búsqueda para que John los analice enun explorador web, puede exportar el conjunto entero de resultados y guardarlo en un archivo con
formato CSV. Para eso, deberá hacer clic en el icono en la esquina inferior derecha de la página.
Habilitar recopilación de datosDebe habilitar la recopilación de datos de una o más máquinas virtuales en una instancia de vCenterServer antes de ejecutar un informe de Supervisión de actividad. Antes de ejecutar un informe,asegúrese de que las máquinas virtuales habilitadas estén activas y de que generen tráfico de red.
También debe registrar NSX Manager con la controladora de dominio de AD. Consulte Registrar undominio de Windows con NSX Manager.
Tenga en cuenta que el servicio de supervisión de actividad (Activity Monitoring) solo hace unseguimiento de las conexiones activas. Los informes no reflejan el tráfico de máquina virtual quebloquean las reglas de firewall en el nivel de la vNIC.
Habilitar recopilación de datos en una sola máquina virtualDebe habilitar la recopilación de datos al menos cinco minutos antes de ejecutar un informe deSupervisión de actividad.
Prerequisitos
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en vCenter y, a continuación, haga clic en Máquinas virtuales y plantillas (VMs andTemplates).
3 Seleccione la máquina virtual en el panel de inventario de la izquierda.
4 Haga clic en la pestaña Administrar (Manage) y seleccione la pestaña Configuración (Settings).
5 Haga clic en NSX Activity Monitoring en el panel izquierdo.
6 Haga clic en Editar (Edit).
7 En el cuadro de diálogo Editar configuración de recopilación de datos de NSX Activity Monitoring(Edit NSX Activity Monitoring Data Collection Settings), haga clic en Sí (Yes).
Guía de administración de NSX
VMware, Inc. 409
Habilitar recopilación de datos en varias máquinas virtualesEl grupo de seguridad Recopilación de datos de supervisión de actividad (Activity Monitoring DataCollection) es un grupo de seguridad predefinido. Puede agregar varias máquinas virtuales a la vez aeste grupo de seguridad y la recopilación de datos se habilita en todas estas máquinas virtuales.
Debe habilitar la recopilación de datos al menos cinco minutos antes de ejecutar un informe deSupervisión de actividad.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, haga clic en ServiceComposer.
3 Haga clic en la pestaña Grupos de seguridad (Security Groups).
4 Seleccione el grupo de seguridad Recopilación de datos de supervisión de actividad (Activity
Monitoring Data Collection) y haga clic en el icono Editar (Edit) ( ).
5 Siga los pasos del asistente para agregar máquinas virtuales al grupo de seguridad.
La recopilación de datos se habilita en todas las máquinas virtuales que agregó a este grupo deseguridad y se deshabilita en cualquier máquina virtual que haya excluido del grupo de seguridad.
Ver informe de actividad de la máquina virtualPuede ver el tráfico que circula hacia o desde una máquina virtual o un conjunto de máquinas virtualesdel entorno.
Es posible hacer una consulta rápida mediante los criterios de búsqueda predeterminados si hace clic enBuscar (Search) o personalizar la búsqueda de acuerdo con sus requisitos.
Prerequisitos
n Guest Introspection debe estar instalado en el entorno.
n Debe tener un dominio registrado en NSX Manager. Para obtener información sobre el registro dedominios, consulte Registrar un dominio de Windows con NSX Manager.
n Debe estar habilitada la recopilación de datos en una o varias máquinas virtuales.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security y, a continuación, en Supervisión deactividad (Activity Monitoring).
3 Haga clic en la pestaña Actividad de máquina virtual (VM Activity).
Guía de administración de NSX
VMware, Inc. 410
4 Haga clic en el vínculo junto a Donde el origen (Where source). Seleccione las máquinas virtualescuyo tráfico saliente desea ver. Indique si desea incluir o excluir la(s) máquina(s) virtual(es)seleccionada(s) del informe.
5 Haga clic en el vínculo junto a Donde el destino (Where destination). Seleccione las máquinasvirtuales cuyo tráfico entrante desea ver. Indique si desea incluir o excluir la(s) máquina(s) virtual(es)seleccionada(s) del informe.
6 Haga clic en el icono Durante el período (During period) ( ) y seleccione el período de labúsqueda.
7 Haga clic en Buscar (Search).
Se muestran los resultados de la búsqueda filtrados por el criterio especificado. Haga clic en una fila paraver información detallada sobre el usuario de esa fila.
Puede exportar un registro específico o todos los registros de la página y guardarlos en un directorio en
formato .csv; haga clic en el icono en la esquina inferior derecha de la página.
Ver actividad entrantePuede ver toda la actividad entrante en un servidor según el grupo de escritorios, el grupo de seguridado el grupo de AD.
Figura 23‑4. Ver actividad entrante
VM
Grupo de Grupo deGrupo de ADescritorios seguridad
Es posible hacer una consulta rápida mediante los criterios de búsqueda predeterminados si hace clic enBuscar (Search) o personalizar la búsqueda de acuerdo con sus requisitos.
Prerequisitos
n Guest Introspection debe estar instalado en el entorno.
n Debe tener un dominio registrado en NSX Manager. Para obtener información sobre el registro dedominios, consulte Registrar un dominio de Windows con NSX Manager.
n Debe estar habilitada la recopilación de datos en una o varias máquinas virtuales.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security y, a continuación, en Supervisión deactividad (Activity Monitoring).
Guía de administración de NSX
VMware, Inc. 411
3 Haga clic en la pestaña Actividad entrante (Inbound Activity).
4 Haga clic en el vínculo junto a Origen desde (Originating from).
5 Seleccione el tipo de grupo de usuarios cuya actividad desea ver.
6 En Tipo de filtro (Filter type), seleccione uno o varios grupos y haga clic en Aceptar (OK).
7 En Donde la máquina virtual de destino (Where destination virtual machine) seleccione incluya(includes) o excluya (excludes) para indicar si las máquinas virtuales seleccionadas deben incluirseo excluirse en la búsqueda.
8 Haga clic en el vínculo junto a Y donde la máquina virtual de destino (And where destinationvirtual machine).
9 Seleccione una o varias máquinas virtuales y haga clic en Aceptar (OK).
10 En Y donde la aplicación de destino (And where destination application), seleccione incluya(includes) o excluya (excludes) para indicar si las aplicaciones seleccionadas deben incluirse oexcluirse en la búsqueda.
11 Haga clic en el vínculo junto a Y donde la aplicación de destino (And where destinationapplication).
12 Seleccione una o varias aplicaciones y haga clic en Aceptar (OK).
13 Haga clic en el icono Durante el período (During period) ( ) y seleccione el período de labúsqueda.
14 Haga clic en Buscar (Search).
Se muestran los resultados de la búsqueda filtrados por el criterio especificado. Haga clic en cualquierlugar de la tabla de resultados para ver información sobre los usuarios que accedieron a las aplicacionesy las máquinas virtuales especificadas.
Puede exportar un registro específico o todos los registros de la página y guardarlos en un directorio en
formato .csv; haga clic en el icono en la esquina inferior derecha de la página.
Ver actividad salientePuede ver cuáles son las aplicaciones que está ejecutando un grupo de seguridad o un grupo deescritorios y, a continuación, ver los detalles en un informe para averiguar cuáles aplicaciones del clienteestán estableciendo conexiones salientes mediante un grupo de usuarios en particular. También puededetectar todos los usuarios y grupos de usuarios que están accediendo a una aplicación determinada, locual permite determinar si se necesita ajustar el firewall de identidad del entorno.
Figura 23‑5. Ver actividad saliente
VM VM VM VM
Guía de administración de NSX
VMware, Inc. 412
Prerequisitos
n Guest Introspection debe estar instalado en el entorno.
n Debe tener un dominio registrado en NSX Manager. Para obtener información sobre el registro dedominios, consulte Registrar un dominio de Windows con NSX Manager.
n Debe estar habilitada la recopilación de datos en una o varias máquinas virtuales.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security y, a continuación, en Supervisión deactividad (Activity Monitoring).
3 Asegúrese de que la pestaña Actividad saliente (Outbound Activity) esté seleccionada en el panelizquierdo.
4 Haga clic en el vínculo junto a Origen desde (Originating from).
Se muestran todos los grupos detectados mediante Guest Introspection.
5 Seleccione el tipo de grupo de usuarios cuya utilización de recursos desea ver.
6 En Filtro (Filter), seleccione uno o varios grupos y haga clic en Aceptar (OK).
7 En Donde la aplicación (Where application), seleccione incluya (includes) o excluya (excludes)para indicar si la aplicación seleccionada debe incluirse o excluirse en la búsqueda.
8 Haga clic en el vínculo junto a Donde la aplicación (Where application).
9 Seleccione una o varias aplicaciones y haga clic en Aceptar (OK).
10 En Y donde el destino (And where destination), seleccione incluya (includes) o excluya (excludes)para indicar si las máquinas virtuales seleccionadas deben incluirse o excluirse en la búsqueda.
11 Haga clic en el vínculo junto a Y donde el destino (And where destination).
12 Seleccione una o varias máquinas virtuales y haga clic en Aceptar (OK).
13 Haga clic en el icono Durante el período (During period) ( ) y seleccione el período de labúsqueda.
14 Haga clic en Buscar (Search).
Desplácese hasta la derecha para ver toda la información presentada.
Se muestran los resultados de la búsqueda filtrados por el criterio especificado. Haga clic en una fila paraver información sobre los usuarios del grupo de AD que utilizaron la aplicación especificada con el fin deacceder a las máquinas virtuales especificadas.
Puede exportar un registro específico o todos los registros de la página y guardarlos en un directorio en
formato .csv; haga clic en el icono en la esquina inferior derecha de la página.
Guía de administración de NSX
VMware, Inc. 413
Ver interacción entre contenedores de inventarioPuede ver el tráfico que circula entre los contenedores definidos, como grupos de AD, grupos deseguridad o grupos de escritorios. De este modo, puede identificar y configurar el acceso a servicioscompartidos y resolver las relaciones mal configuradas entre las definiciones del contenedor delinventario, los grupos de escritorios y los grupos de AD.
Figura 23‑6. Interacción entre contenedores
VM
aplicaciones
Sistema Grupo de AD de desarrolladores
Grupo de seguridad deoperativo
desarrolladores
Es posible hacer una consulta rápida mediante los criterios de búsqueda predeterminados si hace clic enBuscar (Search) o personalizar la búsqueda de acuerdo con sus requisitos.
Prerequisitos
n Guest Introspection debe estar instalado en el entorno.
n Debe tener un dominio registrado en NSX Manager. Para obtener información sobre el registro dedominios, consulte Registrar un dominio de Windows con NSX Manager.
n Debe estar habilitada la recopilación de datos en una o varias máquinas virtuales.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security y, a continuación, en Supervisión deactividad (Activity Monitoring).
3 Seleccione la pestaña Interacción entre contenedores (Inter Container Interaction) en el panelizquierdo.
4 Haga clic en el vínculo junto a Origen desde (Originating from).
Se muestran todos los grupos detectados mediante Guest Introspection.
5 Seleccione el tipo de grupo de usuarios cuya utilización de recursos desea ver.
6 En Filtro (Filter), seleccione uno o varios grupos y haga clic en Aceptar (OK).
7 En Donde el destino es (Where the destination is), seleccione es (is) o no es (is not) para indicar siel grupo seleccionado debe incluirse o excluirse de la búsqueda.
8 Haga clic en el vínculo junto a Donde el destino es (Where the destination is).
9 Seleccione el tipo de grupo.
10 En Filtro (Filter), seleccione uno o varios grupos y haga clic en Aceptar (OK).
Guía de administración de NSX
VMware, Inc. 414
11 Haga clic en el icono Durante el período (During period) ( ) y seleccione el período de labúsqueda.
12 Haga clic en Buscar (Search).
Se muestran los resultados de la búsqueda filtrados por el criterio especificado. Haga clic en una fila paraver información sobre los usuarios que accedieron a los contenedores especificados.
Puede exportar un registro específico o todos los registros de la página y guardarlos en un directorio en
formato .csv; haga clic en el icono en la esquina inferior derecha de la página.
Ejemplo: Consulta de interacción entre contenedores de inventarion Comprobar la comunicación permitida
Si se definieron contenedores en el inventario de vCenter y, luego, se agregó una regla para permitirla comunicación entre estos contenedores, se puede comprobar que la regla esté funcionandomediante la ejecución de esta consulta con dos contenedores especificados en los campos Origendesde (Originating from) y Donde el destino es (Where the destination is).
n Comprobar la comunicación denegada
Si se definieron contenedores en el inventario de vCenter y, luego, se agregó una regla para denegarla comunicación entre estos contenedores, se puede comprobar que la regla esté funcionandomediante la ejecución de esta consulta con dos contenedores especificados en los campos Origendesde (Originating from) y Donde el destino es (Where the destination is).
n Comprobar la comunicación denegada entre contenedores
Si se implementó una directiva que no permite la comunicación de los miembros de un contenedorcon otros miembros del mismo contenedor, es posible ejecutar esta consulta para comprobar que ladirectiva esté funcionando. Seleccione el contenedor en los dos campos Origen desde (Originatingfrom) y Donde el destino es (Where the destination is).
n Eliminar el acceso innecesario
Supongamos que se definieron contenedores en el inventario de vCenter y, luego, se agregó unaregla para permitir la comunicación entre estos contenedores. Es posible que haya miembros encada contenedor que no interactúen en absoluto con otro contenedor. Podrá optar, entonces, porquitar estos miembros del contenedor correspondiente a fin de optimizar el control de la seguridad.Para recuperar esta lista, seleccione los contenedores correspondientes en los campos Origendesde (Originating from) y Donde el destino es (Where the destination is). Seleccione no es (is not)junto al campo Donde el destino es (Where the destination is).
Guía de administración de NSX
VMware, Inc. 415
Ver actividad de grupo de AD salientePuede ver el tráfico entre los miembros de los grupos de Active Directory definidos y puede utilizar estosdatos para ajustar en detalle las reglas de firewall.
Es posible hacer una consulta rápida mediante los criterios de búsqueda predeterminados si hace clic enBuscar (Search) o personalizar la búsqueda de acuerdo con sus requisitos.
Prerequisitos
n Guest Introspection debe estar instalado en el entorno.
n Debe tener un dominio registrado en NSX Manager. Para obtener información sobre el registro dedominios, consulte Registrar un dominio de Windows con NSX Manager.
n Debe estar habilitada la recopilación de datos en una o varias máquinas virtuales.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security y, a continuación, en Supervisión deactividad (Activity Monitoring).
3 Seleccione la pestaña Contenedores y grupos de AD (AD Groups & Containers) en el panelizquierdo.
4 Haga clic en el vínculo junto a Origen desde (Originating from).
Se muestran todos los grupos detectados mediante Guest Introspection.
5 Seleccione el tipo de grupo de usuarios que desea incluir en la búsqueda.
6 En Filtro (Filter), seleccione uno o varios grupos y haga clic en Aceptar (OK).
7 En Donde el grupo de AD (Where AD Group), seleccione incluya (includes) o excluya (excludes)para indicar si el grupo de AD seleccionado debe incluirse o excluirse en la búsqueda.
8 Haga clic en el vínculo junto a Donde el grupo de AD (Where AD Group).
9 Seleccione uno o varios grupos de AD y haga clic en Aceptar (OK).
10 Haga clic en el icono Durante el período (During period) ( ) y seleccione el período de labúsqueda.
11 Haga clic en Buscar (Search).
Se muestran los resultados de la búsqueda filtrados por el criterio especificado. Haga clic en una fila paraver información sobre los miembros del grupo de AD especificado que están accediendo a los recursosde red dentro del grupo de escritorios o el grupo de seguridad especificado.
Puede exportar un registro específico o todos los registros de la página y guardarlos en un directorio en
formato .csv; haga clic en el icono en la esquina inferior derecha de la página.
Guía de administración de NSX
VMware, Inc. 416
Anular recopilación de datosEn caso de que ocurra una emergencia, por ejemplo, una sobrecarga de red, puede desactivar larecopilación de datos a nivel global. De este modo, se anula cualquier otra configuración de recopilaciónde datos.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security y, a continuación, en Supervisión deactividad (Activity Monitoring).
3 Haga clic en la pestaña Configuración (Settings).
4 Seleccione la instancia de vCenter Server en la cual desea sobrescribir la recopilación de datos.
5 Haga clic en Editar (Edit).
6 Desactive la casilla Recopilar datos de informes (Collect reporting data).
7 Haga clic en Aceptar (OK).
TraceflowTraceflow es una herramienta de solución de problemas que proporciona la capacidad de inyectar unpaquete y observar dónde se lo ve a medida que circula por la red física y lógica. Las observacionespermiten determinar información sobre la red, como la identificación de un nodo que está fuera deservicio o una regla de firewall que está impidiendo que un paquete sea recibido en su destino.
Acerca de TraceflowTraceflow inyecta paquetes en el puerto de una instancia de vSphere Distributed Switch (VDS) y ofrecevarios puntos de observación en toda la ruta que sigue el paquete en las entidades físicas y lógicas(como hosts ESXi, conmutadores lógicos y enrutadores lógicos) en las redes superpuestas ysubordinadas. Esto permite identificar qué ruta (o rutas) toma un paquete para llegar a su destino o, demanera inversa, en qué parte del trayecto se descarta un paquete. Cada entidad informa sobre laentrega del paquete en la entrada y la salida, por lo que es posible determinar si se producen problemasal recibir un paquete o al reenviarlo.
Tenga en cuenta que una instancia de Traceflow no es lo mismo que la respuesta o la solicitud de pingque va de una pila de la máquina virtual invitada a otra. Lo que Traceflow hace es observar un paquetemarcado mientras atraviesa la red superpuesta. Cada paquete se supervisa mientras atraviesa la redsuperpuesta hasta que llega a la máquina virtual invitada de destino y se pueda entregar en esta. Sinembargo, el paquete inyectado de Traceflow nunca se entrega a la máquina virtual invitada de destino.Esto significa que una instancia de Traceflow se puede entregar correctamente cuando la máquina virtualinvitada esté apagada.
Guía de administración de NSX
VMware, Inc. 417
Traceflow admite los siguientes tipos de tráfico:
n Unidifusión de Capa 2
n Unidifusión de Capa 3
n Difusión de Capa 2
n Multidifusión de Capa 2
Puede construir paquetes con campos de encabezado y tamaños de paquete personalizados. El origende Traceflow siempre es una NIC de máquina virtual (vNIC). El extremo de destino puede ser cualquierdispositivo de la red superpuesta o subordinada de NSX. Sin embargo, no puede seleccionar un destinoque esté por encima de una puerta de enlace de servicios de NSX Edge (ESG). El destino debe estar enla misma subred o debe ser accesible mediante enrutadores lógicos distribuidos de NSX.
La operación de Traceflow se considera de Capa 2 si las vNIC de origen y destino están en el mismodominio de Capa 2. En NSX, esto significa que están en el mismo identificador de red de VXLAN(identificador de segmento o VNI). Esto sucede, por ejemplo, cuando hay dos máquinas virtualesconectadas al mismo conmutador lógico.
Si el puente de NSX se configura, los paquetes de Capa 2 desconocidos se envían siempre al puente.Normalmente, el puente reenvía estos paquetes a una VLAN e informa de que el paquete de Traceflowse ha entregado. El hecho de que un paquete se marque como entregado no implica necesariamenteque el paquete de seguimiento se haya entregado al destino especificado.
Para el tráfico de unidifusión de Traceflow de Capa 3, los dos extremos están en conmutadores lógicosdiferentes y tienen VNI diferentes conectadas a un enrutador lógico distribuido (Distributed LogicalRouter, DLR).
Para el tráfico de multidifusión, el origen es una vNIC de máquina virtual y el destino es una dirección degrupo de multidifusión.
Las observaciones de Traceflow pueden incluir las observaciones de los paquetes difundidos deTraceflow. El host ESXi difunde un paquete de Traceflow si no conoce las direcciones MAC del host dedestino. Para el tráfico de difusión, el origen es una vNIC de máquina virtual. La dirección MAC dedestino de Capa 2 para el tráfico de difusión es FF:FF:FF:FF:FF:FF. Si desea crear un paquete válidopara la inspección de firewall, la operación de Traceflow de difusión requiere una longitud de prefijo desubred. La máscara de subred permite que NSX calcule una dirección de red IP para el paquete.
ADVERTENCIA: Según la cantidad de puertos lógicos en la implementación, las operaciones dedifusión y multidifusión de Traceflow generan un alto volumen de tráfico.
Hay dos maneras de utilizar Traceflow: mediante la API y con la interfaz gráfica de usuario. La API es lamisma que utiliza la interfaz gráfica de usuario, salvo que la API permite especificar la configuraciónexacta dentro del paquete, mientras que la interfaz gráfica de usuario tiene una configuración máslimitada.
La interfaz gráfica de usuario permite establecer los siguientes valores:
n Protocolo: TCP, UDP, ICMP.
Guía de administración de NSX
VMware, Inc. 418
n Tiempo de vida (TTL). El valor predeterminado es 64 saltos.
n Números de puerto de origen y destino TCP y UDP. El valor predeterminado es 0.
n Marcas TCP.
n Número de secuencia e identificador ICMP. De forma predeterminada, ambos valores son 0.
n Un tiempo de espera de expiración, en milisegundos (ms), para la operación de Traceflow. El valorpredeterminado es 10.000 milisegundos.
n Tamaño de la trama Ethernet. El valor predeterminado es 128 bytes por trama. El tamaño de tramamáximo es 1.000 bytes por trama.
n Codificación de carga útil. El valor predeterminado es Base64.
n Valor de carga útil.
Utilizar Traceflow para la solución de problemasHay varias situaciones donde Traceflow resulta útil.
Traceflow resulta útil en las siguientes situaciones:
n Solución de problemas y errores de redes para ver la ruta de acceso exacta del tráfico.
n Supervisión de rendimiento para ver la utilización de vínculos.
n Planificación de redes para ver cómo se comporta una red cuando está en producción.
Prerequisitos
n Las operaciones de Traceflow requieren la comunicación entre vCenter, NSX Manager, el clúster deNSX Controller y los agentes del ámbito del usuario netcpa de los hosts.
n Para que Traceflow trabaje correctamente, asegúrese de que el clúster del controlador estáconectado y en buen estado.
Guía de administración de NSX
VMware, Inc. 419
Procedimiento
1 En vCenter Web Client, desplácese hasta Inicio > Redes y seguridad > Traceflow (Home >Networking & Security > Traceflow).
2 Seleccione el tipo de tráfico: unidifusión, difusión o multidifusión.
3 Seleccione la vNIC de la máquina virtual de origen.
Si la máquina virtual se administra en la misma instancia de vCenter Server donde se estáejecutando Traceflow, puede seleccionar la máquina virtual y la vNIC de una lista.
4 Para el tipo de Traceflow con unidifusión, introduzca la información de la vNIC de destino.
El destino puede ser la vNIC de cualquier dispositivo en la superposición o subordinación de NSX,como un host, una máquina virtual, un enrutador lógico o una puerta de enlace de servicios Edge. Siel destino es una máquina virtual que está ejecutando VMware Tools y se administra en la mismainstancia de vCenter Server donde se está ejecutando Traceflow, puede seleccionar la máquinavirtual y la vNIC de la lista.
De lo contrario, deberá introducir la dirección IP de destino (y la dirección MAC de una instancia deTraceflow de Capa 2 y unidifusión). Puede recopilar esta información desde el propio dispositivo enla consola de dispositivos o desde una sesión de SSH. Por ejemplo, en una máquina virtual Linux,puede obtener la dirección IP o MAC si ejecuta el comando ifconfig en el terminal Linux. En unenrutador lógico o puerta de enlace de servicios de Edge, puede recopilar la información con elcomando de la CLI show interface.
5 En una instancia de Traceflow de Capa 2 y difusión, introduzca la longitud del prefijo de subred.
El paquete se cambia únicamente en función de la dirección MAC. La dirección MAC de destino esFF:FF:FF:FF:FF:FF.
Se requieren tanto la dirección IP de origen como la de destino para que el paquete de IP sea válidopara la inspección de firewall.
Guía de administración de NSX
VMware, Inc. 420
6 En una instancia de Traceflow de Capa 2 y multidifusión, introduzca la dirección del grupo demultidifusión.
El paquete se cambia únicamente en función de la dirección MAC.
Se requieren tanto la dirección IP de origen como la de destino para que el paquete de IP sea válido.En el caso de una instancia de multidifusión, la dirección MAC se deduce de la dirección IP.
7 Configure otros parámetros opcionales y obligatorios.
8 Haga clic en Rastrear (Trace).
Ejemplo: SituacionesEl siguiente ejemplo muestra una instancia de Traceflow de Capa 2 donde participan dos máquinasvirtuales que se están ejecutando en un único host ESXi. Las dos máquinas virtuales están conectadas aun único conmutador lógico.
El siguiente ejemplo muestra una instancia de Traceflow de Capa 2 donde participan dos máquinasvirtuales que se están ejecutando en dos hosts ESXi diferentes. Las dos máquinas virtuales estánconectadas a un único conmutador lógico.
Guía de administración de NSX
VMware, Inc. 421
El siguiente ejemplo muestra una instancia de Traceflow de Capa 3. Las dos máquinas virtuales estánconectadas a dos conmutadores lógicos diferentes que están separados por un enrutador lógico.
Guía de administración de NSX
VMware, Inc. 422
El siguiente ejemplo muestra una instancia de Traceflow de difusión en una implementación que tienetres máquinas virtuales conectadas a un único conmutador lógico. Dos de las máquinas virtuales estánen un host (esx-01a) y la tercera está en otro host (esx-02a). La difusión se envía desde una de lasmáquinas virtuales del host 192.168.210.53.
Guía de administración de NSX
VMware, Inc. 423
El siguiente ejemplo muestra qué sucede cuando se envía tráfico de multidifusión en una implementaciónque tiene configurada la multidifusión.
Guía de administración de NSX
VMware, Inc. 424
El siguiente ejemplo muestra qué sucede cuando cae una instancia de Traceflow por una regla deDistributed Firewall que bloquea el tráfico ICMP enviado a la dirección de destino. Tenga en cuenta queel tráfico nunca sale del host original, incluso aunque la máquina virtual de destino esté en otro host.
Guía de administración de NSX
VMware, Inc. 425
El siguiente ejemplo muestra qué sucede cuando una instancia de Traceflow de destino está del otrolado de la puerta de enlace de servicios Edge, como una dirección IP en Internet o cualquier destinointerno que debe enrutarse a través de la puerta de enlace. No se permite Traceflow, por diseño, porquees compatible con destinos que están en la misma subred o a los que se pueden llegar a través deenrutadores lógicos distribuidos (DLR).
El siguiente ejemplo muestra qué sucede cuando la instancia de Traceflow de destino es una máquinavirtual que se encuentra en otra subred y está apagada.
Guía de administración de NSX
VMware, Inc. 426
Ejemplos de configuración de laVPN de NSX Edge 24Este escenario proporciona ejemplos de configuración de una conexión básica IPsec VPN de punto apunto entre una instancia de NSX Edge y una VPN Cisco o WatchGuard del otro extremo.
En este escenario, NSX Edge conecta la red interna 192.0.2.0/24 a Internet. Las interfaces de NSX Edgeestán configuradas del siguiente modo:
n Interfaz del vínculo superior: 198.51.100.1
n Interfaz interna: 192.0.2.1
La puerta de enlace remota conecta la red interna 172.16.0.0/16 a Internet. Las interfaces de la puerta deenlace remota están configuradas del siguiente modo:
n Interfaz del vínculo superior: 10.24.120.90/24
n Interfaz interna: 172.16.0.1/16
Figura 24‑1. NSX Edge conectándose a una puerta de enlace de VPN remota
Internet
192.168.5.1
192.168.5.0/24
10.115.199.103 10.24.120.90 172.16.0.1
172.15.0.0/16
NSX Edge
NOTA: Para las instancias de NSX Edge a túneles IPsec de NSX Edge, se puede utilizar el mismoescenario si se instala la segunda instancia de NSX Edge como puerta de enlace remota.
Este capítulo cubre los siguientes temas:
n Terminología
n Fase 1 y fase 2 de IKE
n Ejemplo de configuración del servicio IPsec VPN
n Usar un enrutador de servicios integrados Cisco 2821
n Usar Cisco ASA 5510
n Configurar WatchGuard Firebox X500
n Ejemplo de solución de problemas con la configuración de NSX Edge
VMware, Inc. 427
TerminologíaIPsec es un marco de estándares abiertos. Hay muchos términos técnicos en los registros de NSX Edgey otros dispositivos VPN que se pueden utilizar para solucionar problemas con IPsec VPN.
Estos son algunos de los estándares que puede encontrar:
n ISAKMP (Protocolo de administración de claves y asociaciones de seguridad en Internet) es unprotocolo definido por RFC 2408 para establecer asociaciones de seguridad (SA) y clavescriptográficas en un entorno de Internet. ISAKMP solo proporciona un marco para la autenticación yel intercambio de claves y está diseñado para ser independiente del intercambio de claves.
n Oakley es un protocolo de acuerdo de claves que permite que las partes autenticadas intercambienmaterial de claves en una conexión no protegida mediante el algoritmo de intercambio de clavesDiffie-Hellman.
n IKE (Intercambio de claves por red) es una combinación del marco ISAKMP y de Oakley. NSX Edgeproporciona IKEv1.
n El intercambio de claves Diffie-Hellman (DH) es un protocolo criptográfico que permite que dospartes que no se conocen previamente puedan establecer conjuntamente una clave secretacompartida en un canal de comunicaciones sin protección. VSE admite el grupo 2 (1024 bits) y elgrupo 5 (1536 bits) de DH.
Fase 1 y fase 2 de IKEIKE es un método estándar que se utiliza para organizar comunicaciones seguras y autenticadas.
Parámetros de fase 1La fase 1 configura la autenticación mutua de los pares, negocia los parámetros criptográficos y creaclaves de sesión. Los parámetros de la fase 1 que utiliza NSX Edge son:
n Modo Main
n TripleDES / AES [se puede configurar]
n SHA-1
n MODP Grupo 2 (1024 bits)
n secreto compartido previamente [se puede configurar]
n Vida útil de SA de 28800 segundos (ocho horas) sin regeneración de clave de kbytes
n Modo intenso ISAKMP deshabilitado
Guía de administración de NSX
VMware, Inc. 428
Parámetros de fase 2La fase 2 de IKE negocia un túnel de IPsec con la creación de material de claves para que utilice el túnelde IPsec (ya sea con las claves de la fase uno de IKE como base o con un intercambio de clave nueva).Los parámetros de la fase 2 de IKE compatibles con NSX Edge son:
n TripleDES / AES [coincidirá con la configuración de la fase 1]
n SHA-1
n Modo de túnel ESP
n MODP Grupo 2 (1024 bits)
n Confidencialidad directa total para la regeneración de clave
n Vida útil de SA de 3600 segundos (una hora) sin regeneración de clave de kbytes
n Selectores para todos los protocolos IP, todos los puertos, entre las dos redes, con subredes IPv4
Muestras de modo de transacciónNSX Edge es compatible con el modo Principal (Main) de la fase 1 y el modo Rápido (Quick) de lafase 2.
NSX Edge propone una directiva que requiere PSK, 3DES/AES128, sha1 y grupo DH 2/5. El par debeaceptar esta directiva, de lo contrario, se produce un error en la fase de negociación.
Fase 1: transacciones de modo Principal (Main)En este ejemplo se muestra un intercambio de negociación de fase 1 iniciado desde una instancia deNSX Edge a un dispositivo Cisco.
Las transacciones siguientes ocurren en secuencia entre la instancia de NSX Edge y un dispositivo deVPN Cisco en modo Principal (Main).
1 NSX Edge a Cisco
n propuesta: cifrar 3des-cbc, sha, psk, group5(group2)
n DPD habilitado
2 Cisco a NSX Edge
n contiene propuestas elegidas por Cisco
n Si el dispositivo Cisco no acepta ninguno de los parámetros que envió la instancia de NSX Edgeen el paso uno, el dispositivo Cisco envía un mensaje con la marca NO_PROPOSAL_CHOSENy finaliza la negociación.
3 NSX Edge a Cisco
n Nonce y clave DH
Guía de administración de NSX
VMware, Inc. 429
4 Cisco a NSX Edgen Nonce y clave DH
5 NSX Edge a Cisco (cifrado)n incluir identificador (PSK)
6 Cisco a NSX Edge (cifrado)n incluir identificador (PSK)
n Si el dispositivo Cisco encuentra que PSK no coincide, el dispositivo Cisco envía un mensaje conla marca INVALID_ID_INFORMATION; ocurre un error en la fase 1.
Fase 2: transacciones de modo Rápido (Quick)Las transacciones siguientes ocurren en secuencia entre la instancia de NSX Edge y un dispositivo deVPN Cisco en modo Rápido (Quick).
1 NSX Edge a Cisco
NSX Edge propone una directiva de fase 2 al par. Por ejemplo:
Aug 26 12:16:09 weiqing-desktop
ipsec[5789]:
"s1-c1" #2: initiating Quick Mode
PSK+ENCRYPT+TUNNEL+PFS+UP+SAREFTRACK
{using isakmp#1 msgid:d20849ac
proposal=3DES(3)_192-SHA1(2)_160
pfsgroup=OAKLEY_GROUP_MODP1024}
2 Cisco a NSX Edge
El dispositivo Cisco devuelve NO_PROPOSAL_CHOSEN si no encuentra una directiva que coincidacon la propuesta. De lo contrario, el dispositivo Cisco envía el conjunto de parámetros elegido.
3 NSX Edge a Cisco
Para facilitar la depuración, puede habilitar el registro de IPsec en NSX Edge y habilitar la depuraciónde cifrado en Cisco (debug crypto isakmp <level>).
Ejemplo de configuración del servicio IPsec VPNDebe configurar los parámetros de VPN y después habilitar el servicio IPsec.
Procedimiento
1 Ejemplo de configuración de parámetros de VPN de NSX Edge
Debe configurar al menos una dirección IP externa en NSX Edge para proporcionar el servicioIPsec VPN.
2 Ejemplo de habilitación del servicio IPsec VPN
Debe habilitar el servicio IPsec VPN para que el tráfico fluya de la subred local a la subred delmismo nivel.
Guía de administración de NSX
VMware, Inc. 430
Ejemplo de configuración de parámetros de VPN de NSX EdgeDebe configurar al menos una dirección IP externa en NSX Edge para proporcionar el servicio IPsecVPN.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Supervisar (Monitor) y seleccione la pestaña VPN.
5 Haga clic en IPsec VPN.
6 Haga clic en el icono Agregar (Add) ( ) .
7 Escriba un nombre para IPsec VPN.
8 Introduzca la dirección IP de la instancia de NSX Edge en Identificador local (Local Id). Este será elidentificador del mismo nivel en el sitio remoto.
9 Introduzca la dirección IP para el extremo local.
Si desea agregar un túnel IP a IP con una clave precompartida, el identificador local y la dirección IPpara el extremo local pueden ser iguales.
10 Introduzca en formato CIDR las subredes para compartir contenido entre los sitios. Utilice la comacomo separador para especificar varias subredes.
11 Introduzca el identificador del mismo nivel para identificar de forma exclusiva el sitio del mismo nivel.Para los elementos del mismo nivel con autenticación por certificado, este identificador debe ser elnombre común indicado en el certificado para el elemento del mismo nivel. Para los elementos delmismo nivel con PSK, este identificador puede ser cualquier cadena. VMware recomienda utilizar ladirección IP pública de la VPN o un FQDN para el servicio VPN como identificador del mismo nivel.
12 Introduzca la dirección IP para el sitio del mismo nivel en Extremo de elemento del mismo nivel (PeerEndpoint). Si se deja esto en blanco, NSX Edge esperará a que el dispositivo del mismo nivel soliciteuna conexión.
13 Introduzca en formato CIDR la dirección IP interna de la subred del mismo nivel. Utilice la comacomo separador para especificar varias subredes.
14 Seleccione el algoritmo de cifrado.
Guía de administración de NSX
VMware, Inc. 431
15 En Método de autenticación (Authentication Method), seleccione una de las siguientes opciones:
Opción Descripción
PSK (Pre Shared Key) (Claveprecompartida [PSK])
Se indica que se utilizará la clave secreta compartida entre NSX Edge y el sitiodel mismo nivel para la autenticación. La clave secreta puede ser una cadenacon un máximo de 128 bytes de longitud.
Certificado (Certificate) Se indica que se utilizará el certificado definido en el nivel global para laautenticación.
16 Introduzca la clave compartida si algún sitio anónimo se conectará al servicio de VPN.
17 Haga clic en Mostrar clave compartida (Display Shared Key) para mostrar la clave en el sitio delmismo nivel.
18 En Grupo Diffie-Hellman (Diffie-Hellman [DH] Group), seleccione el esquema criptográfico con el cualel sitio del mismo nivel y NSX Edge podrán establecer un secreto compartido mediante un canal decomunicaciones no seguro.
19 Cambie el umbral de MTU, si es necesario.
20 Seleccione si desea habilitar o deshabilitar el umbral de confidencialidad directa total (PFS). En lasnegociaciones de IPsec, la confidencialidad directa total (PFS) garantiza que cada clave criptográficanueva no esté relacionada con ninguna clave anterior.
21 Haga clic en Aceptar (OK).
NSX Edge creará un túnel desde la subred local hasta la subred del mismo nivel.
Qué hacer a continuación
Habilite el servicio de IPsec VPN.
Ejemplo de habilitación del servicio IPsec VPNDebe habilitar el servicio IPsec VPN para que el tráfico fluya de la subred local a la subred del mismonivel.
Procedimiento
1 Inicie sesión en vSphere Web Client.
2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).
3 Haga doble clic en un dispositivo NSX Edge.
4 Haga clic en la pestaña Supervisar (Monitor) y seleccione la pestaña VPN.
5 Haga clic en IPsec VPN.
6 Haga clic en Habilitar (Enable).
Guía de administración de NSX
VMware, Inc. 432
Qué hacer a continuación
Haga clic en Habilitar registro (Enable Logging) para registrar el flujo de tráfico entre la subred local y lasubred del mismo nivel.
Usar un enrutador de servicios integrados Cisco 2821A continuación se describen las configuraciones realizadas con Cisco IOS.
Procedimiento
1 Configurar interfaces y ruta predeterminada
interface GigabitEthernet0/0
ip address 10.24.120.90 255.255.252.0
duplex auto
speed auto
crypto map MYVPN
!
interface GigabitEthernet0/1
ip address 172.16.0.1 255.255.0.0
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 10.24.123.253
2 Configurar la directiva de IKE
Router# config term
Router(config)# crypto isakmp policy 1
Router(config-isakmp)# encryption 3des
Router(config-isakmp)# group 2
Router(config-isakmp)# hash sha
Router(config-isakmp)# lifetime 28800
Router(config-isakmp)# authentication
pre-share
Router(config-isakmp)# exit
3 Buscar coincidencias de cada nivel con su secreto compartido previamente
Router# config term
Router(config)# crypto isakmp key vshield
address 10.115.199.103
Router(config-isakmp)# exit
4 Definir la transformación de IPsec
Router# config term
Router(config)# crypto ipsec transform-set
myset esp-3des esp-sha-hmac
Router(config-isakmp)# exit
Guía de administración de NSX
VMware, Inc. 433
5 Crear la lista de acceso de IPsec
Router# config term
Enter configuration commands, one per line.
End with CNTL/Z.
Router(config)# access-list 101 permit ip
172.16.0.0 0.0.255.255 192.168.5.0 0.0.0.255
Router(config)# exit
6 Conectar la directiva con un mapa criptográfico y etiquetarlo
En el siguiente ejemplo, el mapa criptográfico está etiquetado como MYVPN.
Router# config term
Router(config)# crypto map MYVPN 1
ipsec-isakmp
% NOTE: This new crypto map will remain
disabled until a peer and a valid
access list have been configured.
Router(config-crypto-map)# set transform-set
myset
Router(config-crypto-map)# set pfs group1
Router(config-crypto-map)# set peer
10.115.199.103
Router(config-crypto-map)# match address 101
Router(config-crypto-map)# exit
Ejemplo: Configuración
router2821#show running-config output
Building configuration...
Current configuration : 1263 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname router2821
!
boot-start-marker
boot-end-marker
!
! card type command needed for slot 0
! card type command needed for slot 1
enable password cisco
!
no aaa new-model
!
resource policy
!
ip subnet-zero
Guía de administración de NSX
VMware, Inc. 434
!
ip cef
!no ip dhcp use vrf connected
!
!
no ip ips deny-action ips-interface
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key vshield address 10.115.199.103
!
crypto ipsec transform-set myset esp-3des
esp-sha-hmac
!
crypto map MYVPN 1 ipsec-isakmp
set peer 10.115.199.103
set transform-set myset
set pfs group1
match address 101
!
interface GigabitEthernet0/0
ip address 10.24.120.90 255.255.252.0
duplex auto
speed auto
crypto map MYVPN
!
interface GigabitEthernet0/1
ip address 172.16.0.1 255.255.0.0
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.24.123.253
!
ip http server
no ip http secure-server
!
access-list 101 permit ip 172.16.0.0
0.0.255.255 192.168.5.0 0.0.0.255
!
control-plane
!
line con 0
line aux 0
line vty 0 4
password cisco
login
line vty 5 15
password cisco
login
Guía de administración de NSX
VMware, Inc. 435
!
scheduler allocate 20000 1000
!
end
Usar Cisco ASA 5510Utilice los siguientes resultados para configurar una instancia de Cisco ASA 5510.
ciscoasa# show running-config output
: Saved
:
ASA Version 8.2(1)18
!
hostname ciscoasa
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
nameif untrusted
security-level 100
ip address 10.24.120.90 255.255.252.0
!
interface Ethernet0/1
nameif trusted
security-level 90
ip address 172.16.0.1 255.255.0.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
!
boot system disk0:/asa821-18-k8.bin
ftp mode passive
access-list ACL1 extended permit ip 172.16.0.0 255.255.0.0
192.168.5.0 255.255.255.0
access-list ACL1 extended permit ip 192.168.5.0 255.255.255.0
172.16.0.0 255.255.0.0
Guía de administración de NSX
VMware, Inc. 436
access-list 101 extended permit icmp any any
pager lines 24
mtu untrusted 1500
mtu trusted 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any untrusted
icmp permit any trusted
no asdm history enable
arp timeout 14400
access-group 101 in interface untrusted
access-group 101 out interface untrusted
access-group 101 in interface trusted
access-group 101 out interface trusted
route untrusted 10.115.0.0 255.255.0.0 10.24.123.253 1
route untrusted 192.168.5.0 255.255.255.0 10.115.199.103 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00
udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00
sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
crypto ipsec transform-set MYSET esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map MYVPN 1 match address ACL1
crypto map MYVPN 1 set pfs
crypto map MYVPN 1 set peer 10.115.199.103
crypto map MYVPN 1 set transform-set MYSET
crypto map MYVPN interface untrusted
crypto isakmp enable untrusted
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet 10.0.0.0 255.0.0.0 untrusted
telnet timeout 5
ssh timeout 5
console timeout 0
no threat-detection basic-threat
no threat-detection statistics access-list
no threat-detection statistics tcp-intercept
username admin password f3UhLvUj1QsXsuK7 encrypted
tunnel-group 10.115.199.103 type ipsec-l2l
tunnel-group 10.115.199.103 ipsec-attributes
pre-shared-key *
!
Guía de administración de NSX
VMware, Inc. 437
!
prompt hostname context
Cryptochecksum:29c3cc49460831ff6c070671098085a9
: end
Configurar WatchGuard Firebox X500Puede configurar la instancia de WatchGuard Firebox X500 como una puerta de enlace remota.
NOTA: Consulte la documentación de WatchGuard Firebox para ver los pasos exactos.
Procedimiento
1 En el Administrador del sistema Firebox (Firebox System Manager), seleccione Herramientas(Tools) > Policy Manager (Administrador de directivas) > .
2 En Administrador de directivas (Policy Manager), seleccione Red (Network) > Configuración(Configuration).
3 Configure las interfaces y haga clic en Aceptar (OK).
4 (Opcional) Seleccione Red (Network) > Rutas (Routes) para configurar una ruta predeterminada.
5 Seleccione Red (Network) > VPN de la sucursal (Branch Office VPN) > IPsec manual (ManualIPSec) para configurar la puerta de enlace remota.
6 En el cuadro de diálogo Configuración de IPsec (IPSec Configuration), haga clic en Puertas deenlace (Gateways) para configurar la puerta de enlace remota de IPsec.
7 En el cuadro de diálogo Configuración de IPsec (IPSec Configuration), haga clic en Túneles(Tunnels) para configurar un túnel.
8 En el cuadro de diálogo Configuración de IPsec (IPSec Configuration), haga clic en Agregar (Add)para agregar una directiva de enrutamiento.
9 Haga clic en Cerrar (Close).
10 Confirme que el túnel esté funcionando.
Guía de administración de NSX
VMware, Inc. 438
Ejemplo de solución de problemas con la configuraciónde NSX EdgeUtilice esta información para solucionar problemas de negociación en la configuración.
Negociación correcta (Fase 1 y Fase 2)Los siguientes ejemplos muestran un resultado de negociación exitoso entre NSX Edge y un dispositivoCisco.
NSX EdgeDesde la interfaz de línea de comandos NSX Edge (ipsec auto -status, part of show service ipseccommand):
000 #2: "s1-c1":500 STATE_QUICK_I2 (sent QI2, IPsec SA established);
EVENT_SA_REPLACE in 2430s; newest IPSEC; eroute owner; isakmp#1; idle;
import:admin initiate
000 #2: "s1-c1" [email protected] [email protected]
[email protected] [email protected] ref=0 refhim=4294901761
000 #1: "s1-c1":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in
27623s; newest ISAKMP; lastdpd=0s(seq in:0 out:0); idle;
import:admin initiate
Cisco
ciscoasa# show crypto isakmp sa detail
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
IKE Peer: 10.20.129.80
Type : L2L Role : responder
Rekey : no State : MM_ACTIVE
Encrypt : 3des Hash : SHA
Auth : preshared Lifetime: 28800
Lifetime Remaining: 28379
Guía de administración de NSX
VMware, Inc. 439
No coincide la directiva de Fase 1A continuación se incluyen los registros de error de la directiva de Fase 1 de no coincidencia.
NSX EdgeNSX Edge deja de responder en el estado STATE_MAIN_I1. En /var/log/messages, busque informacióndonde se muestre que el elemento del mismo nivel envió de vuelta el mensaje IKE establecido en"NO_PROPOSAL_CHOSEN".
000 #1: "s1-c1":500 STATE_MAIN_I1 (sent MI1,
expecting MR1); EVENT_RETRANSMIT in 7s; nodpd; idle;
import:admin initiate
000 #1: pending Phase 2 for "s1-c1" replacing #0
Aug 26 12:31:25 weiqing-desktop ipsec[6569]:
| got payload 0x800(ISAKMP_NEXT_N) needed: 0x0 opt: 0x0
Aug 26 12:31:25 weiqing-desktop ipsec[6569]:
| ***parse ISAKMP Notification Payload:
Aug 26 12:31:25 weiqing-desktop ipsec[6569]:
| next payload type: ISAKMP_NEXT_NONE
Aug 26 12:31:25 weiqing-desktop ipsec[6569]: | length: 96
Aug 26 12:31:25 weiqing-desktop ipsec[6569]:
| DOI: ISAKMP_DOI_IPSEC
Aug 26 12:31:25 weiqing-desktop ipsec[6569]: | protocol ID: 0
Aug 26 12:31:25 weiqing-desktop ipsec[6569]: | SPI size: 0
Aug 26 12:31:25 weiqing-desktop ipsec[6569]:
| Notify Message Type: NO_PROPOSAL_CHOSEN
Aug 26 12:31:25 weiqing-desktop ipsec[6569]:
"s1-c1" #1: ignoring informational payload,
type NO_PROPOSAL_CHOSEN msgid=00000000
CiscoSi se habilita el cifrado de depuración, se imprimirá un mensaje de error para mostrar que ningunapropuesta fue aceptada.
ciscoasa# Aug 26 18:17:27 [IKEv1]:
IP = 10.20.129.80, IKE_DECODE RECEIVED
Message (msgid=0) with payloads : HDR + SA (1)
+ VENDOR (13) + VENDOR (13) + NONE (0) total length : 148
Aug 26 18:17:27 [IKEv1 DEBUG]: IP = 10.20.129.80,
processing SA payload
Aug 26 18:17:27 [IKEv1]: Phase 1 failure: Mismatched attribute
types for class Group Description: Rcv'd: Group 5
Cfg'd: Group 2
Aug 26 18:17:27 [IKEv1]: Phase 1 failure: Mismatched attribute
types for class Group Description: Rcv'd: Group 5
Cfg'd: Group 2
Aug 26 18:17:27 [IKEv1]: IP = 10.20.129.80, IKE_DECODE SENDING
Message (msgid=0) with payloads : HDR + NOTIFY (11)
+ NONE (0) total length : 124
Aug 26 18:17:27 [IKEv1 DEBUG]: IP = 10.20.129.80,
Guía de administración de NSX
VMware, Inc. 440
All SA proposals found unacceptable
Aug 26 18:17:27 [IKEv1]: IP = 10.20.129.80, Error processing
payload: Payload ID: 1
Aug 26 18:17:27 [IKEv1 DEBUG]: IP = 10.20.129.80, IKE MM Responder
FSM error history (struct &0xd8355a60) <state>, <event>:
MM_DONE, EV_ERROR-->MM_START, EV_RCV_MSG-->MM_START,
EV_START_MM-->MM_START, EV_START_MM-->MM_START,
EV_START_MM-->MM_START, EV_START_MM-->MM_START,
EV_START_MM-->MM_START, EV_START_MM
Aug 26 18:17:27 [IKEv1 DEBUG]: IP = 10.20.129.80, IKE SA
MM:9e0e4511 terminating: flags 0x01000002, refcnt 0,
tuncnt 0
Aug 26 18:17:27 [IKEv1 DEBUG]: IP = 10.20.129.80, sending
delete/delete with reason message
No coincide la Fase 2A continuación se incluyen los registros de error de la directiva de Fase 2 de no coincidencia.
NSX EdgeNSX Edge deja de responder en STATE_QUICK_I1. Un mensaje del registro muestra que el elementodel mismo nivel envió el mensaje NO_PROPOSAL_CHOSEN.
000 #2: "s1-c1":500 STATE_QUICK_I1 (sent QI1, expecting
QR1); EVENT_RETRANSMIT in 11s; lastdpd=-1s(seq in:0 out:0);
idle; import:admin initiate
Aug 26 12:33:54 weiqing-desktop ipsec[6933]: | got payload
0x800(ISAKMP_NEXT_N) needed: 0x0 opt: 0x0
Aug 26 12:33:54 weiqing-desktop ipsec[6933]: | ***parse
ISAKMP Notification Payload:
Aug 26 12:33:54 weiqing-desktop ipsec[6933]: | next payload
type: ISAKMP_NEXT_NONE
Aug 26 12:33:54 weiqing-desktop ipsec[6933]: | length: 32
Aug 26 12:33:54 weiqing-desktop ipsec[6933]:
| DOI: ISAKMP_DOI_IPSEC
Aug 26 12:33:54 weiqing-desktop ipsec[6933]: | protocol ID: 3
Aug 26 12:33:54 weiqing-desktop ipsec[6933]: | SPI size: 16
Aug 26 12:33:54 weiqing-desktop ipsec[6933]: | Notify Message
Type: NO_PROPOSAL_CHOSEN
Aug 26 12:33:54 weiqing-desktop ipsec[6933]: "s1-c1" #3:
ignoring informational payload, type NO_PROPOSAL_CHOSEN
msgid=00000000
Guía de administración de NSX
VMware, Inc. 441
CiscoEl mensaje de depuración muestra que la Fase 1 está completa, pero se produjo un error en la Fase 2por un error en la negociación de la directiva.
Aug 26 16:03:49 [IKEv1]: Group = 10.20.129.80,
IP = 10.20.129.80, PHASE 1 COMPLETED
Aug 26 16:03:49 [IKEv1]: IP = 10.20.129.80, Keep-alive type
for this connection: DPD
Aug 26 16:03:49 [IKEv1 DEBUG]: Group = 10.20.129.80,
IP = 10.20.129.80, Starting P1 rekey timer: 21600 seconds
Aug 26 16:03:49 [IKEv1]: IP = 10.20.129.80, IKE_DECODE RECEIVED
Message (msgid=b2cdcb13) with payloads : HDR + HASH (8)
+ SA (1) + NONCE (10) + KE (4) + ID (5) + ID (5) + NONE (0)
total length : 288
.
.
.
Aug 26 16:03:49 [IKEv1]: Group = 10.20.129.80, IP = 10.20.129.80,
Session is being torn down. Reason: Phase 2 Mismatch
Falta de coincidencia con PFSA continuación se incluyen los registros de error de falta de coincidencia con PFS.
NSX EdgePFS se negocia como parte de la Fase 2. Si PFS no coincide, el comportamiento es similar al del casode error descrito en No coincide la Fase 2
000 #4: "s1-c1":500 STATE_QUICK_I1 (sent QI1, expecting
QR1); EVENT_RETRANSMIT in 8s; lastdpd=-1s(seq in:0 out:0);
idle; import:admin initiate
Aug 26 12:35:52 weiqing-desktop ipsec[7312]: | got payload 0x800
(ISAKMP_NEXT_N) needed: 0x0 opt: 0x0
Aug 26 12:35:52 weiqing-desktop ipsec[7312]:
| ***parse ISAKMP Notification Payload:
Aug 26 12:35:52 weiqing-desktop ipsec[7312]: | next payload
type: ISAKMP_NEXT_NONE
Aug 26 12:35:52 weiqing-desktop ipsec[7312]: | length: 32
Aug 26 12:35:52 weiqing-desktop ipsec[7312]:
| DOI: ISAKMP_DOI_IPSEC
Aug 26 12:35:52 weiqing-desktop ipsec[7312]: | protocol ID: 3
Aug 26 12:35:52 weiqing-desktop ipsec[7312]: | SPI size: 16
Aug 26 12:35:52 weiqing-desktop ipsec[7312]: | Notify Message
Type: NO_PROPOSAL_CHOSEN
Aug 26 12:35:52 weiqing-desktop ipsec[7312]: "s1-c1" #1: ignoring
informational payload, type NO_PROPOSAL_CHOSEN
msgid=00000000
Aug 26 12:35:52 weiqing-desktop ipsec[7312]: | info: fa 16 b3 e5
91 a9 b0 02 a3 30 e1 d9 6e 5a 13 d4
Guía de administración de NSX
VMware, Inc. 442
Aug 26 12:35:52 weiqing-desktop ipsec[7312]: | info: 93 e5 e4 d7
Aug 26 12:35:52 weiqing-desktop ipsec[7312]:
| processing informational NO_PROPOSAL_CHOSEN (14)
Cisco
<BS>Aug 26 19:00:26 [IKEv1 DEBUG]: Group = 10.20.129.80,
IP = 10.20.129.80, sending delete/delete with
reason message
Aug 26 19:00:26 [IKEv1 DEBUG]: Group = 10.20.129.80,
IP = 10.20.129.80, constructing blank hash payload
Aug 26 19:00:26 [IKEv1 DEBUG]: Group = 10.20.129.80,
IP = 10.20.129.80, constructing blank hash payload
Aug 26 19:00:26 [IKEv1 DEBUG]: Group = 10.20.129.80,
IP = 10.20.129.80, constructing IKE delete payload
Aug 26 19:00:26 [IKEv1 DEBUG]: Group = 10.20.129.80,
IP = 10.20.129.80, constructing qm hash payload
Aug 26 19:00:26 [IKEv1]: IP = 10.20.129.80, IKE_DECODE SENDING
Message (msgid=19eb1e59) with payloads : HDR + HASH (8)
+ DELETE (12) + NONE (0) total length : 80
Aug 26 19:00:26 [IKEv1]: Group = 10.20.129.80, IP = 10.20.129.80,
Session is being torn down. Reason: Phase 2 Mismatch
No coincide con PSKA continuación se incluyen los registros de error de la directiva PSK de no coincidencia.
NSX EdgePSK se negocia en la última ronda de la Fase 1. Si se produce un error en la negociación de PSK, elestado de NSX Edge es STATE_MAIN_I4. El elemento del mismo nivel envía el mensajeINVALID_ID_INFORMATION.
Aug 26 11:55:55 weiqing-desktop ipsec[3855]:
"s1-c1" #1: transition from state STATE_MAIN_I3 to
state STATE_MAIN_I4
Aug 26 11:55:55 weiqing-desktop ipsec[3855]: "s1-c1" #1:
STATE_MAIN_I4: ISAKMP SA established
{auth=OAKLEY_PRESHARED_KEY
cipher=oakley_3des_cbc_192 prf=oakley_sha group=modp1024}
Aug 26 11:55:55 weiqing-desktop ipsec[3855]: "s1-c1" #1: Dead Peer
Detection (RFC 3706): enabled
Aug 26 11:55:55 weiqing-desktop ipsec[3855]: "s1-c1" #2:
initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP+SAREFTRACK
{using isakmp#1 msgid:e8add10e proposal=3DES(3)_192-SHA1(2)_160
Guía de administración de NSX
VMware, Inc. 443
pfsgroup=OAKLEY_GROUP_MODP1024}
Aug 26 11:55:55 weiqing-desktop ipsec[3855]: "s1-c1" #1:
ignoring informational payload, type INVALID_ID_INFORMATION
msgid=00000000
Cisco
Aug 26 15:27:07 [IKEv1]: IP = 10.115.199.191,
IKE_DECODE SENDING Message (msgid=0) with payloads : HDR
+ KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13)
+ VENDOR (13) + VENDOR (13) + NAT-D (130) + NAT-D (130)
+ NONE (0) total length : 304
Aug 26 15:27:07 [IKEv1]: Group = 10.115.199.191,
IP = 10.115.199.191, Received encrypted Oakley Main Mode
packet with invalid payloads, MessID = 0
Aug 26 15:27:07 [IKEv1]: IP = 10.115.199.191, IKE_DECODE SENDING
Message (msgid=0) with payloads : HDR + NOTIFY (11)
+ NONE (0) total length : 80
Aug 26 15:27:07 [IKEv1]: Group = 10.115.199.191,
IP = 10.115.199.191, ERROR, had problems decrypting
packet, probably due to mismatched pre-shared key.
Aborting
Captura de paquetes para una negociación correctaA continuación se incluye una sesión de captura de paquetes para lograr una negociación correcta entreNSX Edge y un dispositivo Cisco.
No. Time Source Destination Protocol Info
9203 768.394800 10.20.129.80 10.20.131.62 ISAKMP Identity Protection
(Main Mode)
Frame 9203 (190 bytes on wire, 190 bytes captured)
Ethernet II, Src: Vmware_9d:2c:dd (00:50:56:9d:2c:dd),
Dst: Cisco_80:70:f5 (00:13:c4:80:70:f5)
Internet Protocol, Src: 10.20.129.80 (10.20.129.80),
Dst: 10.20.131.62 (10.20.131.62)
User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500)
Internet Security Association and Key Management Protocol
Initiator cookie: 92585D2D797E9C52
Responder cookie: 0000000000000000
Next payload: Security Association (1)
Version: 1.0
Exchange type: Identity Protection (Main Mode) (2)
Flags: 0x00
Message ID: 0x00000000
Length: 148
Security Association payload
Next payload: Vendor ID (13)
Payload length: 84
Domain of interpretation: IPSEC (1)
Situation: IDENTITY (1)
Proposal payload # 0
Guía de administración de NSX
VMware, Inc. 444
Next payload: NONE (0)
Payload length: 72
Proposal number: 0
Protocol ID: ISAKMP (1)
SPI Size: 0
Proposal transforms: 2
Transform payload # 0
Next payload: Transform (3)
Payload length: 32
Transform number: 0
Transform ID: KEY_IKE (1)
Life-Type (11): Seconds (1)
Life-Duration (12): Duration-Value (28800)
Encryption-Algorithm (1): 3DES-CBC (5)
Hash-Algorithm (2): SHA (2)
Authentication-Method (3): PSK (1)
Group-Description (4): 1536 bit MODP group (5)
Transform payload # 1
Next payload: NONE (0)
Payload length: 32
Transform number: 1
Transform ID: KEY_IKE (1)
Life-Type (11): Seconds (1)
Life-Duration (12): Duration-Value (28800)
Encryption-Algorithm (1): 3DES-CBC (5)
Hash-Algorithm (2): SHA (2)
Authentication-Method (3): PSK (1)
Group-Description (4): Alternate 1024-bit MODP group (2)
Vendor ID: 4F456C6A405D72544D42754D
Next payload: Vendor ID (13)
Payload length: 16
Vendor ID: 4F456C6A405D72544D42754D
Vendor ID: RFC 3706 Detecting Dead IKE Peers (DPD)
Next payload: NONE (0)
Payload length: 20
Vendor ID: RFC 3706 Detecting Dead IKE Peers (DPD)
No. Time Source Destination Protocol Info
9204 768.395550 10.20.131.62 10.20.129.80 ISAKMP Identity Protection
(Main Mode)
Frame 9204 (146 bytes on wire, 146 bytes captured)
Ethernet II, Src: Cisco_80:70:f5 (00:13:c4:80:70:f5),
Dst: Vmware_9d:2c:dd (00:50:56:9d:2c:dd)
Internet Protocol, Src: 10.20.131.62 (10.20.131.62),
Dst: 10.20.129.80 (10.20.129.80)
User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500)
Internet Security Association and Key Management Protocol
Initiator cookie: 92585D2D797E9C52
Responder cookie: 34704CFC8C8DBD09
Next payload: Security Association (1)
Version: 1.0
Exchange type: Identity Protection (Main Mode) (2)
Flags: 0x00
Message ID: 0x00000000
Guía de administración de NSX
VMware, Inc. 445
Length: 104
Security Association payload
Next payload: Vendor ID (13)
Payload length: 52
Domain of interpretation: IPSEC (1)
Situation: IDENTITY (1)
Proposal payload # 1
Next payload: NONE (0)
Payload length: 40
Proposal number: 1
Protocol ID: ISAKMP (1)
SPI Size: 0
Proposal transforms: 1
Transform payload # 1
Next payload: NONE (0)
Payload length: 32
Transform number: 1
Transform ID: KEY_IKE (1)
Encryption-Algorithm (1): 3DES-CBC (5)
Hash-Algorithm (2): SHA (2)
Group-Description (4): Alternate 1024-bit MODP group (2)
Authentication-Method (3): PSK (1)
Life-Type (11): Seconds (1)
Life-Duration (12): Duration-Value (28800)
Vendor ID: Microsoft L2TP/IPSec VPN Client
Next payload: NONE (0)
Payload length: 24
Vendor ID: Microsoft L2TP/IPSec VPN Client
No. Time Source Destination Protocol Info
9205 768.399599 10.20.129.80 10.20.131.62 ISAKMP Identity Protection
(Main Mode)
Frame 9205 (222 bytes on wire, 222 bytes captured)
Ethernet II, Src: Vmware_9d:2c:dd (00:50:56:9d:2c:dd),
Dst: Cisco_80:70:f5 (00:13:c4:80:70:f5)
Internet Protocol, Src: 10.20.129.80 (10.20.129.80),
Dst: 10.20.131.62 (10.20.131.62)
User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500)
Internet Security Association and Key Management Protocol
Initiator cookie: 92585D2D797E9C52
Responder cookie: 34704CFC8C8DBD09
Next payload: Key Exchange (4)
Version: 1.0
Exchange type: Identity Protection (Main Mode) (2)
Flags: 0x00
Message ID: 0x00000000
Length: 180
Key Exchange payload
Next payload: Nonce (10)
Payload length: 132
Key Exchange Data (128 bytes / 1024 bits)
Nonce payload
Next payload: NONE (0)
Payload length: 20
Guía de administración de NSX
VMware, Inc. 446
Nonce Data
No. Time Source Destination Protocol Info
9206 768.401192 10.20.131.62 10.20.129.80 ISAKMP Identity Protection
(Main Mode)
Frame 9206 (298 bytes on wire, 298 bytes captured)
Ethernet II, Src: Cisco_80:70:f5 (00:13:c4:80:70:f5),
Dst: Vmware_9d:2c:dd (00:50:56:9d:2c:dd)
Internet Protocol, Src: 10.20.131.62 (10.20.131.62),
Dst: 10.20.129.80 (10.20.129.80)
User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500)
Internet Security Association and Key Management Protocol
Initiator cookie: 92585D2D797E9C52
Responder cookie: 34704CFC8C8DBD09
Next payload: Key Exchange (4)
Version: 1.0
Exchange type: Identity Protection (Main Mode) (2)
Flags: 0x00
Message ID: 0x00000000
Length: 256
Key Exchange payload
Next payload: Nonce (10)
Payload length: 132
Key Exchange Data (128 bytes / 1024 bits)
Nonce payload
Next payload: Vendor ID (13)
Payload length: 24
Nonce Data
Vendor ID: CISCO-UNITY-1.0
Next payload: Vendor ID (13)
Payload length: 20
Vendor ID: CISCO-UNITY-1.0
Vendor ID: draft-beaulieu-ike-xauth-02.txt
Next payload: Vendor ID (13)
Payload length: 12
Vendor ID: draft-beaulieu-ike-xauth-02.txt
Vendor ID: C1B7EBE18C8CBD099E89695E2CB16A4A
Next payload: Vendor ID (13)
Payload length: 20
Vendor ID: C1B7EBE18C8CBD099E89695E2CB16A4A
Vendor ID: CISCO-CONCENTRATOR
Next payload: NONE (0)
Payload length: 20
Vendor ID: CISCO-CONCENTRATOR
No. Time Source Destination Protocol Info
9207 768.404990 10.20.129.80 10.20.131.62 ISAKMP Identity Protection
(Main Mode)
Frame 9207 (110 bytes on wire, 110 bytes captured)
Ethernet II, Src: Vmware_9d:2c:dd (00:50:56:9d:2c:dd),
Dst: Cisco_80:70:f5 (00:13:c4:80:70:f5)
Internet Protocol, Src: 10.20.129.80 (10.20.129.80),
Dst: 10.20.131.62 (10.20.131.62)
Guía de administración de NSX
VMware, Inc. 447
User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500)
Internet Security Association and Key Management Protocol
Initiator cookie: 92585D2D797E9C52
Responder cookie: 34704CFC8C8DBD09
Next payload: Identification (5)
Version: 1.0
Exchange type: Identity Protection (Main Mode) (2)
Flags: 0x01
Message ID: 0x00000000
Length: 68
Encrypted payload (40 bytes)
No. Time Source Destination Protocol Info
9208 768.405921 10.20.131.62 10.20.129.80 ISAKMP Identity Protection
(Main Mode)
Frame 9208 (126 bytes on wire, 126 bytes captured)
Ethernet II, Src: Cisco_80:70:f5 (00:13:c4:80:70:f5),
Dst: Vmware_9d:2c:dd (00:50:56:9d:2c:dd)
Internet Protocol, Src: 10.20.131.62 (10.20.131.62),
Dst: 10.20.129.80 (10.20.129.80)
User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500)
Internet Security Association and Key Management Protocol
Initiator cookie: 92585D2D797E9C52
Responder cookie: 34704CFC8C8DBD09
Next payload: Identification (5)
Version: 1.0
Exchange type: Identity Protection (Main Mode) (2)
Flags: 0x01
Message ID: 0x00000000
Length: 84
Encrypted payload (56 bytes)
No. Time Source Destination Protocol Info
9209 768.409799 10.20.129.80 10.20.131.62 ISAKMP Quick Mode
Frame 9209 (334 bytes on wire, 334 bytes captured)
Ethernet II, Src: Vmware_9d:2c:dd (00:50:56:9d:2c:dd),
Dst: Cisco_80:70:f5 (00:13:c4:80:70:f5)
Internet Protocol, Src: 10.20.129.80 (10.20.129.80),
Dst: 10.20.131.62 (10.20.131.62)
User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500)
Internet Security Association and Key Management Protocol
Initiator cookie: 92585D2D797E9C52
Responder cookie: 34704CFC8C8DBD09
Next payload: Hash (8)
Version: 1.0
Exchange type: Quick Mode (32)
Flags: 0x01
Message ID: 0x79a63fb1
Length: 292
Encrypted payload (264 bytes)
No. Time Source Destination Protocol Info
9210 768.411797 10.20.131.62 10.20.129.80 ISAKMP Quick Mode
Guía de administración de NSX
VMware, Inc. 448
Frame 9210 (334 bytes on wire, 334 bytes captured)
Ethernet II, Src: Cisco_80:70:f5 (00:13:c4:80:70:f5),
Dst: Vmware_9d:2c:dd (00:50:56:9d:2c:dd)
Internet Protocol, Src: 10.20.131.62 (10.20.131.62),
Dst: 10.20.129.80 (10.20.129.80)
User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500)
Internet Security Association and Key Management Protocol
Initiator cookie: 92585D2D797E9C52
Responder cookie: 34704CFC8C8DBD09
Next payload: Hash (8)
Version: 1.0
Exchange type: Quick Mode (32)
Flags: 0x01
Message ID: 0x79a63fb1
Length: 292
Encrypted payload (264 bytes)
No. Time Source Destination Protocol Info
9211 768.437057 10.20.129.80 10.20.131.62 ISAKMP Quick Mode
Frame 9211 (94 bytes on wire, 94 bytes captured)
Ethernet II, Src: Vmware_9d:2c:dd (00:50:56:9d:2c:dd),
Dst: Cisco_80:70:f5 (00:13:c4:80:70:f5)
Internet Protocol, Src: 10.20.129.80 (10.20.129.80),
Dst: 10.20.131.62 (10.20.131.62)
User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500)
Internet Security Association and Key Management Protocol
Initiator cookie: 92585D2D797E9C52
Responder cookie: 34704CFC8C8DBD09
Next payload: Hash (8)
Version: 1.0
Exchange type: Quick Mode (32)
Flags: 0x01
Message ID: 0x79a63fb1
Length: 52
Encrypted payload (24 bytes)
Guía de administración de NSX
VMware, Inc. 449