docs.vmware.com€¦ · Contenido Guía de administración de NSX 8 1 Requisitos del sistema para NSX 9 2 Puertos y protocolos requeridos por NSX 11 3 Descripción general de NSX

Guía de administraciónde NSXActualización 3Modificado el 20 de noviembre de 2017VMware NSX Data Center for vSphere 6.2

Guía de administración de NSX

VMware, Inc. 2

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware:

https://docs.vmware.com/es/

El sitio web de VMware también ofrece las actualizaciones de producto más recientes.

Si tiene comentarios relacionados con esta documentación, envíelos a:

[email protected]

Copyright © 2010 – 2017 VMware, Inc. Todos los derechos reservados. Información sobre el copyright y marcacomercial.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Spain, S.L.Calle Rafael Boti 262.ª plantaMadrid 28023Tel.: +34 914125000www.vmware.com/es

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

http://pubs.vmware.com/copyright-trademark.html

Contenido

Guía de administración de NSX 8

1 Requisitos del sistema para NSX 9

2 Puertos y protocolos requeridos por NSX 11

3 Descripción general de NSX 15

Componentes de NSX 17

NSX Edge 20

NSX Services 22

4 Descripción general de Cross-vCenter Networking and Security 25

Beneficios de Cross-vCenter NSX 25

Cómo funciona Cross-vCenter NSX 26

Matriz de compatibilidad de NSX Services en Cross-vCenter NSX 27

Clúster de controladoras universal 29

Zona de transporte universal 29

Conmutadores lógicos universales 29

Enrutadores lógicos (distribuidos) universales 29

Reglas de firewall universal 30

Objetos de seguridad y red universal 31

Topologías de Cross-vCenter NSX 31

Modificar los roles de NSX Manager 34

5 Zonas de transporte 36

Agregar una zona de transporte 38

Ver y editar una zona de transporte 40

Expandir una zona de transporte 40

Contraer una zona de transporte 41

6 Conmutadores lógicos 42

Agregar un conmutador lógico 43

Conectar máquinas virtuales a un conmutador lógico 49

Probar la conectividad del conmutador lógico 49

Evitar la suplantación en un conmutador lógico 50

Editar un conmutador lógico 50

Escenario del conmutador lógico 51

VMware, Inc. 3

7 Configurar una puerta de enlace de hardware 56Escenario: configuración de ejemplo de puerta de enlace de hardware 57

8 Puentes L2 64

Agregar puente de Capa 2 65

Agregar un puente de Capa 2 a un entorno con enrutamiento lógico 65

9 Enrutamiento 67

Agregar un enrutador lógico (distribuido) 68

Agregar una puerta de enlace de servicios Edge 82

Especificar una configuración global 93

Configuración de NSX Edge 95

Agregar una ruta estática 114

Configurar OSPF en un enrutador lógico (distribuido) 115

Configurar el protocolo OSPF en una puerta de enlace de servicios Edge 122

Configurar BGP 129

Configurar el protocolo IS-IS 134

Configurar la redistribución de rutas 136

Ver el identificador de configuración local de NSX Manager 137

Configurar el identificador de configuración regional en un enrutador lógico universal (distribuido) 138

Configurar el identificador de configuración regional en un host o un clúster 138

10 Firewall lógico 140

Distributed Firewall 140

Firewall de Edge 142

Trabajar con secciones de reglas de firewall 143

Trabajar con reglas de firewall 145

Excluir las máquinas virtuales de la protección de firewall 161

Detección de IP para máquinas virtuales 162

Ver eventos de umbral de memoria y CPU del firewall 163

Registros de firewall 164

Trabajar con reglas de firewall de NSX Edge 165

11 Introducción al firewall de identidad 175

Flujo de trabajo del firewall de identidad 176

12 Trabajar con dominios de Active Directory 177

Registrar un dominio de Windows con NSX Manager 177

Sincronizar un dominio de Windows con Active Directory 179

Editar un dominio de Windows 179

Habilitar el acceso al registro de seguridad de solo lectura en Windows 2008 180

Comprobar los privilegios de Directory 181


VMware, Inc. 4

13 Utilizar SpoofGuard 182

Crear una directiva SpoofGuard 183

Aprobar direcciones IP 184

Editar una dirección IP 185

Borrar una dirección IP 186

14 Redes privadas virtuales (VPN) 187

Descripción general de SSL VPN-Plus 187

Descripción general de IPsec VPN 216

Descripción general de VPN de Capa 2 224

15 Equilibrador de carga lógico 235

Configurar equilibrio de carga 235

Administrar perfiles de aplicaciones 255

Administrar monitores de servicio 257

Administrar grupos de servidores 258

Administrar servidores virtuales 259

Administrar reglas de aplicaciones 260

Servidores web de equilibrio de carga que utilizan autenticación NTLM 261

Escenarios de configuración del equilibrador de carga de NSX 262

16 Otros servicios Edge 273

Administrar servicio DHCP 273

Configurar retransmisión de DHCP 277

Configurar servidores DNS 279

17 Service Composer 281

Utilizar Service Composer 283

Vista gráfica de Service Composer 292

Trabajar con etiquetas de seguridad 295

Ver servicios efectivos 298

Trabajar con directivas de seguridad 299

Editar un grupo de seguridad 300

Situaciones de Service Composer 301

18 Guest Introspection 307

Instalar Guest Introspection 308

Ver el estado de Guest Introspection 311

Alarmas de Guest Introspection 312

Eventos de Guest Introspection 313

Mensajes de auditoría de Guest Introspection 314


VMware, Inc. 5

Recopilar información para solucionar problemas de Guest Introspection 314

Desinstalar un módulo de Guest Introspection 314

19 Data Security 316

Instalar NSX Data Security 317

Roles del usuario de NSX Data Security 318

Definir una directiva de seguridad de datos 318

Ejecutar una exploración de Data Security 320

Ver y descargar informes 321

Crear expresiones regulares 322

Desinstalar NSX Data Security 322

20 Extensibilidad de la red 324

Inserción de servicio distribuido 325

Inserción de servicio basado en Edge 325

Integrar servicios de terceros 325

Implementar un servicio de partner 326

Consumir servicios del proveedor mediante Service Composer 327

Redireccionar el tráfico a la solución de un proveedor mediante el firewall lógico 327

Usar el equilibrador de carga de un partner 328

Quitar integración de terceros 329

21 Administración de usuarios 331

Usuarios y permisos de NSX según la función 331

Configurar Single Sign-On 345

Administrar derechos de usuario 347

Administrar la cuenta de usuario predeterminado 348

Asignar una función a un usuario de vCenter 348

Editar una cuenta de usuario 352

Cambiar un rol de usuario 352

Deshabilitar o habilitar una cuenta de usuario 352

Eliminar una cuenta de usuario 353

22 Objetos de seguridad y red 354

Trabajar con grupos de direcciones IP 354

Trabajar con grupos de direcciones MAC 356

Trabajar con grupos de direcciones IP 357

Trabajar con grupos de seguridad 359

Trabajar con servicios y grupos de servicios 363

23 Operaciones y administración 366

Cambiar la contraseña de la controladora 366


VMware, Inc. 6

Recuperación de un error de NSX Controller 367

Cambiar el puerto de VXLAN 368

Comprobar estado del canal de comunicación 369

Programa de mejora de la experiencia de cliente 370

Eventos del sistema y registros de auditoría 371

Configuración del sistema de administración 376

Trabajar con traps SNMP 383

Copia de seguridad y restauración de NSX 387

Flow Monitoring 392

Supervisión de actividad 399

Traceflow 415

24 Ejemplos de configuración de la VPN de NSX Edge 425

Terminología 426

Fase 1 y fase 2 de IKE 426

Ejemplo de configuración del servicio IPsec VPN 428

Usar un enrutador de servicios integrados Cisco 2821 431

Usar Cisco ASA 5510 434

Configurar WatchGuard Firebox X500 436

Ejemplo de solución de problemas con la configuración de NSX Edge 436


VMware, Inc. 7


En la Guía de administración de NSX se describe cómo configurar, supervisar y mantener el sistemaVMware® NSX™ mediante la interfaz de usuario de NSX Manager y vSphere Web Client. La informaciónincluye instrucciones de configuración paso a paso y prácticas recomendadas.

Público objetivoEste manual está previsto para quienes desean instalar o utilizar NSX en un entorno de VMware vCenter.La información de este manual está escrita para administradores de sistemas con experiencia que esténfamiliarizados con la tecnología de máquinas virtuales y las operaciones de centros de datos. Estemanual da por sentado que el usuario está familiarizado con VMware Infrastructure 5.x, incluidosVMware ESX, vCenter Server y vSphere Web Client.

Glosario de publicaciones técnicas de VMwarePublicaciones técnicas de VMware proporciona un glosario de términos que podrían resultarledesconocidos. Si desea ver las definiciones de los términos que se utilizan en la documentación técnicade VMware, acceda a la página http://www.vmware.com/support/pubs.

VMware, Inc. 8

http://www.vmware.com/support/pubs

Requisitos del sistema para NSX 1Antes de instalar o actualizar NSX, tenga en cuenta los recursos y la configuración de red. Puede instalarun NSX Manager por cada vCenter Server, una instancia de Guest Introspection y Data Security porcada host ESX™ y varias instancias de NSX Edge por cada centro de datos.

HardwareTabla 1‑1. Requisitos de hardware

Dispositivo Memoria vCPU Espacio en disco

NSX Manager 16 GB (24 GB con ciertos tamañosde implementación de NSX*)

4 GB (8 GB con ciertostamaños de implementaciónde NSX*)

60 GB

NSX Controller 4 GB 4 20 GB

NSX Edge n Compacto: 512 MBn Grande: 1 GBn Cuádruple: 1 GBn Extra grande: 8 GB

n Compacto: 1n Grande: 2n Tamaño cuádruple: 4n Extra grande: 6

n Compacto: 1 disco de 500 MBn Grande: 1 disco de 500 MB + 1

disco de 512 MBn Cuádruple: 1 disco de 500 MB

+ 1 disco de 512 MBn Extra grande: 1 disco de 500 MB

+ 1 disco de 2 GB

GuestIntrospection

1 GB 2 4 GB

NSX DataSecurity

512 MB 1 6 GB por host ESXi

Como regla general, debe aumentar los recursos de NSX Manager a 8 vCPU y 24 GB de RAM si suentorno administrado de NSX contiene más de 256 hipervisores o más de 2.000 máquinas virtuales.

Para conocer los detalles de tamaño específicos, póngase en contacto con el servicio de soporte técnicode VMware.

Para obtener información sobre aumentar la asignación de memoria y vCPU para sus dispositivosvirtuales, consulte Asignar recursos de memoria y Cambiar el número de CPU virtuales enAdministración de máquinas virtuales de vSphere.

VMware, Inc. 9

SoftwarePara ver la información de interoperabilidad más reciente, consulte la sección sobre matrices deinteroperabilidad del producto en http://partnerweb.vmware.com/comp_guide/sim/interop_matrix.php.

Para conocer las versiones recomendadas de NSX, vCenter Server y ESXi, consulte las notas de laversión en https://docs.vmware.com/en/VMware-NSX-for-vSphere/index.html.

Tenga en cuenta que para que una instancia de NSX Manager participe en una implementación deCross-vCenter NSX, se deben dar las condiciones siguientes:

Componente Versión

NSX Manager 6.2 o posterior

NSX Controller 6.2 o posterior

vCenter Server 6.0 o posterior

ESXi n ESXi 6.0 o versiones posterioresn Clústeres de host que cuentan con NSX 6.2 o VIB

posteriores

Para administrar todas las instancias de NSX Manager en una implementación de Cross-vCenter NSXdesde una sola instancia de vSphere Web Client, debe conectar vCenter Server en Enhanced LinkedMode. Consulte Usar Modo vinculado mejorado (Enhanced Linked Mode) en Administración de vCenterServer y hosts .

Para comprobar la compatibilidad de las soluciones de partners con NSX, consulte la Guía decompatibilidad de VMware para Networking and Security en http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security.

Acceso de clientes y usuariosn Si agregó hosts ESXi por nombre al inventario de vSphere, compruebe que la resolución de nombres

directa o inversa está funcionando. De lo contrario, NSX Manager no puede resolver lasdirecciones IP.

n Permisos para agregar y encender máquinas virtuales.

n Acceda al almacén de datos en el que almacena archivos de máquina virtual y a los permisos decuenta para copiar los archivos en ese almacén de datos.

n Cookies habilitadas en el explorador web, para acceder a la interfaz de usuario de NSX Manager.

n En NSX Manager, compruebe que se puede acceder al puerto 443 desde el host ESXi, el servidorvCenter Server y los dispositivos NSX que se implementarán. Este puerto debe descargar el archivoOVF en el host ESXi para la implementación.

n Un navegador web que sea compatible con la versión de vSphere Web Client que está utilizando.Consulte Usar vSphere Web Client en la documentación de Administración de vCenter Server yhosts para obtener información detallada.


VMware, Inc. 10

http://partnerweb.vmware.com/comp_guide/sim/interop_matrix.php

https://docs.vmware.com/en/VMware-NSX-for-vSphere/index.html

http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security

Puertos y protocolos requeridospor NSX 2Los puertos siguientes deben estar abiertos para que NSX funcione correctamente.

Tabla 2‑1. Puertos y protocolos requeridos por NSX

Origen Destino PuertoProtocolo(Protocol) Propósito Sensible TLS Autenticación

PC cliente NSX Manager 443 TCP Interfazadministrativa deNSX Manager

No Sí AutenticaciónPAM

PC cliente NSX Manager 80 TCP Acceso a VIB deNSX Manager

No No AutenticaciónPAM

Host ESXi vCenter Server 443 TCP Preparación delhost ESXi

No No

vCenter Server Host ESXi 443 TCP Preparación delhost ESXi

No No

Host ESXi NSX Manager 5671 TCP RabbitMQ No Sí Usuario ycontraseña deRabbitMQ

Host ESXi NSX Controller 1234 TCP Conexión delagente del ámbitodel usuario

No Sí

NSX Controller NSX Controller 2878,2888,3888

TCP Clúster decontroladores,sincronización deestado

No Sí IPsec

NSX Controller NSX Controller 7777 TCP Puerto RPC entrecontroladores

No Sí IPsec

NSX Controller NSX Controller 30865 TCP Clúster decontroladores,sincronización deestado

No Sí IPsec

NSX Manager NSX Controller 443 TCP Comunicación decontrolador aManager

No Sí Usuario/contraseña

NSX Manager vCenter Server 443 TCP vSphere WebAccess

No Sí

VMware, Inc. 11

Tabla 2‑1. Puertos y protocolos requeridos por NSX (Continuación)


NSX Manager vCenter Server 902 TCP vSphere WebAccess

No Sí

NSX Manager Host ESXi 443 TCP Conexión deaprovisionamiento yadministración

No Sí

NSX Manager Host ESXi 902 TCP Conexión deaprovisionamiento yadministración

No Sí

NSX Manager Servidor DNS 53 TCP Conexión de clienteDNS

No No

NSX Manager Servidor DNS 53 UDP Conexión de clienteDNS

No No

NSX Manager Servidor syslog 514 TCP Conexión de Syslog No No

NSX Manager Servidor syslog 514 UDP Conexión de Syslog No No

NSX Manager Servidor horarioNTP

123 TCP Conexión de clienteNTP

No Sí

NSX Manager Servidor horarioNTP

123 UDP Conexión de clienteNTP

No Sí

vCenter Server NSX Manager 80 TCP Preparación delhost

No Sí

Cliente REST NSX Manager 443 TCP API de REST deNSX Manager



VMware, Inc. 12



Terminal detúnel de VXLAN(VTEP)

Terminal detúnel de VXLAN(VTEP)

8472(valorpredeterminadoantesdeNSX6.2.3)o 4789(valorpredeterminado enlasinstalacionesnuevas deNSX6.2.3 yversionesposteriores)

UDP Encapsulación dered de transporteentre VTEP

No Sí

Host ESXi Host ESXi 6999 UDP ARP en LIF deVLAN

No Sí

Host ESXi NSX Manager 8301,8302

UDP Sincronización deDVS

No Sí

NSX Manager Host ESXi 8301,8302

UDP Sincronización deDVS

No Sí

Máquina virtualde GuestIntrospection

NSX Manager 5671 TCP RabbitMQ No Sí Usuario ycontraseña deRabbitMQ

NSX Managerprincipal

NSX Managersecundario

443 TCP Servicio desincronizaciónUniversal de Cross-vCenter NSX

No Sí


vCenter Server 443 TCP vSphere API No Sí


vCenter Server 443 TCP vSphere API No Sí


Clúster decontroladoresuniversal deNSX

443 TCP API de REST deNSX Controller



VMware, Inc. 13




Clúster decontroladoresuniversal deNSX

443 TCP API de REST deNSX Controller


Host ESXi Clúster decontroladoresuniversal deNSX

1234 TCP Protocolo del planode control de NSX

No Sí

Host ESXi NSX Managerprincipal

5671 TCP RabbitMQ No Sí Usuario ycontraseña deRabbitMQ

Host ESXi NSX Managersecundario

5671 TCP RabbitMQ No Sí Usuario ycontraseña deRabbitMQ

Puertos para Cross-vCenter NSX y Enhanced Linked ModeSi tiene un entorno de Cross-vCenter NSX y los sistemas de vCenter Server están en modo EnhancedLinked Mode, cada dispositivo de NSX Manager debe tener la conectividad requerida por cada sistemade vCenter Server del entorno con el fin de administrar cualquier NSX Manager desde cualquier sistemade vCenter Server.


VMware, Inc. 14

Descripción general de NSX 3Las organizaciones de TI han obtenido beneficios importantes como resultado directo de la virtualizaciónde servidores. La consolidación de servidores redujo la complejidad física, aumentó la eficienciaoperativa y la capacidad de reasignar dinámicamente los recursos subyacentes para cumplir, de formarápida y óptima, con las necesidades de las aplicaciones empresariales cada vez más dinámicas.

La arquitectura del centro de datos definido por software (SDDC) de VMware ahora extiende lastecnologías de virtualización a toda la infraestructura del centro de datos físico. VMware NSX®, laplataforma de virtualización de red, es un producto clave de la arquitectura de SDDC. Con NSX, lavirtualización aporta a las redes lo que ya se ofrece en términos de capacidad informática yalmacenamiento. De modo muy similar en que la virtualización del servidor crea, elimina, restaura deforma programática y crea instantáneas de máquinas virtuales basadas en software, la virtualización dered de NSX crea, elimina, restaura y crea instantáneas de redes virtuales basadas en software. Elresultado es un enfoque de redes completamente transformador que no solo permite que losadministradores del centro de datos alcancen muchísima mayor agilidad y mejor economía, sino quetambién permite la implementación de un modelo operativo muy simplificado para la red físicasubyacente. Gracias a que se puede implementar en cualquier red IP, incluidos los modelos de redestradicionales existentes y las arquitecturas de tejido de última generación de cualquier proveedor, NSXes una solución que no provoca interrupciones. En efecto, con NSX, la infraestructura de red físicaexistente es todo lo que se necesita para implementar un centro de datos definido por software.

VMware, Inc. 15

Aplicación

Aplicación

Carga de trabajo

Carga de trabajo

Carga de trabajo

Entorno x86

Máquinavirtual

Requisito: x86

Memoria y recursos informáticos físicos

Desacoplado

Redvirtual

Servicio de red de Capa 2,

Hipervisor del servidor Plataforma de virtualización de red

Red física

Requisito: transporte de IP

Aplicación

Máquinavirtual

Máquinavirtual

Capa 3, Capas 4-7

Redvirtual

Redvirtual

La imagen de arriba establece una analogía entre la virtualización informática y de red. Con lavirtualización del servidor, una capa de abstracción de software (hipervisor de servidor) reproduce losatributos conocidos de un servidor físico x86 (por ejemplo, CPU, RAM, disco, NIC) en el software; deeste modo, esos atributos pueden ensamblarse programáticamente en cualquier combinación arbitrariapara producir una única máquina virtual en cuestión de segundos.

Con la virtualización de red, el equivalente funcional de un hipervisor de red reproduce en el software elconjunto completo de servicios de red de Capa 2 a Capa 7 (por ejemplo, conmutación, enrutamiento,control de acceso, protección de firewall, calidad de servicio [QoS] y equilibrio de carga). Comoconsecuencia, estos servicios pueden ensamblarse programáticamente en cualquier combinaciónarbitraria, para producir redes virtuales únicas y aisladas en cuestión de segundos.

Con la virtualización de red se obtienen beneficios similares a los que ofrece la virtualización del servidor.Por ejemplo, así como las máquinas virtuales son independientes de la plataforma x86 subyacente ypermiten que TI trate los hosts físicos como un grupo con capacidad informática, las redes virtuales sonindependientes del hardware de red IP subyacente y permiten que TI trate la red física como un grupocon capacidad de transporte que puede consumirse y reasignarse a petición. A diferencia de lasarquitecturas heredadas, las redes virtuales pueden aprovisionarse, cambiarse, almacenarse, eliminarsey restaurarse de forma programática sin volver a configurar la topología o el hardware físico subyacente.Al combinar las capacidades y los beneficios que ofrecen las soluciones conocidas de virtualización dealmacenamiento y del servidor, este enfoque de redes transformador despliega todo el potencial delcentro de datos definido por software.

NSX puede configurarse mediante vSphere Web Client, una interfaz de línea de comandos (CLI) y unaAPI de REST.

Este capítulo incluye los siguientes temas:

n Componentes de NSX

n NSX Edge


VMware, Inc. 16

n NSX Services

Componentes de NSXEn esta sección se describen los componentes de la solución NSX.

NSX Edge

vDSVXLAN Enrutador

lógico distribuidoFirewall

Módulos de extensión del hipervisor

NSX Manager

NSX vSwitch

NSX Controller

CMPConsumo

Planode administración

Plano de controlestado de tiempo de ejecución

Plano de datos

Tenga en cuenta que Cloud Management Platform (CMP) no es un componente de NSX, pero NSXproporciona la integración con casi cualquier CMP a través de la API de REST y la integración inmediatacon las CMP de VMware.

Plano de datosEl plano de datos de NSX consiste en NSX vSwitch, que se basa en vSphere Distributed Switch (VDS)con otros componentes que permiten habilitar servicios. Los módulos de kernel de NSX, los agentes deespacio de usuarios, los archivos de configuración y los scripts de instalación están empaquetados enVIB y se ejecutan dentro del kernel del hipervisor a fin de proveer servicios, como el enrutamientodistribuido y el firewall lógico, y habilitar capacidades de puente con VXLAN.

NSX vSwitch (basado en VDS) abstrae la red física y proporciona conmutación en el hipervisor en elnivel de acceso. Es fundamental para la virtualización de red, ya que habilita redes lógicas que sonindependientes de las construcciones físicas, como las VLAN. Algunos de los beneficios de vSwitch sonlos siguientes:

n Compatibilidad con redes de superposición con protocolos (como VXLAN) y configuración de redcentralizada Las redes de superposición habilitan las siguientes capacidades:

n Uso reducido de identificadores de VLAN en la red física

n Creación de una superposición de Capa 2 (L2) lógica flexible en las redes IP existentes de lainfraestructura física existente sin que sea necesario volver a establecer la arquitectura de lasredes del centro de datos


VMware, Inc. 17

n Aprovisionamiento de comunicación (Este-Oeste y Norte-Sur) a la vez que se mantiene elaislamiento entre las empresas

n Cargas de trabajo y máquinas virtuales de aplicaciones que son independientes de la red desuperposición y funcionan como si estuvieran conectadas a una red física de Capa 2

n Escala masiva facilitada de hipervisores

n Varias características, como la creación de reflejo del puerto, NetFlow/IPFIX, la restauración y lacopia de seguridad de la configuración, la comprobación del estado de red y la calidad de servicio(QoS) y LACP, proporcionan un kit de herramientas integral para la administración del tráfico, lasupervisión y la solución de problemas de una red virtual

Los enrutadores lógicos pueden proporcionar un puente de Capa 2 desde el espacio de red lógica(VXLAN) hasta la red física (VLAN).

El dispositivo de puerta de enlace generalmente es un dispositivo virtual NSX Edge. NSX Edge ofreceservicios de Capa 2 y Capa 3, firewall perimetral, equilibrio de carga y otros, como SSL VPN y DHCP.

Plano de controlEl plano de control de NSX se ejecuta en el clúster de NSX Controller. NSX Controller es un sistema deadministración de estado avanzado que proporciona funciones en el plano de control para elenrutamiento y la conmutación lógica de NSX. Es el punto de control central para todos losconmutadores lógicos de una red, además de que conserva la información de todos los hosts,conmutadores lógicos (VXLAN) y enrutadores lógicos distribuidos.

El clúster de controladoras se encarga de administrar los módulos de conmutación y enrutamientodistribuido de los hipervisores. Por la controladora no pasa ningún tráfico del plano de datos. Los nodosde controladora se implementan en un clúster de tres miembros para habilitar la escala y la altadisponibilidad. Cualquier error en los nodos no afecta el tráfico del plano de datos.

NSX Controller funciona distribuyendo la información de red a los hosts. A fin de alcanzar un alto nivel deresiliencia, NSX Controller se integra en un clúster para ofrecer escalabilidad horizontal y HA. NSXController debe implementarse en un clúster de tres nodos. Los tres dispositivos virtuales proporcionan,mantienen y actualizan el estado de funcionamiento de las redes del dominio NSX. Se utiliza NSXManager para implementar los nodos de NSX Controller.

Los tres nodos de NSX Controller forman un clúster de control. El clúster de controladoras requierecuórum (también llamado mayoría) para poder evitar una situación de "cerebro dividido". En ese tipo desituaciones, las incoherencias de datos surgen del mantenimiento de dos conjuntos de datos distintosque se superponen. Las inconsistencias pueden deberse a condiciones de error y a problemas con lasincronización de datos. Al tener tres nodos de controladora se garantiza la redundancia de datos encaso de que ocurra un error en un nodo de NSX Controller.

Un clúster de controladoras tiene varias funciones, entre ellas:

n Proveedor de API

n Servidor de persistencia

n Administrador de conmutadores


VMware, Inc. 18

n Administrador lógico

n Servidor de directorio

A cada función le corresponde un nodo de controladora maestro. Si se producen errores en un nodo decontroladora maestro para un rol, el clúster elige un nuevo nodo maestro para ese rol entre los nodosdisponibles de NSX Controller. El nuevo nodo maestro de NSX Controller para ese rol vuelve a asignarlas porciones perdidas de trabajo entre los nodos de NSX Controller restantes.

NSX admite tres modos para el plano de control de conmutadores lógicos: multidifusión, unidifusión ehíbrido. Al utilizar un clúster de controladoras para administrar los conmutadores lógicos basados enVXLAN deja de ser necesaria la compatibilidad de multidifusión de la infraestructura de red física. No esnecesario proporcionar direcciones IP para un grupo de multidifusión ni habilitar las características deenrutamiento de PMI o de intromisión de IGMP en los enrutadores o los conmutadores físicos. Por lotanto, los modos híbrido y de unidifusión desacoplan a NSX de la red física. Las VXLAN que están en elmodo de unidifusión del plano de control no requieren que la red física admita la multidifusión para poderadministrar el tráfico de difusión, de unidifusión desconocida y de multidifusión (BUM) dentro de unconmutador lógico. El modo de unidifusión replica todo el tráfico BUM localmente en el host y no requierela configuración de la red física. En el modo híbrido, parte de la replicación del tráfico BUM se descargaen el conmutador físico del primer salto para lograr un mejor rendimiento. El modo híbrido requiere laintromisión de IGMP en el conmutador del primer salto y el acceso a un solicitante de IGMP en cadasubred de VTEP.

Plano de administraciónLa creación del plano de administración de NSX se realiza mediante NSX Manager, el componente deadministración de red centralizada de NSX. Proporciona el único punto de configuración y los puntos deentrada de la API de REST.

NSX Manager se instala como dispositivo virtual en cualquier host ESX™ del entorno de vCenter Server.NSX Manager y vCenter tienen una relación uno a uno. Para cada instancia de NSX Manager, hay unade vCenter Server. Esto es cierto incluso en un entorno de Cross-vCenter NSX.

En un entorno de Cross-vCenter NSX, hay una instancia principal de NSX Manager y una o másinstancias secundarias de NSX Manager. La instancia principal de NSX Manager permite crear yadministrar conmutadores lógicos universales, enrutadores lógicos (distribuidos) universales y reglas defirewall universales. Las instancias secundarias de NSX Manager se utilizan para administrar servicios dered que corresponden localmente a la instancia específica de NSX Manager. Puede haber hasta sieteinstancias secundarias de NSX Manager asociadas con la instancia principal en un entorno de Cross-vCenter NSX.


VMware, Inc. 19

Plataforma de consumoEl consumo de NSX puede impulsarse directamente desde la interfaz de usuario de NSX Manager,disponible en vSphere Web Client. En general, los usuarios finales unen la virtualización de red conCloud Management Platform (CMP) para implementar aplicaciones. NSX proporciona una integracióncompleta en prácticamente cualquier CMP a través de las API de REST. La integración inmediatatambién está disponible mediante VMware vCloud Automation Center, vCloud Director y OpenStack conel complemento Neutron para NSX.

NSX EdgePuede instalar NSX Edge como una puerta de enlace de servicios Edge (ESG) o un enrutador lógicodistribuido (DLR). La cantidad de dispositivos Edge, incluidos las ESG y los DLR, está limitada a 250 porhost.

Puerta de enlace de servicios EdgeLa ESG brinda acceso a todos los servicios de NSX Edge, como firewall, NAT, DHCP, VPN, equilibrio decarga y alta disponibilidad. Puede instalar varios dispositivos virtuales de ESG en un centro de datos.Cada dispositivo virtual de ESG puede tener un total de diez interfaces de red interna y vínculo superior.Con un tronco, una ESG puede tener hasta 200 subinterfaces. Las interfaces internas se conectan agrupos de puertos protegidos y actúan como puerta de enlace para todas las máquinas virtualesprotegidas del grupo de puertos. La subred asignada a la interfaz interna puede ser un espacio de IPenrutado públicamente o un espacio de direcciones privado (RFC 1918) con uso de NAT. Las reglas defirewall y otros servicios NSX Edge se aplican en el tráfico entre las interfaces de red.

Las interfaces de vínculo superior de las ESG se conectan a grupos de puertos de vínculo superior quetienen acceso a una red compartida de la empresa o a un servicio que proporciona redes de capa deacceso. Se pueden configurar varias direcciones IP externas para los servicios de NAT, VPN de sitio asitio y equilibrador de carga.

Enrutador lógico distribuidoEl DLR proporciona enrutamiento distribuido de Este a Oeste con espacio de dirección IP de empresa yaislamiento de ruta de acceso de datos. Las máquinas virtuales o cargas de trabajo que residen en elmismo host, en diferentes subredes, pueden comunicarse entre sí sin necesidad de atravesar unainterfaz de enrutamiento tradicional.

Un enrutador lógico puede tener ocho interfaces de vínculo superior y hasta mil interfaces internas. Unainterfaz de vínculo superior de un DLR generalmente se empareja con una ESG, con un conmutador detránsito lógico de Capa 2 interviniente entre el DLR y la ESG. Una interfaz interna de un DLR seempareja con una máquina virtual alojada en un hipervisor ESX, con un conmutador lógico intervinienteentre la máquina virtual y el DLR.


VMware, Inc. 20

El DLR tiene dos componentes principales:

n El plano de control del DLR es un elemento que proporciona el dispositivo virtual del DLR (tambiéndenominado máquina virtual de control). Está máquina virtual es compatible con los protocolos deenrutamiento dinámico (BGP y OSPF), intercambia actualizaciones de enrutamiento con eldispositivo de salto de Capa 3 siguiente (generalmente, la puerta de enlace de servicios Edge) y secomunica con NSX Manager y el clúster de NSX Controller. La alta disponibilidad para el dispositivovirtual del DLR se admite mediante la configuración activo-en espera: se proporciona un par demáquinas virtuales que funcionan en los modos activo/en espera cuando se crea el DLR con lacaracterística HA habilitada.

n En el nivel del plano de datos, hay módulos de kernel del DLR (VIB) que se instalan en los hostsESXi que son parte del dominio NSX. Los módulos de kernel son similares a las tarjetas de línea deun chasis modular que admite el enrutamiento de Capa 3. Los módulos de kernel tienen una base deinformación de enrutamiento (RIB) (también conocida como tabla de enrutamiento) que se insertadesde el clúster de controladoras. Las funciones del plano de datos de búsqueda de rutas ybúsqueda de entradas de ARP se ejecutan mediante los módulos de kernel. Los módulos de kernelestán equipados con interfaces lógicas (denominadas LIF) que se conectan a diferentesconmutadores lógicos y a cualquier grupo de puertos respaldado por VLAN. Cada LIF tiene asignadauna dirección IP que representa la puerta de enlace IP predeterminada del segmento de Capa 2lógico al que se conecta y una dirección vMAC. La dirección IP es única para cada LIF, mientras quela misma vMAC se asigna a todas las LIF definidas.

Figura 3‑1. Componentes de enrutamiento lógico

1 Una instancia de DLR se crea a partir de la interfaz de usuario de NSX Manager (o con llamadasAPI) y se habilita el enrutamiento, con lo cual se aprovechan OSPF o BGP.


VMware, Inc. 21

2 NSX Controller aprovecha el plano de control con los hosts ESXi para insertar la nueva configuracióndel DLR, incluidas las LIF y sus direcciones IP y vMAC asociadas.

3 Si asumimos que el protocolo de enrutamiento también está habilitado en el dispositivo de saltosiguiente (NSX Edge [ESG] en este ejemplo), el emparejamiento OSPF o BGP se establece entre laESG y la máquina virtual de control del DLR. Posteriormente, la ESG y el DLR pueden intercambiarinformación de enrutamiento:

n La máquina virtual de control del DLR se puede configurar para redistribuir en OSPF losprefijos IP de todas las redes lógicas conectadas (172.16.10.0/24 y 172.16.20.0/24 en esteejemplo). Como consecuencia, esta máquina virtual inserta esos anuncios de ruta en NSX Edge.Observe que el salto siguiente de esos prefijos no es la dirección IP asignada a la máquinavirtual de control (192.168.10.3), sino la dirección IP que identifica el componente del plano dedatos del DLR (192.168.10.2). La primera se conoce como la "dirección del protocolo" del DLR,mientras que la segunda es la "dirección de reenvío".

n NSX Edge inserta en la máquina virtual de control los prefijos para comunicarse con las redes IPde la red externa. En la mayoría de los casos, es posible que NSX Edge envíe una sola rutapredeterminada, porque representa el único punto de salida hacia la infraestructura de red física.

4 La máquina virtual de control del DLR inserta las rutas IP conocidas por NSX Edge en el clúster decontroladoras.

5 El clúster de controladoras es el responsable de distribuir las rutas conocidas de la máquina virtualde control del DLR a los hipervisores. Cada nodo de controladora del clúster es responsable dedistribuir la información de una instancia de enrutador lógico en particular. En una implementacióncon varias instancias de enrutador lógico implementadas, la carga se distribuye entre los nodos decontroladora. Una instancia de enrutador lógico distinta generalmente se asocia con cada empresaimplementada.

6 Los módulos de kernel de enrutamiento del DLR de los hosts controlan el tráfico de la ruta de accesode datos para la comunicación con la red externa mediante NSX Edge.

NSX ServicesLos componentes de NSX trabajan juntos para brindar los servicios funcionales siguientes.

Conmutadores lógicosUna implementación de nube o un centro de datos virtual tiene una variedad de aplicaciones en variasempresas. Estas aplicaciones y empresas requieren un aislamiento entre sí por motivos de seguridad,aislamiento de errores y direcciones IP que no se superpongan. NSX permite la creación de variosconmutadores lógicos, cada uno de los cuales es un dominio de difusión lógico único. Una máquinavirtual de aplicaciones o empresa se puede conectar de forma lógica a un conmutador lógico. Estopermite flexibilidad y velocidad de implementación, al mismo tiempo que brinda todas las característicasde los dominios de difusión de una red física (VLAN) sin los problemas físicos de árbol de expansión odispersión en la Capa 2.


VMware, Inc. 22

Un conmutador lógico se distribuye a todos los hosts de vCenter (o todos los hosts de un entorno deCross-vCenter NSX) y puede abarcar todos estos hosts. Esto permite la movilidad de la máquina virtual(vMotion) dentro del centro de datos sin las restricciones del límite de la Capa 2 física (VLAN). Lainfraestructura física no está limitada por los límites de la tabla de MAC/FIB, dado que el conmutadorlógico contiene el dominio de difusión en software.

Enrutadores lógicosEl enrutamiento proporciona la información de reenvío necesaria entre los dominios de difusión deCapa 2 y permite disminuir el tamaño de los dominios de difusión de Capa 2, así como mejorar laeficiencia y la escala de la red. NSX amplía esta inteligencia hasta donde residen las cargas de trabajopara el enrutamiento de Este a Oeste. Esto permite una comunicación más directa de una máquinavirtual a otra sin la costosa necesidad en cuanto a tiempo y dinero de ampliar los saltos. Al mismotiempo, los enrutadores lógicos de NSX proporcionan conectividad de Norte a Sur y permiten que lasempresas accedan a redes públicas.

Firewall lógicoEl firewall lógico proporciona mecanismos de seguridad para los centros de datos virtuales dinámicos. Elcomponente firewall distribuido del firewall lógico permite segmentar entidades del centro de datosvirtual, como máquinas virtuales basadas en nombres y atributos de máquinas virtuales, identidad delusuario, objetos de vCenter (por ejemplo, centros de datos) y hosts, así como atributos de redestradicionales (direcciones IP, VLAN, etc.). El componente firewall de Edge ayuda a cumplir con losrequisitos clave de seguridad de perímetro, como la creación de DMZ según las construcciones deIP/VLAN, y permite el aislamiento de empresa a empresa en los centros de datos virtuales de variasempresas.

La característica de supervisión de flujo muestra la actividad de red entre las máquinas virtuales en elnivel del protocolo de aplicaciones. Puede utilizar esta información para auditar el tráfico de red, definir yrefinar las directivas de firewall, e identificar amenazas a la red.

Redes privadas virtuales (VPN) lógicasVPN SSL Plus permite a los usuarios remotos acceder a aplicaciones privadas de la empresa. La VPNIPsec ofrece conectividad de sitio a sitio entre una instancia de NSX Edge y sitios remotos con NSX ocon enrutadores de hardware/puertas de enlace VPN de terceros. La VPN de Capa 2 permite ampliar elcentro de datos permitiendo que las máquinas virtuales mantengan la conectividad de red al mismotiempo que mantienen la misma dirección IP en los límites geográficos.


VMware, Inc. 23

Equilibrador de carga lógicoEl equilibrador de carga de NSX Edge distribuye las conexiones de cliente dirigidas a una sola direcciónIP virtual (VIP) en varios destinos configurados como miembros de un grupo de equilibrio de carga.Distribuye las solicitudes de servicio entrante de manera uniforme entre los diversos servidores de formatal que la distribución de carga sea transparente para los usuarios. Así, el equilibrio de carga ayuda alograr una utilización de recursos óptima, maximizar la capacidad de proceso, minimizar el tiempo derespuesta y evitar la sobrecarga.

Service ComposerService Composer permite aprovisionar y asignar los servicios de red y seguridad a las aplicaciones enuna infraestructura virtual. Estos servicios se asignan a un grupo de seguridad y los servicios se aplicana las máquinas virtuales del grupo de seguridad por medio de una directiva de seguridad.

Data Security proporciona visibilidad de los datos confidenciales almacenados en los entornos de nube yvirtualizados de la organización e informa sobre cualquier infracción a la seguridad de los datos.

Extensibilidad de NSXLos proveedores de soluciones de terceros pueden integrar sus soluciones con la plataforma de NSXpara permitir que los clientes tengan una experiencia integrada en todos los productos de VMware y lassoluciones de partners. Los operadores del centro de datos pueden aprovisionar redes virtualescomplejas de varios niveles en cuestión de segundos, independientemente de los componentes o latopología de red subyacente.


VMware, Inc. 24

Descripción general de Cross-vCenter Networking andSecurity 4NSX 6.2 permite administrar varios entornos de vCenter NSX desde una única instancia principal de NSXManager.

Este capítulo incluye los siguientes temas:n Beneficios de Cross-vCenter NSX

n Cómo funciona Cross-vCenter NSX

n Matriz de compatibilidad de NSX Services en Cross-vCenter NSX

n Clúster de controladoras universal

n Zona de transporte universal

n Conmutadores lógicos universales

n Enrutadores lógicos (distribuidos) universales

n Reglas de firewall universal

n Objetos de seguridad y red universal

n Topologías de Cross-vCenter NSX

n Modificar los roles de NSX Manager

Beneficios de Cross-vCenter NSXLos entornos de NSX que contienen más de un sistema vCenter Server pueden administrarse de maneracentralizada.

Hay varios motivos por los que pueden requerirse varios sistemas vCenter Server. Por ejemplo:n Para superar límites de escala de vCenter Server

n Para admitir productos que requieren varios sistemas vCenter Server o sistemas vCenter Serverdedicados, como Horizon View o Site Recovery Manager

n Para separar entornos, por ejemplo, por unidad de negocios, empresa, organización o tipo deentorno

En NSX 6.1 y anteriores, si se implementan varios entornos de vCenter NSX, estos deben administrarsepor separado. En NSX 6.2, puede crear objetos universales en la instancia de NSX Manager primaria,que se sincronizan en todos los sistemas vCenter Server del entorno.

VMware, Inc. 25

Cross-vCenter NSX incluye estas características:

n Mayor expansión de las redes lógicas de NSX. Las mismas redes lógicas están disponibles en elentorno de vCenter NSX, por lo que es posible que las máquinas virtuales en cualquier clúster decualquier sistema vCenter Server se conecten con la misma red lógica.

n Administración centralizada de directivas de seguridad. Las reglas de firewall se administran desdeuna ubicación centralizada y se aplican a la máquina virtual independientemente de la ubicación odel sistema vCenter Server.

n Compatibilidad con los nuevos límites de movilidad en vSphere 6, incluidos Cross vCenter y vMotionde larga distancia en todos los conmutadores lógicos.

n Mayor compatibilidad con entornos de varios sitios, desde distancia de metros hasta 150 ms RTT.Esto incluye centros de datos activo-activo y activo-pasivo.

Los entornos de Cross-vCenter NSX ofrecen varios beneficios:

n Administración centralizada de objetos universales, lo que reduce el esfuerzo de administración.

n Mayor movilidad de las cargas de trabajo. Las máquinas virtuales pueden migrarse mediante vMotionen todas las instancias de vCenter Server sin necesidad de volver a configurar la máquina virtual ocambiar las reglas de firewall.

n Capacidades mejoradas de NSX de varios sitios y recuperación de desastres.

Nota La funcionalidad de Cross-vCenter NSX solo se admite en vSphere 6.0.

Cómo funciona Cross-vCenter NSXEn un entorno de Cross-vCenter NSX, puede haber varias instancias de vCenter Server, cada unaemparejado con su propia instancia de NSX Manager. A una instancia de NSX Manager se le asigna elrol de instancia principal y a las otras se les asigna el rol de instancias secundarias.

La instancia principal de NSX Manager se utiliza para implementar un clúster de controladorasuniversales que proporciona el plano de control al entorno de Cross-vCenter NSX. Las instanciassecundarias de NSX Manager no tienen su propio clúster de controladoras.

La instancia principal de NSX Manager puede crear objetos universales, como conmutadores lógicosuniversales. Estos objetos se sincronizan con las instancias secundarias de NSX Manager mediante elservicio de sincronización universal de NSX. Puede ver los objetos desde las instancias secundarias deNSX Manager, pero no puede editarlos. Debe utilizar la instancia principal de NSX Manager paraadministrar objetos universales. La instancia principal de NSX Manager puede utilizarse para configurarcualquiera de las instancias secundarias de NSX Manager en el entorno.

En las instancias principales y secundarias de NSX Manager, se pueden crear objetos locales para elentorno específico de vCenter NSX, como los conmutadores lógicos y los enrutadores lógicos(distribuidos). Existirán solo en el entorno de vCenter NSX en el que se crearon. No estarán visibles enotras instancias de NSX Manager del entorno de Cross-vCenter NSX.


VMware, Inc. 26

A las instancias de NSX Manager se les puede asignar el rol independiente. Esto equivale a los entornosprevios a NSX 6.2 con una única instancia de NSX Manager y vCenter. Una instancia de NSX Managerindependiente no puede crear objetos universales.

Nota Si cambia el rol de una instancia principal de NSX Manager a una independiente y existen objetosuniversales en el entorno de NSX, se asignará el rol de tránsito a NSX Manager. Los objetos universalesse mantienen, pero no pueden cambiarse, así como tampoco pueden crearse otros objetos universales.Se pueden eliminar objetos universales del rol de tránsito. El rol de tránsito solo debe utilizarse de formatemporal, por ejemplo, cuando la instancia de NSX Manager que se cambia es la principal.

VM VM VM VM VM VM VM VM VM VM VM VM

vCenter con NSXManager (principal)

Clúster de controladorasuniversales

Inventario local de vCenter

Enrutador lógico (distribuido) universal

Zona de transporte universal

Conmutadores lógicosuniversales

vCenter con NSXManager (secundario)

Sitio A



Sitio B


Sitio H

Sincronización de objetos universales

Configuración de objetos universales(vSphere Web Client y API)

Firewalldistribuidouniversal

Matriz de compatibilidad de NSX Services en Cross-vCenter NSXHay un subconjunto de servicios NSX Services disponibles para la sincronización universal en Cross-vCenter NSX


VMware, Inc. 27

Tabla 4‑1. Matriz de compatibilidad de NSX Services en Cross-vCenter NSX

NSX Service Detalles¿Es compatible con la sincronizaciónde Cross-vCenter NSX en NSX 6.2?

Conmutador lógico Zona de transporte Sí

Conmutador lógico Sí

Puentes de Capa 2 No

Enrutamiento Enrutador lógico (distribuido) Sí

Dispositivo enrutador lógico (distribuido) No por diseño. Se deben creardispositivos en cada instancia de NSXManager si se necesitan variosdispositivos por enrutador lógicouniversal. Esto permite distintasconfiguraciones por dispositivo, lo quepuede ser necesario en un entorno consalida local configurada.

Puerta de enlace de servicios NSX Edge No

Firewall lógico Firewall distribuido Sí

Lista de exclusiones No

SpoofGuard No

Supervisión de flujo para flujosagregados

No

Inserción de servicio de red No

Firewall de Edge No

VPN No

Equilibrador de carga lógico No

Otros servicios Edge No

Service Composer No

Seguridad de datos No

Extensibilidad de la red No

Objetos de seguridad y red Grupos de dirección IP (conjuntos IP) Sí

Grupos de dirección MAC(conjuntos MAC)

Sí

Grupos de direcciones IP No

Grupos de seguridad Sí, pero los grupos de seguridad solopueden contener objetos incluidos, nopertenencia dinámica ni objetosexcluidos.

Servicios Sí

Grupos de servicio Sí


VMware, Inc. 28

Clúster de controladoras universalCada entorno de Cross-vCenter NSX tiene un clúster de controladoras universal asociado con lainstancia de NSX Manager principal. Las instancias de NSX Manager secundarias no tienen clúster decontroladoras.

Dado que el clúster de controladoras universal es el único clúster de controladoras para el entorno deCross-vCenter NSX, mantiene información sobre los conmutadores lógicos universales y los enrutadoreslógicos universales al igual que sobre los conmutadores lógicos y los enrutadores lógicos que son localesen un par de NSX de vCenter.

Para evitar cualquier superposición de los identificadores de objetos, se mantienen grupos deidentificadores distintos para los objetos universales y los objetos locales.

Zona de transporte universalEn un entorno de Cross-vCenter NSX, puede haber solo una zona de transporte universal.

La zona de transporte universal se crea en la instancia de NSX Manager principal y se sincroniza en lasinstancias de NSX Manager secundarias. Los clústeres que deben participar en redes lógicasuniversales deben agregarse a la zona de transporte universal desde las instancias de NSX Managercorrespondientes.

Conmutadores lógicos universalesLos conmutadores lógicos universales permiten que las redes de Capa 2 abarquen varios sitios.

Al crear un conmutador lógico en una zona de transporte universal, se crea un conmutador lógicouniversal. Este conmutador está disponible en todos los clústeres de la zona de transporte universal. Lazona de transporte universal puede incluir clústeres en cualquier instancia de vCenter del entorno deCross-vCenter NSX.

El grupo de identificadores de segmentos se utiliza para asignar VNI a los conmutadores lógicos y elgrupo de identificadores de segmentos universales se utiliza para asignar VNI a los conmutadoreslógicos universales. Estos grupos no deben superponerse.

Debe utilizar un enrutador lógico universal para efectuar el enrutamiento entre los conmutadores lógicosuniversales. Si necesita realizar un enrutamiento entre un conmutador lógico universal y un conmutadorlógico, debe utilizar una puerta de enlace de servicios Edge.

Enrutadores lógicos (distribuidos) universalesLos enrutadores lógicos (distribuidos) universales ofrecen administración centralizada y unaconfiguración de enrutamiento que se puede personalizar en el nivel del enrutador lógico universal, elclúster o el host.


VMware, Inc. 29

Cuando crea un enrutador lógico universal, debe elegir si desea habilitar la salida local, dado que esto nose puede modificar después de la creación. La salida local permite controlar las rutas que seproporcionan a los hosts ESXi según un identificador, el identificador de región.

A cada instancia de NSX Manager se le asigna un identificador de región, que está establecido en elUUID de NSX Manager de forma predeterminada. Puede anular el identificador de región en los nivelessiguientes:

n Enrutador lógico universal

n Clúster

n Host ESXi

Si no habilita la salida local, el identificador de región se omite y todos los hosts ESXi conectados alenrutador lógico universal reciben las mismas rutas. Habilitar o no la salida local en un entorno de Cross-vCenter NSX es una decisión de diseño, pero no es necesaria para todas las configuraciones de Cross-vCenter NSX.

Reglas de firewall universalEl firewall distribuido en un entorno de Cross-vCenter NSX permite la administración centralizada de lasreglas que aplican a todas las instancias de vCenter Server del entorno. Es compatible con Cross-vCenter vMotion, lo que permite mover cargas de trabajo o máquinas virtuales de una instancia devCenter Server a otra y extender sin problemas la seguridad del centro de datos definido por software.

A medida que el centro de datos necesita escalar horizontalmente, es posible que la instancia de vCenterServer existente no escale en el mismo nivel. Esto puede requerir que se mueva un conjunto deaplicaciones a hosts más nuevos administrados por otra instancia de vCenter Server. O quizás se debanmover las aplicaciones de la etapa de copias intermedias a producción en un entorno donde losservidores de copias intermedias sean administrados por una instancia de vCenter Server y losservidores de producción, por otra instancia de vCenter Server. El firewall distribuido es compatible conestas situaciones de Cross-vCenter vMotion, dado que replica las directivas de firewall que se definenpara la instancia de NSX Manager principal en hasta siete instancias de NSX Manager secundarias.

Desde la instancia de NSX Manager principal, puede crear una sección de reglas de firewall distribuidomarcada para la sincronización universal. Puede crear una sección universal de reglas de Capa 2 y unasección universal de reglas de Capa 3. Estas secciones y sus reglas se sincronizan en todas lasinstancias de NSX Manager secundarias del entorno. Las reglas en otras secciones siguen siendolocales en la instancia de NSX Manager adecuada.

Las características de firewall distribuido siguientes no son compatibles en un entorno de Cross-vCenterNSX.

n Lista de exclusiones

n SpoofGuard

n Supervisión de flujo para flujos agregados

n Inserción de servicio de red


VMware, Inc. 30

n Firewall de Edge

Service Composer no es compatible con la sincronización universal, por lo que no es posible utilizarlopara crear reglas de firewall distribuido en la sección universal.

Objetos de seguridad y red universalPuede crear objetos de seguridad y red personalizados para utilizarlos en las reglas de firewalldistribuido en la sección universal.

n Conjuntos de direcciones IP universales

n Conjuntos de direcciones MAC universales

n Grupos de seguridad universales

n Servicios universales

n Grupos de servicios universales

Los objetos de seguridad y red universales se pueden crear solo desde la instancia de NSX Managerprincipal.

Los grupos de seguridad universales pueden contener solo conjuntos de direcciones IP universales,conjuntos de direcciones MAC universales y grupos de seguridad universales. La pertenencia se definesolamente con los objetos incluidos, no se pueden utilizar la pertenencia dinámica ni los objetosexcluidos.

Los grupos de seguridad universales no se pueden crear desde Service Composer. Los grupos deseguridad creados desde Service Composer son locales para esa instancia de NSX Manager.

Topologías de Cross-vCenter NSXSe puede implementar Cross-vCenter NSX en un solo sitio físico o en varios sitios.

Cross-vCenter NSX de varios sitios y de un solo sitioUn entorno de Cross-vCenter NSX permite utilizar los mismos conmutadores lógicos y otros objetos dered en varias instalaciones de vCenter NSX. Las instancias de vCenter pueden encontrarse en el mismositio o en sitios diferentes.

Independientemente de que el entorno de Cross-vCenter NSX se encuentre en un solo sitio o atraviesevarios sitios, se puede utilizar una configuración similar. Estas dos topologías de ejemplo consisten en losiguiente:

n Una zona de transporte universal que incluye todos los clústeres del sitio o de los sitios.

n Conmutadores lógicos universales asociados a la zona de transporte universal. Se utilizan dosconmutadores lógicos universales para conectar las máquinas virtuales y se utiliza uno como red detránsito para el vínculo superior del enrutador.

n Se agregan máquinas virtuales a los conmutadores lógicos universales.


VMware, Inc. 31

n Un enrutador lógico universal con un dispositivo NSX Edge para permitir el enrutamiento dinámico. Eldispositivo de enrutamiento lógico universal tiene interfaces internas en los conmutadores lógicosuniversales de la máquina virtual y una interfaz de vínculo superior en el conmutador lógico universalde la red de tránsito.

n Puertas de enlace de servicios Edge (ESG) conectadas a la red de tránsito y la red física delenrutador de salida.

Figura 4‑1. Cross-vCenter NSX en un solo sitio

VPNPVVPN

PV

VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM


Puerta de enlace de serviciosOSPF, BGP


Sitio A

Enrutador lógico (distribuido) universal

Enrutadoresfísicos

Conmutadorlógico universalRed de tránsitoE1 E8

Dispositivo delenrutador lógicouniversal



Emparejamiento x8


NSX Edge


VMware, Inc. 32

Figura 4‑2. Cross-vCenter NSX que abarca dos sitios

VPNPVVPN

PV



Puerta de enlace de servicios


OSPF, BGP

Sitio B

Enrutador lógico distribuido universal

Enrutadoresfísicos

Conmutadorlógico universalRed de tránsitoE1 E8

Dispositivo delenrutador lógicouniversal



Emparejamiento


Sitio A

NSX Edge

Salida localTodos los sitios de un entorno de Cross-vCenter NSX de varios sitios pueden utilizar los mismosenrutadores físicos para el tráfico de salida. No obstante, si es necesario personalizar las rutas de salida,debe habilitarse la característica de salida local al crear el enrutador lógico universal. De este modo,puede personalizar las rutas en el nivel del enrutador lógico universal, del clúster o del host.

Este ejemplo de un entorno de Cross-vCenter NSX en varios sitios tiene la salida local habilitada. Laspuertas de enlace de servicios Edge (ESG) en cada sitio tienen una ruta predeterminada que envíatráfico saliente a través de los enrutadores físicos del sitio. El enrutador lógico universal está configuradocon dos dispositivos, uno en cada sitio. Los dispositivos conocen las rutas de las ESG de su sitio. Lasrutas conocidas se envían al clúster universal de controladoras. Dado que la salida local está habilitada,


VMware, Inc. 33

el identificador de configuración regional del sitio se asocia con esas rutas. El clúster universal decontroladoras envía a los hosts rutas con identificadores de configuración regional coincidentes. Lasrutas conocidas del dispositivo del sitio A se envían a los hosts del sitio A y las rutas conocidas deldispositivo del sitio B se envían a los hosts del sitio B.

VPNPVVPN

PV


VPNPVVPN

PV


Puerta de enlace deservicios


OSPF, BGP

Sitio B

Enrutador lógico distribuido universal

Sitio AEnrutadores

físicos

Conmutadorlógico universal

Red de tránsito A

E1 E8

Enrutadorlógico universalDispositivoprincipal



Emparejamiento


Sitio A

Conmutadorlógico universalRed de tránsito B

Puerta de enlace de

servicios

E1 E8

Enrutadorlógico universal

Dispositivosecundario

OSPF, BGP

Emparejamiento

Identificador de configuración regional:Sitio A

Identificador de configuración regional:Sitio B

Sitio BEnrutadoresfísicos

NSX Edge NSX Edge

Modificar los roles de NSX ManagerNSX Manager puede tener el rol principal, el rol secundario o el rol independiente. El software desincronización especial se ejecuta en la instancia de NSX Manager principal y sincroniza todos losobjetos universales con las instancias de NSX Manager secundarias.


VMware, Inc. 34

Es importante comprender qué sucede cuando se cambia el rol de NSX Manager.

Establecer comoprincipal (Set asprimary)

Esta operación establece el rol de una instancia de NSX Manager comoprincipal e inicia el software de sincronización. Se produce un error en estaoperación si NSX Manager ya es una instancia principal o una secundaria.

Establecer comoindependiente (desdesecundaria) (Set asstandalone [fromsecondary])

Esta operación establece el rol de NSX Manager en modo de tránsito oindependiente. Es posible que se produzca un error en esta operación siNSX Manager ya tiene el rol independiente.

Establecer comoindependiente (desdeprincipal) (Set asstandalone [fromprimary])

Esta operación restablece la instancia de NSX Manager principal al modode tránsito o independiente, detiene el software de sincronización ycancela el registro de todas las instancias de NSX Manager secundarias.Es posible que se produzca un error en esta operación si NSX Manager yaes una instancia independiente o si no es posible comunicarse con lasinstancias de NSX Manager secundarias.

Desconectar deprincipal (Disconnectfrom primary)

Cuando se ejecuta esta operación en una instancia de NSX Managersecundaria, esta instancia se desconecta de forma unilateral de lainstancia de NSX Manager principal. Se debe utilizar esta operación si lainstancia de NSX Manager principal tuvo un error irrecuperable y si sedesea registrar la instancia de NSX Manager secundaria en una nuevainstancia principal. Si vuelve a aparecer la instancia NSX Manager principaloriginal, su base de datos sigue mostrando la instancia de NSX Managersecundaria como registrada. Para solucionar este problema, incluya laopción forzar (force) cuando desconecte o cancele el registro de lainstancia secundaria de la instancia principal original. La opción forzar(force) quita la instancia de NSX Manager secundaria de la base de datosde la instancia de NSX Manager principal original.


VMware, Inc. 35

Zonas de transporte 5Una zona de transporte controla con qué hosts puede comunicarse un conmutador lógico. Puedeexpandirse a uno o más clústeres vSphere. Las zonas de transporte establecen qué clústeres y, por lotanto, qué máquinas virtuales pueden participar en la utilización de una red en particular. En un entornode Cross-vCenter NSX, se puede crear una zona de transporte universal, que incluya clústeres decualquier instancia de vCenter del entorno. Se puede crear una sola zona de transporte universal.

Un entorno de NSX puede contener una o más zonas de transporte según los requisitos del usuario. Unclúster de hosts puede corresponder a varias zonas de transporte. Un conmutador lógico puedecorresponder a una sola zona de transporte.

NSX no permite conectar máquinas virtuales que se encuentran en diferentes zonas de transporte. Laexpansión de un conmutador lógico se limita a una zona de transporte, de modo que las máquinasvirtuales de diferentes zonas de transporte no pueden estar en la misma red de Capa 2. Los enrutadoreslógicos distribuidos no pueden conectarse a conmutadores lógicos que están en diferentes zonas detransporte. Después de desconectar el primer conmutador lógico, la selección de otros conmutadoreslógicos se limita a los de la misma zona de transporte. De forma similar, la puerta de enlace de serviciosEdge (ESG) tiene acceso a los conmutadores lógicos desde una sola zona de transporte.

Las siguientes directrices ayudan a diseñar las zonas de transporte:

NSX no permite conectar máquinas virtuales que se encuentran en diferentes zonas de transporte. Laexpansión de un conmutador lógico se limita a una zona de transporte, de modo que las máquinasvirtuales de diferentes zonas de transporte no pueden estar en la misma red de Capa 2. Los enrutadoreslógicos distribuidos no pueden conectarse a conmutadores lógicos que están en diferentes zonas detransporte. Después de desconectar el primer conmutador lógico, la selección de otros conmutadoreslógicos se limita a los de la misma zona de transporte. De forma similar, la puerta de enlace de serviciosEdge (ESG) tiene acceso a los conmutadores lógicos desde una sola zona de transporte.

Las siguientes directrices ayudan a diseñar las zonas de transporte:

n Si un clúster requiere conectividad de Capa 3, debe estar en una zona de transporte que tambiénincluya un clúster Edge, es decir, un clúster con dispositivos Edge de Capa 3 (enrutadores lógicosdistribuidos y puertas de enlace de servicios Edge).

n Supongamos que hay dos clústeres: uno para servicios web y otro para servicios de aplicaciones.Para que haya conectividad VXLAN entre las máquinas virtuales de estos dos clústeres, ambosdeben estar incluidos en la zona de transporte.

VMware, Inc. 36

n Tenga en cuenta que todos los conmutadores lógicos incluidos en la zona de transporte estarándisponibles y serán visibles para todas las máquinas virtuales de los clústeres incluidos en la zona detransporte. Si un clúster incluye entornos protegidos, quizás no sea conveniente que este clúster estédisponible para las máquinas virtuales de otros clústeres. En cambio, puede colocar el clústerprotegido en una zona de transporte más aislada.

n La expansión del conmutador distribuido de vSphere (VDS o DVS) debe coincidir con la de la zonade transporte. Al crear zonas de transporte en configuraciones de VDS de varios clústeres,asegúrese de que todos los clústeres del VDS seleccionado estén incluidos en la zona de transporte.Así se garantiza que el DLR esté disponible en todos los clústeres donde hay dvPortgroups de VDSdisponibles.

El siguiente diagrama muestra una zona de transporte que está correctamente alineada con el límite deVDS.

Si no cumple con esta práctica recomendada, tenga en cuenta que si un VDS se expande en más de unclúster de hosts y la zona de transporte incluye solo uno (o un subconjunto) de estos clústeres, cualquierconmutador lógico de esa zona de transporte podrá acceder a las máquinas virtuales de todos losclústeres abarcados por el VDS. En otras palabras, la zona de transporte no podrá limitar la expansióndel conmutador lógico a un subconjunto de clústeres. Si posteriormente conecta este conmutador lógicoa un DLR, debe asegurarse de que las instancias del enrutador se creen únicamente en el clústerincluido en la zona de transporte, a fin de evitar problemas en la Capa 3.


VMware, Inc. 37

Por ejemplo, cuando una zona de transporte no está alineada con el límite del VDS, el alcance de losconmutadores lógicos (5001, 5002 y 5003) y las instancias del DLR a las que están conectados quedandesasociados; esto provoca que las máquinas virtuales del clúster Comp A no puedan acceder a lasinterfaces lógicas (LIF) del DLR.


n Agregar una zona de transporte

n Ver y editar una zona de transporte

n Expandir una zona de transporte

n Contraer una zona de transporte

Agregar una zona de transporteUna zona de transporte controla con qué hosts puede comunicarse un conmutador lógico y puedeabarcar uno o más clústeres de vSphere. Las zonas de transporte establecen qué clústeres y, por lotanto, qué máquinas virtuales pueden participar en la utilización de una red en particular. Las zonas detransporte universales pueden expandir un clúster de vSphere en un entorno de Cross-vCenter NSX.

Puede tener una sola zona de transporte universal en un entorno de Cross-vCenter NSX.


VMware, Inc. 38

Requisitos previos

Determine la instancia de NSX Manager adecuada en la cual desea realizar los cambios.

n En un entorno de vCenter NSX independiente o individual, hay una sola instancia de NSX Manager.Por lo tanto, no hace falta seleccionarla.

n Los objetos universales deben administrarse desde la instancia NSX Manager principal.

n Los objetos locales a una instancia de NSX Manager deben administrarse desde esa instancia deNSX Manager.

n En un entorno de Cross-vCenter NSX donde no se habilitó Modo vinculado mejorado (EnhancedLinked Mode), es necesario realizar los cambios en la configuración desde el elemento vCentervinculado a la instancia de NSX Manager que se desea modificar.

n En un entorno de Cross-vCenter NSX con el Modo vinculado mejorado (Enhanced Linked Mode), esposible realizar cambios en la configuración de cualquier instancia de NSX Manager desde cualquiervCenter vinculado. Seleccione la instancia de NSX Manager apropiada desde el menú desplegableNSX Manager.

Procedimiento

1 En vCenter, desplácese hasta Inicio > Redes y seguridad > Instalación (Home > Networking &Security > Installation) y seleccione la pestaña Preparación de redes lógicas (Logical NetworkPreparation).

2 Haga clic en Zonas de transporte (Transport Zones) y en el icono Nueva zona de transporte ( )(New Transport Zone).

3 (opcional) Para agregar una zona de transporte universal, seleccione Marcar este objeto parasincronización universal (Mark this object for universal synchronization).

4 Seleccione el modo de replicación:

n Multidifusión (Multicast): para el plano de control se utilizan las direcciones IP de multidifusiónde la red física. Este modo se recomienda únicamente para actualizar a partir deimplementaciones de VXLAN anteriores. Se requiere PIM/IGMP en la red física.

n Unidifusión (Unicast): el plano de control es operado por NSX Controller. El tráfico deunidifusión aprovecha la replicación de cabecera optimizada. No se requieren direcciones IP demultidifusión ni ninguna configuración de red especial.

n Híbrido (Hybrid): descarga la replicación de tráfico local en la red física (multidifusión de Capa2). Para esto se requiere la intromisión de IGMP en el conmutador del primer salto y el acceso aun solicitante de IGMP en cada subred de VTEP, pero no se requiere tecnología PIM. Elconmutador del primer salto administra la replicación de tráfico de la subred.

Importante Si crea una zona de transporte universal y selecciona el modo de replicación híbrido,debe asegurarse de que la dirección de multidifusión utilizada no tenga conflictos con ninguna otradirección de multidifusión asignada a otra instancia de NSX Manager del entorno.


VMware, Inc. 39

5 Seleccione los clústeres que desea agregar a la zona de transporte.

Transport-Zone es una zona de transporte local a la instancia de NSX Manager donde se creó.

Universal-Transport-Zone es una zona de transporte universal que está disponible en todas lasinstancias de NSX Manager en un entorno de Cross-vCenter NSX.

Pasos siguientes

Si agregó una zona de transporte, puede agregar conmutadores lógicos.

Si agregó una zona de transporte universal, puede agregar conmutadores lógicos universales.

Si agregó una zona de transporte universal, puede seleccionar las instancias de NSX Managersecundarias y agregar sus clústeres a la zona de transporte universal.

Ver y editar una zona de transportePuede ver las redes lógicas en una zona de transporte elegida, así como los clústeres y el modo deplano de control de esa zona de transporte.

Procedimiento

1 En Zonas de transporte (Transport Zones), haga doble clic en una zona de transporte.

La pestaña Resumen (Summary) muestra el nombre y la descripción de la zona de transporte, asícomo la cantidad de conmutadores lógicos asociados con ella. La pestaña Detalles de la zona detransporte (Transport Zone Details) muestra los clústeres de la zona de transporte.

2 Haga clic en el icono Editar configuración (Edit Settings) de la sección Detalles de la zona detransporte (Transport Zone Details) para editar el nombre, la descripción o el modo de plano decontrol de la zona de transporte.

Si cambia el modo de plano de control de la zona de transporte, seleccione Migrar losconmutadores lógicos existentes al nuevo modo de plano de control (Migrate existing LogicalSwitches to the new control plane mode) a fin de cambiar este modo para los conmutadores lógicosexistentes que están vinculados a esa zona de transporte. Si no activa esta casilla, el nuevo modo deplano de control figurará solo en los conmutadores lógicos que se vincularon a esta zona detransporte después de la edición.

3 Haga clic en Aceptar (OK).

Expandir una zona de transporteEs posible agregar clústeres a una zona de transporte. Todas las zonas de transporte existentes estarándisponibles en los clústeres agregados recientemente.


VMware, Inc. 40

Requisitos previos

Los clústeres que agrega a una zona de transporte tienen la infraestructura de red instalada y estánconfigurados para VXLAN. Consulte la Guía de instalación de NSX.

Procedimiento

1 En Zonas de transporte (Transport Zones), haga clic en una zona de transporte.

2 Haga clic en el icono Agregar clúster (Add Cluster) ( ).

3 Seleccione los clústeres que desea agregar a la zona de transporte y haga clic en Aceptar (OK).

Contraer una zona de transporteEs posible quitar clústeres de una zona de transporte. El tamaño de las zonas de transporte existentesse reduce para alojar el ámbito contraído.

Procedimiento

1 En Zonas de transporte (Transport Zones), haga doble clic en una zona de transporte.

2 En Detalles de zona de transporte (Transport Zone Details), haga clic en el icono Quitar clústeres

(Remove Clusters) ( ).

3 Seleccione los clústeres que desea quitar.



VMware, Inc. 41

Conmutadores lógicos 6Una implementación de nube o un centro de datos virtual tiene una variedad de aplicaciones en variasempresas. Estas aplicaciones y empresas requieren estar aisladas entre sí por motivos de seguridad yde aislamiento de errores, y para evitar problemas de superposición de direccionamiento IP. Elconmutador lógico de NSX crea segmentos o dominios de transmisión lógicos a los que se puedencablear de forma lógica una aplicación o una máquina virtual de empresa. Esto permite flexibilidad yvelocidad de implementación, al mismo tiempo que brinda todas las características de los dominios dedifusión de una red física (VLAN) sin los problemas físicos de árbol de expansión o dispersión en laCapa 2.

Se distribuye un conmutador lógico y puede abarcar clústeres informáticos arbitrariamente grandes. Estopermite la movilidad de máquinas virtuales (vMotion) dentro del centro de datos sin las limitaciones dellímite (VLAN) de la Capa 2 física. La infraestructura física no necesita lidiar con los límites de la tabla deMAC/FIB dado que el conmutador lógico contiene el dominio de transmisión en software.

Un conmutador lógico se asigna a una VXLAN única, que encapsula el tráfico de la máquina virtual y lolleva por la red IP física.

VM VM VM

VM VM

Conmutador lógico 1

Conmutador lógico 2

vSphere Distributed Switch

NSX Manager

Clúster de la controladora

NSX Controller es el punto de control central de todos los conmutadores lógicos dentro de una red ymantiene la información de todas las máquinas virtuales, los hosts, los conmutadores lógicos y lasVXLAN. La controladora admite dos modos nuevos de plano de control del conmutador lógico,Unidifusión (Unicast) e Híbrido (Hybrid). Estos modos independizan NSX de la red física. Las VXLAN ya

VMware, Inc. 42

no requieren que la red física admita la multidifusión para controlar el tráfico de difusión, unidifusióndesconocida y multidifusión (BUM) dentro de un conmutador lógico. El modo de unidifusión replica todoel tráfico BUM localmente en el host y no requiere la configuración de la red física. En el modo híbrido,parte de la replicación del tráfico BUM se descarga en el conmutador físico del primer salto para lograrun mejor rendimiento. Este modo requiere la activación de la intromisión IGMP en el primer conmutadorfísico de saltos. Las máquinas virtuales dentro de un conmutador lógico pueden utilizar y enviar cualquiertipo de tráfico, incluidos el IPv6 y de multidifusión.

Es posible ampliar un conmutador lógico a un dispositivo físico agregando un puente de Capa 2.Consulte Capítulo 8Puentes L2.

Debe tener los permisos de rol de Súperadministrador (Super Administrator) o Administrador empresarial(Enterprise Administrator) para administrar conmutadores lógicos.


n Agregar un conmutador lógico

n Conectar máquinas virtuales a un conmutador lógico

n Probar la conectividad del conmutador lógico

n Evitar la suplantación en un conmutador lógico

n Editar un conmutador lógico

n Escenario del conmutador lógico

Agregar un conmutador lógicoRequisitos previos

n Tener permisos de rol de superadministrador o administrador Enterprise para configurar y administrarconmutadores locales.

n El puerto UDP de VXLAN debe estar abierto en las reglas de firewall (si corresponde). El puerto UDPde VXLAN puede configurarse mediante la API.

n La MTU de la infraestructura física debe tener al menos 50 bytes más que la MTU de la vNIC de lamáquina virtual.

n La dirección IP administrada debe estar establecida para cada instancia de vCenter Server en laconfiguración de tiempo de ejecución de vCenter Server. Consulte Administración de vCenter Servery de host.

n DHCP debe estar disponible en las VLAN de transporte de VXLAN si se utiliza DHCP para laasignación de direcciones IP para VMKNics.

n El tipo de conmutador virtual distribuido (proveedor, etc.) y la versión que se utilizan deben sercoherentes en una zona de transporte determinada. Los tipos no coherentes pueden generar uncomportamiento indefinido en el conmutador lógico.


VMware, Inc. 43

n Se debe configurar una directiva de formación de equipos de LACP adecuada y se deben conectarNIC físicas a los puertos. Para obtener más información sobre los modos de formación de equipos,consulte la documentación de VMware vSphere.

n La distribución de hash 5-tuple debe estar habilitada para el protocolo Protocolo de control de adiciónde enlaces (Link Aggregation Control Protocol, LACP).

n En el modo de multidifusión, el enrutamiento de multidifusión debe estar habilitado si el tráfico deVXLAN pasa por enrutadores. El usuario debe disponer de un rango de direcciones de multidifusiónproporcionado por el administrador de red.

n El puerto 1234 (el puerto de escucha predeterminado de la controladora) debe estar abierto en elfirewall para que el host ESX se comunique con las controladoras.

n (Recomendado) Para los modos de multidifusión e híbrido, debe estar habilitada la intromisión deIGMP en los conmutadores de Capa 2 a los que se conectan hosts participantes en VXLAN. Si laintromisión de IGMP está habilitada para la Capa 2, el solicitante de IGMP debe estar habilitado en elenrutador o el conmutador de Capa 3 con conectividad a redes compatibles con multidifusión.

Agregar un conmutador lógicoLos conmutadores lógicos NSX reproducen la funcionalidad de conmutación (unidifusión, multidifusión,difusión) en un entorno virtual completamente desacoplado del hardware subyacente. Los conmutadoreslógicos son similares a las VLAN en cuanto a que proporcionan conexiones de red a las que se puedenconectar máquinas virtuales. Los conmutadores lógicos son locales a una implementación de vCenterNSX individual. En una implementación de Cross-vCenter NSX, puede crear conmutadores lógicosuniversales, que pueden abarcar todas las instancias de vCenter. El tipo de zona de transporte determinasi el conmutador nuevo es un conmutador lógico o un conmutador lógico universal.

Requisitos previos

Tabla 6‑1. Requisitos previos para crear un conmutador lógico o un conmutador lógicouniversal

Conmutador lógico Conmutador lógico universal

n Los conmutadores distribuidos de vSphere deben estarconfigurados.

n NSX Manager debe estar instalado.n Las controladoras deben estar implementadas.n Los clústeres de hosts deben estar preparados para NSX.n VXLAN debe estar configurada.n Debe haber un grupo de identificadores de segmentos

configurado.n Debe haber una zona de transporte configurada.

n Los conmutadores distribuidos de vSphere debenestar configurados.

n NSX Manager debe estar instalado.n Las controladoras deben estar implementadas.n Los clústeres de hosts deben estar preparados para

NSX.n VXLAN debe estar configurada.n Se debe asignar una instancia de NSX Manager

principal.n Se debe configurar un grupo de identificadores de

segmentos universales.n Se debe crear una zona de transporte universal.


VMware, Inc. 44







Procedimiento

1 En vSphere Web Client, desplácese hasta Inicio > Redes y seguridad > Conmutadores lógicos(Home > Networking & Security > Logical Switches).

2 Seleccione la instancia de NSX Manager en la que desea crear un conmutador lógico. Para crear unconmutador lógico universal, debe seleccionar la instancia de NSX Manager principal.

3 Haga clic en el icono Nuevo conmutador lógico ( ) (New Logical Switch).

Por ejemplo:

4 Escriba un nombre y una descripción opcional para el conmutador lógico.


VMware, Inc. 45

5 Seleccione la zona de transporte en la que desea crear el conmutador lógico. Al seleccionar unazona de transporte universal, se creará un conmutador lógico universal.

De forma predeterminada, el conmutador lógico hereda el modo de replicación del plano de controlde la zona de transporte. Puede cambiarlo a uno de los otros modos disponibles. Los modosdisponibles son unidifusión, híbrido y multidifusión.

Si crea un conmutador lógico universal y selecciona el modo de replicación híbrido, debe asegurarsede que la dirección de multidifusión utilizada no tenga conflictos con ninguna otra dirección demultidifusión asignada a otra instancia de NSX Manager del entorno.

6 (Opcional) Haga clic en Habilitar detección de direcciones IP (Enable IP Discovery) para habilitarla supresión de ARP.

Esta configuración minimiza la saturación de tráfico ARP dentro de segmentos individuales de laVXLAN; en otras palabras, entre máquinas virtuales conectadas al mismo conmutador lógico. Ladetección de direcciones IP está habilitada de manera predeterminada.


VMware, Inc. 46

7 (Opcional) Haga clic en Habilitar detección de MAC (Enable MAC learning) si las máquinasvirtuales tienen varias direcciones MAC o van a utilizar NIC virtuales que son VLAN de enlacetroncal.

Al habilitar esta opción, se crea una tabla de emparejamiento de VLAN/MAC en cada vNIC. Estatabla se almacena como parte de los datos de dvfilter. Durante la ejecución de vMotion, dvfilterguarda y restaura la tabla en la nueva ubicación. A continuación, el conmutador emite RARP paratodas las entradas de VLAN/MAC de la tabla.

Este ejemplo muestra el conmutador lógico de aplicaciones con la configuración predeterminada.

DB-Tier-00 es el conmutador lógico conectado a una zona de transporte. Solo está disponible en lainstancia de NSX Manager en la que se creó.

DB-Tier-01 es un conmutador lógico universal conectado a una zona de transporte universal. Estádisponible en cualquiera de las instancias de NSX Manager del entorno de Cross-vCenter NSX.

El conmutador lógico y el conmutador lógico universal tienen identificadores de segmentos de distintosgrupos de identificadores de segmentos.

Pasos siguientes

Agregue máquinas virtuales a un conmutador lógico o un conmutador lógico universal.


VMware, Inc. 47

Cree un enrutador lógico y asócielo a conmutadores lógicos para habilitar la conectividad entre lasmáquinas virtuales que están conectadas a diferentes conmutadores lógicos.

Cree un enrutador lógico universal y asócielo a conmutadores lógicos universales para habilitar laconectividad entre las máquinas virtuales que están conectadas a diferentes conmutadores lógicosuniversales.

Conectar un conmutador lógico a NSX EdgeSi se conecta un conmutador lógico a una puerta de enlace de servicio de NSX Edge o a un enrutadorlógico de NSX Edge se proporciona enrutamiento de tráfico de Este a Oeste (entre los conmutadoreslógicos) o de Norte a Sur hacia el mundo exterior o para proporcionar servicios avanzados.

Procedimiento

1 En Conmutadores lógicos (Logical Switches), seleccione el conmutador lógico al que desea conectaruna instancia de NSX Edge.

2 Haga clic en el icono Conectar una instancia de Edge (Connect an Edge) ( ).

3 Seleccione la instancia de NSX Edge a la que desea conectar el conmutador lógico y haga clic enSiguiente (Next).

4 Seleccione la interfaz que desea conectar al conmutador lógico y haga clic en Siguiente (Next).

Generalmente, las redes lógicas se conectan a interfaces internas.

5 En la página Editar interfaz de NSX Edge (Edit NSX Edge interface), escriba un nombre para lainterfaz de NSX Edge-

6 Haga clic en Interna (Internal) o Vínculo superior (Uplink) para indicar si esta interfaz es interna ode vínculo superior.

7 Seleccione el estado de conectividad de la interfaz.

8 Si la instancia de NSX Edge a la que va a conectar el conmutador lógico tiene seleccionada la opciónConfiguración de HA manual (Manual HA Configuration), especifique dos direcciones IP deadministración en formato CIDR.

9 Edite el valor de MTU predeterminado, si es necesario.

10 Haga clic en Siguiente (Next).

11 Revise los detalles de conexión de NSX Edge y haga clic en Finalizar (Finish).

Implementar servicios en un conmutador lógicoPuede implementar servicios externos en un conmutador lógico.

Requisitos previos

Debe haber uno o más dispositivos virtuales de terceros instalados en la infraestructura.


VMware, Inc. 48

Procedimiento

1 En Conmutadores lógicos (Logical Switches), seleccione el conmutador lógico en el que deseaimplementar servicios.

2 Haga clic en el icono Agregar perfil de servicios (Add Service Profile) ( ).

3 Seleccione el servicio y el perfil de servicios que desea aplicar.


Conectar máquinas virtuales a un conmutador lógicoPuede conectar máquinas virtuales a un conmutador lógico o a un conmutador lógico universal.

Procedimiento

1 En Conmutadores lógicos (Logical Switches), seleccione el conmutador lógico al que deseeagregar máquinas virtuales.

2 Haga clic en el icono Agregar máquina virtual (Add Virtual Machine) ( ).

3 Seleccione las máquinas virtuales que desea agregar al conmutador lógico.

4 Seleccione las vNIC que desea conectar.


6 Revise las vNIC que seleccionó.

7 Haga clic en Finalizar (Finish).

Probar la conectividad del conmutador lógicoUna prueba de ping verifica si dos hosts de una red de transporte por VXLAN pueden alcanzarsemutuamente.

1 En Conmutadores lógicos (Logical Switches), haga doble clic en el conmutador lógico que deseaprobar en la columna Nombre (Name).

2 Haga clic en la pestaña Supervisar (Monitor).

3 Haga clic en la pestaña Hosts.

4 Haga clic en Examinar (Browse) en la sección Host de origen (Source Host). En el cuadro de diálogoSeleccionar host (Select Host), seleccione el host de destino.

5 Seleccione el tamaño del paquete de prueba.


VMware, Inc. 49

El tamaño estándar de VXLAN es de 1550 bytes (debe coincidir con la MTU de infraestructura física)sin fragmentación. Esto permite que NSX verifique la conectividad y compruebe que lainfraestructura está preparada para recibir el tráfico de VXLAN.

Un tamaño de paquete mínimo permite la fragmentación. Por lo tanto, con el tamaño de paqueteminimizado, NSX puede comprobar la conectividad pero no puede verificar si la infraestructura estálista para un tamaño de trama más grande.

6 Haga clic en Examinar (Browse) en la sección Host de destino (Destination Host). En el cuadro dediálogo Seleccionar host (Select Host), seleccione el host de destino.

7 Haga clic en Iniciar prueba (Start Test).

Se mostrarán los resultados de la prueba de ping de host a host.

Evitar la suplantación en un conmutador lógicoTras la sincronización con vCenter Server, NSX Manager recopila las direcciones IP de todas lasmáquinas virtuales invitadas de vCenter desde la instancia de VMware Tools en cada máquina virtual, obien desde la detección de direcciones IP si está habilitada. NSX no confía en todas las direcciones IPaprovisionadas por VMware Tools o la detección de direcciones IP. Si hay una máquina virtualcomprometida, la dirección IP puede suplantarse y las transmisiones maliciosas pueden omitir lasdirectivas de firewall.

SpoofGuard permite autorizar las direcciones IP informadas por VMware Tools o por la detección dedirecciones IP, y alterarlas si fuera necesario para evitar la suplantación. SpoofGuard confía de formaintrínseca en las direcciones MAC de las máquinas virtuales recopiladas a partir de archivos VMX yvSphere SDK. Dado que opera de forma separada de las reglas de firewall, SpoofGuard se puede utilizarpara bloquear el tráfico identificado como suplantado.

Para obtener más información, consulte Capítulo 13Utilizar SpoofGuard.

Editar un conmutador lógicoEs posible editar el nombre, la descripción y el modo del plano de control de un conmutador lógico.

Procedimiento

1 En Conmutadores lógicos (Logical Switches), seleccione el conmutador lógico que desea editar.

2 Haga clic en el icono Editar (Edit).

3 Realice los cambios deseados.



VMware, Inc. 50

Escenario del conmutador lógicoEsta situación presenta un caso donde la empresa ACME Enterprise tiene varios hosts ESX en dosclústeres de un centro de datos, ACME_Datacenter. Los departamentos de Ingeniería (en el grupo depuertos PG-Engineering) y de Finanzas (en el grupo de puertos PG-Finance) se encuentran en elCluster1. El departamento de Marketing (grupo de puertos PG-Marketing) se encuentra en el Cluster2.Ambos clústeres se administran desde una única instancia de vCenter Server 5.5.

Figura 6‑1. La red de ACME Enterprise antes de implementar conmutadores lógicos

PG de

Clúster 1

De finanzas: VLAN10:10.10.1.0/24De finanzas: VLAN20:10.20.1.0/24de marketing: VLAN30:10.30.1.0/24

vDS1

VM VM VM

vDS2

VM

Clúster 2

PG deingeniería finanzas

PG demarketing

Conmutadorfísico Conmutador

físico

VM VM VM

ACME se está quedando sin espacio de proceso en el Cluster1, mientras que el Cluster2 no se estáutilizando lo suficiente. El supervisor de red de ACME le pide a John Admin (el administrador devirtualización de ACME) que encuentre una forma de extender el departamento de Ingeniería al Cluster2de modo que las máquinas virtuales de Ingeniería de ambos clústeres puedan comunicarse entre ellas.De este modo, ACME podría utilizar la capacidad de proceso de ambos clústeres al ampliar su Capa 2.

Si John Admin siguiera un enfoque tradicional, debería conectar las VLAN por separado de un modoespecial para que los dos clústeres pertenezcan al mismo dominio de Capa 2. ACME debería comprarun nuevo dispositivo físico para separar el tráfico, lo cual ocasionaría problemas como desbordes de lasVLAN, bucles de red y sobrecarga de administración.

Pero John Admin recuerda haber visto una demostración de red lógica en VMworld y decide evaluarNSX. Llega a la conclusión de que conectar un conmutador lógico en dvSwitch1 y en dvSwitch2 lepermitirá ampliar la Capa 2 de ACME. Dado que John puede aprovechar NSX Controller, no seránecesario que toque la infraestructura física de ACME, ya que NSX trabaja arriba de las redes IPexistentes.


VMware, Inc. 51

Figura 6‑2. ACME Enterprise implementa un conmutador lógico

VM VM VM VM

El conmutador lógico abarca varias VLAN/subredes

VM VM VM

Ingeniería: VXLAN5000:10.10.1.0/24Finanzas: VLAN 20:10.20.1.0/24Marketing: VLAN 30:10.30.1.0/24

VM VM VMVM VM

vDS1 vDS2

Conmutador

PG de ingeniería

PG de ingeniería

PG de finanzas

PG de marketing

Clúster 1 Clúster 2

físico Conmutadorfísico

Una vez que John Admin haya creado un conmutador lógico en los dos clústeres, podrá mover convMotion las máquinas virtuales dentro de vDS.

Figura 6‑3. vMotion en una red lógica

VM VM VM VMVM VM VM

Ingeniería: VXLAN5000:10.10.1.0/24Finanzas: VLAN 20:10.20.1.0/24Marketing: VLAN 30:10.30.1.0/24

VM VM VMVM VM

vDS1 vDS2

PG de ingeniería

PG de ingeniería

PG de finanzas

PG de marketing

rango de vMotion rango de vMotion

Repasemos los pasos que siguió John Admin para crear una red lógica en ACME Enterprise.


VMware, Inc. 52

John Admin asigna el grupo de identificadores de segmentos y elrango de direcciones de multidifusión a NSX ManagerJohn Admin debe especificar el grupo de identificadores de segmentos que recibió para aislar el tráficode red de la empresa ABC.

Requisitos previos

1 John Admin verifica que dvSwitch1 y dvSwitch2 sean conmutadores distribuidos VMware de laversión 5.5.

2 John Admin establece la dirección IP administrada de vCenter Server.

a Seleccione Administración (Administration) > Configuración de vCenter Server (vCenterServer Settings) > Configuración del tiempo de ejecución (Runtime Settings).

b En IP administrada de vCenter Server (vCenter Server Managed IP), escriba 10.115.198.165.

c Haga clic en Aceptar (OK).

3 John Admin instala los componentes de virtualización de red en Cluster1 y Cluster2. Consulte Guíade instalación de NSX.

4 John Admin obtiene un grupo de identificadores de segmentos (5000 a 5250) del administrador deNSX Manager de ACME. Dado que está aprovechando NSX Controller, no requiere multidifusión ensu red física.

5 John Admin crea un grupo de direcciones IP para poder asignar una dirección IP estática a los VTEPde la VXLAN desde el grupo de direcciones IP. Consulte Agregar un grupo de direcciones IP.

Procedimiento

1 En vSphere Web Client, haga clic en Redes y seguridad (Networking & Security) > Instalación(Installation).

2 Haga clic en la pestaña Preparación de red lógica (Logical Network Preparation) y, a continuación,en Identificador de segmento (Segment ID).

3 Haga clic en Editar (Edit).

4 En Grupo de identificadores de segmento (Segment ID pool), escriba 5000 - 5250.

5 No seleccione Habilitar direccionamiento de multidifusión (Enable multicast addressing).


John Admin configura los parámetros de transporte de la VXLANJohn Admin configura la VXLAN en el Clúster 1 (Cluster 1) y el Clúster 2 (Cluster 2), donde asigna cadaclúster a una instancia de vDS. Cuando asigna un clúster a un conmutador, cada host de ese clúster sehabilita para los conmutadores lógicos.


VMware, Inc. 53

Procedimiento

1 Haga clic en la pestaña Preparación de host (Host Preparation).

2 En el Cluster1, seleccione Configurar (Configure) en la columna VXLAN.

3 En el cuadro de diálogo Configurar redes VXLAN (Configuring VXLAN networking), seleccionedvSwitch1 como el conmutador distribuido virtual del clúster.

4 Escriba 10 para que dvSwitch1 utilice como VLAN de transporte de ACME.

5 En Especificar atributos de transporte (Specify Transport Attributes), deje 1600 como Unidades detransmisión máximas (Maximum Transmission Units) (MTU) para dvSwitch1.

MTU es la cantidad máxima de datos que se pueden transmitir en un paquete antes de que se dividaen paquetes más pequeños. John Admin sabe que las tramas de tráfico del conmutador lógico de laVXLAN son ligeramente más grandes debido a la encapsulación, por lo que las MTU de cadaconmutador deben establecerse en 1550 o más.

6 En Direccionamiento IP de VMKNic (VMKNic IP Addressing), seleccione Utilizar grupo dedirecciones IP (Use IP Pool) y seleccione un grupo de direcciones IP.

7 En Directiva de formación de equipos de VMKNic (VMKNic Teaming Policy), seleccioneConmutación por error (Failover).

John Admin desea sostener la calidad de servicio en su red manteniendo el rendimiento de losconmutadores lógicos igual en condiciones normales y con errores. Por lo tanto, elige Conmutaciónpor error (Failover) como directiva de formación de equipos.

8 Haga clic en Agregar (Add).

9 Repita los pasos 4 a 8 para configurar la VXLAN en Cluster2.

Después de que John Admin asigna Cluster1 y Cluster2 al conmutador adecuado, los hosts en esosclústeres están preparados para los conmutadores lógicos:

1 Se agregan una vmknic y un módulo de kernel de VXLAN a cada host en el Clúster 1 (Cluster 1) y elClúster 2 (Cluster 2).

2 Se crea un dvPortGroup especial en la instancia de vSwitch asociada con el conmutador lógico y seconecta la VMKNic a él.

John Admin agrega una zona de transporteLa red física que respalda una red lógica se denomina transport zone. Una zona de transporte es eldiámetro informático que abarca una red virtualizada.

Procedimiento

1 Haga clic en Preparación de red lógica (Logical Network Preparation) y, a continuación, haga clicen Zonas de transporte (Transport Zones).

2 Haga clic en el icono Nueva zona de transporte (New Transport Zone).

3 En Nombre (Name), escriba ACME Zone.


VMware, Inc. 54

4 En Descripción (Description), escriba Zone containing ACME's clusters.

5 Seleccione Clúster 1 (Cluster 1) y Clúster 2 (Cluster 2) para agregar a la zona de transporte.

6 En Modo de plano de control (Control Plane Mode), seleccione Unidifusión (Unicast).


John Admin crea un conmutador lógicoUna vez que John Admin haya configurado los parámetros de transporte de la VXLAN, estará listo paracrear un conmutador lógico.

Procedimiento

1 Haga clic en Conmutadores lógicos (Logical Switches) y, a continuación, haga clic en el iconoNueva red lógica (New Logical Network).

2 En Nombre (Name), escriba ACME logical network.

3 En Descripción (Description), escribaLogical Network for extending ACME Engineering network to Cluster2.

4 En Zona de transporte (Transport Zone), seleccione Zona ACME (ACME Zone).


NSX crea un conmutador lógico que proporciona conectividad L2 entre dvSwitch1 y dvSwitch2.

Pasos siguientes

John Admin ahora puede conectar las máquinas virtuales de producción de ACME al conmutador lógicoy el conmutador lógico a un enrutador lógico o una puerta de enlace de servicios de NSX Edge.


VMware, Inc. 55

Configurar una puerta de enlacede hardware 7La configuración de una puerta de enlace de hardware asigna redes físicas a redes virtuales. Asignaresta configuración permite a NSX aprovechar la base de datos de vSwitch abierto (OVSDB).

La base de datos de OVSDB contiene información sobre el hardware físico y la red virtual. El hardwaredel proveedor aloja al servidor de la base de datos.

Los conmutadores de la puerta de enlace de hardware en las redes lógicas de NSX terminan en túnelesVXLAN. En la red virtual, los conmutadores de la puerta de enlace de hardware se conocen como VTEPde hardware. Para obtener más información sobre VTEP, consulte la Guía de instalación NSX y la Guíade diseño de virtualización de redes de NSX.

Una topología mínima con una puerta de enlace de hardware incluye los siguientes componentes:

n Servidor físico

n Conmutador de la puerta de enlace de hardware (puerto de Capa 2)

n Red IP

n Un mínimo de cuatro hipervisores, que incluyen dos clústeres de replicación con máquinas virtuales

n Clúster de la controladora con tres nodos como mínimo

La topología de ejemplo con una puerta de enlace de hardware muestra los dos hipervisores HV1 y HV2.La máquina virtual VM1 está en el hipervisor HV1. El VTEP1 está en el HV1, el VTEP2 está en el HV2 yel VTEP3 está en la puerta de enlace de hardware. La puerta de enlace de hardware está ubicada enuna subred 211 diferente, comparada con los dos hipervisores que están ubicados en la misma subred221.

La configuración subyacente de la puerta de enlace de hardware puede contar con cualquiera de lossiguientes componentes:

n Conmutador único

VMware, Inc. 56

n Varios conmutador físicos en bus con distintas direcciones IP

n Controladora del conmutador de hardware con varios conmutadores

NSX Controller se comunica con la puerta de enlace de hardware utilizando su dirección IP en el puerto6640. Esta conexión se utiliza para enviar y recibir transacciones de OVSDB desde las puertas de enlacede hardware.

Escenario: configuración de ejemplo de puerta de enlacede hardwareEste escenario describe las tareas utilizadas para configurar un conmutador de puerta de enlace dehardware con una implementación de NSX. La secuencia de tareas muestra cómo conectar la máquinavirtual VM1 al servidor físico y cómo conectar el conmutador lógico de WebService al servidor VLAN 160utilizando la puerta de enlace de hardware.

La topología de ejemplo muestra que la máquina virtual VM1 y el servidor VLAN están configurados conuna dirección IP en la subred 10. La máquina virtual VM1 está conectada al conmutador lógico deWebService. El servidor VLAN está conectado a VLAN 160 en el servidor físico.

Requisitos previos

n Lea la documentación del proveedor para comprobar si cumple los requisitos de la red física.

n Compruebe que cumple los requisitos de hardware y del sistema de NSX para la configuración de lapuerta de enlace de hardware. Consulte Capítulo 1Requisitos del sistema para NSX.

n Compruebe que el conmutador lógico se configuró correctamente. Consulte la Guía de instalación deNSX.

n Compruebe que las asignaciones de parámetros de transporte en VXLAN son precisas. Consulte laGuía de instalación de NSX.

n Recupere el certificado del proveedor de la puerta de enlace de hardware.

n Compruebe que el valor del puerto de VXLAN es 4789. Consulte la Guía de actualización de NSX.

Puede utilizar el comando de la API de REST, PUT /2.0/vdn/config/vxlan/udp/port/4789, paramodificar el número del puerto. Esta API no devuelve ninguna respuesta.

Procedimiento

1 Configurar el clúster de replicación

Un clúster de replicación está compuesto `PR hipervisores responsables de enviar el tráfico dedifusión que se recibe desde la puerta de enlace de hardware. El tráfico de difusión puede ser deunidifusión o multidifusión desconocida.


VMware, Inc. 57

2 Conectar la puerta de enlace de hardware a las instancias de NSX Controller

Es necesario configurar la tabla de administración de OVSDB en el conmutador físico ToR paraconectar la puerta de enlace de hardware a NSX Controller.

3 Agregar certificado de puerta de enlace de hardware

Para que la configuración funcione se debe agregar el certificado de puerta de enlace de hardwareal dispositivo.

4 Enlazar el conmutador lógico al conmutador físico

El conmutador lógico de WebService conectado a la máquina virtual VM1 debe estar comunicadocon la puerta de enlace de hardware de la misma subred.

Configurar el clúster de replicaciónUn clúster de replicación está compuesto `PR hipervisores responsables de enviar el tráfico de difusiónque se recibe desde la puerta de enlace de hardware. El tráfico de difusión puede ser de unidifusión omultidifusión desconocida.

Nota Los nodos de replicación y los conmutadores de la puerta de enlace de hardware no pueden estaren la misma subred IP.

Requisitos previos

Compruebe que cuenta con hipervisores disponibles para que actúen como nodos de replicación.

Procedimiento

1 Inicie sesión en vSphere Web Client.

2 Seleccione Redes y seguridad > Definiciones de servicio (Networking & Security > ServiceDefinitions).

3 Haga clic en la pestaña Dispositivos de hardware (Hardware Devices).

4 Haga clic en Editar (Edit) en la sección Clúster de replicación (Replication Cluster) para seleccionarlos hipervisores que actúen como nodos de replicación en dicho clúster.


VMware, Inc. 58

5 Seleccione los hipervisores y haga clic en la flecha azul.

Los hipervisores que haya seleccionado se mueven a la columna de objetos seleccionados.


Los nodos de replicación se agregan al clúster de replicación. Debe existir al menos un host en el clústerde replicación.

Conectar la puerta de enlace de hardware a las instancias de NSXControllerEs necesario configurar la tabla de administración de OVSDB en el conmutador físico ToR para conectarla puerta de enlace de hardware a NSX Controller.

La controladora escucha de forma pasiva el intento de conexión de ToR. Por lo tanto, la puerta de enlacede hardware debe usar la tabla de administración de OVSDB para iniciar la conexión.

Procedimiento

1 Utilice los comandos que se apliquen en su entorno para conectar la puerta de enlace de hardware ala instancia de NSX Controller.

Ejemplos de comandos para conectar la puerta de enlace de hardware y NSX Controller.

prmh-nsx-tor-7050sx-3#enable

prmh-nsx-tor-7050sx-3#configure terminal

prmh-nsx-tor-7050sx-3(config)#cvx

prmh-nsx-tor-7050sx-3(config-cvx)#service hsc

prmh-nsx-tor-7050sx-3(config-cvx-hsc)#manager 172.16.2.95 6640

prmh-nsx-tor-7050sx-3(config-cvx-hsc)#no shutdown

prmh-nsx-tor-7050sx-3(config-cvx-hsc)#end

2 Configure la tabla de administración de OVSDB en la puerta de enlace de hardware.

3 Configure el valor del número de puerto de OVSDB como 6640.


VMware, Inc. 59

4 (opcional) Compruebe que la puerta de enlace de hardware está conectada a NSX Controller através del canal de OVSDB.

n Compruebe que el estado de la conexión es ACTIVO (UP).

n Haga ping en la máquina virtual VM1 y en VLAN 160 para comprobar que la conexión seestableció correctamente.

5 (opcional) Compruebe que la puerta de enlace de hardware está conectada a NSX Controller.

a Inicie sesión en vSphere Web Client.

b Seleccione Redes y seguridad > > Instalación > nodos de NSX Controller (Networking &Security > Installation > NSX Controller nodes).

Agregar certificado de puerta de enlace de hardwarePara que la configuración funcione se debe agregar el certificado de puerta de enlace de hardware aldispositivo.

Requisitos previos

Compruebe que el certificado de la puerta de enlace de hardware de su entorno está disponible.

Procedimiento


2 Seleccione Redes y seguridad > Definiciones de servicio (Networking & Security > ServiceDefinitions).

3 Haga clic en la pestaña Dispositivos de hardware (Hardware Devices).


VMware, Inc. 60

4 Haga clic en el icono Agregar (Add) ( ) para establecer los detalles del perfil de la puerta de enlacede hardware.

Opción Descripción

Nombre y descripción Especifique un nombre de puerta de enlace de hardware.

Puede agregar detalles del perfil en la sección de descripción.

Certificado (Certificate) Pegue el certificado que extrajo del entorno.

Habilite BFD El protocolo de detección de envío bidireccional (BFD) (Bidirectional ForwardingDetection) está activado de forma predeterminada.

Este protocolo se utiliza para sincronizar la información de la configuración de lapuerta de enlace de hardware.


Se crea un perfil que representa la puerta de enlace de hardware.

6 Actualice la pantalla para comprobar que la puerta de enlace está disponible y se está ejecutando.

La conectividad debe estar ACTIVA (UP).


VMware, Inc. 61

7 (opcional) Haga clic en el perfil de la puerta de enlace de hardware y, a continuación, haga clic con elbotón derecho para seleccionar Ver el estado del túnel BFD (View the BFD Tunnel Status) en elmenú desplegable.

El cuadro de diálogo muestra el diagnóstico detallado del estado del túnel para solucionarproblemas.

Enlazar el conmutador lógico al conmutador físicoEl conmutador lógico de WebService conectado a la máquina virtual VM1 debe estar comunicado con lapuerta de enlace de hardware de la misma subred.

Nota Si enlaza varios conmutadores lógicos a puertos de hardware, debe realizar los siguientes pasosen cada conmutador lógico.

Requisitos previos

n Compruebe que el conmutador lógico de WebService está disponible. Consulte Agregar unconmutador lógico.

n Compruebe que hay un conmutador físico disponible.

Procedimiento


2 Seleccione Redes y seguridad > Conmutadores lógicos (Networking & Security > LogicalSwitches).

3 Localice el conmutador lógico de WebService y haga clic con el botón derecho para seleccionarAdministrar enlaces de Hardware (Manage Harware Bindings) en el menú desplegable.

4 Seleccione el perfil de la puerta de enlace de hardware.


VMware, Inc. 62

5 Haga clic en Agregar (Add) ( ) y en el menú desplegable seleccione el conmutador físico.

Por ejemplo, AristaGW.

6 Haga clic en Seleccionar (Select) para elegir un puerto físico en la lista Objetos disponibles(Available Objects).

Por ejemplo, Ethernet 18.


8 Especifique el nombre de la VLAN.

Por ejemplo, 160.


El enlace se completó.

NSX Controller sincroniza la información de la configuración lógica y física con la puerta de enlace dehardware.


VMware, Inc. 63

Puentes L2 8Puede crear un puente L2 entre un conmutador lógico y una VLAN, que le permite migrar las cargas detrabajo virtuales a dispositivos físicos sin tener impacto en las direcciones IP. Una red lógica puedeaprovechar una puerta de enlace L3 física y acceder a las redes físicas y los recursos de seguridadexistentes por medio de la conexión mediante un puente del dominio de transmisión del conmutadorlógico y el dominio de transmisión de la VLAN.

El puente L2 se ejecuta en el host que tiene la máquina virtual del enrutador lógico de NSX Edge. Unainstancia de puente L2 se asigna a una sola VLAN, pero puede haber varias instancias de puente. Elenrutador lógico no puede utilizarse como una puerta de enlace en dispositivos conectados a un puente.

Si está habilitado High Availability en el enrutador lógico y la máquina virtual de NSX Edge principalqueda inactiva, el puente se mueve automáticamente al host con la máquina virtual secundaria. Para quese produzca esta migración sin problemas, se debe haber configurado una VLAN en el host que tiene lamáquina virtual de NSX Edge secundaria.

VXLAN 5001

Bastidor de cálculo

VM

Carga de trabajo física

Puerta de enlace física

VLAN

100

Máquina virtualde enrutador lógicode NSX Edge

puente de Capa 2

VMware, Inc. 64

Tenga en cuenta que no debe utilizar un puente L2 para conectar un conmutador lógico a otroconmutador lógico, una red VLAN a otra red VLAN o interconectar centros de datos. Además, no puedeutilizar un enrutador lógico universal para configurar la conexión con puentes y no puede agregar unpuente a un conmutador lógico universal.


n Agregar puente de Capa 2

n Agregar un puente de Capa 2 a un entorno con enrutamiento lógico

Agregar puente de Capa 2Puede agregar un puente desde un conmutador lógico a un grupo de puertos virtuales distribuidos.

Requisitos previos

Debe implementarse un enrutador lógico NSX en el entorno.

No se puede utilizar un enrutador lógico universal para configurar el puente, ni tampoco agregar unpuente a un conmutador lógico universal.

Procedimiento


2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Instancias de NSXEdge (NSX Edges).

3 Haga doble clic en un enrutador lógico.

4 Haga clic en Administrar (Manage) y, a continuación, haga clic en Puente (Bridging).

5 Haga clic en el icono Agregar ( ) (Add).

6 Introduzca un nombre para el puente.

7 Seleccione el conmutador lógico para el que desea crear un puente.

8 Seleccione el grupo de puertos virtuales distribuidos con el que desea conectar mediante puente elconmutador lógico.


Agregar un puente de Capa 2 a un entorno conenrutamiento lógicoUn enrutador lógico puede tener varias instancias de puente; sin embargo, las instancias deenrutamiento y puente no pueden compartir la misma red vxlan/vlan. El tráfico hacia y desde la vlan y lavxlan conectadas en puente no puede enrutarse hacia la red conectada mediante puente, y viceversa.

Requisitos previos

n Debe implementarse un enrutador lógico NSX en el entorno.


VMware, Inc. 65

n No se puede utilizar un enrutador lógico universal para configurar el puente, ni tampoco agregar unpuente a un conmutador lógico universal.

Procedimiento



3 Haga doble clic en el enrutador lógico que se utilizará para el puente.

Nota La instancia de puente debe crearse en la misma instancia de enrutamiento a la cual estáconectada la vxlan. Una instancia de puente puede tener una vxlan y una vlan, pero estas no puedensuperponerse. La misma vxlan y vlan no pueden conectarse a más de una instancia de puente.

4 Haga clic en Administrar (Manage) y, a continuación, haga clic en Puente (Bridging).

El conmutador lógico que se utiliza como enrutador mostrará el mensaje Enrutamiento habilitado(Routing Enabled).

5 Haga clic en el icono Agregar ( ) (Add).

6 Introduzca un nombre para el puente.

7 Seleccione el conmutador lógico para el que desea crear un puente.

8 Seleccione el grupo de puertos virtuales distribuidos con el que desea conectar mediante puente elconmutador lógico.


10 Haga clic nuevamente en Aceptar (OK) en la ventana Agregar puente (Add Bridge).

11 Haga clic en Publicar (Publish) para que se apliquen los cambios en la configuración del puente.

El conmutador lógico que se utiliza para el puente ahora aparecerá con la opción Enrutamientohabilitado (Routing Enabled) especificada. Para obtener más información, consulte Agregar unconmutador lógico y Conectar máquinas virtuales a un conmutador lógico.


VMware, Inc. 66

Enrutamiento 9Es posible especificar el enrutamiento estático y dinámico de cada instancia de NSX Edge.

El enrutamiento dinámico proporciona la información de reenvío necesaria entre los dominios de difusiónde Capa 2, por lo cual permite reducir los dominios de difusión de Capa 2, además de mejorar la escala yla eficiencia de la red. NSX extiende su inteligencia al lugar donde residen las cargas de trabajo pararealizar el enrutamiento de Este a Oeste. De este modo, hay más comunicación directa entre lasmáquinas virtuales sin el tiempo o el costo adicionales que requiere extender saltos. Al mismo tiempo,NSX proporciona conectividad de Norte a Sur, por lo cual permite que las empresas accedan a las redespúblicas.

Este capítulo incluye los siguientes temas:n Agregar un enrutador lógico (distribuido)

n Agregar una puerta de enlace de servicios Edge

n Especificar una configuración global

n Configuración de NSX Edge

n Agregar una ruta estática

n Configurar OSPF en un enrutador lógico (distribuido)

n Configurar el protocolo OSPF en una puerta de enlace de servicios Edge

n Configurar BGP

n Configurar el protocolo IS-IS

n Configurar la redistribución de rutas

n Ver el identificador de configuración local de NSX Manager

n Configurar el identificador de configuración regional en un enrutador lógico universal (distribuido)

n Configurar el identificador de configuración regional en un host o un clúster

VMware, Inc. 67

Agregar un enrutador lógico (distribuido)Los módulos de kernel del enrutador lógico del host realizan el enrutamiento entre la redes VXLAN yentre las redes virtual y física. Un dispositivo NSX Edge proporciona la capacidad de enrutamientodinámico, cuando es necesario. Los enrutadores lógicos pueden crearse tanto en instancias principalescomo secundarias de NSX Manager, en un entorno de Cross-vCenter NSX, pero los enrutadores lógicosuniversales solo pueden crearse en la instancia principal de NSX Manager.

En la siguiente lista se describen las características admitidas por tipo de interfaz (interna y de vínculosuperior) en el enrutador lógico:

n Se admiten protocolos de enrutamiento dinámico (BGP y OSPF) solo en las interfaces de vínculosuperior.

n Las reglas de firewall son aplicables solo en las interfaces de vínculo superior, y están limitadas altráfico de control y de administración destinado al dispositivo Edge virtual.

n Para obtener más información sobre la interfaz de administración de DLR, consulte el artículo de labase de conocimientos relacionado con consideraciones sobre la interfaz de administración de lamáquina virtual de control del enrutador lógico distribuido (http://kb.vmware.com/kb/2122060).

Requisitos previos

n Se le debe haber asignado la función de administrador de Enterprise o administrador de NSX.

n Debe tener un clúster de controladora operativo en el entorno antes de instalar un enrutador lógico.

n Se debe crear un grupo de identificadores de segmentos local aunque no esté previsto crearconmutadores lógicos NSX.

n Los enrutadores lógicos no pueden distribuir información de enrutamiento a hosts sin la ayuda de lascontroladoras NSX Controller. Los enrutadores lógicos dependen de las controladoras NSXController para funcionar, mientras que las puertas de enlace de servicios Edge (edge servicesgateways, ESG) no. Asegúrese de que el clúster de controladoras esté en funcionamiento ydisponible antes de crear o modificar la configuración del enrutador lógico.

n Si se desea conectar un enrutador lógico a los dvPortgroups de VLAN, asegúrese de que todos loshosts del hipervisor con un dispositivo de enrutador lógico instalado puedan comunicarse entre sí enel puerto UDP 6999 para que funcione el proxy ARP basado en la VLAN del enrutador lógico.

n Las interfaces del enrutador lógico y las interfaces puente no pueden conectarse a un dvPortgroup siel identificador de la VLAN está establecido en 0.

n Una instancia de enrutador lógico determinada no puede conectarse a los conmutadores lógicos queexisten en zonas de transporte diferentes. El objetivo de esto es garantizar que todas las instanciasde conmutadores lógicos y enrutadores lógicos estén alineadas.

n Los enrutadores lógicos conectados a conmutadores lógicos que abarcan más de un conmutadordistribuido de vSphere (vSphere distributed switch, VDS) no se pueden conectar a grupos de puertosrespaldados por VLAN. El objetivo de esto es garantizar una correcta alineación de las instancias deenrutadores lógicos con los dvPortgroups de conmutadores lógicos en todos los hosts.


VMware, Inc. 68

https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2122060

n No deben crearse interfaces de enrutadores lógicos en dos grupos de puertos distribuidos(dvPortgroups) diferentes con el mismo identificador de VLAN si las dos redes están en el mismoconmutador distribuido de vSphere.

n No deben crearse interfaces de enrutadores lógicos en dos dvPortgroups diferentes con el mismoidentificador de VLAN si las dos redes están en conmutadores distribuidos de vSphere diferentes,pero los dos conmutadores distribuidos de vSphere comparten los mismos hosts. En otras palabras,pueden crearse interfaces de enrutadores lógicos en dos redes diferentes con el mismo identificadorde VLAN si los dos dvPortgroups están en dos conmutadores distribuidos de vSphere diferentes,siempre que los conmutadores distribuidos de vSphere no compartan un host.

n A diferencia de las versiones 6.0 y 6.1 de NSX, la versión 6.2 de NSX permite conectar interfaceslógicas (logical interfaces, LIF) enrutadas mediante enrutadores a una VXLAN conectada en puentecon una VLAN.

n Al seleccionar la colocación de un dispositivo virtual de un enrutador lógico, evite colocarlo en elmismo host que uno o varios de sus ESG ascendentes, en caso de que utilice ESG en laconfiguración de ECMP. Puede utilizar reglas de antiafinidad de DRS para aplicar esto, lo quereducirá el impacto de los errores del host en el reenvío de enrutadores lógicos. Estas instruccionesno se aplican si tiene un ESG ascendente individual o en modo de alta disponibilidad. Para obtenermás información, consulte la Guía de diseño de virtualización de redes de VMware NSX for vSphereen https://communities.vmware.com/docs/DOC-27683.







n Determine qué tipo de enrutador lógico debe agregar:

n Si necesita conectar un conmutador lógico, debe agregar un enrutador lógico.


VMware, Inc. 69

https://communities.vmware.com/docs/DOC-27683

n Si necesita conectar un conmutador lógico universal, debe agregar un enrutador lógico universal.

n Si va a agregar un enrutador lógico universal, determine si necesita habilitar la salida local. La salidalocal permite enviar rutas a hosts de manera selectiva. Quizás sea conveniente utilizar esta opción sila implementación de NSX se expande a varios sitios. Consulte Topologías de Cross-vCenter NSXpara obtener más información. No puede habilitar la salida local después de crear el enrutador lógicouniversal.

Procedimiento

1 En vSphere Web Client, desplácese hasta Inicio > Redes y seguridad > NSX Edge (Home >Networking & Security > NSX Edges).

2 Seleccione la instancia de NSX Manager apropiada en la que desea realizar cambios. Si va a crearun enrutador lógico universal, debe seleccionar la instancia de NSX Manager principal.

3 Haga clic en el icono Agregar (Add) ( ).

4 Seleccione el tipo de enrutador lógico que desea agregar:

n Seleccione Enrutador lógico (distribuido) (Logical [Distributed] Router) para agregar unenrutador lógico a la instancia de NSX Manager seleccionada.

n Seleccione Enrutador lógico universal (distribuido) (Universal Logical [Distributed] Router)para agregar un enrutador lógico que pueda expandir el entorno de Cross-vCenter NSX. Estaopción estará disponible solo si tiene una instancia de NSX Manager principal asignada y sirealiza cambios desde ella.

a Si seleccionó Enrutador lógico universal (distribuido) (Universal Logical [Distributed] Router),además debe seleccionar si desea habilitar el egreso local.

5 Introduzca un nombre para el dispositivo.

Este nombre aparece en el inventario de vCenter. El nombre debe ser único en todos los enrutadoreslógicos de una sola empresa.

De manera opcional, también puede introducir un nombre de host. Este nombre aparece en lainterfaz de línea de comandos. Si no especifica un nombre de host, la interfaz de línea de comandosmuestra el identificador de Edge, que se crea automáticamente.

De manera opcional, puede introducir una descripción y especificar la empresa.

6 Implemente un dispositivo Edge.

La opción Implementar dispositivo Edge (Deploy Edge Appliance) está seleccionada de formapredeterminada. Se requiere un dispositivo Edge (también denominado dispositivo virtual deenrutador lógico) para el enrutamiento dinámico y para el firewall del dispositivo de enrutador lógico,que se aplica a los ping del enrutador, al acceso de SSH y al tráfico de enrutamiento dinámico.

Puede desactivar la opción de dispositivo Edge si necesita solo rutas estáticas y no deseaimplementar un dispositivo Edge. No puede agregar un dispositivo Edge al enrutador lógico una vezque este enrutador ya está creado.


VMware, Inc. 70

7 (opcional) Habilite High Availability.

La opción Habilitar disponibilidad alta (Enable High Availability) no está seleccionada de formapredeterminada. Marque la casilla de verificación Habilitar disponibilidad alta (Enable HighAvailability) para habilitar y configurar la disponibilidad alta. Se requiere High Availability si suintención es utilizar un enrutamiento dinámico.

8 Escriba y vuelva a escribir una contraseña para el enrutador lógico.

La contraseña debe tener entre 12 y 255 caracteres, y debe contener lo siguiente:

n Al menos una letra en mayúscula

n Al menos una letra en minúscula

n Al menos un número

n Al menos un carácter especial


VMware, Inc. 71

9 (opcional) Habilite SSH y establezca el nivel de registro.

De forma predeterminada, SSH no está habilitado. Si no habilita SSH, puede abrir la consola deldispositivo virtual para seguir accediendo al enrutador lógico. Habilitar SSH aquí hace que el procesode SSH se ejecute en el dispositivo virtual del enrutador lógico, pero además será necesario ajustarmanualmente la configuración de firewall del enrutador lógico para permitir el acceso de SSH a ladirección de protocolo del enrutador lógico. La dirección del protocolo se establece cuando seconfigura el enrutamiento dinámico en el enrutador lógico.

De forma predeterminada, el registro está en nivel de emergencia.

Por ejemplo:


VMware, Inc. 72

10 Configure la implementación.

u Si no seleccionó Implementar NSX Edge (Deploy NSX Edge), el icono Agregar ( ) (Add) estáatenuado. Haga clic en Siguiente (Next) para continuar con la configuración.

u Si seleccionó Implementar NSX Edge (Deploy NSX Edge), introduzca la configuración deldispositivo virtual del enrutador lógico que se agregará al inventario de vCenter.

Por ejemplo:

11 Configure las interfaces.

En los enrutadores lógicos, solo se admiten las direcciones IPv4.

En la sección Configuración de la interfaz de HA (HA Interface Configuration), si selecciona la opciónImplementar NSX Edge (Deploy NSX Edge), debe conectar la interfaz al grupo del puertodistribuido. Le recomendamos que utilice un conmutador lógico VXLAN para la interfaz de HA. Seelegirá una dirección IP para cada uno de los dos dispositivos NSX Edge en el espacio de direcciónlocal del vínculo (169.250.0.0/16). No es necesario realizar más cambios en la configuración paraconfigurar el servicio de HA.

Nota En versiones anteriores de NSX, la interfaz de HA se denominaba interfaz de administración.La interfaz de HA no permite el acceso remoto al enrutador lógico. No es posible habilitar SSH paraacceder a la interfaz de HA desde ningún lugar que no se encuentre en la misma subred IP que lainterfaz de HA. No se pueden configurar rutas estáticas que apunten hacia afuera de la interfaz deHA, lo que significa que RPF descartará el tráfico entrante. En teoría, se puede deshabilitar RPF,pero esto sería contraproducente para High Availability. Para SSH, utilice la dirección de protocolodel enrutador lógico, que se establece posteriormente cuando se configura el enrutamiento dinámico.

En NSX 6.2, la interfaz de HA de un enrutador lógico se excluye automáticamente de laredistribución de rutas.

En la sección Configurar interfaces de esta instancia de NSX Edge (Configure interfaces of thisNSX Edge), las interfaces internas están diseñadas para conexiones a conmutadores que permitenla comunicación entre máquinas virtuales (a la que a veces se denomina comunicación este-oeste).Las interfaces internas se crean como pseudo vNIC en el dispositivo virtual del enrutador lógico. Lasinterfaces de vínculo superior se utilizan en la comunicación de Norte a Sur. Es posible que unainterfaz del vínculo superior del enrutador lógico se conecte a una puerta de enlace de servicios de


VMware, Inc. 73

NSX Edge, a una máquina virtual del enrutador externo de esta o a un dvPortgroup respaldado porVLAN para que el enrutador lógico se conecte al enrutador físico directamente. Se debe tener almenos una interfaz de vínculo superior para que el enrutamiento dinámico funcione. Las interfacesde vínculo superior se crean como vNIC en el dispositivo virtual del enrutador lógico.

La configuración de la interfaz especificada en este punto se puede modificar más adelante. Esposible agregar, eliminar y modificar interfaces después de implementar un enrutador lógico.

El siguiente ejemplo muestra una interfaz de HA conectada al grupo de puertos distribuidos deadministración. El ejemplo también muestra dos interfaces internas (aplicación y web) y una interfazde vínculo superior (a ESG).


VMware, Inc. 74

12 Configure una puerta de enlace predeterminada.

Por ejemplo:

13 Asegúrese de que todas las máquinas virtuales asociadas a los conmutadores lógicos tengan suspuertas de enlace predeterminadas establecidas adecuadamente en las direcciones IP de la interfazdel enrutador lógico.

En el siguiente ejemplo de topología, la puerta de enlace predeterminada de la máquina virtual de laaplicación debe ser 172.16.20.1. La puerta de enlace predeterminada de la máquina virtual web debe ser172.16.10.1. Compruebe que las máquinas virtuales puedan hacer ping en sus puertas de enlacepredeterminadas y entre sí.


VMware, Inc. 75

Inicie sesión en NSX Manager mediante SSH y ejecute los siguientes comandos:

n Vea un listado con toda la información de la instancia del enrutador lógico.

nsxmgr-l-01a> show logical-router list all

Edge-id Vdr Name Vdr id #Lifs

edge-1 default+edge-1 0x00001388 3

n Vea un listado de los hosts que recibieron información de enrutamiento para el enrutador lógico delclúster de controladoras.

nsxmgr-l-01a> show logical-router list dlr edge-1 host

ID HostName

host-25 192.168.210.52

host-26 192.168.210.53

host-24 192.168.110.53

En el resultado se incluyen todos los hosts de todos los clústeres de hosts configurados comomiembros de la zona de transporte a la que pertenece el conmutador lógico que está conectado alenrutador lógico especificado (en este ejemplo, edge-1).

n Vea un listado con la información de la tabla de enrutamiento que se comunica a los hosts medianteel enrutador lógico. Las entradas de la tabla de enrutamiento deben ser coherentes en todos loshosts.

nsx-mgr-l-01a> show logical-router host host-25 dlr edge-1 route

VDR default+edge-1 Route Table

Legend: [U: Up], [G: Gateway], [C: Connected], [I: Interface]

Legend: [H: Host], [F: Soft Flush] [!: Reject] [E: ECMP]

Destination GenMask Gateway Flags Ref Origin UpTime Interface

----------- ------- ------- ----- --- ------ ------ ---------

0.0.0.0 0.0.0.0 192.168.10.1 UG 1 AUTO 4101 138800000002


VMware, Inc. 76

172.16.10.0 255.255.255.0 0.0.0.0 UCI 1 MANUAL 10195 13880000000b

172.16.20.0 255.255.255.0 0.0.0.0 UCI 1 MANUAL 10196 13880000000a

192.168.10.0 255.255.255.248 0.0.0.0 UCI 1 MANUAL 10196 138800000002

192.168.100.0 255.255.255.0 192.168.10.1 UG 1 AUTO 3802 138800000002

n Vea un listado con información adicional sobre el enrutador desde el punto de vista de uno de loshosts. Esto es útil para saber qué controlador es está comunicando con el host.

nsx-mgr-l-01a> show logical-router host host-25 dlr edge-1 verbose

VDR Instance Information :

---------------------------

Vdr Name: default+edge-1

Vdr Id: 0x00001388

Number of Lifs: 3

Number of Routes: 5

State: Enabled

Controller IP: 192.168.110.203

Control Plane IP: 192.168.210.52

Control Plane Active: Yes

Num unique nexthops: 1

Generation Number: 0

Edge Active: No

Compruebe el campo Dirección IP de controladora (Controller IP) en el resultado del comando showlogical-router host host-25 dlr edge-1 verbose.

Acceda a una controladora mediante SSH y ejecute los siguientes comandos para mostrar la informaciónde estado adquirida de las tablas de VNI, VTEP, MAC y ARP de la controladora.

n192.168.110.202 # show control-cluster logical-switches vni 5000

VNI Controller BUM-Replication ARP-Proxy Connections

5000 192.168.110.201 Enabled Enabled 0

La salida para VNI 5000 muestra cero conexiones y la controladora 192.168.110.201 comopropietaria de VNI 5000. Inicie sesión en esa controladora para recopilar más información de VNI5000.

192.168.110.201 # show control-cluster logical-switches vni 5000


5000 192.168.110.201 Enabled Enabled 3


VMware, Inc. 77

El resultado en 192.168.110.201 muestra tres conexiones. Compruebe las VNI adicionales.



5001 192.168.110.201 Enabled Enabled 3



5002 192.168.110.201 Enabled Enabled 3

Debido a que 192.168.110.201 es propietaria de las tres conexiones de VNI, se esperarían ver ceroconexiones en la otra controladora 192.168.110.203.



5000 192.168.110.201 Enabled Enabled 0

n Antes de comprobar las tablas de MAC y ARP, comience a hacer ping de una máquina virtual a laotra.

Desde la máquina virtual de la aplicación a la máquina virtual web:

Revise las tablas de MAC.

192.168.110.201 # show control-cluster logical-switches mac-table 5000

VNI MAC VTEP-IP Connection-ID

5000 00:50:56:a6:23:ae 192.168.250.52 7

192.168.110.201 # show control-cluster logical-switches mac-table 5001

VNI MAC VTEP-IP Connection-ID

5001 00:50:56:a6:8d:72 192.168.250.51 23

Revise las tablas de ARP.

192.168.110.201 # show control-cluster logical-switches arp-table 5000

VNI IP MAC Connection-ID

5000 172.16.20.10 00:50:56:a6:23:ae 7

192.168.110.201 # show control-cluster logical-switches arp-table 5001

VNI IP MAC Connection-ID

5001 172.16.10.10 00:50:56:a6:8d:72 23

Revise la información del enrutador lógico. Cada instancia del enrutador lógico se procesa en uno de losnodos de la controladora.


VMware, Inc. 78

El subcomando instance del comando show control-cluster logical-routers muestra un listadode los enrutadores lógicos que están conectados a esta controladora.

El subcomando interface-summary muestra un listado de las LIF que la controladora adquirió de NSXManager. Esta información se envía a los hosts que están en los clústeres de hosts administrados en lazona de transporte.

El subcomando routes muestra la tabla de enrutamiento que se envía a esta controladora mediante eldispositivo virtual del enrutador lógico (también se conoce como máquina virtual de control). Tenga encuenta que, a diferencia de los hosts ESXi, esta tabla de enrutamiento no incluye subredes conectadasdirectamente, ya que la configuración de LIF proporciona esta información. La información de ruta de loshosts ESXi incluye subredes conectadas directamente porque, en ese caso, se trata de una tabla dereenvío utilizada por la ruta de datos del host ESXi.

ncontroller # show control-cluster logical-routers instance all

LR-Id LR-Name Universal Service-Controller Egress-Locale

0x1388 default+edge-1 false 192.168.110.201 local

Anote el identificador de LR y utilícelo en el siguiente comando.

ncontroller # show control-cluster logical-routers interface-summary 0x1388

Interface Type Id IP[]

13880000000b vxlan 0x1389 172.16.10.1/24

13880000000a vxlan 0x1388 172.16.20.1/24

138800000002 vxlan 0x138a 192.168.10.2/29

ncontroller # show control-cluster logical-routers routes 0x1388

Destination Next-Hop[] Preference Locale-Id Source

192.168.100.0/24 192.168.10.1 110 00000000-0000-0000-0000-000000000000 CONTROL_VM

0.0.0.0/0 192.168.10.1 0 00000000-0000-0000-0000-000000000000 CONTROL_VM

[root@comp02a:~] esxcfg-route -l

VMkernel Routes:

Network Netmask Gateway Interface

10.20.20.0 255.255.255.0 Local Subnet vmk1

192.168.210.0 255.255.255.0 Local Subnet vmk0

default 0.0.0.0 192.168.210.1 vmk0


VMware, Inc. 79

n Muestre las conexiones de la controladora a la VNI específica.

192.168.110.203 # show control-cluster logical-switches connection-table 5000

Host-IP Port ID

192.168.110.53 26167 4

192.168.210.52 27645 5

192.168.210.53 40895 6

192.168.110.202 # show control-cluster logical-switches connection-table 5001

Host-IP Port ID

192.168.110.53 26167 4

192.168.210.52 27645 5

192.168.210.53 40895 6

Estas direcciones IP de hosts son interfaces vmk0, no VTEP. Las conexiones entre hosts ycontroladoras ESXi se crean en la red de administración. Aquí los números de puerto son puertosTCP efímeros que asigna la pila de direcciones IP del host ESXi cuando el host establece unaconexión con la controladora.

n En el host, puede ver la conexión de red de la controladora vinculada al número de puerto.

[[email protected]:~] #esxcli network ip connection list | grep 26167

tcp 0 0 192.168.110.53:26167 192.168.110.101:1234 ESTABLISHED

96416 newreno netcpa-worker

n Muestre las VNI activas en el host. Observe que el resultado es diferente entre los hosts. No todaslas VNI están activas en todos los hosts. Una VNI está activa en un host si ese host posee unamáquina virtual conectada al conmutador lógico.

[[email protected]:~] # esxcli network vswitch dvs vmware vxlan network list --vds-name

Compute_VDS

VXLAN ID Multicast IP Control Plane Controller Connection

Port Count MAC Entry Count ARP Entry Count VTEP Count

-------- ------------------------- ----------------------------------- ---------------------

---------- --------------- --------------- ----------

5000 N/A (headend replication) Enabled (multicast proxy,ARP proxy) 192.168.110.203

(up) 1 0 0 0

5001 N/A (headend replication) Enabled (multicast proxy,ARP proxy) 192.168.110.202

(up) 1 0 0 0

Nota Para habilitar el espacio de nombres vxlan en vSphere 6 y versiones posteriores, ejecute elcomando /etc/init.d/hostd restart.

En el caso de conmutadores lógicos en modo híbrido o de unidifusión, el comando esxcli networkvswitch dvs vmware vxlan network list --vds-name <vds-name> debe contener el siguienteresultado:

n El plano de control está habilitado.


VMware, Inc. 80

n El proxy de multidifusión y el proxy ARP aparecen en el listado. El proxy AARP aparece en ellistado aunque se haya deshabilitado la detección de direcciones IP.

n Una dirección IP de controladora válida aparece en el listado y la conexión está activa.

n Si un enrutador lógico está conectado al host ESXi, el recuento de puertos es al menos 1, inclusosi no hay máquinas virtuales en el host conectado al conmutador lógico. Este puerto es vdrPort,que es un puerto dvPort especial conectado al módulo del kernel del enrutador lógico en el hostESXi.

n En primer lugar, haga ping de una máquina virtual a otra en una subred diferente y, a continuación,muestre la tabla de MAC. Tenga en cuenta que la MAC interna es la entrada de la máquina virtual,mientras que la MAC externa y la dirección IP externa se refieren a la VTEP.

~ # esxcli network vswitch dvs vmware vxlan network mac list --vds-name=Compute_VDS --vxlan-id=5000

Inner MAC Outer MAC Outer IP Flags

----------------- ----------------- -------------- --------

00:50:56:a6:23:ae 00:50:56:6a:65:c2 192.168.250.52 00000111

~ # esxcli network vswitch dvs vmware vxlan network mac list --vds-name=Compute_VDS --vxlan-id=5001

Inner MAC Outer MAC Outer IP Flags

----------------- ----------------- -------------- --------

02:50:56:56:44:52 00:50:56:6a:65:c2 192.168.250.52 00000101

00:50:56:f0:d7:e4 00:50:56:6a:65:c2 192.168.250.52 00000111

Pasos siguientes

En los hosts donde se implementan dispositivos NSX Edge por primera vez, NSX habilita elencendido/apagado automático de máquinas virtuales. Si posteriormente las máquinas virtuales deldispositivo se migran a otros hosts, es posible que los hosts nuevos no tengan habilitada la opción deencendido/apagado automático. Por este motivo, VMware recomienda que compruebe todos los hostsdel clúster para asegurarse de que la opción de encendido/apagado automático esté habilitada. Consulte http://pubs.vmware.com/vsphere-60/index.jsp?topic=%2Fcom.vmware.vsphere.vm_admin.doc%2FGUID-5FE08AC7-4486-438E-AF88-80D6C7928810.html.

Después de implementar el enrutador lógico, haga doble clic en el identificador del enrutador lógico paraconfigurar opciones adicionales, como interfaces, enrutamiento, firewall, puentes y relé DHCP.

Por ejemplo:


VMware, Inc. 81

http://pubs.vmware.com/vsphere-60/index.jsp?topic=%2Fcom.vmware.vsphere.vm_admin.doc%2FGUID-5FE08AC7-4486-438E-AF88-80D6C7928810.html


Agregar una puerta de enlace de servicios EdgePuede instalar varios dispositivos virtuales de puertas de enlace de servicios NSX Edge en un centro dedatos. Cada dispositivo virtual NSX Edge puede tener un total de diez interfaces de red de internas y devínculo superior. Las interfaces internas se conectan a grupos de puertos protegidos y actúan comopuerta de enlace para todas las máquinas virtuales protegidas del grupo de puertos. La subred asignadaa la interfaz interna puede ser una dirección IP enrutada públicamente o un espacio de direccionesprivado (RFC 1918) con uso de NAT. Las reglas de firewall y otros servicios NSX Edge se aplican sobreel tráfico entre interfaces.

Las interfaces de vínculo superior de una ESG se conectan a grupos de puertos de vínculo superior quetienen acceso a una red compartida de la empresa o a un servicio que ofrece redes de capa de acceso.

En la siguiente lista se describen las características admitidas por tipo de interfaz (interna y de vínculosuperior) en la ESG:

n DHCP: no se admite en la interfaz de vínculo superior.

n Reenviador de DNS: no se admite en la interfaz de vínculo superior.

n HA: no se admite en la interfaz de vínculo superior, requiere al menos una interfaz interna.

n VPN SSL: la dirección IP del agente de escucha debe pertenecer a la interfaz de vínculo superior.

n VPN IPsec: la dirección IP del sitio local debe pertenecer a la interfaz de vínculo superior.

n VPN de capa 2: solo las redes internas pueden ampliarse.

En la siguiente imagen se muestra una topología de ejemplo con una interfaz de vínculo superior de ESGconectada a la infraestructura física mediante el conmutador distribuido de vSphere, y la interfaz internade ESG conectada a un enrutador lógico de NSX mediante un conmutador de tránsito lógico de NSX.


VMware, Inc. 82

VM VM

172.16.20.10 172.16.10.10

172.16.20.1Tipo de vínculo: interno 172.16.10.1

Tipo de vínculo: interno

DLR

Conmutadorlógicode aplicaciones

Conmutadorlógicoweb

Máquina virtualde aplicaciones

Máquina virtualweb

192.168.10.2Tipo de vínculo:

Dirección del protocolo:192.168.10.3

Conmutadorlógicode tránsito

192.168.10.1Tipo de vínculo: interno

ESG

192.168.100.3Tipo de vínculo:vínculo superior

192.168.100.1

Arquitecturafísica

vSphereDistributedSwitch

vínculo superior

Pueden configurarse varias direcciones IP para equilibrio de carga, VPN de sitio a sitio y servicios deNAT.

Requisitos previos

Se le debe haber asignado la función de administrador de Enterprise o administrador de NSX.

Compruebe que el grupo de recursos tenga capacidad suficiente para implementar el dispositivo virtualde la puerta de enlace de servicios Edge (edge services gateway, ESG) . Consulte Capítulo 1Requisitosdel sistema para NSX.


VMware, Inc. 83

Procedimiento

1 En vCenter, desplácese hasta Inicio > Redes y seguridad > NSX Edge (Home > Networking &

Security > NSX Edges) y haga clic en el icono Agregar (Add) ( ).

2 Seleccione Puerta de enlace de servicios Edge (Edge Services Gateway) y escriba un nombrepara el dispositivo.

Este nombre aparece en el inventario de vCenter. El nombre debe ser único en todas las ESG deuna misma empresa.

De manera opcional, también puede introducir un nombre de host. Este nombre aparece en lainterfaz de línea de comandos. Si no especifica un nombre de host, la interfaz de línea de comandosmuestra el identificador de Edge, que se crea automáticamente.

De manera opcional, puede introducir una descripción y una empresa, y habilitar High Availability.

Por ejemplo:


VMware, Inc. 84

3 Escriba y vuelva a escribir una contraseña para ESG.

La contraseña debe tener al menos 12 caracteres y cumplir con al menos 3 de las siguientes 4reglas:

n Al menos una letra en mayúscula

n Al menos una letra en minúscula

n Al menos un número

n Al menos un carácter especial

4 (opcional) Habilite SSH, High Availability y la generación automática de reglas, y establezca el nivelde registro.

Si no habilita la generación automática de reglas, debe agregar manualmente la configuración defirewall, NAT y enrutamiento para permitir el control de tráfico para ciertos servicios NSX Edge,incluidos el equilibrio de carga y VPN. La generación automática de reglas no crea reglas para tráficode canal de datos.


VMware, Inc. 85

De forma predeterminada, las opciones SSH y High Availability están deshabilitadas, y la generaciónautomática de reglas está habilitada. De forma predeterminada, el registro está en nivel deemergencia.

De forma predeterminada, el registro está habilitado en todos los dispositivos NSX Edge nuevos. Elnivel de registro predeterminado es NOTICE (ATENCIÓN).

Por ejemplo:

5 Seleccione el tamaño de la instancia NSX Edge en función de los recursos del sistema.

La opción Large NSX Edge tiene más CPU, memoria y espacio en disco que la opción CompactNSX Edge, y admite una mayor cantidad de componentes de usuarios VPN SSL-Plus simultáneos.La opción X-Large NSX Edge es ideal para entornos que tienen un equilibrador de carga conmillones de sesiones simultáneas. La opción Quad Large NSX Edge se recomienda cuando esnecesaria una gran capacidad de proceso y requiere una alta velocidad de conexión.

Consulte Capítulo 1Requisitos del sistema para NSX.

6 Cree un dispositivo Edge.

Introduzca la configuración del dispositivo virtual de la ESG que se agregará al inventario de vCenter.Si no agrega un dispositivo al instalar NSX Edge, NSX Edge permanece en modo sin conexión hastaque se agrega un dispositivo.


VMware, Inc. 86

Si habilitó HA, puede agregar dos dispositivos. Si agrega un solo dispositivo, NSX Edge replica suconfiguración para el dispositivo en espera y garantiza que las dos máquinas virtuales NSX Edge conHA no estén en el mismo host ESX incluso después de utilizar DRS y vMotion (a menos que la migremanualmente con vMotion al mismo host). Para que HA funcione correctamente, debe implementarlos dos dispositivos en un almacén de datos compartido.

Por ejemplo:

7 Seleccione Implementar NSX Edge (Deploy NSX Edge) y agregue el dispositivo Edge en un modoimplementado. Debe configurar dispositivos e interfaces para el dispositivo Edge para poderimplementarlo.

8 Configure las interfaces.

En ESG, se admiten las direcciones IPv4 e IPv6.

Debe agregar al menos una interfaz interna para que HA funcione.

Una interfaz puede tener varias subredes no superpuestas.

Si introduce más de una dirección IP para una interfaz, puede seleccionar la dirección IP principal.Un interfaz puede tener una dirección IP principal y varias secundarias. NSX Edge considera ladirección IP principal como la dirección de origen para el tráfico generado localmente, por ejemplo,servidores de Syslog remotos y pings iniciados por el operador.

Debe agregar una dirección IP con una interfaz antes de utilizarla en cualquier configuración decaracterísticas.

De manera opcional, puede introducir la dirección MAC de la interfaz.

Si HA está habilitado, puede introducir dos direcciones IP de administración en formato CIDR si lodesea. Los latidos de las dos máquinas virtuales NSX Edge con HA se comunican por medio deestas direcciones IP de administración. Las direcciones IP de administración deben estar en lamisma Capa 2/subred y poder comunicarse entre sí.

De manera opcional, puede modificar la MTU.

Habilite el ARP de proxy si desea permitir que la ESG responda a las solicitudes de ARP dirigidas aotras máquinas. Esto es útil, por ejemplo, cuando tiene la misma subred en ambos lados de unaconexión WAN.


VMware, Inc. 87

Habilite la redirección de ICMP para transmitir la información de enrutamiento a los hosts.

Habilite el filtrado inverso de rutas para comprobar la posibilidad de conexión de la dirección deorigen en los paquetes que se reenvían. En el modo habilitado, el paquete debe recibirse en lainterfaz que el enrutador utilizaría para reenviar el paquete de retorno. En el modo flexible, ladirección de origen debe aparecer en la tabla de enrutamiento.

Configure parámetros de contención si desea volver a utilizar las direcciones IP y MAC en diferentesentornos contenidos. Por ejemplo, en una Cloud Management Platform (CMP), la contención permiteejecutar varias instancias de nube simultáneas con las mismas direcciones IP y MAC completamenteaisladas o “contenidas”.

Por ejemplo:


VMware, Inc. 88

En el siguiente ejemplo se muestran dos interfaces: una conecta la ESG con el mundo exteriormediante un grupo de puertos de vínculo superior en un conmutador distribuido de vSphere,mientras que la otra conecta la ESG a un conmutador lógico de tránsito al cual también estáconectado un enrutador lógico distribuido.


VMware, Inc. 89

9 Configure una puerta de enlace predeterminada.

Puede editar el valor de MTU, pero este no puede ser mayor que el valor de MTU configurado en lainterfaz.

Por ejemplo:

10 Configure la directiva de firewall, el registro y los parámetros de HA.

Precaución Si no configura la directiva de firewall, se establece la directiva predeterminada paradenegar todo el tráfico.

De forma predeterminada, los registros están habilitados en todos los dispositivos NSX Edge nuevos.El nivel de registro predeterminado es NOTICE (ATENCIÓN). Si los registros se almacenan de formalocal en la ESG, es posible que el proceso de registro genere demasiados registros y afecte alrendimiento de NSX Edge. Por este motivo, le recomendamos que configure los servidores syslogremotos y reenvíe los registros a un recopilador centralizado para que se analicen y se supervisen.


VMware, Inc. 90

Si habilitó High Availability, complete la sección HA. De forma predeterminada, HA seleccionaautomáticamente una interfaz interna y asigna automáticamente direcciones IP de vínculo locales.NSX Edge admite dos máquinas virtuales para High Availability, que permanecen actualizadas conconfiguraciones del usuario. Si se produce un error de latido en la máquina virtual principal, el estadode la máquina virtual secundaria cambia a activo. De esa manera, una máquina virtual NSX Edgesiempre está activa en la red. NSX Edge replica la configuración del dispositivo principal para eldispositivo en espera y garantiza que las dos máquinas virtuales NSX Edge con HA no estén en elmismo host ESX, incluso después de utilizar DRS y vMotion. En vCenter, se implementan dosmáquinas virtuales en el mismo grupo de recursos y almacén de datos que el dispositivoconfigurado. Se asignan direcciones IP de vínculo locales a máquinas virtuales con HA en NSX EdgeHA para que puedan comunicarse entre sí. Seleccione la interfaz interna para la cual deseaconfigurar parámetros de HA. Si selecciona el valor CUALQUIERA (ANY) para la interfaz, pero nohay interfaces internas configuradas, la interfaz de usuario no muestra un error. Se crean dosdispositivos Edge, pero como no hay una interfaz interna configurada, el dispositivo Edge nuevopermanece en espera y se deshabilita HA. Una vez que se configura una interfaz interna, HA sevuelve a habilitar en el dispositivo Edge. Escriba el período en segundos dentro del cual, si eldispositivo de copia de seguridad no recibe una señal de latido del dispositivo principal, este seconsidera inactivo y el dispositivo de copia de seguridad lo reemplaza. El intervalo predeterminadoes 15 segundos. De manera opcional, puede introducir dos direcciones IP de administración enformato CIDR para anular las direcciones IP de vínculo locales asignadas a las máquinas virtuales


VMware, Inc. 91

con HA. Asegúrese de que las direcciones IP de administración no se superpongan con lasdirecciones IP utilizadas para ninguna otra interfaz, y que no interfieran con el enrutamiento detráfico. No debe utilizar una dirección IP que exista en otro lugar de la red, ni siquiera si esa red noestá conectada directamente con NSX Edge.

Por ejemplo:

Después de implementar ESG, vaya a la vista Hosts y clústeres (Hosts and Clusters) y abra la consoladel dispositivo virtual Edge. Desde la consola, compruebe si puede hacer ping en las interfacesconectadas.


VMware, Inc. 92

Pasos siguientes

En los hosts donde se implementan dispositivos NSX Edge por primera vez, NSX habilita elencendido/apagado automático de máquinas virtuales. Si posteriormente las máquinas virtuales deldispositivo se migran a otros hosts, es posible que los hosts nuevos no tengan habilitada la opción deencendido/apagado automático. Por este motivo, VMware recomienda que compruebe todos los hostsdel clúster para asegurarse de que la opción de encendido/apagado automático esté habilitada. Consulte http://pubs.vmware.com/vsphere-60/index.jsp?topic=%2Fcom.vmware.vsphere.vm_admin.doc%2FGUID-5FE08AC7-4486-438E-AF88-80D6C7928810.html.

Ahora puede configurar el enrutamiento para permitir la conectividad de los dispositivos externos a lasmáquinas virtuales.

Especificar una configuración globalPuede configurar la puerta de enlace predeterminada para rutas estáticas y especificar los detalles deenrutamiento dinámico para un enrutador distribuido o una puerta de enlace de servicios Edge.

Para poder configurar el enrutamiento, primero debe tener una instancia de NSX Edge que estéfuncionando. Para obtener información sobre cómo configurar NSX Edge, consulte Configuración deNSX Edge.

Procedimiento



3 Haga doble clic en un dispositivo NSX Edge.

4 Haga clic en Enrutamiento (Routing) y, a continuación, en Configuración global (GlobalConfiguration).

5 Para cambiar la configuración del enrutamiento de múltiples rutas de igual costo (ECMP), haga clicen Editar (Edit) junto a Configuración de enrutamiento (Routing Configuration) y, a continuación,haga lo siguiente.


Para una puerta de enlace de serviciosEdge

Para editar el enrutamiento ECMP, haga clic en Habilitar (Enable) o Deshabilitar(Disable) junto a ECMP.

Para un enrutador lógico a Seleccione ECMP para habilitar o anule la sección para deshabilitarlo.

b Haga clic en Aceptar (OK). ECMP es una estrategia de enrutamiento que permite que el reenvío de paquetes al próximo salto enun solo destino se produzca en varias de las mejores rutas. Estas mejores rutas pueden agregarsede forma estática o como resultado de cálculos de métricas mediante protocolos de enrutamientodinámico como OSPF o BGP. Para agregar múltiples rutas en rutas estáticas, se puedenproporcionar varios próximos saltos separados por comas en el cuadro de diálogo Rutas estáticas(Static Routes). Para obtener más información, consulte Agregar una ruta estática.


VMware, Inc. 93



La puerta de enlace de servicios Edge utiliza una implementación en pila de redes Linux, unalgoritmo round robin con un componente de aleatoriedad. Una vez seleccionado un próximo saltopara un par de direcciones IP de origen y destino en particular, la ruta almacena en la memoriacaché el próximo salto seleccionado. Todos los paquetes de ese flujo pasan al próximo saltoseleccionado. El tiempo de espera de la memoria caché de la ruta IPv4 predeterminado es 300segundos (cg_tiempo de espera). Si para este plazo hay una entrada inactiva, se la podrá quitar dela memoria caché de la ruta. La eliminación efectiva ocurre cuando se activa el temporizador de lacolección de elementos no utilizados (cg_intervalo = 60 segundos).

El enrutador lógico utiliza un algoritmo XOR para determinar el próximo salto a partir de una lista deposibles próximos saltos de ECMP. Este algoritmo utiliza la dirección IP de origen y destino delpaquete saliente como fuentes de entropía.

Hasta la versión 6.1.2, al habilitar ECMP se deshabilitaba Distributed Firewall la máquina virtual de lapuerta de enlace de servicios Edge. Los servicios con estado, como NAT, no funcionaban con ECMP.A partir de la versión 6.1.3 de NSX vSphere, ECMP y Distributed Firewall pueden funcionar juntos.

6 Para cambiar el Identificador de configuración regional (Locale ID) de un enrutador lógico, hagaclic en Editar (Edit) junto a Configuración de enrutamiento (Routing Configuration). Introduzca unidentificador de configuración regional y haga clic en Aceptar (OK).

El identificador de configuración regional se establece de forma predeterminada en el UUID de NSXManager, pero puede anularlo si se habilitó el egreso local al crear el enrutador lógico universal. Elidentificador de configuración regional se utiliza para configurar selectivamente rutas de un entornoCross-vCenter NSX o un entorno de varios sitios. Consulte Topologías de Cross-vCenter NSX paraobtener más información.

El identificador de configuración regional debe estar en formato UUID. Por ejemplo, XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX, donde cada X se reemplaza por un dígito de base 16 (0-F).

7 Para especificar la puerta de enlace predeterminada, haga clic en Editar (Edit) junto a Puerta deenlace predeterminada (Default Gateway).

a Seleccione una interfaz desde la cual pueda alcanzarse el próximo salto hacia la red de destino.

b Escriba la dirección IP de la puerta de enlace.

c (opcional) Especifique el identificador de configuración regional. El identificador de configuraciónregional es una opción exclusiva de los enrutadores lógicos universales.

d (opcional) Edite la MTU.


VMware, Inc. 94

e Si se le pregunta, escriba un valor para Distancia administrativa (Admin Distance).

Seleccione un valor entre 1 y 255. La distancia administrativa se utiliza para seleccionar qué rutadebe utilizarse cuando existen varias rutas para una red determinada. Cuanto menor es estadistancia, mayor es la preferencia para la ruta.

Tabla 9‑1. Distancias administrativas predeterminadas

Origen de la ruta Distancia administrativa predeterminada

Conectado 0

Estático 1

BGP externo 20

OSPF dentro del área 30

OSPF entre áreas 110

BGP interno 200

f (opcional) Escriba una descripción para la puerta de enlace predeterminada.

g Haga clic en Guardar (Save).

8 Para configurar el enrutamiento dinámico, haga clic en Editar (Edit) junto a Configuración deenrutamiento dinámico (Dynamic Routing Configuration).

a Identificador del enrutador (Router ID) muestra la dirección IP del primer vínculo superior de lainstancia de NSX Edge que empuja las rutas hacia el kernel para el enrutamiento dinámico.

b No habilite aquí ningún protocolo.

c Seleccione Habilitar registro (Enable Logging) para guardar la información de registro yseleccione el nivel de registro.

Nota Si tiene una IPsec VPN configurada en el entorno, no debe utilizar el enrutamiento dinámico.

9 Haga clic en Publicar cambios (Publish Changes).

Pasos siguientes

Para eliminar la configuración de enrutamiento, haga clic en Restablecer (Reset). De este modo, seeliminan todas las configuraciones de enrutamiento (predeterminado, estático, OSPF y BGP, así como laredistribución de rutas).

Configuración de NSX EdgeUna vez que la instancia de NSX Edge esté instalada y funcione bien (es decir, se agregaron uno o másdispositivos e interfaces, y se configuró la puerta de enlace predeterminada, la directiva de firewall y laalta disponibilidad), se pueden empezar a utilizar los servicios NSX Edge.


VMware, Inc. 95

Trabajar con certificadosNSX Edge admite certificados autofirmados, certificados firmados por una entidad de certificación (CA) ycertificados generados y firmados por una CA.

Configurar un certificado firmado por una entidad de certificaciónEs posible generar una solicitud de firma de certificado (CSR) y lograr que una entidad de certificación lafirme. Si se genera una CSR en el nivel global, la solicitud estará disponible para todas las instancias deNSX Edge en el inventario.

Procedimiento

1 Realice uno de los siguientes pasos.


Para generar un certificado global a Inicie sesión en el dispositivo virtual de NSX Manager.

b Haga clic en la pestaña Administrar (Manage) y seleccione Certificados SSL(SSL Certificates).

c Haga clic en Generar CSR (Generate CSR).

Para generar un certificado para unainstancia de NSX Edge


b Haga clic en Redes y seguridad (Networking & Security) y seleccioneServicios Edge (Edge Services).

c Haga doble clic en un dispositivo NSX Edge.

d Haga clic en la pestaña Administrar (Manage) y seleccione Configuración(Settings).

e Haga clic en el vínculo Certificados (Certificates).

f Haga clic en Acciones (Actions) y seleccione Generar CSR (GenerateCSR).

2 Especifique la unidad organizativa y escriba el nombre.

3 Escriba la localidad, la calle, el estado y el país de la organización.

4 Seleccione el algoritmo de encriptación para la comunicación entre hosts.

Tenga en cuenta que SSL VPN-Plus solo admite certificados RSA.

5 Si es necesario, edite el tamaño de clave predeterminado.

6 Para un certificado global, introduzca una descripción para el certificado.


Se genera la CSR, que se muestra en la lista de certificados.

8 Disponga que una entidad de certificación en línea firme esta CSR.


VMware, Inc. 96

9 Importe el certificado firmado.

a Copie el contenido del certificado firmado.

b Realice uno de los siguientes pasos.

n Para importar un certificado firmado en el nivel global, haga clic en Importar (Import) en eldispositivo virtual NSX Manager.

n Para importar un certificado firmado para una instancia de NSX Edge, haga clic en Acciones(Actions) y seleccione Importar certificado (Import Certificate) en la pestaña Certificados(Certificates).

c En el cuadro de diálogo Importar CSR (Import CSR), pegue el contenido del certificado firmado.

d Haga clic en Aceptar (OK).

El certificado firmado por la entidad de certificación se mostrará en la lista de certificados.

Agregar un certificado de CA

Al agregar un certificado de CA, puede convertirse en una CA interna de la empresa. De esa manera,tendrá la autoridad para firmar sus propios certificados.

Procedimiento




4 Haga clic en la pestaña Administrar (Manage) y asegúrese de estar en la pestaña Configuración(Settings).

5 Haga clic en Certificados (Certificates).

6 Haga clic en el icono Agregar (Add) ( ) y seleccione Certificado CA (CA Certificate).

7 Copie y pegue el contenido del certificado en el cuadro de texto Contenido del certificado (Certificatecontents).

8 Escriba una descripción para el certificado de CA.


Ahora puede firmar sus propios certificados.

Configurar un certificado autofirmadoEs posible crear, instalar y administrar certificados de servidor autofirmados.

Requisitos previos

Compruebe que dispone de un certificado de CA para poder firmar sus propios certificados.


VMware, Inc. 97

Procedimiento






6 Siga estos pasos para generar una CSR.

a Haga clic en Acciones (Actions) y seleccione Generar CSR (Generate CSR).

b En Nombre común (Common name), escriba la dirección IP o el nombre de dominio completo(Fully Qualified Domain Name, FQDN) de NSX Manager.

c Escriba el nombre y la unidad de la organización.

d Escriba la localidad, la calle, el estado y el país de la organización.

e Seleccione el algoritmo de encriptación para la comunicación entre hosts.

Tenga en cuenta que SSL VPN-Plus solo admite certificados RSA. VMware recomienda utilizarRSA para obtener compatibilidad con versiones anteriores.

f Si es necesario, edite el tamaño de clave predeterminado.

g Escriba una descripción para el certificado.

h Haga clic en Aceptar (OK).

Se genera la CSR, que se muestra en la lista de certificados.

7 Compruebe que el certificado generado esté seleccionado.

8 Haga clic en Acciones (Actions) y seleccione Autofirmar certificado (Self Sign Certificate).

9 Escriba la cantidad de días de validez del certificado autofirmado.


Utilizar certificados clienteEs posible crear un certificado cliente mediante el comando CAI o la llamada REST. A continuación, sepuede distribuir ese certificado entre los usuarios remotos, quienes podrán instalarlo en su exploradorweb.

El principal beneficio de la implementación de certificados cliente es que se puede almacenar uncertificado cliente de referencia para cada usuario remoto y se puede utilizar ese certificado paracomprobar el certificado cliente que presenta el usuario remoto. Para evitar que un usuario determinadose conecte en el futuro, es posible eliminar el certificado de referencia de la lista de certificados clientedel servidor de seguridad. Al eliminar el certificado, se denegarán las conexiones de ese usuario.


VMware, Inc. 98

Agregar una lista de revocación de certificadosUna lista de revocación de certificados (CRL) es una lista de suscriptores junto con su estado queproporciona y firma Microsoft.

La lista contiene los siguientes elementos:

n Los certificados revocados y los motivos de la revocación

n Las fechas en que se emitieron los certificados

n Las entidades que emitieron los certificados

n La fecha propuesta para la próxima versión

Cuando un usuario potencial intenta acceder a un servidor, el servidor permite o deniega el accesosegún la entrada en la lista CRL para ese usuario en particular.

Procedimiento






6 Haga clic en el icono Agregar (Add) y seleccione CRL.

7 En Contenido del certificado (Certificate contents), pegue la lista.

8 (opcional) Escriba una descripción.


Administración de dispositivosPuede agregar, editar o eliminar dispositivos. Una instancia de NSX Edge permanece sin conexión hastaque al menos un dispositivo se haya agregado a ella.

Agregar un dispositivoEs necesario agregar al menos un dispositivo a NSX Edge para poder implementarlo.

Procedimiento




VMware, Inc. 99


4 Haga clic en la pestaña Administrar (Manage) y seleccione la pestaña Configuración (Settings).

5 En Dispositivos de puerta de enlace de Edge (Edge Gateway Appliances), haga clic en el icono

Agregar (Add) .

6 Seleccione el clúster o el grupo de recursos y el almacén de datos para el dispositivo.

7 (opcional) Seleccione el host al cual desea agregar el dispositivo.

8 (opcional) Seleccione la carpeta de vCenter en la cual planea agregar el dispositivo.


Editar un dispositivoEs posible editar un dispositivo NSX Edge.

Procedimiento





5 En Dispositivos de puerta de enlace de Edge (Edge Gateway Appliances), seleccione eldispositivo que desea cambiar.

6 Haga clic en el icono Editar (Edit) ( ).

7 En el cuadro de diálogo Editar dispositivo Edge (Edit Edge Appliance), realice los cambiosadecuados.

8 Haga clic en Guardar (Save).

Eliminar un dispositivoEs posible eliminar un dispositivo de NSX Edge.

Procedimiento





5 En Dispositivos de puerta de enlace Edge (Edge Gateway Appliances), seleccione el dispositivoque desea eliminar.


VMware, Inc. 100

6 Haga clic en el icono Eliminar (Delete) ( ).

Trabajar con interfacesUna puerta de enlace de servicios NSX Edge puede tener hasta diez interfaces internas, de vínculosuperior o troncales. Un enrutador NSX Edge puede tener ocho interfaces de vínculo superior y hasta milinterfaces internas.

Una instancia de NSX Edge debe tener al menos una interfaz interna para que se la pueda implementar.

Configurar una interfazGeneralmente, las interfaces internas se utilizan para el tráfico de este a oeste y las interfaces de vínculosuperior para el tráfico de norte a sur. Cuando se conecta un enrutador lógico (DLR) a una puerta deenlace de servicios Edge (ESG), la interfaz en el enrutador es una interfaz de vínculo superior, mientrasque la interfaz en la puerta de enlace es una interfaz interna. Las interfaces troncales de NSX se utilizanpara las redes internas, no para las redes externas. Una interfaz troncal permite enlazar troncalmentevarias redes internas (VLAN o VXLAN).

Una puerta de enlace de servicios de NSX Edge (ESG) puede contener hasta 10 interfaces internas, devínculo superior o troncales. NSX Manager es el responsable de aplicar estos límites.

Una implementación de NSX puede contener hasta 1000 instancias de enrutadores lógicos distribuidos(DLR) en un solo host ESXi. En un solo enrutador lógico, es posible configurar hasta 8 interfaces devínculo superior y hasta 991 interfaces internas. NSX Manager es el responsable de aplicar estos límites.Para obtener más información sobre la ampliación de interfaces en una implementación de NSX,consulte Guía de diseño para la virtualización de redes en VMware® NSX for vSphere en https://communities.vmware.com/docs/DOC-27683.

Procedimiento




4 Haga clic en la pestaña Administrar (Manage) y seleccione la pestaña Interfaces (Interfaces).

5 Seleccione una interfaz y haga clic en el icono Editar (Edit) ( ).

6 En el cuadro de diálogo Editar interfaz de Edge (Edit Edge Interface), escriba un nombre para lainterfaz.

7 Seleccione Interna (Internal) o Vínculo superior (Uplink) para indicar si se trata de una interfazinterna o externa.

Seleccione Troncal (Trunk) al crear una interfaz subordinada. Para obtener más información,consulte Agregar una subinterfaz.


VMware, Inc. 101


8 Seleccione el grupo de puertos o el conmutador lógico al que se debe conectar esta interfaz.

a Haga clic en la opción Seleccionar (Select) junto al campo Conectar a (Connected To).

b Según el elemento al que desee conectar la interfaz, haga clic en la pestaña Conmutadorlógico (Logical Switch), Grupo de puertos estándar (Standard Portgroup) o Grupo de puertosdistribuidos (Distributed Portgroup).

c Seleccione el conmutador lógico o el grupo de puertos correspondiente.

d Haga clic en Seleccionar (Select).

9 Seleccione el estado de conectividad de la interfaz.

10 En Configurar subredes (Configure Subnets), haga clic en el icono Agregar (Add) para agregaruna subred a la interfaz.

Una interfaz puede tener varias subredes no superpuestas.

11 En Agregar subred (Add Subnet), haga clic en el icono Agregar (Add) para agregar unadirección IP.

Si introduce más de una dirección IP, puede seleccionar la dirección IP principal. Un interfaz puedetener una dirección IP principal y varias secundarias. NSX Edge considera la dirección IP principalcomo la dirección de origen para el tráfico que se genera de forma local.

Debe agregar una dirección IP con una interfaz antes de utilizarla en cualquier configuración decaracterísticas.

12 Introduzca la máscara de subred para la interfaz y haga clic en Guardar (Save).

13 Cambie la opción de MTU predeterminada si es necesario.

14 En Opciones (Options), seleccione las opciones necesarias.


Habilitar ARP de proxy (Enable ProxyARP)

Se admite la superposición de reenvíos de red entre diferentes interfaces.

Enviar redirección de ICMP (SendICMP Redirect)

Se transmite la información de enrutamiento a los hosts.

Invertir filtro de ruta de acceso(Reverse Path Filter)

Se comprueba la posibilidad de alcance de la dirección de origen en los paquetesque se reenvían. En el modo habilitado, el paquete debe recibirse en la interfazque el enrutador utilizaría para reenviar el paquete de retorno. En el modoflexible, la dirección de origen debe aparecer en la tabla de enrutamiento.

15 Introduzca los parámetros de barrera y haga clic en Agregar (Add).


Eliminar una interfazEs posible eliminar una interfaz de NSX Edge.


VMware, Inc. 102

Procedimiento





5 Seleccione la interfaz que desea eliminar.


Habilitar una interfazSe debe habilitar una interfaz para NSX Edge a fin de aislar las máquinas virtuales dentro de esa interfaz(grupo de puertos o conmutador lógico).

Procedimiento





5 Seleccione la interfaz que desea habilitar.

6 Haga clic en el icono Habilitar (Enable) ( ).

Deshabilitar una interfazPuede deshabilitar una interfaz en NSX Edge.

Procedimiento





5 Seleccione la interfaz que desea deshabilitar.

6 Haga clic en el icono Deshabilitar (Disable).


VMware, Inc. 103

Cambiar la directiva de catalogación de tráficoEs posible cambiar la directiva de catalogación de tráfico de vSphere Distributed Switch para una interfazde NSX Edge.

Procedimiento

1 Haga doble clic en una instancia de NSX Edge y desplácese hasta Administrar (Manage) >Configuración (Settings) > Interfaces (Interfaces).

2 Seleccione una interfaz.

3 Haga clic en Acciones (Actions) > Configurar directiva de catalogación de tráfico (ConfigureTraffic Shaping Policy).

4 Realice los cambios necesarios.

Para obtener más información sobre las opciones, consulte Directiva de catalogación de tráfico.


Agregar una subinterfazEs posible agregar una subinterfaz en una vNIC de tronco, para que los servicios NSX Edge puedanutilizarla posteriormente.

Subinterfaz2

Subinterfaz3

vNic 0 vNic 10

Edge

Subinterfaz1

Las interfaces troncales pueden ser de los siguientes tipos:

n El tronco de VLAN es estándar y funciona con cualquier versión de ESXi. Esto se utiliza paraintroducir tráfico de VLAN etiquetado en Edge.

n El tronco de VXLAN funciona solo con NSX versión 6.1. Esto se utiliza para introducir tráfico deVXLAN en Edge.

Los siguientes servicios Edge pueden utilizar una subinterfaz:

n DHCP

n Enrutamiento (solo BGP)

n Equilibrador de carga

n IPsec VPN


VMware, Inc. 104

n VPN de Capa 2

No puede utilizarse una subinterfaz para HA o el firewall lógico. Sin embargo, se puede utilizar ladirección IP de la subinterfaz en una regla de firewall.

Procedimiento

1 En la pestaña Administrar (Manage) > Configuración (Settings) de una instancia de NSX Edge,haga clic en Interfaces.

2 Seleccione una interfaz y haga clic en el icono Editar (Edit) ( ).

3 En el cuadro de diálogo Editar interfaz de Edge (Edit Edge Interface), escriba un nombre para lainterfaz.

4 En Tipo (Type), seleccione Tronco (Trunk).

5 Seleccione el grupo de puertos estándar o el grupo de puertos distribuidos al cual debe conectarseesta interfaz.

a Haga clic en Cambiar (Change) junto al campo Conectado a (Connected To).

b Según el grupo de puertos que desee conectar a la interfaz, haga clic en la pestaña Grupo depuertos estándar (Standard Portgroup) o Grupo de puertos distribuidos (DistributedPortgroup).

c Seleccione el grupo de puertos correspondiente y haga clic en Aceptar (OK).

d Haga clic en Seleccionar (Select).

6 En Subinterfaces (Sub Interfaces), haga clic en el icono Agregar (Add).

7 Haga clic en Habilitar subinterfaz (Enable Sub interface) y escriba un nombre para la subinterfaz.

8 En Identificador de túnel (Tunnel Id), escriba un número entre 1 y 4.094.

El identificador de túnel se utiliza para conectar la redes que se van a ampliar. Este valor debe ser elmismo en los sitios del cliente y del servidor.

9 En Tipo de respaldo (Backing Type), seleccione una de las siguientes opciones para indicar elrespaldo de red para la subinterfaz.

n VLAN para una red VLAN.

Escriba el identificador de VLAN de la LAN virtual que debe utilizar la subinterfaz. Losidentificadores de VLAN pueden ser un número de 0 a 4.094.

n Red (Network) para una red VLAN o VXLAN.

Haga clic en Seleccionar (Select) y seleccione el grupo de puertos distribuidos o el conmutadorlógico. NSX Manager extrae el identificador de VLAN y lo utiliza en la configuración del tronco.

n Ninguno (None) para crear una subinterfaz sin especificar un identificador de red o de VLAN.Esta subinterfaz es interna a NSX Edge y se utiliza para enrutar paquetes entre una redampliada y una red sin ampliar (sin etiquetar).


VMware, Inc. 105

10 Para agregar subredes a la subinterfaz, haga clic en el icono Agregar (Add) en el área Configurarsubredes (Configure Subnets).

11 En Agregar subredes (Add Subnets), haga clic en el icono Agregar (Add) para agregar una direcciónIP. Escriba la dirección IP y haga clic en Aceptar (OK).

Si introduce más de una dirección IP, puede seleccionar la dirección IP principal. Un interfaz puedetener una dirección IP principal y varias secundarias. NSX Edge considera la dirección IP principalcomo la dirección de origen del tráfico generado localmente.

12 Escriba la longitud del prefijo de subred y haga clic en Aceptar (OK).

13 Si es necesario, edite el valor predeterminado de MTU para la subinterfaz.

La MTU predeterminada de una interfaz troncal es 1.600, mientras que la MTU predeterminada deuna subinterfaz es 1.500. La MTU de la subinterfaz debe ser menor o igual que la MTU más baja detodas las interfaces troncales para NSX Edge.

14 Seleccione Habilitar redirección de envío (Enable Send Redirect) para transmitir la información deenrutamiento a los hosts.

15 Escriba la dirección MAC para la interfaz.

Debido a que las subinterfaces no admiten HA, solo se requiere una dirección MAC.

16 Si es necesario, edite la MTU predeterminada de la interfaz troncal.


Ahora puede utilizar la subinterfaz en los servicios Edge.

Pasos siguientes

Configure el tronco de VLAN si la subinterfaz agregada a una vNic de tronco está respaldada por ungrupo de puertos estándar. Consulte Configurar el tronco de VLAN.

Configurar el tronco de VLANCuando se agrega la subinterfaz a una vNic de tronco respaldada por un grupo de puertos distribuidos, eltronco de VLAN o VXLAN se configura automáticamente en el puerto de enlace troncal. Cuando seagrega la subinterfaz a una vNic de tronco respaldada por un grupo de puertos estándar, solo se admiteun tronco de VLAN.

Requisitos previos

Compruebe que está disponible una subinterfaz con una vNic de tronco respaldada por un grupo depuertos estándar. Consulte Agregar una subinterfaz.

Procedimiento

1 Inicie sesión en vCenter Web Client.

2 Haga clic en Redes (Networking).

3 Seleccione el grupo de puertos estándar y haga clic en Editar configuración (Edit Settings).


VMware, Inc. 106

4 Haga clic en la pestaña VLAN.

5 En Tipo de VLAN (VLAN Type), seleccione Enlace troncal de VLAN (VLAN Trunking) y escriba losidentificadores de VLAN que se enlazarán troncalmente.


Cambiar configuración de reglas automáticasCuando se habilita la generación automática de reglas, NSX Edge agrega reglas de firewall, NAT yenrutamiento para permitir el flujo de tráfico de control en estos servicios. Si no se habilita la generaciónautomática de reglas, es necesario agregar manualmente la configuración de firewall, NAT yenrutamiento para permitir el tráfico en los canales de control de los servicios de NSX Edge comoequilibrio de carga, VPN, etc.

Procedimiento



3 Haga doble clic en una instancia de NSX Edge.

4 Haga clic en la pestaña Supervisar (Monitor) y seleccione la pestaña Configuración (Settings).

5Haga clic en el icono Más acciones (More Actions) y seleccione Cambiar configuración dereglas automáticas (Change Auto Rule configuration).

6 Realice los cambios necesarios y haga clic en Aceptar (OK).

Cambiar credenciales de CLIEs posible editar las credenciales que se utilizan para iniciar sesión en la interfaz de línea de comandos(CLI).

Procedimiento





5Haga clic en el icono Más acciones (More Actions) y seleccione Cambiar credenciales de CLI(Change CLI Credentials).

6 Edite los valores adecuados.



VMware, Inc. 107

Acerca de High AvailabilityHigh Availability (HA) asegura que los servicios proporcionados por los dispositivos NSX Edge estándisponibles aunque un error de hardware o software haga que un dispositivo no esté disponible. HA deNSX Edge minimiza el tiempo de inactividad de la conmutación por error en lugar de enviar un tiempo deinactividad cero, puesto que la conmutación por error entre dispositivos puede necesitar que se reinicienalgunos servicios.

Por ejemplo, HA de NSX Edge sincroniza el seguimiento de la conexión del firewall con estado o lainformación con estado proporcionada por el equilibrador de carga. El tiempo necesario para introducir lacopia de seguridad de todos los servicios no es nulo. Los ejemplos de impactos al reiniciar serviciosconocidos incluyen un tiempo de inactividad que no es cero con un enrutamiento dinámico cuando unainstancia de NSX Edge funciona como enrutador.

En algunas ocasiones, los dos dispositivos de HA de NSX Edge no pueden comunicarse y decidenactivarse de forma unilateral. Este comportamiento es correcto para mantener la disponibilidad de losservicios de la instancia de NSX Edge activa si la instancia de NSX Edge en espera no está disponible.Si aún existe el otro dispositivo cuando la comunicación se vuelve a establecer, los dos dispositivos deHA de NSX Edge vuelven a negociar el estado activo y en espera. Si esta negociación no finaliza yambos dispositivos declaran que están activos cuando se vuelve a establecer la conectividad, seproduce un comportamiento inesperado. Esta condición, conocida como cerebro dividido, se producedebido a las siguientes condiciones del entorno:

n Problemas de la conectividad de la red física, que incluye una partición de red.

n CPU o contención de los recursos de memoria en NSX Edge.

n Problemas transitorios de almacenamiento que pueden hacer que al menos una máquina virtual deHA de NSX Edge no esté disponible.

Por ejemplo, se produce una mejora en la estabilidad y el rendimiento de HA de NSX Edge cuandolas máquinas virtuales salen del almacenamiento sobreaprovisionado. Concretamente, mientras serealizan copias de seguridad nocturnas, grandes puntas en la latencia del almacenamiento puedensuponer un impacto en la estabilidad de HA de NSX Edge.

n Congestión en el adaptador de red física o virtual relacionada con el intercambio de paquetes.

Además de los problemas de entorno, una situación de cerebro dividido se produce cuando el motor dela configuración de HA pasa a un mal estado o cuando se produce un error en el demonio de HA.

High Availability con estadoEl dispositivo NSX Edge principal está en estado activo, mientras que el secundario está en estado enespera. NSX Edge replica la configuración del dispositivo principal para el dispositivo en espera; demanera alternativa, se pueden agregar manualmente dos dispositivos. VMware recomienda crear losdispositivos principal y secundario en grupos de recursos y almacenes de datos diferentes. Si se crean


VMware, Inc. 108

los dispositivos principal y secundario en el mismo almacén de datos, el almacén de datos debecompartirse entre todos los hosts del clúster para que el par de dispositivos HA se implemente en hostsESX diferentes. Si el almacén de datos es un almacenamiento local, las dos máquinas virtuales seimplementan en el mismo host.

Todos los servicios de NSX Edge se ejecutan en el dispositivo activo. El dispositivo principal mantiene unlatido con el dispositivo en espera y envía actualizaciones de servicio a través de una interfaz interna.

Si no se recibe un latido del dispositivo principal en el período especificado (el valor predeterminado es15 segundos), se declara inactivo al dispositivo principal. El dispositivo en espera cambia al estadoactivo, pasa a controlar la configuración de la interfaz del dispositivo principal e inicia los servicios NSXEdge que se estaban ejecutando en el dispositivo principal. Cuando se realiza la transición, aparece unevento de sistema en la pestaña Eventos del sistema (System Events) de Configuración e informes(Settings & Reports). Los servicios de equilibrador de carga y VPN deben restablecer la conexión TCPcon NSX Edge, por lo que el servicio se interrumpe durante un breve período Se sincronizan lasconexiones de conmutadores lógicos y las sesiones de firewall entre los dispositivos principal y enespera, por lo que no hay interrupción del servicio durante la transición.

Si se produce un error en el dispositivo NSX Edge y se informa de un estado incorrecto, HA realiza unasincronización forzada del dispositivo con errores para reactivarlo. Una vez reactivado, el dispositivoasume la configuración del dispositivo ahora activo y permanece en estado de espera. Si el dispositivoNSX Edge está inactivo, debe eliminarlo y agregar uno nuevo.

NSX Edge garantiza que las dos máquinas virtuales NSX Edge con HA no estén en el mismo host ESXincluso después de utilizar DRS y vMotion (a menos que las migre manualmente con vMotion al mismohost). En vCenter, se implementan dos máquinas virtuales en el mismo grupo de recursos y almacén dedatos que el dispositivo configurado. Se asignan direcciones IP de enlace local a las máquinas virtualesde HA en el dispositivo HA de NSX Edge para que puedan comunicarse. Puede especificar direccionesIP de administración para anular los enlaces locales.

Si se configuran servidores syslog, los registros del dispositivo activo se envían a dichos servidores.

vSphere High AvailabilityNSX Edge HA es compatible con vSphere HA. Si el host en el cual se está ejecutando la instancia deNSX Edge queda inactivo, el dispositivo NSX Edge se reinicia en el host en espera para garantizar que elpar de NSX Edge HA siga estando disponible para tomar el control de otra conmutación por error.

Si no se aprovecha vSphere HA, el par de NSX Edge HA en modo activo-en espera sobrevivirá una solaconmutación por error. Sin embargo, si se produce otra conmutación por error antes de la restauracióndel segundo par HA, puede ponerse en riesgo la disponibilidad de NSX Edge.

Para obtener más información sobre vSphere HA, consulte Disponibilidad de vSphere.

Cambiar la configuración de alta disponibilidadEs posible cambiar la configuración de HA que se especificó durante la instalación de NSX Edge.

Procedimiento



VMware, Inc. 109




5 En el panel Configuración de HA (HA Configuration), haga clic en Cambiar (Change).

6 En el cuadro de diálogo Cambiar configuración de HA (Change HA Configuration), realice loscambios necesarios.

Nota Si se configuró VPN de Capa 2 en el dispositivo Edge antes de habilitar HA, es necesariodisponer de al menos dos interfaces internas configuradas. Si existe una sola interfaz configurada enesta instancia de Edge que ya utiliza VPN de Capa 2, la alta disponibilidad queda deshabilitada en eldispositivo Edge.


Forzar sincronización de NSX Edge con NSX ManagerEs posible enviar una solicitud de sincronización de NSX Manager a NSX Edge.

La opción de forzar sincronización se utiliza cuando se debe sincronizar la configuración de Edge comola conoce NSX Manager en todos los componentes.

Nota Para la versión 6.2 y superiores, forzar la sincronización evita la pérdida de datos del tráfico deenrutamiento de Este a Oeste, sin embargo, es posible que el enrutamiento de Norte a Sur y las rutaspuente se interrumpan.

Forzar la sincronización da como resultado las acciones siguientes:

n Los dispositivos Edge se reinician y se aplica la última configuración

n Se cierra la conexión con el host.

n Si la instancia de NSX Manager es principal o independiente y Edge es un enrutador lógicodistribuido, se sincroniza el clúster de la controladora.

n Se envía un mensaje a todos los hosts relevantes para sincronizar la instancia del enrutadordistribuido

Importante En un entorno de Cross-vCenter NSX, es necesario que la instancia de NSX Edge fuerce lasincronización primero en el NSX Manager primario y, cuando se complete, fuerce la sincronización de lainstancia NSX Edge en las instancias de NSX Manager secundario.

Procedimiento




VMware, Inc. 110

3 Seleccione una instancia de NSX Edge.

4Haga clic en el icono Más acciones (More Actions) ( ) y seleccione Forzar sincronización (ForceSync).

Configurar los servidores de Syslog remotosPuede configurar uno o dos servidores Syslog remotos. Los eventos y registros de NSX Edgerelacionados con eventos de firewall que circulan desde dispositivos NSX Edge son enviados a losservidores Syslog.

Procedimiento





5 En el panel Detalles (Details), haga clic en Cambiar (Change) junto a los servidores Syslog.

6 Escriba la dirección IP de ambos servidores Syslog remotos y seleccione el protocolo.

7 Haga clic en Aceptar (OK) para guardar la configuración.

Ver el estado de una instancia de NSX EdgeLa página de estado muestra gráficos del tráfico que circula a través de las interfaces de la instancia deNSX Edge seleccionada y las estadísticas de conexiones de los servicios de firewall y el equilibrador decarga.

Procedimiento




4 Haga clic en la pestaña Supervisar (Monitor).

5 Seleccione el período cuyas estadísticas desea ver.

Pasos siguientes

Para ver más detalles sobre la instancia de NSX Edge, haga clic en Administrar (Manage) y, acontinuación, en Configuración (Settings).


VMware, Inc. 111

Volver a implementar NSX EdgeSi los servicios NSX Edge no funcionan según lo esperado tras una sincronización forzada, se puedevolver a implementar la instancia de NSX Edge.

Nota Volver a implementar es una acción disruptiva. Se recomienda primero aplicar una sincronizaciónforzada y, si el problema persiste, entonces volver a implementar.

Al volver a implementar una instancia de NSX Edge ocurren las siguientes acciones:

n Los dispositivos Edge se eliminan e implementan de cero con la configuración más reciente aplicada.

n Los enrutadores lógicos se eliminan de la controladora y, a continuación, se recrean con laconfiguración más reciente aplicada.

n Las instancias de enrutador lógico distribuido de los hosts se eliminan y, a continuación, se recreancon la configuración más reciente aplicada.

Las adyacencias OSPF se retiran durante este proceso si el reinicio estable no está habilitado.

Importante En un entorno de Cross-vCenter, es necesario que la instancia de NSX Edge se vuelva aimplementar en primer lugar en la instancia principal de NSX Manager y, una vez hecho, se vuelva aimplementar la instancia de NSX Edge en las instancias secundarias de NSX Manager. Se requierevolver a implementar tanto la instancia principal como las instancias secundarias de NSX Manager.

Requisitos previos

Compruebe que los hosts tienen suficientes recursos para implementar más dispositivos de la puerta deenlace de servicios de NSX Edge durante el proceso para volver a realizar la implementación. Consultelos Capítulo 1Requisitos del sistema para NSX si desea obtener información sobre los recursosnecesarios para el tamaño de cada instancia de NSX Edge.

n Para una única instancia de NSX Edge, habrá dos dispositivos NSX Edge de tamaño adecuado en elestado poweredOn durante el proceso para volver a realizar la implementación.

n A partir de la versión 6.2.3 de NSX, al implementar una instancia de NSX Edge con HA, seimplementarán los dos dispositivos de sustitución antes de reemplazar los dispositivos anteriores.Esto significa que habrá cuatro dispositivos NSX Edge de tamaño adecuado en el estado poweredOndurante la actualización de una instancia de NSX Edge determinada. Cuando la instancia de NSXEdge se implemente de nuevo, cualquiera de los dispositivos HA puede activarse.

n Antes de la versión 6.2.3 de NSX, al implementar una instancia de NSX Edge con HA, solo seimplementaba un dispositivo de sustitución a la vez cuando se sustituían los dispositivos antiguos.Esto significa que habrá tres dispositivos NSX Edge de tamaño adecuado en el estado poweredOndurante el proceso para volver a implementar una instancia de NSX Edge determinada. Cuando lainstancia de NSX Edge se vuelve a implementar, normalmente el dispositivo NSX Edge con HA coníndice 0 se activa.


VMware, Inc. 112

Procedimiento




4 Haga clic en el icono Acciones (Actions) ( ) y seleccione Volver a implementar Edge (RedeployEdge).

La máquina virtual de NSX Edge se reemplaza con una nueva máquina virtual y se restauran todos losservicios. Si la nueva implementación no funciona, apague la máquina virtual de NSX Edge e intentevolver a implementar NSX Edge nuevamente.

Nota Es posible que la acción de volver a implementar no funcione en los siguientes casos.

n El grupo de recursos en el que se instaló NSX Edge ya no se encuentra en el inventario de vCenter ocambió su identificador de objetos administrados (MOID).

n El almacén de datos donde se instaló NSX Edge está dañado o desmontado, o no es posibleacceder a él.

n Los grupos dvportGroup a los que se conectaron las interfaces de NSX Edge ya no se encuentran enel inventario de vCenter o cambió su identificador MOID (identificador en vCenter Server).

Si ocurre alguna de las anteriores situaciones, debe actualizar el identificador MOID del grupo derecursos, del almacén de datos o de dvportGroups mediante una llamada API de REST. Consulte la Guíade programación de NSX API.

Descargar registros de soporte técnico para NSX EdgePuede descargar los registros de soporte técnico para cada instancia de NSX Edge. Si está habilitado elmodo de alta disponibilidad para la instancia de NSX Edge, se descargan los registros de soporte deambas máquinas virtuales de NSX Edge.

Procedimiento




4Haga clic en el icono Más acciones (More Actions) ( ) y seleccione Descargar registros desoporte técnico (Download Tech Support Logs).

5 Una vez generados los registros de soporte técnico, haga clic en Descargar (Download).

6 En el cuadro de diálogo Seleccionar ubicación para la descarga (Select location for download),desplácese hasta el directorio en el que desea guardar el archivo de registro.


VMware, Inc. 113


8 Haga clic en Cerrar (Close).

Agregar una ruta estáticaEs posible agregar una ruta estática para un host o una subred de destino.

Procedimiento




4 Haga clic en la pestaña Administrar (Manage) y seleccione la pestaña Enrutamiento (Routing).

5 Seleccione Rutas estáticas (Static Routes) en el panel izquierdo.


7 Escriba el nombre de Red (Network) en notación CIDR.

8 Especifique la dirección IP para Próximo salto (Next Hop).

El enrutador debe poder llegar de forma directa al siguiente salto.

Si se habilita ECMP, es posible especificar varios próximos saltos.

9 Seleccione la opción de Interfaz (Interface) en la que desea agregar una ruta estática.

10 En MTU, edite el valor de unidad transmisión máxima para los paquetes de datos, si es necesario.

El valor de MTU no puede superar el valor de MTU configurado en la interfaz de NSX Edge.

11 Si se le pregunta, escriba un valor para Distancia administrativa (Admin Distance).

Seleccione un valor entre 1 y 255. La distancia administrativa se utiliza para seleccionar qué rutadebe utilizarse cuando existen varias rutas para una red determinada. Cuanto menor es estadistancia, mayor es la preferencia para la ruta.

Tabla 9‑2. Distancias administrativas predeterminadas


Conectado 0

Estático 1

BGP externo 20

OSPF dentro del área 30


VMware, Inc. 114

Tabla 9‑2. Distancias administrativas predeterminadas (Continuación)


OSPF entre áreas 110

BGP interno 200

Una distancia administrativa de 255 hace que la ruta estática se excluya de la tabla de enrutamiento(RIB) y del plano de datos, por lo que no se utiliza esta ruta.

12 (opcional) Especifique el valor de Identificador de configuración regional (Locale ID).

De forma predeterminada, las rutas tienen el mismo identificador de configuración regional que NSXManager. Al especificar un identificador de configuración regional aquí, la ruta se asociará a eseidentificador. Estas rutas se enviarán únicamente a hosts con el mismo identificador de configuraciónregional. Consulte Topologías de Cross-vCenter NSX para obtener más información.

13 (opcional) Escriba una Descripción (Description) para la ruta estática.


Configurar OSPF en un enrutador lógico (distribuido)La configuración de OSPF en un enrutador lógico permite la conectividad de la máquina virtual en todoslos enrutadores lógicos, los cuales, a su vez, se conectan con las puertas de enlace de servicios Edge(ESG).

Las directivas de enrutamiento de OSPF ofrecen un proceso dinámico de equilibrio de carga de tráficoentre rutas de igual costo.

Una red OSPF se divide en áreas de enrutamiento para optimizar el flujo de tráfico y limitar el tamaño delas tablas de enrutamiento. Un área es una recopilación lógica de redes OSPF, enrutadores y vínculosque tienen la misma identificación de área.

Las áreas se distinguen por un identificador de área.

Requisitos previos

Debe configurarse un identificador de enrutador, como se muestra en Ejemplo: OSPF configurado en elenrutador lógico (distribuido).

Cuando se habilita un identificador de enrutador, el campo se completa de forma predeterminada con lainterfaz de vínculo superior del enrutador lógico.

Procedimiento



3 Haga doble clic en un enrutador lógico.

4 Haga clic en Enrutamiento (Routing) y, a continuación, haga clic en OSPF.


VMware, Inc. 115

5 Habilite OSPF.

a Haga clic en Editar (Edit) en la esquina superior derecha de la ventana y, a continuación, hagaclic en Habilitar OSPF (Enable OSPF).

b En Dirección de reenvío (Forwarding Address), escriba una dirección IP que utilizará el módulode rutas de datos del enrutador en los hosts para reenviar paquetes de rutas de datos.

c En Dirección de protocolo (Protocol Address), escriba una dirección IP única dentro de lamisma subred de Dirección de reenvío (Forwarding Address). El protocolo utiliza la dirección deprotocolo para formar adyacencias con los elementos del mismo nivel.

6 Configure las áreas de OSPF.

a Como opción, puede eliminar el área Not-So-Stubby (NSSA) 51 que viene configurada de formapredeterminada.

b En Definiciones de área (Area Definitions), haga clic en el icono Agregar (Add).

c Escriba un identificador de área. NSX Edge admite un identificador de área en forma de direcciónIP o número decimal.

d En Tipo (Type), seleccione Normal o NSSA.

Las NSSA impiden el desborde con anuncios sobre el estado del vínculo (LSA) AS externos. LasNSSA dependen del enrutamiento predeterminado en destinos externos. Por lo tanto, debenubicarse en el extremo de un dominio de enrutamiento de OSPF. Las NSSA pueden importarrutas externas en el dominio de enrutamiento de OSPF, por lo que ofrecen un servicio de tránsitopara los dominios pequeños de enrutamiento que no forman parte del dominio de enrutamientode OSPF.

7 (opcional) Seleccione un tipo de autenticación en Autenticación (Authentication). OSPF realiza laautenticación en el nivel del área.

Todos los enrutadores dentro del área deben tener la misma autenticación y la correspondientecontraseña configurada. Para que funcione la autenticación de MD5, tanto los enrutadores derecepción como de transmisión deben tener la misma clave MD5.

a Ninguna (None): no se requiere autenticación, que es el valor predeterminado.

b Contraseña (Password): en este método de autenticación, se incluye una contraseña en elpaquete transmitido.

c MD5: este método de autenticación utiliza un cifrado MD5 (síntesis del mensaje de tipo 5). En elpaquete transmitido se incluye una suma de comprobación de MD5.

d Para la autenticación de tipo Contraseña (Password) o MD5, escriba la contraseña o la clave deMD5.


VMware, Inc. 116

8 Asigne interfaces a las áreas.

a En Asignación de interfaz a área (Area to Interface Mapping), haga clic en el icono Agregar(Add) para asignar la interfaz que corresponde al área de OSPF.

b Seleccione la interfaz que desea asignar y el área de OSPF a la cual será asignada.

9 (opcional) Si fuera necesario, edite la configuración predeterminada de OSPF.

En la mayoría de los casos, se recomienda conservar la configuración predeterminada de OSPF. Sifinalmente cambia la configuración, asegúrese de que los elementos del mismo nivel de OSPFutilicen la misma configuración.

a Intervalo de saludo (Hello Interval) muestra el intervalo predeterminado entre los paquetes desaludo que se envían en la interfaz.

b Intervalo inactivo (Dead Interval) muestra el intervalo predeterminado durante el cual deberecibirse al menos un paquete de saludo de un vecino antes de que el enrutador declare a esevecino como inactivo.

c Prioridad (Priority) muestra la prioridad predeterminada de la interfaz. La interfaz con la prioridadmás alta es el enrutador designado.

d La opción Costo (Cost) de una interfaz muestra la sobrecarga predeterminada necesaria paraenviar paquetes a través de esa interfaz. El costo de una interfaz es inversamente proporcional asu ancho de banda. A mayor ancho de banda, menor costo.


Ejemplo: OSPF configurado en el enrutador lógico (distribuido)Un escenario simple de NSX que utiliza OSPF es uno donde un enrutador lógico (DLR) y una puerta deenlace de servicios Edge (ESG) son vecinos de OSPF, como se muestra aquí.


VMware, Inc. 117

Figura 9‑1. Topología NSX

En la siguiente pantalla, la puerta de enlace predeterminada del enrutador lógico es la dirección IP de lainterfaz interna de la ESG (192.168.10.1).

El identificador del enrutador es la interfaz de vínculo superior del enrutador lógico: es decir, la direcciónIP que apunta a la ESG (192.168.10.2).


VMware, Inc. 118


VMware, Inc. 119

La configuración del enrutador lógico utiliza 192.168.10.2 como dirección de reenvío. La dirección delprotocolo puede ser cualquier dirección IP que se encuentre en la misma subred y que no se estéutilizando en otro lugar. En este caso, está configurada la dirección 192.168.10.3. El identificador de áreaconfigurado es 0 y la interfaz de vínculo superior (la interfaz que apunta a la ESG) se asigna al área.

Pasos siguientes

Asegúrese de que la redistribución de rutas y la configuración de firewall permitan anunciar las rutascorrectas.

En este ejemplo, en OSPF se anuncian las rutas conectadas del enrutador lógico (172.16.10.0/24 y172.16.20.0/24).


VMware, Inc. 120

Si habilitó SSH al crear el enrutador lógico, también debe configurar un filtro de firewall que habilite SSHen la dirección del protocolo del enrutador lógico. Por ejemplo:


VMware, Inc. 121

Configurar el protocolo OSPF en una puerta de enlace deservicios EdgeLa configuración de un protocolo OSPF en una puerta de enlace de servicios Edge (ESG) permite queESG conozca y anuncie rutas. La aplicación más común de OSPF en una ESG se realiza en el vínculoentre la ESG y un enrutador lógico (distribuido). Esta acción permite que la ESG conozca las interfaceslógicas (LIFS) que están conectadas al enrutador lógico. Este objetivo puede cumplirse con OSPF, IS-IS,BGP o enrutamiento estático.

Las directivas de enrutamiento de OSPF ofrecen un proceso dinámico de equilibrio de carga de tráficoentre rutas de igual costo.

Una red OSPF se divide en áreas de enrutamiento para optimizar el flujo de tráfico y limitar el tamaño delas tablas de enrutamiento. Un área es una recopilación lógica de redes OSPF, enrutadores y vínculosque tienen la misma identificación de área.

Las áreas se distinguen por un identificador de área.

Requisitos previos

Debe configurarse un identificador de enrutador, como se muestra en Ejemplo: OSPF configurado en lapuerta de enlace de servicios Edge.

Cuando se habilita un identificador de enrutador, el campo se completa de forma predeterminada con ladirección IP de la interfaz de vínculo superior de la ESG.

Procedimiento



3 Haga doble clic en una ESG.

4 Haga clic en Enrutamiento (Routing) y, a continuación, haga clic en OSPF.

5 Habilite OSPF.

a Haga clic en Editar (Edit) en la esquina superior derecha de la ventana y, a continuación, hagaclic en Habilitar OSPF (Enable OSPF).

b (opcional) Haga clic en Habilitar reinicio correcto (Enable Graceful Restart) para detener lainterrupción del reenvío de paquetes durante el reinicio de los servicios de OSPF.

c (opcional) Haga clic en Habilitar origen predeterminado (Enable Default Originate) parapermitir que la ESG se anuncie como puerta de enlace predeterminada ante los elementos delmismo nivel.


VMware, Inc. 122

6 Configure las áreas de OSPF.

a (opcional) Elimine el área Not-So-Stubby (NSSA) 51 que viene configurada de formapredeterminada.

b En Definiciones de área (Area Definitions), haga clic en el icono Agregar (Add).

c Escriba un identificador de área. NSX Edge admite un identificador de área en forma de direcciónIP o número decimal.

d En Tipo (Type), seleccione Normal o NSSA.

Las NSSA impiden el desborde con anuncios sobre el estado del vínculo (LSA) AS externos. LasNSSA dependen del enrutamiento predeterminado en destinos externos. Por lo tanto, debenubicarse en el extremo de un dominio de enrutamiento de OSPF. Las NSSA pueden importarrutas externas en el dominio de enrutamiento de OSPF, por lo que ofrecen un servicio de tránsitopara los dominios pequeños de enrutamiento que no forman parte del dominio de enrutamientode OSPF.

7 (opcional) Seleccione un tipo de autenticación en Autenticación (Authentication). OSPF realiza laautenticación en el nivel del área.

Todos los enrutadores dentro del área deben tener la misma autenticación y la correspondientecontraseña configurada. Para que funcione la autenticación de MD5, tanto los enrutadores derecepción como de transmisión deben tener la misma clave MD5.

a Ninguna (None): no se requiere autenticación, que es el valor predeterminado.

b Contraseña (Password): en este método de autenticación, se incluye una contraseña en elpaquete transmitido.

c MD5: este método de autenticación utiliza un cifrado MD5 (síntesis del mensaje de tipo 5). En elpaquete transmitido se incluye una suma de comprobación de MD5.

d Para la autenticación de tipo Contraseña (Password) o MD5, escriba la contraseña o la clave deMD5.

8 Asigne interfaces a las áreas.

a En Asignación de interfaz a área (Area to Interface Mapping), haga clic en el icono Agregar(Add) para asignar la interfaz que corresponde al área de OSPF.

b Seleccione la interfaz que desea asignar y el área de OSPF a la cual será asignada.

9 (opcional) Edite la configuración predeterminada de OSPF.

En la mayoría de los casos, se recomienda conservar la configuración predeterminada de OSPF. Sifinalmente cambia la configuración, asegúrese de que los elementos del mismo nivel de OSPFutilicen la misma configuración.

a Intervalo de saludo (Hello Interval) muestra el intervalo predeterminado entre los paquetes desaludo que se envían en la interfaz.


VMware, Inc. 123

b Intervalo inactivo (Dead Interval) muestra el intervalo predeterminado durante el cual deberecibirse al menos un paquete de saludo de un vecino antes de que el enrutador declare a esevecino como inactivo.

c Prioridad (Priority) muestra la prioridad predeterminada de la interfaz. La interfaz con la prioridadmás alta es el enrutador designado.

d La opción Costo (Cost) de una interfaz muestra la sobrecarga predeterminada necesaria paraenviar paquetes a través de esa interfaz. El costo de una interfaz es inversamente proporcional asu ancho de banda. A mayor ancho de banda, menor costo.


11 Asegúrese de que la redistribución de rutas y la configuración de firewall permitan anunciar las rutascorrectas.

Ejemplo: OSPF configurado en la puerta de enlace de serviciosEdgeUn escenario simple de NSX que utiliza OSPF es uno donde un enrutador lógico y una puerta de enlacede servicios Edge son vecinos de OSPF, como se muestra aquí.

La ESG puede conectarse al exterior a través de un puente, un enrutador físico (o como se muestraaquí) mediante un grupo de puertos de vínculo superior en un conmutador distribuido de vSphere.


VMware, Inc. 124

Figura 9‑2. Topología NSX

VM VM

172.16.20.10 172.16.10.10

172.16.20.1Tipo de vínculo: interno 172.16.10.1

Tipo de vínculo: interno

DLR

Conmutadorlógicode aplicaciones

Conmutadorlógicoweb

Máquina virtualde aplicaciones

Máquina virtualweb

192.168.10.2Tipo de vínculo:

Dirección del protocolo:192.168.10.3

Conmutadorlógicode tránsito

192.168.10.1Tipo de vínculo: interno

ESG

192.168.100.3Tipo de vínculo:vínculo superior

192.168.100.1

Arquitecturafísica

vSphereDistributedSwitch

vínculo superior

En la siguiente pantalla, la puerta de enlace predeterminada de la ESG es la interfaz de vínculo superiorde la ESG con el elemento externo del mismo nivel.

El identificador de enrutador es la dirección IP de la interfaz de vínculo superior de la ESG: es decir, ladirección IP que apunta al elemento externo del mismo nivel.


VMware, Inc. 125

El identificador de área configurado es 0 y la interfaz interna (la interfaz que apunta al enrutador lógico)se asigna al área.


VMware, Inc. 126

Los enrutadores conectados se redistribuyen en OSPF de modo que el vecino de OSPF (el enrutadorlógico) pueda conocer la red de vínculo superior de la ESG.


VMware, Inc. 127


VMware, Inc. 128

Nota Asimismo, OSPF puede configurarse entre la ESG y su enrutador externo del mismo nivel,aunque es más frecuente que el vínculo utilice el par BGP para anunciar rutas.

Asegúrese de que la ESG conozca las rutas externas de OSPF a partir del enrutador lógico.

Para comprobar la conectividad, asegúrese de que haya un dispositivo externo en la arquitectura físicaque pueda hacer ping en las máquinas virtuales.

Por ejemplo:

PS C:\Users\Administrator> ping 172.16.10.10

Pinging 172.16.10.10 with 32 bytes of data:

Reply from 172.16.10.10: bytes=32 time=5ms TTL=61


Ping statistics for 172.16.10.10:

Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 1ms, Maximum = 5ms, Average = 3ms

PS C:\Users\Administrator> ping 172.16.20.10

Pinging 172.16.20.10 with 32 bytes of data:



Ping statistics for 172.16.20.10:

Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 1ms, Maximum = 2ms, Average = 1ms

Configurar BGPEl protocolo de puerta de enlace de borde (BGP) toma decisiones de enrutamiento centrales. Contieneuna tabla de prefijos o redes IP, con la que se designa la posibilidad de alcance de la red entre variossistemas autónomos.


VMware, Inc. 129

Antes de intercambiar cualquier tipo de información de enrutamiento, se establece una conexiónsubyacente entre dos oradores BGP. Los oradores BGP envían mensajes de mantenimiento de conexiónpara mantener activa esta relación. Después de que se establece la conexión, los oradores BGPintercambian rutas y sincronizan sus tablas.

Procedimiento




4 Haga clic en Enrutamiento (Routing) y seleccione BGP.


6 En el cuadro de diálogo Editar configuración de BGP (Edit BGP Configuration), haga clic en HabilitarBGP (Enable BGP).

7 Haga clic en Habilitar reinicio estable (Enable Graceful Restart) para que el reenvío de paquetesno se interrumpa durante el reinicio de los servicios BGP.

8 Haga clic en Habilitar origen predeterminado (Enable Default Originate) para que NSX Edgepueda anunciarse como la puerta de enlace predeterminada para los elementos del mismo nivel.

9 Introduzca el identificador de enrutador en AS locales (Local AS). Especifique los sistemasautónomos (AS) locales. Esto se anuncia cuando BGP se empareja con enrutadores del mismo nivelen otros sistemas autónomos. La ruta de acceso de los sistemas autónomos atravesada por una rutase utiliza como métrica para seleccionar la mejor ruta de acceso a un destino.


11 En Vecinos (Neighbors), haga clic en el icono Agregar (Add).

12 Especifique la dirección IP para el vecino.

Al configurar el emparejamiento BGP entre una puerta de enlace de servicios de Edge (ESG) y unenrutador lógico, utilice la dirección IP de protocolo de ese enrutador como la dirección de vecinoBGP para ESG.

13 (Solo en un enrutador lógico) Especifique la dirección de reenvío.

La dirección de reenvío es la dirección IP que se asignó a la interfaz de un enrutador lógicodistribuido orientada a su vecino BGP (su interfaz de vínculo superior).

14 (Solo en un enrutador lógico) Especifique la dirección de protocolo.

La dirección de protocolo es la dirección IP que el enrutador lógico utiliza para establecer unarelación con un vecino BGP. Puede ser cualquier dirección IP en la misma subred que la dirección dereenvío (siempre y cuando no se utilice en otra ubicación). Al configurar el emparejamiento BGPentre una puerta de enlace de servicios de Edge (ESG) y un enrutador lógico, utilice la dirección IPde protocolo de ese enrutador como la dirección IP de vecino BGP para ESG.


VMware, Inc. 130

15 Especifique los sistemas autónomos (AS) remotos.

16 Edite el peso predeterminado para la conexión de vecino si es necesario.

17 La opción Temporizador de supresión (Hold Down Timer) muestra un intervalo (180 segundos)después del cual el software puede declarar inactivo al elemento del mismo nivel si no recibe unmensaje de mantenimiento de conexión. Si es necesario, edite esta opción.

18 La opción Temporizador de mantenimiento (Keep Alive Timer) muestra la frecuenciapredeterminada (60 segundos) con la cual el software envía mensajes de mantenimiento deconexión a los elementos del mismo nivel. Si es necesario, edite esta opción.

19 Si se requiere autenticación, introduzca la contraseña de autenticación. Se comprobará cadasegmento enviado a través de la conexión entre los vecinos. Se debe configurar la autenticaciónbasada en MD5 con la misma contraseña en los dos vecinos BGP; de lo contrario, no se podráestablecer la conexión entre los vecinos.

20 Para especificar el filtrado de rutas desde un vecino, haga clic en el icono Agregar (Add) en el áreaFiltros de BGP (BGP Filters).

Precaución Se aplicará una regla "bloquear todo" al final de los filtros.

21 Seleccione la orientación para indicar si se debe filtrar el tráfico hacia o desde el vecino.

22 Seleccione la acción para indicar si se debe permitir o denegar el tráfico.

23 Introduzca en formato CIDR la red que se debe filtrar hacia o desde el vecino.

24 Introduzca los prefijos IP que se deben filtrar y haga clic en Aceptar (OK).



VMware, Inc. 131

Ejemplo: Configurar BGP entre una puerta de enlace de serviciosde Edge y un enrutador lógico

DLR

Tipo de vínculo: vínculo superior192.168.10.2 (dirección de reenvío)

Conmutador lógico de tránsito

Tipo de vínculo: interno192.168.10.1

ESG AS 64511

AS 64512

192.168.10.3(dirección de protocolo)

En esta topología, la puerta de enlace ESG se encuentra en el sistema autónomo AS 64511. El enrutadorlógico (DLR) se encuentra en el sistema autónomo AS 64512.

La dirección de reenvío del enrutador lógico es 192.168.10.2. Esta es la dirección configurada en lainterfaz de vínculo superior del enrutador lógico. La dirección de protocolo del enrutador lógico es192.168.10.3. Esta es la dirección que la puerta de enlace ESG utilizará para establecer su relación deemparejamiento BGP con el enrutador lógico.

En el enrutador lógico, configure BGP como se muestra:


VMware, Inc. 132

En la puerta de enlace de servicios de Edge, configure BGP como se muestra:

La dirección de vecino de ESG es 192.168.10.3, que es la dirección de protocolo del enrutador lógico.

Ejecute el comando show ip bgp neighbors en el enrutador lógico y asegúrese de que el estado deBGP sea Establecido (Established).


VMware, Inc. 133

Ejecute el comando show ip bgp neighbors en la puerta de enlace de servicios Edge y asegúrese deque el estado de BGP sea Establecido (Established).

Configurar el protocolo IS-ISIntermediate System to Intermediate System (IS-IS) es un protocolo de enrutamiento diseñado paramover información mediante la determinación de la mejor ruta para los datagramas por una red depaquetes conmutados.


VMware, Inc. 134

Se utiliza una jerarquía de dos niveles para admitir dominios de enrutamiento de gran tamaño. Undominio de gran tamaño puede dividirse en áreas. El enrutamiento dentro de un área se denominaenrutamiento de nivel 1. El enrutamiento entre áreas se denomina enrutamiento de nivel 2. Un sistemaIntermediate System (IS) de nivel 2 rastrea las rutas a las áreas de destino. Un sistema IS de nivel 1rastrea el enrutamiento dentro de su propia área. Para un paquete que se dirige a otra área, un sistemaIS de nivel 1 envía el paquete al sistema IS de nivel 2 más cercano en su propia área, más allá de cuálsea el área de destino. Después, el paquete viaja por medio del enrutamiento de nivel 2 hacia el área dedestino, donde puede viajar mediante el enrutamiento de nivel 1 hacia el destino. Un sistema IS que estátanto en el nivel 1 como en el nivel 2 se denomina de nivel 1-2.

Nota Actualmente, la compatibilidad de NSX con el protocolo IS-IS es experimental.

Procedimiento




4 Haga clic en Enrutamiento (Routing) y, a continuación, haga clic en IS-IS.

5 Haga clic en Editar (Edit) y, a continuación, haga clic en Habilitar IS-IS (Enable IS-IS).

6 Escriba el identificador del sistema y seleccione el tipo de IS-IS.

El nivel 1 es intraárea, el nivel 2 es interárea y el nivel 1-2 posee ambas propiedades. Losenrutadores de nivel 2 son enrutadores interárea que solo pueden formar relaciones con otrosenrutadores de nivel 2. La información de enrutamiento se intercambia entre enrutadores de nivel 1 yotros enrutadores de nivel 1. De manera similar, los enrutadores de nivel 2 solo intercambianinformación con otros enrutadores de nivel 2. Los enrutadores de nivel 1-2 intercambian informacióncon ambos niveles, y se utilizan para conectar los enrutadores interárea con los enrutadoresintraárea.

7 Escriba la Contraseña de dominio (Domain Password) y la Contraseña de área (Area Password).La contraseña de área se inserta y se comprueba en cuanto a paquetes de estado de enlace de nivel1, mientras que la contraseña de dominio se comprueba en cuanto a paquetes de estado de enlacede nivel 2.

8 Defina las áreas de IS-IS.

a Haga clic en el icono Agregar (Add) en Áreas (Areas).

b Escriba un máximo de tres direcciones IP de área.

c Haga clic en Guardar (Save).


VMware, Inc. 135

9 Configure la asignación de interfaces.

a Haga clic en el icono Agregar (Add) en Asignación de interfaces (Interface Mapping).

b Seleccione el tipo de circuito para indicar si configura la interfaz para nivel 1, nivel 2 oadyacencia de nivel 1-2.

c Intervalo de saludo (Hello Interval) muestra el intervalo predeterminado en milisegundos entrelos paquetes de saludo que se envían en la interfaz. Si es necesario, edite el valorpredeterminado.

d Multiplicador de saludo (Hello Multiplier) muestra la cantidad predeterminada de paquetes desaludo de IS-IS que un vecino debe omitir antes de declararse inactivo. Si es necesario, edite elvalor predeterminado.

e Intervalo de LSP (LSP Interval) muestra la demora en milisegundos entre las transmisiones depaquetes de estado-enlace IS-IS (LSP). Si es necesario, edite el valor predeterminado.

f Métrica (Metric) muestra la métrica predeterminada para la interfaz. Esto se utiliza para calcularel costo de cada interfaz mediante los enlaces en la red a otros destinos. Si es necesario, edite elvalor predeterminado.

g Prioridad (Priority) muestra la prioridad de la interfaz. La interfaz con la prioridad más alta seconvierte en el enrutador designado. Si es necesario, edite el valor predeterminado.

h En Grupo de trama (Mesh Group), escriba el número que identifica al grupo de trama al quepertenece esta interfaz. Si es necesario, edite el valor predeterminado.

i Escriba la contraseña de autenticación para la interfaz y haga clic en Aceptar (OK). Si esnecesario, edite el valor predeterminado.


Configurar la redistribución de rutasDe forma predeterminada, los enrutadores comparten rutas con otros enrutadores que ejecutan el mismoprotocolo. En un entorno de varios protocolos, debe configurar la redistribución de rutas para compartirrutas entre protocolos.

Para excluir una interfaz de la redistribución de rutas, agregue un criterio de rechazo para su red. EnNSX 6.2, la interfaz de HA (administración) de un enrutador lógico (distribuido) se excluyeautomáticamente de la redistribución de rutas.

Procedimiento





VMware, Inc. 136

4 Haga clic en Enrutamiento (Routing) y, a continuación, haga clic en Redistribución de rutas (RouteRedistribution).

5 Haga clic en Editar (Edit), junto a Estado de redistribución de rutas (Route Redistribution Status).

6 Seleccione los protocolos para los cuales desea habilitar la redistribución de rutas y haga clic enAceptar (OK).

7 Agregue un prefijo IP.

Las entradas en el listado de prefijos IP se procesan secuencialmente.

a Haga clic en el icono Agregar (Add) en Prefijos IP (IP Prefixes).

b Escriba un nombre y la dirección IP de la red.

El prefijo IP introducido tendrá una coincidencia exacta, salvo que incluya los modificadoresmenor o igual que (LE) o mayor o igual que (GE).


8 Especifique los criterios de redistribución para el prefijo IP.

a Haga clic en el icono Agregar (Add) en Tabla de redistribución de rutas (Route Redistributiontable).

b En Protocolo de aprendizaje (Learner Protocol), seleccione el protocolo que debe aprenderrutas de otros protocolos.

c En Permitir aprendizaje de (Allow Learning from), seleccione los protocolos desde los cualesdeben aprenderse rutas.



Ver el identificador de configuración local de NSXManagerCada instancia de NSX Manager tiene un identificador de configuración regional. Está configurado deforma predeterminada en el UUID de NSX Manager. Esta configuración puede anularse en el nivel delenrutador lógico universal, del clúster o del host.

Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) y, acontinuación, en Inventario de redes y seguridad (Networking & Security Inventory), haga clic enuna instancia de NSX Manager.

2 Haga clic en la pestaña Resumen (Summary). El campo Identificador (ID) incluye el UUID de lainstancia de NSX Manager.


VMware, Inc. 137

Configurar el identificador de configuración regional enun enrutador lógico universal (distribuido)Si el egreso local está habilitado cuando se crea un enrutador lógico universal, las rutas se envían ahosts solo cuando el identificador de configuración regional del host coincide con el identificador deconfiguración regional asociado con la ruta. Es posible cambiar el identificador de configuración regionalen un enrutador. Este identificador de configuración regional se asociará con todas las rutas de esteenrutador (estáticas y dinámicas). Las rutas se enviarán a los hosts y los clústeres con identificadores deconfiguración regional coincidentes.

Consulte Topologías de Cross-vCenter NSX para obtener información sobre configuraciones deenrutamiento para entornos de Cross-vCenter NSX.

Requisitos previos

El enrutador lógico universal (distribuido) debe haberse creado con el egreso local habilitado.

Procedimiento



3 Haga doble clic en un enrutador lógico universal (distribuido).

4 Haga clic en la pestaña Enrutamiento (Routing) y, a continuación, haga clic en Configuraciónglobal (Global Configuration).

5 Haga clic en Editar (Edit), junto a Configuración de enrutamiento (Routing Configuration).

6 Escriba un nuevo identificador de configuración regional.

Importante El identificador de configuración regional debe estar en formato UUID. Por ejemplo,XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX, donde cada X se reemplaza por un dígito debase 16 (0-F).

Configurar el identificador de configuración regional enun host o un clústerSi el egreso local está habilitado cuando se crea un enrutador lógico universal, las rutas se envían ahosts solo cuando el identificador de configuración regional del host coincide con el identificador deconfiguración regional asociado con la ruta. Para enviar rutas de manera selectiva a los hosts, configureel identificador de configuración regional en un clúster de hosts o en un host.

Requisitos previos

El enrutador lógico universal (distribuido) que se encarga de la tarea de enrutamiento para los hosts o losclústeres debe haberse creado con el egreso local habilitado.


VMware, Inc. 138

Procedimiento


2 Haga clic en Redes y seguridad (Networking & Security) y seleccione Instalación (Installation).

3 Haga clic en la pestaña Preparación del host (Host Preparation).

4 Seleccione la instancia de NSX Manager que administra los hosts o los clústeres que debeconfigurar.

5 Seleccione el host o el clúster que desea modificar y, si es necesario, expanda los clústeres para queaparezcan los hosts.

6 Haga clic en icono Configuración (Settings) ( ) y haga clic en Cambiar identificador deconfiguración regional (Change Locale ID).

7 Escriba un nuevo identificador de configuración regional y haga clic en Aceptar (OK).

Nota El identificador de configuración regional debe estar en formato UUID. Por ejemplo,XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX, donde cada X se reemplaza por un dígito debase 16 (0-F).

El clúster de la controladora universal enviará a los hosts solo las rutas que coincidan con este nuevoidentificador de configuración regional.

Pasos siguientes

Configure una ruta estática con un identificador de configuración regional especificado.


VMware, Inc. 139

Firewall lógico 10El firewall lógico proporciona mecanismos de seguridad para los centros de datos virtuales dinámicos yconsta de dos componentes para abordar diferentes casos de uso de implementación. DistributedFirewall se centra en los controles de acceso de Este a Oeste. Edge Firewall sse centra en la aplicacióndel tráfico de Norte a Sur en el perímetro del centro de datos o de la empresa. Juntos, estoscomponentes abordan las necesidades de firewall de extremo a extremo de los centros de datosvirtuales. Puede optar por implementar cualquiera de estas tecnologías de forma independiente oimplementar ambas.


n Distributed Firewall

n Firewall de Edge

n Trabajar con secciones de reglas de firewall

n Trabajar con reglas de firewall

n Excluir las máquinas virtuales de la protección de firewall

n Detección de IP para máquinas virtuales

n Ver eventos de umbral de memoria y CPU del firewall

n Registros de firewall

n Trabajar con reglas de firewall de NSX Edge

Distributed FirewallDistributed Firewall es un firewall integrado en el kernel del hipervisor que proporciona visibilidad ycontrol para las redes y las cargas de trabajo virtualizadas. Puede crear directivas de control de accesobasadas en objetos de VMware vCenter, como centros de datos y clústeres, así como nombres demáquinas virtuales; construcciones de red como direcciones IP o IPSet, VLAN (grupos de puertos DVS),VXLAN (conmutadores lógicos), grupos de seguridad e identidad de grupos de usuarios desde ActiveDirectory. Las reglas de firewall se aplican en el nivel de la vNIC de cada máquina virtual individual paraproporcionar control de acceso consistente incluso cuando se la máquina virtual se mueve con vMotion.La naturaleza de la integración en el hipervisor del firewall proporciona una capacidad de proceso

VMware, Inc. 140

cercana a la velocidad de línea para permitir una mayor consolidación de la carga de trabajo enservidores físicos. La naturaleza distribuida del firewall proporciona una arquitectura de escalabilidadhorizontal que extiende automáticamente la capacidad del firewall cuando se agregan hosts adicionalesa un centro de datos.

En el caso de los paquetes de Capa 2, el Distributed Firewall crea una memoria caché para aumentar elrendimiento. Los paquetes de Capa 3 se procesan en la secuencia siguiente:

1 Se verifica el estado actual de todos los paquetes. Esto también se realiza en los SYN para poderdetectar los SYN falsos o retransmitidos de las sesiones existentes.

2 Si se encuentra una coincidencia de estado, se procesan los paquetes.

3 Si no se encuentra una coincidencia de estado, el paquete se procesa por medio de las reglas hastaencontrar una coincidencia.

n En el caso de los paquetes TCP, se establece el estado solo para los paquetes con la marcaSYN. Sin embargo, las reglas que no especifican un protocolo (servicio CUALQUIERA [ANY]),pueden buscar coincidencias de los paquetes TCP con cualquier combinación de marcas.

n En el caso de los paquetes UDP, se extraen los detalles de la 5-tupla del paquete. Si no existe unestado en la tabla de estado, se crea uno nuevo con los detalles de la 5-tupla extraídos.Posteriormente, se buscan coincidencias de los paquetes recibidos con el estado que se acabade crear.

n En el caso de los paquetes ICMP, se utilizan el tipo, el código y la dirección del paquete ICMPpara crear un estado.

El Distributed Firewall también puede ayudar a crear reglas basadas en la identidad. Los administradorespueden aplicar el control de acceso en función de la pertenencia al grupo del usuario como se define enActive Directory empresarial. A continuación encontrará algunas situaciones en las que se pueden utilizarlas reglas de firewall basadas en la identidad:

n Un usuario que accede a aplicaciones virtuales con un equipo portátil o un dispositivo móvil en el quese utiliza AD para la autenticación del usuario.

n Un usuario que accede a aplicaciones virtuales mediante la infraestructura de VDI donde lasmáquinas virtuales están basadas en Microsoft Windows.

Si tiene implementada una solución de firewall de proveedor externo en el entorno, consulte Redireccionar el tráfico a la solución de un proveedor mediante el firewall lógico.

No se ha validado la ejecución de VMware Tools abierto con un Distributed Firewall en máquinasvirtuales invitadas o de carga de trabajo.

Parámetros de umbral de ESXi para la utilización de recursos deDistributed FirewallCada host ESXi se configura con tres parámetros de umbral para la utilización de recursos de DFW:CPU, RAM y conexiones por segundo (CPS). Se activa una alarma si el umbral respectivo se supera20 veces consecutivas en un período de 200 segundos. Se toma una muestra cada 10 segundos.

100 % de CPU corresponde a la CPU total disponible en el host.


VMware, Inc. 141

100 % de RAM corresponde a la memoria asignada para un Distributed Firewall ("tamaño máximo total"),que depende de la cantidad total de RAM instalada en el host.

Tabla 10‑1. Tamaño máximo total

Memoria física Tamaño máximo total (MB)

0 - 8 GB 160

8 GB - 32 GB 608

32 GB - 64 GB 992

64 GB - 96 GB 1.920

96 GB - 128 GB 2.944

128 GB 4.222

La memoria se utiliza en las estructuras de datos internos de un Distributed Firewall, que incluyen filtros,reglas, contenedores, estados de conexión, direcciones IP detectadas y flujos de descarte. Estosparámetros pueden manipularse con la llamada API siguiente:

https://NSX-MGR-IP/api/4.0/firewall/stats/eventthresholds

Request body:

<eventThresholds>

<cpu>

<percentValue>100</percentValue>

</cpu>

<memory>

<percentValue>100</percentValue>

</memory>

<connectionsPerSecond>

<value>100000</value>

</connectionsPerSecond>

</eventThresholds>

Firewall de EdgeEdge Firewall supervisa el tráfico de Norte a Sur para proporcionar la funcionalidad de seguridad delperímetro, incluido el firewall, la traducción de direcciones de red (Network Address Translation, NAT) y lafuncionalidad SSL VPN e IPsec de sitio a sitio. Esta solución está disponible en el factor de forma de lamáquina virtual y se puede implementar en modo de alta disponibilidad (High Availability).


VMware, Inc. 142

La compatibilidad con el firewall es limitada en el enrutador lógico. Solo funcionan las reglas en lasinterfaces de administración o vínculo superior, pero las reglas en las interfaces internas no funcionan.

Nota NSX-V Edge es vulnerable ante ataques de inundación SYN en los que un atacante llena la tablade seguimiento del estado de firewall con paquetes de inundación SYN. Este ataque de denegación deservicios o ataque distribuido de denegación de servicios (DOS/DDOS) crea una interrupción del servicioa los usuarios originales. Para defender a Edge de los ataques de inundación SYN, es necesarioimplementar la lógica para que detecte conexiones TCP falsas y las finalice sin consumir recursos delseguimiento del estado del firewall. Esta función está deshabilitada de forma predeterminada. Parahabilitar esta función en un entorno de alto riesgo, configure el valor enableSynFloodProtection de laAPI de REST a "verdadero" ("true") como parte de la configuración global del firewall (Firewall GlobalConfiguration).

Trabajar con secciones de reglas de firewallSe puede agregar una sección para separar las reglas de firewall. Por ejemplo, puede tener las reglas delos departamentos de ventas e ingeniería en secciones separadas.

También puede crear varias secciones para las reglas de Capa 2 y Capa 3.

Los entornos de Cross-vCenter NSX pueden tener una sección universal de reglas de Capa 2 y unasección universal de reglas de Capa 3. Para poder agregar reglas universales, primero debe administrarlas reglas universales en la instancia principal de NSX Manager y crear allí la sección universal.

Las reglas que están fuera de las secciones universales permanecen en el nivel local de la instanciaprincipal o secundaria de NSX Manager donde se agregaron.

Agregar una sección de regla de firewallPuede agregar una nueva sección en la tabla de firewall para organizar las reglas o crear una secciónuniversal para utilizar en los entornos de Cross-vCenter NSX.

Requisitos previos







VMware, Inc. 143


Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Firewall.

2 Si hay más de una instancia de NSX Manager disponible, seleccione una. Debe seleccionar lainstancia de NSX Manager principal para agregar una sección universal.

3 Asegúrese de estar en la pestaña General para agregar una sección para reglas de Capa 3. Hagaclic en la pestaña Ethernet para agregar una sección para reglas de Capa 2.

4Haga clic en el icono Agregar sección (Add Section) ( ).

5 Escriba un nombre y especifique la posición de la nueva sección. Los nombres de sección deben serúnicos dentro de NSX Manager.

6 (opcional) Para crear una sección universal, seleccione Marcar esta sección para sincronizaciónuniversal (Mark this section for Universal Synchronization).

7 Haga clic en Aceptar (OK) y, a continuación, en Publicar cambios (Publish Changes).

Pasos siguientes

Agregue reglas a la sección. Para editar el nombre de una sección, haga clic en el icono Editar sección

(Edit section) ( ) de esa sección.

Combinar secciones de regla de firewallPuede combinar secciones y consolidar las reglas dentro de esas secciones. Tenga en cuenta que nopuede combinar una sección con las secciones Service Composer o Predeterminada (Default). En unentorno de Cross-vCenter NSX, no puede combinar una sección con la sección universal.

Combinar y consolidar una configuración de firewall compleja puede ayudar con el mantenimiento y lalegibilidad.

Procedimiento


2 En la sección que desee combinar, haga clic en el icono Combinar (Merge) ( ) y especifique sidesea combinar esta sección con la que se encuentra arriba o abajo.

Se combinan las reglas de ambas secciones. La sección nueva mantiene el nombre de la seccióncon la que se combina la otra sección.



VMware, Inc. 144

Eliminar una sección de reglas de firewallEs posible eliminar una sección de reglas de firewall. Se eliminan todas las reglas en esa sección.

No puede eliminar una sección y volver a agregarla en otro lugar de la tabla de firewall. Para hacerlo,debe eliminar la sección y publicar la configuración. A continuación, agregue la sección eliminada en latabla de firewall y vuelva a publicar la configuración.

Procedimiento


2 Asegúrese de estar en la pestaña General para eliminar una sección de reglas de Capa 3. Haga clicen la pestaña Ethernet para eliminar una sección de reglas de Capa 2.

3 Haga clic en el icono Eliminar sección (Delete section) ( ) de la sección que desea eliminar.


Se eliminan la sección y todas las reglas de esa sección.

Trabajar con reglas de firewallLas reglas de Distributed Firewall y las reglas de Edge Firewall pueden administrarse de formacentralizada o desde la pestaña Firewall. En un entorno de varias empresas, los proveedores puedendefinir reglas para un flujo de tráfico de alto nivel en la interfaz de usuario del firewall centralizado.

Cada sesión de tráfico se compara con la regla principal de la tabla de firewall antes de bajar a las reglassubsiguientes de esa tabla. Se aplica la primera regla de la tabla que coincide con los parámetros detráfico. Las reglas se muestran en el siguiente orden:

1 Las reglas que definen los usuarios en la interfaz de usuario del firewall tienen la prioridad más alta yse aplican en orden descendente (de arriba hacia abajo) según el nivel por NIC virtual.

2 Reglas autoasociadas (que permiten que el tráfico de control circule en los servicios Edge).

3 Reglas definidas por los usuarios en la interfaz de NSX Edge.

4 Reglas de Service Composer (una sección aparte para cada directiva). Estas reglas no se puedeneditar en la tabla de firewall, pero es posible agregar reglas en la parte superior de una sección dereglas de firewall de una directiva de seguridad. Al hacer eso, es necesario volver a sincronizar lasreglas en Service Composer. Para obtener más información, consulte Capítulo 17Service Composer.

5 Reglas predeterminadas de Distributed Firewall

Tenga en cuenta que las reglas de firewall se aplican solamente en clústeres donde se habilitó el firewall.Para obtener información sobre cómo preparar clústeres, consulte Guía de instalación de NSX.


VMware, Inc. 145

Editar la regla de Distributed Firewall predeterminadaLa configuración de firewall predeterminada aplica al tráfico que no coincide con ninguna de las reglas defirewall definidas por el usuario. La regla de Distributed Firewall predeterminada se muestra en la interfazde usuario de firewall centralizado y la regla predeterminada de cada instancia de NSX Edge se muestraen el nivel de NSX Edge.

La regla de Distributed Firewall predeterminada permite el acceso directo de todo el tráfico de Capa 3 yCapa 2 a los clústeres preparados en la infraestructura. La regla predeterminada se encuentra siempre alfinal de la tabla de reglas y no se puede eliminar ni es posible agregarle elementos. Sin embargo, puedecambiar el elemento Acción (Action) de la regla desde Permitir bloquear o rechazar (Allow to Block orReject), agregar comentarios a la regla e indicar si el tráfico de esa regla se debe registrar.

En un entorno de Cross-vCenter NSX, la regla predeterminada no es una regla universal. Cualquiercambio en la regla predeterminada debe realizarse en cada instancia de NSX Manager.

Procedimiento


2 Expanda la sección Valor predeterminado (Default) y realice los cambios necesarios.

Solo puede editar Acción (Action) y Registro (Log), o agregar comentarios a la reglapredeterminada.

Agregar una regla de firewallLas reglas de firewall se agregan en el ámbito de NSX Manager. Mediante el campo Se aplica a (AppliedTo), se puede delimitar el ámbito en el que se desea aplicar la regla. Es posible agregar varios objetos enlos niveles de origen y destino para cada regla, lo que permite reducir la cantidad total de reglas defirewall que se deben agregar.

Los siguientes objetos de vCenter pueden especificarse como origen o destino de una regla de firewall:


VMware, Inc. 146

Tabla 10‑2. Objetos admitidos para reglas de firewall

Origen o destino Se aplica a

n clústern centro de datosn grupo de puertos distribuidosn conjunto de direcciones IPn grupo de puertos heredadosn conmutador lógicon grupo de recursosn grupo de seguridadn vAppn máquina virtualn vNICn dirección IP (IPv4 o IPv6)

n todos los clústeres en los cuales se instaló el DistributedFirewall (en otras palabras, todos los clústeres que seprepararon para la virtualización de red)

n todas las puertas de enlace Edge instaladas en clústerespreparados

n clústern centro de datosn grupo de puertos distribuidosn Edgen grupo de puertos heredadosn conmutador lógicon grupo de seguridadn máquina virtualn vNIC

Requisitos previos

Compruebe que el estado de Distributed Firewall de NSX no esté en modo de compatibilidad conversiones anteriores. Para comprobar el estado actual, utilice la llamada API de REST GEThttps://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state. Si el estado actual es el modo de compatibilidadcon versiones anteriores, puede cambiar el estado al modo de reenvío mediante la llamada API de RESTPUT https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state. No intente publicar una regla de DistributedFirewall cuando el Distributed Firewall esté en modo de compatibilidad con versiones anteriores.

Si agrega reglas de firewall universales, consulte Agregar una regla de firewall universal

Si agrega una regla de firewall basada en identidad, garantice que:

n Se hayan registrado uno o varios dominios en NSX Manager. NSX Manager obtiene información delgrupo y del usuario, así como de la relación existente entre estos elementos, desde cada dominiocon el que está registrado. Consulte Registrar un dominio de Windows con NSX Manager.

n Se haya creado un grupo de seguridad basado en objetos de Active Directory que pueda utilizarsecomo origen o destino de la regla. Consulte Crear un grupo de seguridad.

Si va a agregar una regla basada en un objeto de VMware vCenter, asegúrese de que VMware Toolsesté instalado en las máquinas virtuales. Consulte Guía de instalación de NSX.

Procedimiento


2 Asegúrese de estar en la pestaña General para agregar una regla de Capa 3. Haga clic en lapestaña Ethernet para agregar una regla de Capa 2.

3 En la sección en la que agrega una regla, haga clic en el icono Agregar regla (Add rule) ( ).


VMware, Inc. 147


Se agregará una nueva regla de permiso "any any" en la parte superior de la sección. Si la regladefinida por el sistema es la única regla en la sección, la regla nueva se agrega arriba de la reglapredeterminada.

Si desea agregar una regla en un lugar específico de la sección, seleccione una regla. En la columna

N.º (No.), haga clic en y seleccione Agregar arriba (Add Above) o Agregar abajo (Add Below).

5 Coloque el puntero sobre la celda Nombre (Name) de la nueva regla y haga clic en .

6 Escriba el nombre de la nueva regla.


VMware, Inc. 148

7 Coloque el puntero sobre la celda Origen (Source) de la nueva regla. Aparecen iconos adicionalessegún la descripción de la siguiente tabla.


Haga clic en Para especificar el origen como una dirección IP.

a Seleccione el formato de dirección IP.

El firewall admite los formatos IPv4 e IPv6.

b Escriba la dirección IP.

Puede introducir varias direcciones IP en una lista separada por comas. Lalista puede contener hasta 255 caracteres.

Haga clic en Para especificar el origen como un objeto que no sea una dirección IP específica.

a En Ver (View), seleccione el contenedor desde el cual se originó lacomunicación.

Aparecen los objetos del contenedor seleccionado.

bSeleccione uno o varios objetos y haga clic en .

Puede crear un nuevo grupo de seguridad o IPSet. Una vez creado el nuevoobjeto, se agrega a la columna Origen (Source) de forma predeterminada.Para obtener información sobre la creación de un grupo de seguridad oIPSet, consulte Capítulo 22Objetos de seguridad y red.

c Para excluir un origen de la regla, haga clic en Opciones avanzadas(Advanced options).

d Seleccione Negar origen (Negate Source) para excluir este origen de laregla.

Si se selecciona Negar origen (Negate Source), la regla se aplica al tráficoproveniente de todas las fuentes, salvo la especificada en el paso anterior.

Si no se selecciona Negar origen (Negate Source), la regla se aplica altráfico proveniente del origen especificado en el paso anterior.

e Haga clic en Aceptar (OK).


VMware, Inc. 149

8 Coloque el puntero sobre la celda Destino (Destination) de la nueva regla. Aparecen iconosadicionales según la descripción de la siguiente tabla.


Haga clic en Para especificar el destino como una dirección IP.




Puede introducir varias direcciones IP en una lista separada por comas. Lalista puede contener hasta 255 caracteres.

Haga clic en Para especificar el destino como un objeto que no sea una dirección IPespecífica.

a En Ver (View), seleccione el contenedor de destino de la comunicación.



Puede crear un nuevo grupo de seguridad o IPSet. Una vez creado el nuevoobjeto, se agrega a la columna Destino (Destination) de formapredeterminada. Para obtener información sobre la creación de un grupo deseguridad o IPSet, consulte Capítulo 22Objetos de seguridad y red.

c Para excluir un puerto de destino, haga clic en Opciones avanzadas(Advanced options).

d Seleccione Negar destino (Negate Destination) para excluir este destino dela regla.

Si se selecciona Negar destino (Negate Destination), la regla se aplica altráfico dirigido a todos los destinos, salvo el especificado en el paso anterior.

Si no se selecciona Negar destino (Negate Destination), la regla se aplica altráfico dirigido al destino especificado en el paso anterior.



VMware, Inc. 150

9 Coloque el puntero sobre la celda Servicio (Service) de la nueva regla. Aparecen iconos adicionalessegún la descripción de la siguiente tabla.


Haga clic en Para especificar el servicio como una combinación de protocolo de puertos.

a Seleccione el protocolo de servicio.

Distributed Firewall admite ALG (Application Level Gateway) para lossiguientes protocolos: FTP, CIFS, ORACLE TNS, MS-RPC y SUN-RPC.

Edge admite solo ALG para FTP.

b Escriba el número de puerto y haga clic en Aceptar (OK).

Haga clic en Para seleccionar un servicio o un grupo de servicios predefinido, o para definiruno nuevo.

aSeleccione uno o varios objetos y haga clic en .

Puede crear un servicio o un grupo de servicios nuevos. Una vez creado elnuevo objeto, se agrega a la columna Objetos seleccionados (SelectedObjects) de forma predeterminada.

b Haga clic en Aceptar (OK). Para proteger la red contra saturaciones ACK o SYN, puede establecer el servicio con el valor TCP-all_ports o UDP-all_ports y establecer la acción de bloqueo para la regla predeterminada. Paraobtener información sobre cómo modificar la regla predeterminada, consulte Editar la regla deDistributed Firewall predeterminada.

10 Coloque el puntero sobre la celda Acción (Action) de la nueva regla y haga clic en . Realice lasselecciones correspondientes según se describe en la siguiente tabla y haga clic en Aceptar (OK).

Acción Resultado

Permitir (Allow) Permite tráfico desde o hacia los orígenes, los destinos y los serviciosespecificados.

Bloquear (Block) Bloquea el tráfico desde o hacia los orígenes, los destinos y los serviciosespecificados.

Rechazar (Reject) Envía un mensaje de rechazo para paquetes no aceptados.

Se envían paquetes RST para conexiones TCP.

Se envían mensajes ICMP con código prohibido de forma administrativa paraconexiones UDP, ICMP y otras conexiones IP.

Registrar (Log) Registra todas las sesiones que coinciden con esta regla. Si el registro sehabilita, el rendimiento puede verse afectado.

No registrar (Do not log) No registra las sesiones.


VMware, Inc. 151

11 En Se aplica a (Applied To), defina el ámbito al cual se aplica esta regla. Realice las seleccionescorrespondientes según se describe en la siguiente tabla y haga clic en Aceptar (OK).

Para aplicar una regla a Hacer lo siguiente

Todos los clústeres preparados en el entorno Seleccione Aplicar esta regla en todos los clústeresdonde está habilitado el Distributed Firewall (Apply thisrule on all clusters on which Distributed Firewall is enabled).Después de hacer clic en Aceptar (OK), la columna Seaplica a (Applied To) para esta regla muestra DistributedFirewall (Distributed Firewall).

Todas las puertas de enlace NSX Edge en el entorno Seleccione Aplicar esta regla en todas las puertas deenlace Edge (Apply this rule on all Edge gateways).Después de hacer clic en Aceptar (OK), la columna Seaplica a (Applied To) para esta regla muestra Todos lasinstancias de Edge (All Edges).

Si las dos opciones anteriores están seleccionadas, lacolumna Se aplica a (Applied To) muestra Cualquiera(Any).

Uno o varios clústeres, centros de datos, grupos de puertosvirtuales distribuidos, instancias de NSX Edge, redes,máquinas virtuales, vNIC o conmutadores lógicos

1 En Tipo de contenedor (Container type), seleccione elobjeto apropiado.

2 En la lista Disponibles (Available), seleccione uno o

varios objetos y haga clic en .

Si la regla contiene máquinas virtuales o vNIC en los campos de origen y destino, debe agregar lasmáquinas virtuales o vNIC de origen y destino a Se aplica a (Applied To) para que la regla funcionecorrectamente.


Después de unos minutos, aparece un mensaje que indica si la operación de publicación secompletó correctamente. Si se produce algún error, se muestra un listado de los hosts donde no seaplicó la regla. Para obtener detalles adicionales sobre una publicación con errores, desplácesehasta Instancias de NSX Manager (NSX Managers) > NSX_Manager_IP_Address > Supervisar(Monitor) > Eventos del sistema (System Events).

Al hacer clic en Publicar cambios (Publish Changes), se guarda automáticamente la configuracióndel firewall. Para obtener información sobre cómo revertir a una configuración anterior, consulte Cargar configuración de firewall.

Pasos siguientes

n Para deshabilitar una regla, haga clic en ; para habilitarla, haga clic en .


VMware, Inc. 152

n

Para mostrar columnas adicionales en la tabla de reglas, haga clic en y seleccione lascolumnas correspondientes.

Nombre de la columna Información que se muestra

Identificador de reglas Identificador único generado por el sistema para cada regla

Registrar (Log) El tráfico para esta regla se registra o no

Estadísticas (Stats)Al hacer clic en , se muestra el tráfico relacionado con esta regla (tamaño y paquetes detráfico)

Comentarios (Comments) Comentarios de la regla

n Para buscar las reglas, escriba texto en el campo Buscar (Search).

n Mueva una regla hacia arriba o hacia abajo en la tabla de firewall.

n Para combinar las secciones, haga clic en el icono Combinar sección (Merge section) y seleccioneCombinar con la sección anterior (Merge with above section) o Combinar con la secciónsiguiente (Merge with below section).

Cargar configuración de firewallPuede cargar una configuración de firewall guardada automáticamente o importada. Si la configuraciónactual contiene reglas administradas por Service Composer, estas seanulan después de la importación.

Procedimiento


2 Asegúrese de estar en la pestaña General para cargar una configuración de firewall de Capa 3.Haga clic en la pestaña Ethernet para cargar una configuración de firewall de Capa 2.

3Haga clic en el icono Cargar configuración (Load configuration) ( ).

4 Seleccione la configuración que desea cargar y haga clic en Aceptar (OK).

La configuración seleccionada reemplaza a la configuración actual.

Pasos siguientes

Si la configuración cargada anuló las reglas de Service Composer en la configuración, haga clic enAcciones (Actions) > Sincronizar reglas de firewall (Synchronize Firewall Rules) en la pestañaDirectivas de seguridad (Security Policies) de Service Composer.

Agregar una regla de firewall universalEn un entorno de Cross-vCenter NSX, las reglas universales hacen referencia a las reglas de DistributedFirewall que se definieron en la instancia principal de NSX Manager en la sección de reglas universales.Estas reglas se replican a todas las instancias secundarias de NSX Manager en el entorno, lo quepermite mantener una directiva de firewall coherente dentro de los límites de vCenter. Las reglas deEdge Firewall no son compatibles con vMotion entre varias instancias de vCenter Server.


VMware, Inc. 153

La instancia principal de NSX Manager puede contener una sección universal para las reglas universalesde Capa 2 y otra sección universal para las reglas universales de Capa 3. En las instancias secundariasde NSX Manager, las secciones universales y las reglas universales se pueden ver pero no editar. Laubicación de la sección universal con respecto a la sección local no afecta la prioridad de las reglas.

Tabla 10‑3. Objetos compatibles con las reglas de firewall universales

Origen y destino Se aplica a Servicio

n conjunto de direcciones MACuniversales

n conjunto de direcciones IPuniversales

n grupo de seguridad universal, quepuede contener un conjunto dedirecciones IP, un conjunto dedirecciones MAC o un grupo deseguridad universal

n conmutador lógico universal

n conmutador lógico universaln Distributed Firewall: las reglas se

aplican a todos los clústeres en losque se instaló el Distributed Firewall

n servicios universales creadospreviamente y grupos de servicios

n servicios universales creados por elusuario y grupos de servicios

Tenga en cuenta que no se admiten otros objetos de vCenter para las reglas universales.

Requisitos previos

Para poder crear reglas universales, primero se debe crear una sección de reglas universales. Consulte Agregar una sección de regla de firewall.

Procedimiento


2 En NSX Manager, asegúrese de seleccionar la instancia principal de NSX Manager.

Solo se pueden agregar reglas universales a la instancia principal de NSX Manager.

3 Para agregar una regla universal de Capa 3, asegúrese de estar en la pestaña General. Paraagregar una regla universal de Capa 2, haga clic en la pestaña Ethernet.

4 En la sección universal, haga clic en el icono Agregar regla (Add rule) ( ) y seleccione Publicarcambios (Publish Changes).

Se agregará una nueva regla de permiso "any any" en la parte superior de la sección universal.

5 Coloque el puntero sobre la celda Nombre (Name) de la nueva regla y haga clic en . Introduzcaun nombre para la regla.


VMware, Inc. 154

6 Coloque el puntero sobre la celda Origen (Source) de la nueva regla. Aparecen iconos adicionalessegún la descripción de la siguiente tabla.


Haga clic en Para especificar el origen como una dirección IP.




Haga clic en Para especificar un IPSet, un MACSet o un grupo de seguridad universal como elorigen.

a En Tipo de objeto (Object Type), seleccione el contenedor desde el cual seoriginó la comunicación.



Puede crear un nuevo grupo de seguridad o IPSet. Una vez creado el nuevoobjeto, se agrega a la columna Origen (Source) de forma predeterminada.Para obtener información sobre la creación de un grupo de seguridad oIPSet, consulte Capítulo 22Objetos de seguridad y red.

c Para excluir un origen de la regla, haga clic en Opciones avanzadas(Advanced options).

d Seleccione Negar origen (Negate Source) para excluir este origen de laregla.

Si se selecciona Negar origen (Negate Source), la regla se aplica al tráficoproveniente de todas las fuentes, salvo la especificada en el paso anterior.

Si no se selecciona Negar origen (Negate Source), la regla se aplica altráfico proveniente del origen especificado en el paso anterior.



VMware, Inc. 155

7 Coloque el puntero sobre la celda Destino (Destination) de la nueva regla. Aparecen iconosadicionales según la descripción de la siguiente tabla.


Haga clic en Para especificar el destino como una dirección IP.




Haga clic en Para especificar un IPSet, un MACSet o un grupo de seguridad universal como eldestino.

a En Tipo de objeto (Object Type), seleccione el contenedor hacia donde sedirige la comunicación.



Puede crear un nuevo grupo de seguridad o IPSet. Una vez creado el nuevoobjeto, se agrega a la columna Destino (Destination) de formapredeterminada. Para obtener información sobre la creación de un grupo deseguridad o IPSet, consulte Capítulo 22Objetos de seguridad y red.

c Para excluir un destino de la regla, haga clic en Opciones avanzadas(Advanced options).

d Seleccione Negar destino (Negate Destination) para excluir este destino dela regla.

Si se selecciona Negar destino (Negate Destination), la regla se aplica altráfico dirigido a todos los destinos, salvo el especificado en el paso anterior.

Si no se selecciona Negar destino (Negate Destination), la regla se aplica altráfico dirigido al destino especificado en el paso anterior.



VMware, Inc. 156

8 Coloque el puntero sobre la celda Servicio (Service) de la nueva regla. Aparecen iconos adicionalessegún la descripción de la siguiente tabla.


Haga clic en Para especificar un servicio como una combinación puerto-protocolo.

a Seleccione el protocolo de servicio.

Distributed Firewall admite ALG (Application Level Gateway) para lossiguientes protocolos: FTP, CIFS, ORACLE TNS, MS-RPC y SUN-RPC.

b Escriba el número de puerto y haga clic en Aceptar (OK).

Haga clic en Para seleccionar un servicio universal o un grupo de servicio universal definidopreviamente, o definir uno nuevo.

aSeleccione uno o varios objetos y haga clic en .

Puede crear un servicio o un grupo de servicios nuevos. Una vez creado elnuevo objeto, se agrega a la columna Objetos seleccionados (SelectedObjects) de forma predeterminada.

b Haga clic en Aceptar (OK). Para proteger la red contra saturaciones ACK o SYN, puede establecer el servicio con el valor TCP-all_ports o UDP-all_ports y establecer la acción de bloqueo para la regla predeterminada. Paraobtener información sobre cómo modificar la regla predeterminada, consulte Editar la regla deDistributed Firewall predeterminada.


Acción Resultado

Permitir (Allow) Permite tráfico desde o hacia los orígenes, los destinos y los serviciosespecificados.

Bloquear (Block) Bloquea el tráfico desde o hacia los orígenes, los destinos y los serviciosespecificados.


Se envían paquetes RST para conexiones TCP.

Se envían mensajes ICMP con código prohibido de forma administrativa paraconexiones UDP, ICMP y otras conexiones IP.



10 En la celda Se aplica a (Applied To), acepte la opción de configuración predeterminada (DistributedFirewall) para aplicar la regla a todos los clústeres con el Distributed Firewall habilitado o bien, haga

clic en el icono Editar para seleccionar los conmutadores lógicos universales a los que se deberáaplicar la regla.



VMware, Inc. 157

La regla universal se replicará a todas las instancias secundarias de NSX Manager. El identificador de laregla será el mismo en todas las instancias de NSX. Para ver el identificador de la regla, haga clic en

y seleccione Identificador de regla (Rule ID).

Las reglas universales pueden editarse en la instancia principal de NSX Manager, pero son de sololectura en las instancias secundarias de NSX Manager.

Reglas de firewall con sección universal de Capa 3 y sección predeterminada de Capa 3:

Pasos siguientes

n Para deshabilitar una regla, haga clic en en la columna N.º (No.) y, para habilitarla, haga clic en .

n



Identificador de reglas Identificador único generado por el sistema para cada regla


Estadísticas (Stats)Al hacer clic en , se muestra el tráfico relacionado con esta regla (tamaño y paquetes detráfico)



n Mueva una regla hacia arriba o hacia abajo en la tabla de firewall.

Filtrar reglas de firewallSe puede utilizar una gran cantidad de criterios para filtrar el conjunto de reglas, lo que permite modificarcon facilidad las reglas. Las reglas se pueden filtrar por dirección IP o máquinas virtuales de origen odestino, acción de la regla, registro, nombre de la regla, comentarios e identificador de la regla.


VMware, Inc. 158

Procedimiento

1 En la pestaña Firewall, haga clic en el icono Aplicar filtro (Apply Filter) ( ).

2 Escriba o seleccione los criterios de filtrado según corresponda.

3 Haga clic en Aplicar (Apply).

Se muestran las reglas que coinciden con sus criterios de filtrado.

Pasos siguientes

Para volver a mostrar todas las reglas, haga clic en el icono Quitar filtro aplicado (Remove applied

filter) ( ).

Agregar una regla y publicarla en otro momentoEs posible agregar una regla y guardar la configuración sin publicarla. La configuración guardada sepuede cargar y publicar en otro momento.

Procedimiento

1 Agregue una regla de firewall. Consulte Agregar una regla de firewall.


VMware, Inc. 159

2 Haga clic en Guardar cambios (Save Changes).

3 Escriba un nombre y una descripción para la configuración y haga clic en Aceptar (OK).

4 Haga clic en Conservar configuración (Preserve Configuration) para mantener este cambio.

NSX puede guardar hasta 100 configuraciones. Cuando se supera este límite, se conservan lasconfiguraciones guardadas con la marca Conservar configuración (Preserve Configuration) y seeliminan las configuraciones antiguas no conservadas para que las configuraciones conservadastengan espacio.


n Haga clic en Revertir cambios (Revert Changes) para regresar a la configuración utilizada antesde agregar la regla. Cuando desee publicar la regla recientemente agregada, haga clic en elicono Cargar configuración (Load Configuration), seleccione la regla guardada en el paso 3 yhaga clic en Aceptar (OK).

n Haga clic en Actualizar cambios (Update Changes) para seguir agregando reglas.

Cambiar el orden de una regla de firewallLas reglas de firewall se aplican en el orden en que se presentan en la tabla de reglas.

Las reglas se muestran (y se aplican) en el siguiente orden:

1 Las reglas definidas previamente por el usuario tienen la prioridad más alta y se aplican de arribaabajo por nivel de NIC virtual.

2 Reglas asociadas automáticamente.

3 Reglas locales definidas en un nivel de NSX Edge.

4 Reglas de Service Composer (una sección aparte para cada directiva). Estas reglas no se puedeneditar en la tabla de firewall, pero es posible agregar reglas en la parte superior de una sección dereglas de firewall de una directiva de seguridad. Al hacer eso, es necesario volver a sincronizar lasreglas en Service Composer. Para obtener más información, consulte Capítulo 17Service Composer.

5 Regla predeterminada de Distributed Firewall.

Es posible mover una regla personalizada hacia arriba o abajo en la tabla. La regla predeterminadasiempre se coloca en la parte inferior de la tabla y no se puede mover.


VMware, Inc. 160

Procedimiento

1 En la pestaña Firewall, seleccione la regla que desea mover.

2 Haga clic en el icono Mover regla hacia arriba (Move rule up) o Mover regla hacia abajo (Move

rule down) .


Eliminar una regla de firewallEs posible eliminar reglas de firewall creadas por el usuario mismo. No se pueden eliminar la reglapredeterminada o las reglas que administra Service Composer.

Procedimiento

1 En la pestaña Firewall, seleccione una regla.

2 Haga clic en el icono Eliminar regla seleccionada (Delete Selected Rule) ( ) arriba de la tabla defirewall.


Excluir las máquinas virtuales de la protección de firewallPuede excluir un conjunto de máquinas virtuales de la protección de firewall distribuido de NSX.

NSX Manager, NSX Controller y las máquinas virtuales NSX Edge se excluyen automáticamente de laprotección de firewall distribuido de NSX. Asimismo, VMware recomienda colocar las siguientesmáquinas virtuales de servicio en la lista de exclusión para permitir que el tráfico circule libremente.

n vCenter Server. Puede moverse a un clúster protegido por firewall, pero ya debe existir en la lista deexclusión para evitar problemas de conectividad.

n Máquinas virtuales del servicio de partners.

n Máquinas virtuales que requieren el modo promiscuo. Si estas máquinas virtuales están protegidaspor firewall distribuido de NSX, su rendimiento puede verse gravemente afectado.

n El servidor SQL Server que utiliza la instancia de vCenter basada en Windows.

n vCenter Web Server, si se lo va a ejecutar por separado.

Procedimiento

1 En vSphere Web Client, haga clic en Redes y seguridad (Networking & Security).

2 En Inventario de redes y seguridad (Networking & Security Inventory) haga clic en Instancias deNSX Manager (NSX Managers).

3 En la columna Nombre (Name), haga clic en una instancia de NSX Manager.

4 Haga clic en la pestaña Administrar (Manage) y, a continuación, en Lista de exclusión (ExclusionList).


VMware, Inc. 161

5 Haga clic en el icono Agregar (Add) ( ) .

6 Escriba el nombre de la máquina virtual que desea excluir y haga clic en Agregar (Add).

Por ejemplo:


Si una máquina virtual tiene varias NIC, todas ellas quedarán excluidas de la protección. Si agrega vNICa una máquina virtual que ya está agregada a la lista de exclusión, el firewall se implementaautomáticamente en las vNIC recientemente agregadas. Para excluir estas vNIC de la protección defirewall, debe extraer la máquina virtual de la lista de exclusión y, a continuación, volver a agregarla a lalista. Una alternativa es realizar un ciclo de energía (apagar y encender la máquina virtual), pero laprimera opción es menos disruptiva.

Detección de IP para máquinas virtualesVMware Tools se ejecuta en una máquina virtual y proporciona varios servicios. Un servicio que esesencial para el Distributed Firewall es asociar una máquina virtual y sus vNIC con direcciones IP. Antesde NSX 6.2, si VMware Tools no estaba instalado en una máquina virtual, su dirección IP no se conocía.En NSX 6.2 puede configurar clústeres para detectar las direcciones IP de máquina virtual conintromisión DHCP, intromisión ARP o ambas. Esto permite a NSX detectar la dirección IP si VMwareTools no está instalado en la máquina virtual. Si VMware Tools está instalado, puede trabajar junto con laintromisión DHCP y ARP.

VMware recomienda instalar VMware Tools en cada máquina virtual del entorno. Además deproporcionar vCenter con la dirección IP de las máquinas virtuales, brinda muchas otras funciones:

n permite copiar y pegar entre la máquina virtual y el host o el escritorio cliente

n sincroniza la hora con el sistema operativo del host

n permite apagar o reiniciar la máquina virtual desde vCenter

n recopila el uso de la memoria, el disco y la red de la máquina virtual y lo envía al host

n determina la disponibilidad de la máquina virtual mediante el envío y la recopilación de latidos


VMware, Inc. 162

En el caso de aquellas máquinas virtuales que no tienen VMware Tools instalado, NSX conocerá ladirección IP a través de la intromisión DHCP o ARP, si la intromisión DHCP o ARP está habilitada en elclúster de la máquina virtual.

Cambiar el tipo de detección de IPPara detectar la dirección IP de una máquina virtual, es posible utilizar VMware Tools (una opcióninstalada en la máquina virtual) o bien la intromisión DHCP o ARP (dos opciones habilitadas en el clústerde hosts). Estos métodos de detección de IP pueden utilizarse juntos en la misma instalación de NSX.

Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) >Instalación (Installation) > Preparación del host (Host Preparation).

2 Haga clic en el clúster que desee cambiar y, a continuación, haga clic en Actions (Acciones)( ) >Cambiar tipo de detección de IP (Change IP Detection Type).

3 Seleccione los tipos de detección que desee y haga clic en Aceptar (OK).

Pasos siguientes

Configure SpoofGuard.

Configure la regla de firewall predeterminada.

Ver eventos de umbral de memoria y CPU del firewallCuando se prepara un clúster para la virtualización de red, el módulo Firewall se instala en todos loshosts de ese clúster. Este módulo asigna tres pilas: una pila de módulo para los parámetros del módulo;una pila de reglas para reglas, contenedores y filtros; y una pila de estado para los flujos de tráfico. Laasignación del tamaño de pila está determinada por la memoria física disponible en el host. Según lacantidad de reglas, conjuntos de contenedores y conexiones, el tamaño de pila puede ir aumentando oreduciéndose. El módulo Firewall que se ejecuta en el hipervisor también utiliza las CPU del host para elprocesamiento de paquetes.

Si se conoce cuál es la utilización de recursos del host en un momento dado, resulta más fácil organizarla utilización del servidor y los diseños de red.

El umbral predeterminado tanto de la CPU como de la memoria es 100. Puede modificar los valores delumbral predeterminado mediante llamadas de la API de REST. El módulo Firewall genera eventos delsistema cuando la utilización de la CPU y de la memoria supera los umbrales. Para obtener informaciónsobre cómo configurar los valores del umbral predeterminado, consulte Trabajar con umbrales dememoria y CPU en la Guía de NSX API.

Procedimiento

1 En vSphere Web Client, haga clic en Redes y seguridad (Networking & Security) y, a continuación,en NSX Managers.


VMware, Inc. 163

2 En la columna Nombre (Name), haga clic en la dirección IP de la instancia de NSX Managercorrespondiente.

3 Haga clic en la pestaña Supervisar (Monitor) y, a continuación, en Eventos del sistema (SystemEvents).

Registros de firewallEl firewall genera y almacena archivos de registro, como el registro de auditoría, el registro de mensajesde reglas y el archivo de eventos del sistema.

El firewall genera tres tipos de registros.n Los registros de mensajes de reglas incluyen todas las decisiones de acceso, como el tráfico

permitido y el no permitido para cada regla, si el registro estaba habilitado para esa regla. Sealmacenan en cada host de /var/log/dfwpktlogs.log.

En el ejemplo siguiente:n 1002 es el identificador de regla de Distributed Firewall.

n domain-c7 es el identificador de clúster en el explorador de objetos administrados (MOB) devCenter.

n 192.168.110.10/138 es la dirección IP de origen.

n 192.168.110.255/138 es la dirección IP de destino.

~ # more /var/log/dfwpktlogs.log

2015-03-10T03:22:22.671Z INET match DROP domain-c7/1002 IN 242 UDP 192.168.110.10/138-

>192.168.110.255/138

El ejemplo siguiente muestra los resultados de un ping 192.168.110.10 a 172.16.10.12.

~ # tail -f /var/log/dfwpktlogs.log | grep 192.168.110.10

2015-03-10T03:20:31.274Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12

2015-03-10T03:20:35.794Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12

Para habilitar el registro de mensajes de reglas en vSphere Web Client 6.0 (es posible que la interfazde usuario difiera ligeramente en vSphere 5.5, pero los pasos son los mismos):

a Habilite la columna Registro (Log) en la página Redes y seguridad > Firewall (Networking &Security > Firewall).


VMware, Inc. 164

b Habilite el registro para una regla. Para hacerlo, pase el cursor sobre la celda de la tabla Registro(Log) y haga clic en el icono de lápiz.

n Los registros de auditoría incluyen registros de administración y cambios en la configuración delDistributed Firewall. Se almacenan en /home/secureall/secureall/logs/vsm.log.

n Los registros de eventos del sistema incluyen la configuración aplicada del Distributed Firewall, losfiltros creados, eliminados o con errores, y las máquinas virtuales agregadas a los grupos deseguridad, entre otros. Se almacenan en /home/secureall/secureall/logs/vsm.log.

Para ver los registros de eventos del sistema y auditoría en la interfaz de usuario, desplácese hastaRedes y seguridad > Instalación > Administración (Networking & Security > Installation >Management) y haga doble clic en la dirección IP de NSX Manager. A continuación, seleccione lapestaña Supervisar (Monitor).

Para obtener más información, consulte Capítulo 23Operaciones y administración.

Trabajar con reglas de firewall de NSX EdgePuede desplazarse hasta una instancia de NSX Edge para ver las reglas de firewall que se le aplican.


VMware, Inc. 165

Las reglas de firewall aplicadas a un enrutador lógico solo protegen el tráfico del plano de control quecircula hacia y desde la máquina virtual de control del enrutador lógico. Estas reglas no aplican ningunaprotección en el plano de datos. Para proteger el tráfico del plano de datos, cree reglas de firewall lógicopara ofrecer protección Este-Oeste o reglas en el nivel de la puerta de enlace de servicios NSX Edgepara ofrecer protección Norte-Sur.

Las reglas creadas en la interfaz de usuario del firewall que son aplicables a esta instancia de NSX Edgese muestran en el modo de solo lectura. Las reglas se muestran y se aplican en el siguiente orden:

1 Reglas definidas por el usuario desde la interfaz de usuario del firewall (solo lectura).

2 Reglas autoasociadas (que permiten que el tráfico de control circule en los servicios Edge).

3 Reglas definidas por el usuario en la interfaz de usuario del firewall de NSX Edge.

4 Regla predeterminada.

Editar la regla de firewall de NSX Edge predeterminadaLa configuración de firewall predeterminada aplica al tráfico que no coincide con ninguna de las reglas defirewall definidas por el usuario. La directiva de Edge Firewall predeterminada bloquea todo el tráficoentrante. Puede cambiar la configuración de acciones y registro predeterminada.

Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) >Instancias de NSX Edge (NSX Edges).


3 Haga clic en la pestaña Administrar (Manage) y, a continuación, en Firewall.

4 Seleccione la Regla predeterminada (Default Rule), que es la última regla en la tabla de firewall.

5Coloque el puntero sobre la celda Acción (Action) de la nueva regla y haga clic en .

a Haga clic en Aceptar (Accept) para permitir el tráfico desde o hasta el origen y el destinoespecificados.

b Haga clic en Registrar (Log) para registrar las sesiones que coincidan con esta regla.

Si el registro se habilita, el rendimiento puede verse afectado.

c Escriba comentarios, si es necesario.



Agregar una regla de firewall de NSX EdgeLa pestaña Firewall de Edge (Edge Firewall) muestra las reglas creadas en la pestaña Firewallcentralizado (Centralized Firewall) en modo de solo lectura. Cualquier regla que agregue aquí no semuestra en la pestaña Firewall centralizado (Centralized Firewall).


VMware, Inc. 166

Puede agregar varias interfaces de NSX Edge o grupos de direcciones IP como origen y destino para lasreglas de firewall.

Figura 10‑1. Regla de firewall para que el tráfico fluya de una interfaz de NSX Edge a unservidor HTTP

Figura 10‑2. Regla de firewall para que el tráfico fluya de todas las interfaces internas(subredes en grupos de puertos conectados a interfaces internas) de una instancia de NSXEdge a un servidor HTTP

Nota Si selecciona interna (internal) como el origen, la regla se actualiza automáticamente cuandoconfigura interfaces internas adicionales.

Figura 10‑3. Regla de firewall para que el tráfico permita SSH en m/c en una red interna

Procedimiento



3 Haga clic en la pestaña Administrar (Manage) y, a continuación, en la pestaña Firewall.


VMware, Inc. 167



Para agregar una regla en un lugarespecífico de la tabla de firewall

a Seleccione una regla.

bEn la columna N.º (No.), haga clic en y seleccione Agregar arriba (AddAbove) o Agregar abajo (Add Below).

Se agregará una nueva regla de permiso "any any" debajo de la reglaseleccionada Si la regla definida por el sistema es la única regla en la tabla defirewall, la nueva regla se agrega arriba de la regla predeterminada.

Para agregar una regla copiando unaregla

a Seleccione una regla.

bHaga clic en el icono Copiar ( ).

c Seleccione una regla.

dEn la columna N.º haga clic en y seleccione Pegar arriba (Paste Above)o Pegar abajo (Paste Below).

Para agregar una regla en cualquierlugar en la tabla de firewall

a Haga clic en el icono Agregar (Add) ( ) .

Se agregará una nueva regla de permiso "any any" debajo de la reglaseleccionada Si la regla definida por el sistema es la única regla en la tabla defirewall, la nueva regla se agrega arriba de la regla predeterminada.

La nueva regla está habilitada de forma predeterminada.

5 Coloque el puntero sobre la celda Nombre (Name) de la nueva regla y haga clic en .

6 Escriba el nombre de la nueva regla.

7 Coloque el puntero sobre la celda Origen (Source) de la nueva regla y haga clic en o .

Si hizo clic en , escriba una dirección IP.

a Seleccione un objeto del menú desplegable y, a continuación, realice las selecciones adecuadas.

Si selecciona Grupo de vNIC (vNIC Group) y, a continuación, selecciona vse, la regla se aplicaal tráfico generado por NSX Edge. Si selecciona interna (internal) o externa (external), la reglase aplica al tráfico que viene de cualquier interfaz interna o de vínculo superior de la instancia deNSX Edge seleccionada. La regla se actualiza automáticamente cuando se configuran interfacesadicionales. Observe que las reglas de firewall en interfaces internas no funcionan para unenrutador lógico.

Si selecciona Conjuntos de direcciones IP (IP Sets), puede crear un grupo de direcciones IPnuevo. Una vez que creado, el nuevo grupo se agrega a la columna Origen (Source)automáticamente. Para obtener información sobre cómo crear un conjunto de direcciones IP,consulte Crear un grupo de direcciones IP.

b Haga clic en Aceptar (OK).


VMware, Inc. 168

8 Coloque el puntero sobre la celda Destino (Destination) de la nueva regla y haga clic en o .

a Seleccione un objeto del menú desplegable y, a continuación, realice las selecciones adecuadas.

Si selecciona Grupo de vNIC (vNIC Group) y, a continuación, selecciona vse, la regla se aplicaal tráfico generado por NSX Edge. Si selecciona interna (internal) o externa (external), la reglaaplica al tráfico que va a cualquier interfaz interna o de vínculo superior de la instancia de NSXEdge seleccionada. La regla se actualiza automáticamente cuando se configuran interfacesadicionales. Observe que las reglas de firewall en interfaces internas no funcionan para unenrutador lógico.

Si selecciona Conjuntos de direcciones IP (IP Sets), puede crear un grupo de direcciones IPnuevo. Una vez que creado, el nuevo grupo se agrega a la columna Origen (Source)automáticamente. Para obtener información sobre cómo crear un conjunto de direcciones IP,consulte Crear un grupo de direcciones IP.


9 Coloque el puntero sobre la celda Servicio (Service) de la nueva regla y haga clic en o .

n Si hizo clic en , seleccione un servicio. Para crear un servicio o un grupo de servicios nuevos,haga clic en Nuevo (New). Una vez creado, el nuevo servicio se agrega a la columna Servicio(Service) automáticamente. Para obtener más información sobre cómo crear un nuevo servicio,consulte Crear un servicio.

n Si hizo clic en , seleccione un protocolo. Puede especificar el puerto de origen haciendo clic enla flecha junto a Opciones avanzadas (Advanced Options). VMware recomienda evitarespecificar el puerto de origen en la versión 5.1 y posteriores. En cambio, se puede crear unservicio para una combinación de protocolo-puerto.

Nota NSX Edge solo es compatible con los servicios definidos con los protocolos de Capa 3.


Acción seleccionada Resultado

Permitir (Allow) Permite el tráfico desde o hasta el origen y el destino especificados.

Bloquear (Block) Bloquea el tráfico desde o hasta el origen y el destino especificados.


Se envían paquetes RST en lugar de paquetes TCP.

Se envían paquetes ICMP a los que no se puede acceder (con restricciónadministrativa) en lugar de otros paquetes.



Comentarios (Comments) Escriba comentarios, si es necesario.


VMware, Inc. 169

Acción seleccionada Resultado

Opciones avanzadas (AdvancedOptions) > Coincidencia contraducción (Match on Translated)

Aplica la regla a los servicios y las direcciones IP traducidas para una regla NAT.

Habilitar dirección de regla (EnableRule Direction)

Indica si la regla es entrante o saliente.

VMware no recomienda especificar la dirección de las reglas de firewall.

11 Haga clic en Publicar cambios (Publish Changes) para transmitir la nueva regla a la instancia deNSX Edge.

Pasos siguientes

n Deshabilite una regla haciendo clic en junto al número de regla en la columna N.° (No.).

n Oculte las reglas generadas o las reglas previas (reglas agregadas en la pestaña Firewallcentralizado [Centralized Firewall]). Para ello, haga clic en Ocultar reglas generadas (HideGenerated Rules) u Ocultar reglas previas (Hide Pre Rules).

n



Etiqueta de regla (Rule Tag) Identificador único generado por el sistema para cada regla


Estadísticas (Stats)Si hace clic en se muestra el tráfico afectado por esta regla (cantidad de sesiones,paquetes de tráfico y tamaño).



Editar una regla de firewall de NSX EdgeEs posible editar solo las reglas de firewall definidas por el usuario que se agregaron en la pestañaFirewall de Edge (Edge Firewall). Las reglas que se agregaron en la pestaña Firewall centralizado(Centralized Firewall) no se pueden editar en la pestaña Firewall de Edge (Edge Firewall).

Procedimiento



3 Haga clic en la pestaña Supervisar (Monitor) y, a continuación, en la pestaña Firewall.

4 Seleccione la regla que desea editar.

Nota No puede cambiar una regla generada automáticamente o la regla predeterminada.


VMware, Inc. 170



Cambiar la prioridad de una regla de firewall de NSX EdgeEs posible cambiar el orden de las reglas de firewall definidas por el usuario que se agregaron a lapestaña Firewall de Edge (Edge Firewall) con el fin de personalizar el flujo de tráfico a través de NSXEdge. Por ejemplo, si existe una regla para permitir el tráfico de equilibrador de carga, se puede agregaruna regla para rechazar el tráfico de equilibrador de carga procedente de un grupo específico dedirecciones IP y se puede colocar esta regla arriba de la regla que permite el tráfico de LB.

Procedimiento




4 Seleccione la regla cuya prioridad desea cambiar.

Nota No se puede cambiar la prioridad de las reglas generadas automáticamente o de la reglapredeterminada.

5 Haga clic en el icono Mover hacia arriba (Move Up) o Mover hacia abajo (Move Down) .



Eliminar una regla de firewall de NSX EdgeEs posible eliminar una regla de firewall definida por el usuario que se agregó en la pestaña Firewall deNSX Edge (NSX Edge Firewall). No se pueden eliminar aquí las reglas agregadas en la pestaña Firewallcentralizado (Centralized Firewall).

Procedimiento




4 Seleccione la regla que desea eliminar.

Nota No puede eliminar una regla generada automáticamente o la regla predeterminada.



VMware, Inc. 171

Administrar reglas de NATNSX Edge proporciona el servicio de traducción de direcciones de red (NAT) para asignar una direcciónpública a un equipo o grupo de equipos en una red privada. El uso de esta tecnología limita la cantidadde direcciones IP públicas que debe utilizar una organización o empresa, por motivos de seguridad yeconomía. Debe configurar las reglas de NAT para brindar acceso a los servicios que se ejecutan enmáquinas virtuales con direcciones privadas.

La configuración del servicio NAT está separado en reglas de NAT de origen (SNAT) y de NAT de destino(Destination NAT, DNAT).

Agregar una regla de SNATEs posible crear una regla de NAT de origen (SNAT) para cambiar la dirección IP de origen; si es unadirección IP pública por una privada y, si es una dirección IP privada por una pública.

Requisitos previos

n La dirección IP traducida (pública) debe estar agregada a la interfaz de NSX Edge a la que se deseaagregar la regla.

n Las reglas de SNAT no se admiten en las subinterfaces.

Procedimiento



3 Haga clic en la pestaña Administrar (Manage) y, a continuación, haga clic en la pestaña NAT.

4 Haga clic en el icono Agregar (Add) y seleccione Agregar regla de SNAT (Add SNAT Rule).

5 Seleccione la interfaz en la cual desea agregar la regla.

Las reglas de SNAT no se admiten en las subinterfaces.

6 Introduzca la dirección IP de origen original en uno de los siguientes formatos.

Formato Ejemplo

Dirección IP 192.0.2.0

Rango de direcciones IP 192.0.2.0-192.0.2.24

Dirección IP/subred 192.0.2.0/24

any

7 Introduzca la dirección IP de origen traducida (pública) en uno de los siguientes formatos.

Formato Ejemplo


Rango de direcciones IP 192.0.2.0-192.0.2.24


VMware, Inc. 172

Formato Ejemplo

Dirección IP/subred 192.0.2.0/24

any

8 Seleccione Habilitado (Enabled) para habilitar la regla.

9 Haga clic en Habilitar registro (Enable logging) para registrar la traducción de la dirección.

10 Haga clic en Aceptar (OK) para agregar la regla.


Agregar una regla de DNATPuede crear una regla de NAT de destino (destination NAT, DNAT) para cambiar la dirección IP dedestino de pública a privada o viceversa.

Requisitos previos

La dirección IP original (pública) debe haberse agregado a la interfaz NSX Edge a la cual se deseaagregar la regla.

Procedimiento




4 Haga clic en la pestaña Administrar (Manage) y, a continuación, haga clic en la pestaña NAT.

5 Haga clic en el icono Agregar (Add) ( ) y seleccione Agregar regla de DNAT (Add DNAT Rule).

6 Seleccione la interfaz en la cual desea aplicar la regla de DNAT.

7 Escriba la dirección IP original (pública) en uno de los siguientes formatos.

Formato Ejemplo


Rango de direcciones IP 192.0.2.0 -192.0.2.24

Dirección IP/subred 192.0.2.0 /24

any

8 Escriba el protocolo.


VMware, Inc. 173

9 Escriba el puerto o el rango de puertos originales.

Formato Ejemplo

Número de puerto 80

Rango de puertos 80-85

any

10 Escriba la dirección IP traducida en uno de los siguientes formatos.

Formato Ejemplo


Rango de direcciones IP 192.0.2.0 -192.0.2.24

Dirección IP/subred 192.0.2.0 /24

any

11 Escriba el puerto o el rango de puertos traducidos.

Formato Ejemplo

Número de puerto 80

Rango de puertos 80-85

any

12 Seleccione Habilitado (Enabled) para habilitar la regla.

13 Seleccione Habilitar registro (Enable logging) para registrar la traducción de la dirección.

14 Haga clic en Agregar (Add) para guardar la regla.


VMware, Inc. 174

Introducción al firewall deidentidad 11Las funciones del firewall de identidad permiten al administrador de NSX crear un usuario de ActiveDirectory basado en reglas de DFW.

Al preparar la infraestructura comienza una visión general de alto nivel del flujo de trabajo de laconfiguración de IDFW. Esto incluye que el administrador instale los componentes de preparación delhost en cada clúster protegido y que establezca la sincronización de Active Directory de forma que NSXpueda aceptar usuarios y grupos de AD. A continuación, IDFW debe saber en qué escritorio inicia sesiónun usuario de Active Directory para poder aplicar las reglas de DFW. IDFW utiliza dos métodos paradetectar el inicio de sesión: Guest Introspection y/o a través del recopilador de registros de eventos deActive Directory. Guest Introspection se implementa en los clústeres de ESXi en los que se ejecutan lasmáquinas virtuales de IDFW. Cuando un usuario genera eventos de red, un agente invitado instalado enla máquina virtual envía la información a través de la trama de Guest Introspection a NSX Manager. Lasegunda opción es el recopilador de registros de eventos de Active Directory. Configure el recopilador deregistros de eventos de Active Directory en NSX Manager para señalar una instancia de la controladorade dominio de Active Directory. NSX Manager extraerá eventos del registro de eventos de seguridad deAD. Puede usar ambos en su entorno o bien uno de ellos. Tenga en cuenta que si se utiliza el recopiladorde registros de eventos de AD y Guest Introspection, ambos son mutuamente exclusivos: si uno de ellosdeja de funcionar, el otro no comenzará a trabajar como copia de seguridad.

Una vez que la infraestructura está preparada, el administrador crea grupos de seguridad de NSX yagrega los grupos de AD de disponibilidad reciente (a los que se hace referencia como Grupo dedirectorios). El administrador podrá a continuación crear directivas de seguridad con reglas de firewallasociadas y aplicar dichas directivas a los grupos de seguridad recién creados. Ahora, cuando unusuario inicie sesión en un escritorio, el sistema detectará ese evento a través de la dirección IP que seutilizó, buscará la directiva del firewall que está asociada a dicho usuario y empujará estas reglas haciaabajo. Esto funciona tanto para escritorios físicos como virtuales. Para los escritorios físicos, esnecesario que el recopilador de registros de eventos de Active Directory también detecte que un usuarioinició sesión en un escritorio físico.

SO compatibles con IDFWServidores compatibles con AD

n Windows 2012

n Windows 2008

VMware, Inc. 175

n Windows 2008 R2

SO invitados compatibles

n Windows 2012

n Windows 2008

n Windows 2008 R2

n Windows 10

n Windows 8 de 32 o 64 bits

n Windows 7 de 32 o 64 bits

Flujo de trabajo del firewall de identidadEl firewall de identidad (IDFW) permite normas del firewall distribuido establecidas por el usuario (DFW)

Las reglas del firewall distribuido establecidas por el usuario (DFW) están determinadas por lapertenencia a un grupo Active Directory (AD). IDFW supervisa si los usuarios de Active Directoryiniciaron sesión y asignan el registro a una dirección IP que usa el DFW para aplicar reglas del firewall.El firewall de identidad necesita la trama guest introspection o activar la extracción de los registros de loseventos del directorio.

Procedimiento

1 Configure la sincronización de Active Directory en NSX, consulte Sincronizar un dominio de Windowscon Active Directory. Esto es necesario para usar los grupos de Active Directory en ServiceComposer.

2 Prepare el clúster ESXi para DFW. Consulte cómo preparar el clúster del host para NSX (Prepare theHost Cluster for NSX) en Guía de instalación de NSX.

3 Configure las opciones de detección de inicio de sesión del firewall de identidad. Tenga en cuentaque debe configurar una o ambas opciones:

n Configure el acceso al registro de los eventos de Active Directory. Consulte Registrar un dominiode Windows con NSX Manager.

n Windows Guest OS con un agente invitado instalado. Viene con una instalación completa deVMware Tools ™ Implemente el servicio Guest Introspection para los clústeres protegidos.Consulte Instalar Guest Introspection. Para solucionar problemas relacionados con GuestIntrospection, consulte Recopilar información para solucionar problemas de Guest Introspection.


VMware, Inc. 176

Trabajar con dominios de ActiveDirectory 12Se puede registrar uno o varios dominios de Windows en una instancia de NSX Manager y una instanciaasociada de vCenter Server. NSX Manager obtiene información del grupo y del usuario, así como de larelación existente entre estos elementos, desde cada dominio con el que está registrado. NSX Managertambién recupera las credenciales de Active Directory (AD).

Una vez que NSX Manager recupera las credenciales de AD, se pueden crear grupos de seguridadbasados en la identidad del usuario, crear reglas de firewall basadas en la identidad y ejecutar informesde supervisión de la actividad.


n Registrar un dominio de Windows con NSX Manager

n Sincronizar un dominio de Windows con Active Directory

n Editar un dominio de Windows

n Habilitar el acceso al registro de seguridad de solo lectura en Windows 2008

n Comprobar los privilegios de Directory

Registrar un dominio de Windows con NSX Manager

Requisitos previos

La cuenta de dominio debe tener permisos de lectura de AD para todos los objetos en el árbol dedominios. La cuenta del lector de registros de eventos debe tener permisos de lectura para los registrosde eventos de seguridad.

Procedimiento


2 Haga clic en Redes y seguridad (Networking & Security) y seleccione Instancias de NSX Manager(NSX Managers).

3 Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).

4 Haga clic en la pestaña Dominio (Domain) y, a continuación, haga clic en el icono Agregar dominio

(Add domain) ( ).

VMware, Inc. 177

5 En el cuadro de diálogo Agregar dominio (Add Domain), escriba el nombre del dominio completo(por ejemplo, eng.vmware.com) y el nombre netBIOS del dominio.

Para recuperar el nombre netBIOS del dominio, escriba nbtstat -n en una ventana de comandosde una estación de trabajo con Windows que sea parte de un dominio o se encuentre en uncontrolador de dominio. En la Tabla de nombre local NetBIOS (NetBIOS Local Name Table), laentrada con el prefijo <00> y el tipo Grupo (Group) es el nombre netBIOS.

6 Durante la sincronización, haga clic en Ignorar usuarios deshabilitados (Ignore disabled users)para filtrar los usuarios que ya no tengan cuentas activas.


8 En la página Opciones de LDAP (LDAP Options), especifique el controlador de dominio con la que sesincronizará el dominio y seleccione el protocolo.

9 Si es necesario, edite el número de puerto.

10 Escriba las credenciales de usuario de la cuenta de dominio. Este usuario debe poder acceder a laestructura de árbol de directorios.


12 (opcional) En la página Acceso a los registros de eventos de seguridad (Security Event Log Access),seleccione CIFS o WMI en el método de conexión para acceder a los registros de eventos deseguridad del servidor AD especificado. Cambie el número de puerto, si es necesario. Este paso loutiliza el recopilador de registros de eventos de Active Directory. Consulte Flujo de trabajo del firewallde identidad.

Nota El lector de registros de eventos busca eventos con los siguientes ID del registro de eventosde seguridad de AD: Windows 2008/2012: 4624, Windows 2003: 540. El servidor de registro deeventos tiene un límite de 128 MB. Cuando se alcanza este límite, aparece en el lector de registro deseguridad el mensaje ID 1104 de evento (Event ID 1104). Consulte https://technet.microsoft.com/en-us/library/dd315518 para obtener más información.

13 Seleccione Utilizar credenciales de dominio (Use Domain Credentials) para utilizar lascredenciales de usuario del servidor LDAP. Para especificar una cuenta de dominio alternativa parael acceso al registro, desactive la casilla Utilizar credenciales de dominio (Use DomainCredentials) y especifique el nombre de usuario y la contraseña.

La cuenta especificada debe poder leer los registros de eventos de seguridad en el controlador dedominio especificada en el paso 10.


15 En la página Listo para finalizar (Ready to Complete), revise la configuración especificada.


Atención Si aparece un mensaje de error que indique que se produjo un error al agregar undominio a la entidad debido a un conflicto de dominios, la solución alternativa es seleccionarCombinar automáticamente (Auto Merge).


VMware, Inc. 178

https://technet.microsoft.com/en-us/library/dd315518

https://technet.microsoft.com/en-us/library/dd315518

Se crea el dominio y la configuración se muestra debajo de la lista de dominios.

Pasos siguientes

Compruebe que los eventos de inicio de sesión del servidor de registro de eventos estén habilitados.

Es posible agregar, editar, eliminar, habilitar o deshabilitar servidores LDAP desde la pestaña ServidoresLDAP (LDAP Servers) en el panel debajo de la lista de dominios. Se pueden realizar las mismas tareaspara los servidores de registro de eventos desde la pestaña Servidores de registro de eventos (EventLog Servers) en el panel debajo de la lista de dominios. Al agregar varios servidores Windows(controladores de dominio, servidores Exchange o servidores de archivos) como servidor de registro deeventos se mejora la asociación con la identidad del usuario.

Nota En caso de utilizar IDFW, solo los servidores de AD son compatibles.

Sincronizar un dominio de Windows con Active DirectoryDe forma predeterminada, todos los dominios registrados se sincronizan automáticamente con ActiveDirectory cada tres horas. También se pueden sincronizar a petición.

Procedimiento




4 Seleccione el dominio que se sincronizará.

5 Haga clic en una de las siguientes opciones.

Haga clic en Para

Realice una sincronización diferencial, donde los objetos AD locales quecambiaron desde el último evento de sincronización se actualizan.

Realice una sincronización completa, donde el estado local de todos los objetosAD se actualiza.

Editar un dominio de WindowsEs posible editar el nombre, el nombre de netBIOS, el servidor LDAP principal y las credenciales de lacuenta de un dominio.

Procedimiento




VMware, Inc. 179


4 Seleccione un dominio y, a continuación, haga clic en el icono Editar dominio (Edit domain).

5 Realice los cambios necesarios y haga clic en Finalizar (Finish).

Habilitar el acceso al registro de seguridad de sololectura en Windows 2008El recopilador de registros de eventos de IDFW utiliza el acceso al registro de seguridad de solo lectura.

Después de crear una cuenta de usuario nueva, debe habilitar el acceso al registro de seguridad de sololectura en una sección de dominio basada en un servidor de Windows 2008 para garantizar el acceso desolo lectura a los usuarios.

Nota Debe seguir estos pasos en un controlador de dominio del bosque, del árbol o del dominio.

Procedimiento

1 Acceda a Inicio > Herramientas administrativas > Equipos y usuarios de Active Directory (Start> Administrative Tools > Active Directory Users and Computers).

2 En el árbol de navegación, expanda el nodo que corresponda al dominio en el que desee habilitar elacceso al registro de seguridad.

3 En el nodo que expandió, seleccione el nodo Builtin.

4 Haga doble clic en Lector de registros de eventos (Event Log Readers) en la lista de grupos.

5 Seleccione la pestaña Miembros (Members) del cuadro de diálogo Propiedades de los lectores deregistros de eventos (Event Log Readers Properties).

6 Haga clic en el botón Agregar... (Add...).

Aparecerá el cuadro de diálogo Seleccionar usuarios (Select Users), Contactos (Contacts) o Equipos(Computers).

7 Si ya creó un grupo para el usuario "Lector AD" (AD Reader), seleccione ese grupo en el cuadro dediálogo Seleccionar usuarios (Select Users), Contactos (Contacts), Equipos (Computers) o Grupos(Groups). Si solo creó el usuario y no creó un grupo, seleccione ese usuario en el cuadro de diálogoSeleccionar usuarios (Select Users), Contactos (Contacts), Equipos (Computers) o Grupos (Groups).

8 Haga clic en Aceptar (OK) para cerrar el cuadro de diálogo Seleccionar usuarios (Select Users),Contactos (Contacts), Equipos (Computers) o Grupos (Groups).

9 Haga clic en Aceptar (OK) para cerrar el cuadro de diálogo Propiedades de los lectores de registrosde eventos (Event Log Readers Properties).

10 Cierre las ventanas Usuarios de Active Directory (Active Directory Users) y Equipos (Computers).


VMware, Inc. 180

Pasos siguientes

Después de establecer el acceso al registro de seguridad, compruebe los privilegios de Directorysiguiendo los pasos de Comprobar los privilegios de Directory.

Comprobar los privilegios de DirectoryComprobar que la cuenta de usuario tiene los privilegios necesarios para leer los registros de seguridad.

Tras crear una cuenta nueva y habilitar el acceso al registro de seguridad, debe comprobar que puedeleer los registros de seguridad.

Requisitos previos

Habilitar el acceso al registro de seguridad. Consulte Habilitar el acceso al registro de seguridad de sololectura en Windows 2008.

Procedimiento

1 Inicie sesión como administrador en el dominio desde cualquier estación de trabajo que sea parte dedicho dominio.

2 Diríjase a Inicio > Herramientas administrativas > Visor de eventos (Start > Administrative Tools >Event Viewer).

3 Seleccione Conectar a otro equipo... (Connect to Another Computer...) en el menú de Acción(Action). Aparece el cuadro de diálogo Seleccionar un equipo (Select Computer). (Tenga en cuentaque debe realizar esto incluso si ya inició sesión en la máquina de la que quiere ver el registro deeventos)

4 Seleccione el botón de radio Otro equipo (Another computer) si aún no se seleccionó.

5 En el campo de texto adyacente al botón de radio Otro equipo (Another computer), introduzca elnombre del controlador del dominio. De forma alternativa, haga clic en el botón Examinar... (Browse)y seleccione el controlador de dominio.

6 Marque la casilla de Conectar como otro usuario (Connect as another user).

7 Haga clic en el botón Establecer usuario (Set user). Aparece el cuadro de diálogo Visor de eventos(Event Viewer).

8 En el campo Nombre de usuario (User name), introduzca el nombre del usuario que creó.

9 En el campo Contraseña (Password), introduzca la contraseña del usuario que creó.


11 Vuelva a hacer clic en Aceptar (OK).

12 Expanda el nodo Registros de Windows (Windows Logs) en el árbol de navegación.

13 En el nodo Registros de Windows (Windows Logs), seleccione el nodo Seguridad (Security). Sipuede ver los eventos de registros, la cuenta tiene los privilegios necesarios.


VMware, Inc. 181

Utilizar SpoofGuard 13Tras la sincronización con el servidor vCenter Server, NSX Manager recopila las direcciones IP de todaslas máquinas virtuales invitadas de vCenter desde la instancia de VMware Tools en cada máquina virtual.Si hay una máquina virtual comprometida, la dirección IP puede suplantarse y las transmisionesmaliciosas pueden omitir las directivas de firewall.

Puede crear una directiva de SpoofGuard para redes específicas que permita autorizar las direcciones IPinformadas por VMware Tools y alterarlas, si fuera necesario, para impedir la suplantación. SpoofGuardconfía de forma intrínseca en las direcciones MAC de las máquinas virtuales recopiladas a partir dearchivos VMX y vSphere SDK. Dado que funcionan de forma separada de las reglas de firewall, puedeutilizar SpoofGuard para bloquear el tráfico identificado como suplantado.

SpoofGuard admite direcciones IPv4 e IPv6. Si se utilizan direcciones IPv4, la directiva de SpoofGuardadmite una única dirección IP asignada a una vNIC. IPv6 admite varias direcciones IP asignadas a unavNIC. La directiva de SpoofGuard supervisa y administra las direcciones IP que informan las máquinasvirtuales en uno de los siguientes modos.

Confiarautomáticamente en lasasignaciones IP en elprimer uso(Automatically Trust IPAssignments on TheirFirst Use)

Este modo permite que todo el tráfico proveniente de las máquinasvirtuales circule mientras se crea una tabla de asignaciones de direccionesvNIC a IP. Puede revisar la tabla según lo necesite y hacer los cambiosnecesarios en la dirección IP. Este modo aprueba automáticamente todaslas direcciones IPv4 e IPv6 en una vNIC.

Inspeccionar y aprobarmanualmente todas lasasignaciones IP antesde utilizarlas (ManuallyInspect and ApproveAll IP AssignmentsBefore Use)

Este modo bloquea todo el tráfico hasta que se aprueba cada asignaciónde direcciones vNIC a IP.

Nota SpoofGuard autoriza las solicitudes DHCP de forma intrínseca independientemente del modohabilitado. No obstante, en el modo de inspección manual, el tráfico no circula hasta que se hayaaprobado la dirección IP asignada por DHCP.

VMware, Inc. 182

SpoofGuard incluye una directiva predeterminada generada por el sistema que se aplica a los grupos depuertos y redes lógicas que no cubren otras directivas de SpoofGuard. La nueva red agregada seincorpora automáticamente a la directiva predeterminada hasta que agregue la red a una directivaexistente o cree para ella una nueva directiva.

SpoofGuard es una de las formas en que la directiva de Distributed Firewall de NSX puede determinar ladirección IP de una máquina virtual. Para obtener información, consulte Detección de IP para máquinasvirtuales.


n Crear una directiva SpoofGuard

n Aprobar direcciones IP

n Editar una dirección IP

n Borrar una dirección IP

Crear una directiva SpoofGuardSe puede crear una directiva SpoofGuard para especificar el modo de funcionamiento de redesespecíficas. La directiva (predeterminada) generada por el sistema aplica a los grupos de puertos y a losconmutadores lógicos que no están contemplados por las directivas SpoofGuard existentes.

Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) >SpoofGuard.

2 Haga clic en el icono Agregar (Add).

3 Escriba un nombre para la directiva.

4 Seleccione Habilitada (Enabled) o Deshabilitada (Disabled) para indicar si la directiva estáhabilitada.

5 En Modo de operación (Operation Mode), seleccione una de las opciones siguientes:


Confiar automáticamente en lasasignaciones IP en el primer uso(Automatically Trust IP Assignmentson Their First Use)

Seleccione esta opción para confiar en todas las asignaciones IP desde elregistro inicial con NSX Manager.

Inspeccionar y aprobar manualmentetodas las asignaciones IP antes deutilizarlas (Manually Inspect andApprove All IP Assignments BeforeUse)

Seleccione esta opción para solicitar la aprobación manual de todas lasdirecciones IP. Todo el tráfico desde y hacia direcciones IP no aprobadas sebloquea.


VMware, Inc. 183

6 Haga clic en Permitir dirección local como dirección válida en este espacio de nombre (Allowlocal address as valid address in this namespace) para permitir direcciones IP locales en lainstalación.

Cuando enciende una máquina virtual y no se puede conectar al servidor DHCP, se le asigna unadirección IP local. Esta dirección IP local se considera válida solo si el modo SpoofGuard estáestablecido en Permitir dirección local como dirección válida en este espacio de nombre (Allowlocal address as valid address in this namespace). De lo contrario, la dirección IP local se ignora.


8 Para especificar el ámbito de la directiva, haga clic en Agregar (Add) y seleccione las redes, losgrupos de puertos distribuidos o los conmutadores lógicos a los que se debería aplicar esta directiva.

Un grupo de puertos o un conmutador lógico pueden pertenecer solamente a una directivaSpoofGuard.

9 Haga clic en Aceptar (OK) y, a continuación, en Finalizar (Finish).

Pasos siguientes

Puede editar una directiva con el icono Editar (Edit) y eliminar una directiva con el icono Eliminar(Delete).

Aprobar direcciones IPSi se configura SpoofGuard para que se requiera la aprobación manual de todas las asignaciones dedirecciones IP, es necesario aprobar las asignaciones de direcciones IP para que el tráfico de esasmáquinas virtuales pueda pasar.

Procedimiento

1 En la pestaña SpoofGuard, seleccione una directiva.

Se mostrarán los detalles de la directiva debajo de la tabla de directivas.

2 En Ver (View), haga clic en uno de los vínculos de opciones.


NIC virtuales activas (Active VirtualNICs)

Lista de todas las direcciones IP validadas

NIC virtuales activas desde últimapublicación (Active Virtual NICs SinceLast Published)

Lista de direcciones IP que se validaron desde que se actualizó por última vez ladirectiva

Aprobación requerida para IP de NICvirtuales (Virtual NICs IP RequiredApproval)

Cambios en las direcciones IP que se deben aprobar antes de que se puedatransmitir el tráfico hacia o desde estas máquinas virtuales

NIC virtuales con IP duplicadas (VirtualNICs with Duplicate IP)

Direcciones IP que son duplicados de una dirección IP asignada existente dentrodel centro de datos seleccionado


VMware, Inc. 184


NIC virtuales inactivas (Inactive VirtualNICs)

Lista de direcciones IP en las que la dirección IP actual no coincide con ladirección IP publicada

IP de NIC virtuales sin publicar(Unpublished Virtual NICs IP)

Lista de máquinas virtuales en las que se editó la asignación de direcciones IPpero eso todavía no se publicó


n Para aprobar una sola dirección IP, haga clic en la opción Aprobar (Approve) junto a la direcciónIP.

n Para aprobar varias direcciones IP, seleccione las vNIC adecuadas y haga clic en Aprobar IPdetectadas (Approve Detected IPs).

Editar una dirección IPEs posible editar la dirección IP asignada a una dirección MAC para corregir la dirección IP asignada.

Nota SpoofGuard acepta una dirección IP exclusiva de las máquinas virtuales. Sin embargo, puedeasignar una dirección IP solo una vez. Una dirección IP aprobada es exclusiva en todo NSX. No sepermiten las direcciones IP aprobadas duplicadas.

Procedimiento

















3 En la vNIC adecuada, haga clic en el icono Editar (Edit) y realice los cambios adecuados.



VMware, Inc. 185

Borrar una dirección IPEs posible borrar una asignación de dirección IP aprobada de una directiva SpoofGuard.

Procedimiento


















n Para borrar una sola dirección IP, haga clic en Borrar (Clear), junto a la dirección IP.

n Para borrar varias direcciones IP, seleccione las vNIC adecuadas y, a continuación, haga clic enBorrar IP aprobadas (Clear Approved IP[s]).


VMware, Inc. 186

Redes privadas virtuales (VPN) 14NSX Edge admite varios tipos de VPN. SSL VPN-Plus permite a los usuarios remotos acceder aaplicaciones privadas de la empresa. IPsec VPN ofrece conectividad de sitio a sitio entre una instanciade NSX Edge y sitios remotos. La VPN de Capa 2 permite extender el centro de datos y que lasmáquinas virtuales conserven la conectividad de red más allá de los límites geográficos.

Para poder utilizar la VPN, primero debe tener una instancia de NSX Edge que esté funcionando. Paraobtener información sobre la instalación de NSX Edge, consulte Configuración de NSX Edge.


n Descripción general de SSL VPN-Plus

n Descripción general de IPsec VPN

n Descripción general de VPN de Capa 2

Descripción general de SSL VPN-PlusCon SSL VPN-Plus, los usuarios remotos pueden conectarse de forma segura a redes privadas detrásde una puerta de enlace de NSX Edge. Los usuarios remotos pueden acceder a servidores yaplicaciones en las redes privadas.

NSX Manager

Admin.

LAN corporativa

ServidorWindows

Usuarios remotos conectándosemediante el modo de acceso web

Usuarios remotos conectándosemediante un cliente SSL

Internet

NSX EdgeSSL VPNexterna

VMware, Inc. 187

Se admiten los sistemas operativos cliente siguientes:

n Windows XP y posteriores (Windows 8 es compatible).

n Mac OS X Tiger, Leopard, Snow Leopard, Lion, Mountain Lion, Maverick y Yosemite. Se puedeninstalar de forma manual o con el instalador de Java.

n Linux: se requiere TCL-TK para que funcione la interfaz de usuario. Si no está presente, el clienteLinux se puede utilizar con la CLI.

Para obtener más información sobre cómo solucionar problemas de las VPN de SSL, consulte https://kb.vmware.com/kb/2126671.

Configurar el acceso de red de SSL VPN-PlusEn el modo de acceso de red, un usuario remoto puede acceder a redes privadas después de descargare instalar un cliente SSL.

Requisitos previos

La puerta de enlace de SSL VPN requiere el acceso al puerto 443 desde redes externas, mientras que elcliente de SSL VPN requiere la comunicación entre el sistema cliente y la dirección IP de la puerta deenlace y el puerto 443 de NSX Edge.

Procedimiento

1 Agregar configuración del servidor SSL VPN-Plus

Debe agregar la configuración del servidor SSL VPN para habilitar SSL en una interfaz NSX Edge.

2 Agregar un grupo de direcciones IP

Se asigna una dirección IP virtual al usuario remoto del grupo de direcciones IP agregado.

3 Agregar una red privada

Es posible agregar la red a la que se desea que el usuario remoto pueda acceder.

4 Agregar autenticación

En lugar de un usuario local, puede agregar un servidor de autenticación externo (AD, LDAP,Radius o RSA) que esté vinculado a la puerta de enlace SSL. Todos los usuarios con cuentas en elservidor de autenticación vinculado se autenticarán.

5 Agregar paquete de instalación

Cree un paquete de instalación del cliente SSL VPN-Plus para el usuario remoto.

6 Agregar un usuario

Agregue un usuario remoto a la base de datos local.

7 Habilitar el servicio SSL VPN-Plus

Después de configurar el servicio SSL VPN-Plus, habilite el servicio para que los usuarios remotospuedan comenzar a acceder a las redes privadas.


VMware, Inc. 188

https://kb.vmware.com/kb/2126671

8 Agregar un script

Es posible agregar varios scripts de inicio o de cierre de sesión. Por ejemplo, se puede enlazar unscript de inicio de sesión para iniciar Internet Explorer con gmail.com. Cuando el usuario remotoinicia sesión en el cliente SSL, Internet Explorer abre gmail.com.

9 Instalar cliente SSL en un sitio remoto

En esta sección se describe el procedimiento que puede seguir un usuario remoto en su escritoriouna vez configurado el servicio SSL VPN-Plus. Se admiten escritorios de Windows, MAC y Linux.

Agregar configuración del servidor SSL VPN-PlusDebe agregar la configuración del servidor SSL VPN para habilitar SSL en una interfaz NSX Edge.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Configuración del servidor (Server Settings) en el panelizquierdo.

2 Haga clic en Change (Cambiar).

3 Seleccione la dirección IPv4 o IPv6.

4 Si es necesario, edite el número de puerto. Este número de puerto se requiere para configurar elpaquete de instalación.

5 Seleccione el método de encriptación.

6 (opcional) En la tabla Certificados de servidor (Server Certificates), seleccione el certificado deservidor que desea agregar.


Agregar un grupo de direcciones IPSe asigna una dirección IP virtual al usuario remoto del grupo de direcciones IP agregado.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Grupos de direcciones IP (IP Pools) en el panelizquierdo.


3 Escriba la dirección IP de inicio y de finalización para el grupo de direcciones IP.

4 Escriba la máscara de red del grupo de direcciones IP.

5 Escriba la dirección IP que se agregará a la interfaz de enrutamiento en la puerta de enlace de NSXEdge.

6 (opcional) Escriba una descripción para el grupo de direcciones IP.

7 Seleccione si desea habilitar o deshabilitar el grupo de direcciones IP.

8 (opcional) En el panel Opciones avanzadas (Advanced), escriba el nombre DNS.


VMware, Inc. 189

9 (opcional) Escriba el nombre DNS secundario.

10 Escriba el sufijo DNS específico de la conexión para la resolución de nombres de host basada en eldominio.

11 Escriba la dirección del servidor WINS.


Agregar una red privadaEs posible agregar la red a la que se desea que el usuario remoto pueda acceder.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Redes privadas (Private Networks) en el panel izquierdo.

2 Haga clic en el icono Agregar (Add) .

3 Especifique la dirección IP de la red privada.

4 Especifique la máscara de red de la red privada.

5 (opcional) Introduzca una descripción para la red.

6 Indique si desea enviar el tráfico de la red privada y de Internet mediante NSX Edge con SSL VPN-Plus habilitado u omitir NSX Edge y enviarlo directamente al servidor privado.

7 Si eligió Enviar tráfico por el túnel (Send traffic over the tunnel), seleccione Habilitar optimizaciónde TCP (Enable TCP Optimization) para optimizar la velocidad de Internet.

El túnel convencional de SSL VPN con acceso total envía los datos de TCP/IP en una segunda pilade TCP/IP para el cifrado por medio de Internet. Como resultado, los datos de la capa de aplicaciónse encapsulan dos veces en dos flujos de TCP distintos. Cuando se pierde algún paquete (lo que esposible incluso en condiciones óptimas de Internet), se produce un efecto de degradación derendimiento que se conoce como “colapso de TCP sobre TCP”. Básicamente, dos instrumentos TCPcorrigen un mismo paquete de datos IP; eso socava la capacidad de proceso de la red y generatiempo de espera en la conexión. La optimización de TCP elimina este problema de TCP sobre TCPy garantiza un nivel de rendimiento óptimo.

8 Al habilitar la optimización, especifique los números de los puertos en los que se debe optimizar eltráfico.

No se optimizará el tráfico en los puertos restantes de esa red específica.

Cuando se optimiza el tráfico de TCP, el servidor SSL VPN abre la conexión TCP en nombre delcliente. Como es el servidor SSL VPN el que abre la conexión TCP, se aplica la primera reglagenerada automáticamente, lo que permite que se transmitan todas las conexiones abiertas desdeEdge. El tráfico no optimizado se evaluará en función de las reglas normales de Edge Firewall. Laregla de permiso predeterminada es colapso de "any any".

9 Indique si desea habilitar o deshabilitar la red privada.



VMware, Inc. 190

Pasos siguientes

Agregue la regla de firewall correspondiente para permitir el tráfico de la red privada.

Agregar autenticaciónEn lugar de un usuario local, puede agregar un servidor de autenticación externo (AD, LDAP, Radius oRSA) que esté vinculado a la puerta de enlace SSL. Todos los usuarios con cuentas en el servidor deautenticación vinculado se autenticarán.

El tiempo máximo de autenticación por medio de SSL VPN es de 3 minutos. Esto se debe a que eltiempo de espera sin autenticación es de 3 minutos, y no se trata de una propiedad configurable. Poreso, en situaciones donde el tiempo de espera de autenticación de AD se establece con un valorsuperior a 3 minutos, o donde existen varios servidores para autenticación en cadena y el tiempo quetarda la autorización del usuario es superior a 3 minutos, no será posible autenticarse.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Autenticación (Authentication) en el panel izquierdo.


3 Seleccione el tipo de servidor de autenticación.

4 Según el tipo de servidor de autenticación seleccionado, complete los siguientes campos.

u Servidor de autenticación de AD (AD authentication server)

Tabla 14‑1. Opciones del servidor de autenticación de AD (AD Authentication ServerOptions)


Habilitar SSL(Enable SSL)

Si se habilita SSL, se establece un vínculo encriptado entre un servidor web y un explorador.

Dirección IP(IP Address)

Dirección IP del servidor de autenticación.

Puerto (Port) Muestra el nombre de puerto predeterminado. Si es necesario, edite esta opción.

Tiempo deespera(Timeout)

Período en segundos dentro del cual debe responder el servidor de AD.

Estado (Status) Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para indicar si el servidor estáhabilitado.

Base debúsqueda(Search base)

Parte del árbol del directorio externo donde se llevará a cabo la búsqueda. La base de búsquedapuede ser un elemento equivalente a la organización, al grupo o al nombre de dominio (AD) deldirectorio externo.

DN de enlace(Bind DN)

El usuario del servidor de AD externo permitió la búsqueda en el directorio de AD dentro de la basede búsqueda definida. La mayoría de las veces, el DN de enlace se permite para buscar en todo eldirectorio. El rol del DN de enlace es realizar una consulta en el directorio con el filtro de consulta yla base de búsqueda del nombre distinguido (DN) para autenticar usuarios de AD. Cuando serecibe el DN, se utilizan el DN y la contraseña para autenticar el usuario de AD.


VMware, Inc. 191

Tabla 14‑1. Opciones del servidor de autenticación de AD (AD Authentication ServerOptions) (Continuación)


Contraseña deenlace (BindPassword)

Contraseña para autenticar el usuario de AD.

Volver aescribircontraseña deenlace (RetypeBind Password)

Vuelva a escribir la contraseña.

Nombre deatributo deinicio desesión (LoginAttribute Name)

Nombre con el cual se hace coincidir al identificador de usuario introducido por el usuario remoto.Para Active Directory, el nombre de atributo de inicio de sesión es sAMAccountName.

Filtro debúsqueda(Search Filter)

Valores de filtro con los cuales se limita la búsqueda. El formato del filtro de búsqueda es attributeoperator value.

Utilizar esteservidor paralaautenticaciónsecundaria(Use this serverfor secondaryauthentication)

Si se selecciona esta opción, este servidor de AD se utiliza como el segundo nivel de autenticación.

Finalizarsesión si seproduce unerror en laautenticación(TerminateSession ifauthenticationfails)

Si se selecciona esta opción, se finaliza la sesión si se produce un error en la autenticación.

u Servidor de autenticación LDAP

Tabla 14‑2. Opciones del servidor de autenticación LDAP


Habilitar SSL (EnableSSL)


Dirección IP (IPAddress)

Dirección IP del servidor externo.


Tiempo de espera(Timeout)



VMware, Inc. 192

Tabla 14‑2. Opciones del servidor de autenticación LDAP (Continuación)



Base de búsqueda(Search base)

Parte del árbol del directorio externo donde se llevará a cabo la búsqueda. La base debúsqueda puede ser un elemento equivalente a la organización, al grupo o al nombre dedominio (AD) del directorio externo.

DN de enlace (BindDN)

El usuario del servidor externo permitió la búsqueda en el directorio de AD dentro de la basede búsqueda definida. La mayoría de las veces, el DN de enlace se permite para buscar entodo el directorio. El rol del DN de enlace es realizar una consulta en el directorio con el filtrode consulta y la base de búsqueda del nombre distinguido (DN) para autenticar usuarios deAD. Cuando se recibe el DN, se utilizan el DN y la contraseña para autenticar el usuario deAD.



Volver a escribircontraseña deenlace (Retype BindPassword)


Nombre de atributode inicio de sesión(Login Attribute Name)

Nombre con el cual se hace coincidir al identificador de usuario introducido por el usuarioremoto. Para Active Directory, el nombre de atributo de inicio de sesión es sAMAccountName.

Filtro de búsqueda(Search Filter)

Valores de filtro con los cuales se limita la búsqueda. El formato del filtro de búsqueda esattribute operator value.

Utilizar este servidorpara la autenticaciónsecundaria (Use thisserver for secondaryauthentication)

Si se selecciona esta opción, este servidor se utiliza como el segundo nivel de autenticación.

Finalizar sesión si seproduce un error enla autenticación(Terminate Session ifauthentication fails)


u Servidor de autenticación RADIUS

Tabla 14‑3. Opciones del servidor de autenticación RADIUS








VMware, Inc. 193

Tabla 14‑3. Opciones del servidor de autenticación RADIUS (Continuación)



Secreto (Secret) Secreto específico compartido al agregar el agente de autenticación en la consola de seguridadde RSA.

Volver aescribir secreto(Retype secret)

Vuelva a escribir el secreto compartido.

Dirección IP deNAS (NAS IPAddress)

La dirección IP que se configura y utiliza como la dirección IP de NAS, atributo 4 de RADIUS, sincambiar la dirección IP de origen en el encabezado IP de los paquetes RADIUS.

Cantidad dereintentos(Retry Count)

Cantidad de veces que debe entablarse comunicación con el servidor RADIUS si no respondeantes de se produzca un error en la autenticación.

Utilizar esteservidor para laautenticaciónsecundaria (Usethis server forsecondaryauthentication)


Finalizar sesiónsi se produceun error en laautenticación(TerminateSession ifauthenticationfails)


u Servidor de autenticación RSA-ACE

Tabla 14‑4. Opciones del servidor de autenticación RSA-ACE




Archivo deconfiguración(ConfigurationFile)

Haga clic en Examinar (Browse) para seleccionar el archivo sdconf.rec que descargó de RSAAuthentication Manager.


Dirección IP deorigen (SourceIP Address)

Dirección IP de la interfaz de NSX Edge por medio de la cual se accede al servidor RSA.


VMware, Inc. 194

Tabla 14‑4. Opciones del servidor de autenticación RSA-ACE (Continuación)






u Servidor de autenticación local

Tabla 14‑5. Opciones del servidor de autenticación local


Habilitardirectiva decontraseña(Enablepassword policy)

Si se selecciona esta opción, se define una directiva de contraseña. Especifica los valoresrequeridos.


Si se selecciona esta opción, se define una directiva de bloqueo de cuenta. Especifica los valoresrequeridos.

1 En Cantidad de reintentos (Retry Count), escriba la cantidad de veces que un usuario remotopuede intentar acceder a su cuenta después de introducir una contraseña incorrecta.

2 En Duración de los reintentos (Retry Duration), escriba el período durante el cual la cuenta delusuario remoto debe bloquearse tras intentos de inicio de sesión incorrectos.

Por ejemplo, si especifica 5 para Cantidad de reintentos (Retry Count) y 1 minuto paraDuración de los reintentos (Retry Duration), la cuenta del usuario remoto se bloquea si realiza5 intentos de inicio de sesión incorrectos en 1 minuto.

3 En Duración del bloqueo (Lockout Duration), escriba el período durante el cual permanecebloqueada la cuenta del usuario. Transcurrido este período, la cuenta se desbloqueaautomáticamente.



VMware, Inc. 195

Tabla 14‑5. Opciones del servidor de autenticación local (Continuación)






Agregar paquete de instalaciónCree un paquete de instalación del cliente SSL VPN-Plus para el usuario remoto.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Paquete de instalación (Installation Package) en el panelizquierdo.


3 Escriba un nombre de perfil para el paquete de instalación.

4 En Puerta de enlace (Gateway), escriba la dirección IP o el nombre de dominio completo (FullyQualified Domain Name, FQDN) de la interfaz pública de NSX Edge.

Esta dirección IP o FQDN están enlazados al cliente SSL. Al instalar el cliente, esta dirección IP oFQDN aparecen en el cliente SSL.

5 Escriba el número de puerto especificado en la configuración del servidor para SSL VPN-Plus.Consulte Agregar configuración del servidor SSL VPN-Plus.

6 (opcional) Para enlazar interfaces de vínculo superior NSX Edge adicionales al cliente SSL,

a Haga clic en el icono Agregar (Add) ( ).

b Escriba la dirección IP y el número de puerto.


7 De forma predeterminada, se crea el paquete de instalación para el sistema operativo Windows.Seleccione Linux o Mac si además desea crear un paquete de instalación para los sistemasoperativos Linux o Mac.

8 (opcional) Introduzca una descripción para el paquete de instalación.


VMware, Inc. 196

9 Seleccione Habilitar (Enable) para mostrar el paquete de instalación en la página Paquete deinstalación (Installation Package).

10 Seleccione las siguientes opciones según corresponda.


Iniciar cliente al iniciar sesión (Startclient on logon)

El cliente de SSL VPN se inicia cuando el usuario remoto inicia sesión en elsistema.

Permitir recordar contraseña (Allowremember password)

Habilita la opción.

Habilitar instalación en modosilencioso (Enable silent modeinstallation)

Oculta los comandos de instalación del usuario remoto.

Ocultar adaptador de red del clienteSSL (Hide SSL client network adapter)

Oculta el adaptador VMware SSL VPN-Plus, que está instalado en el equipo delusuario remoto junto con el paquete de instalación de SSL VPN.

Ocultar icono de la bandeja delsistema del cliente (Hide client systemtray icon)

Oculta el icono de la bandeja de SSL VPN, que indica si la conexión VPN estáactiva o no.

Crear icono en el escritorio (Createdesktop icon)

Crea un icono para invocar al cliente SSL en el escritorio del usuario.

Habilitar funcionamiento en modosilencioso (Enable silent modeoperation)

Oculta la ventana emergente que indica la finalización de la instalación.

Validación del certificado de seguridaddel servidor (Server security certificatevalidation)

El cliente de SSL VPN valida el certificado del servidor SSL VPN antes deestablecer la comunicación segura.


Agregar un usuarioAgregue un usuario remoto a la base de datos local.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Usuarios (Users) en el panel izquierdo.


3 Escriba el identificador de usuario.

4 Escriba la contraseña.

5 Vuelva a escribir la contraseña.

6 (opcional) Escriba el nombre y el apellido del usuario.

7 (opcional) Escriba una descripción para el usuario.

8 En Detalles de la contraseña (Password Details), seleccione La contraseña no caduca nunca(Password never expires) para conservar siempre la misma contraseña para el usuario.


VMware, Inc. 197

9 Seleccione Permitir cambio de contraseña (Allow change password) para permitir que el usuariocambie la contraseña.

10 Seleccione Cambiar contraseña en el próximo inicio de sesión (Change password on next login)si desea que el usuario cambie la contraseña la próxima vez que inicie sesión.

11 Establezca el estado del usuario.


Habilitar el servicio SSL VPN-PlusDespués de configurar el servicio SSL VPN-Plus, habilite el servicio para que los usuarios remotospuedan comenzar a acceder a las redes privadas.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Panel (Dashboard) en el panel izquierdo.

2Haga clic en el icono .

El panel muestra el estado del servicio, la cantidad de sesiones de SSL VPN activas, y lasestadísticas y los detalles del flujo de datos de las sesiones. Haga clic en Detalles (Details) junto aCantidad de sesiones activas (Number of Active Sessions) para ver la información sobre lasconexiones simultáneas a redes privadas detrás de la puerta de enlace de NSX Edge.

Pasos siguientes

1 Agregue una regla SNAT para traducir la dirección IP del dispositivo NSX Edge a la dirección IP deEdge de la VPN.

2 En un explorador web, para desplazarse hasta la dirección IP de la interfaz de NSX Edge, escribahttps//NSXEdgeIPAddress.

3 Inicie sesión con el nombre de usuario y la contraseña que creó en la sección Agregar un usuario ydescargue el paquete de instalación.

4 Habilite el reenvío en el enrutador para el número de puerto utilizado en Agregar configuración delservidor SSL VPN-Plus.

5 Inicie el cliente VPN, seleccione el servidor VPN e inicie sesión. Ahora puede desplazarse hasta losservicios de la red. Los registros de la puerta de enlace de SSL VPN-Plus se envían al servidor deSyslog configurado en el dispositivo NSX Edge. Los registros del cliente SSL VPN-Plus sealmacenan en el directorio siguiente en el equipo del usuario remoto: %PROGRAMFILES%/VMWARE/SSLVPN Client/.

Agregar un scriptEs posible agregar varios scripts de inicio o de cierre de sesión. Por ejemplo, se puede enlazar un scriptde inicio de sesión para iniciar Internet Explorer con gmail.com. Cuando el usuario remoto inicia sesiónen el cliente SSL, Internet Explorer abre gmail.com.


VMware, Inc. 198

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Scripts de inicio/cierre de sesión (Login/Logoff Scripts)en el panel izquierdo.


3 En Script, haga clic en Examinar (Browse) y seleccione el script que desea enlazar con la puerta deenlace NSX Edge.

4 Seleccione el Tipo (Type) de script.


Inicio de sesión (Login) Se ejecuta la acción del script cuando el usuario remoto inicia la sesión en SSLVPN.

Cierre de sesión (Logoff) Se ejecuta la acción del script cuando el usuario remoto cierra la sesión de SSLVPN.

Ambos (Both) Se ejecuta la acción del script cuando el usuario remoto inicia y cierra la sesiónde SSL VPN.

5 Introduzca una descripción para el script.

6 Seleccione Habilitado (Enabled) para habilitar el script.


Instalar cliente SSL en un sitio remotoEn esta sección se describe el procedimiento que puede seguir un usuario remoto en su escritorio unavez configurado el servicio SSL VPN-Plus. Se admiten escritorios de Windows, MAC y Linux.

Procedimiento

1 En el sitio del cliente, el usuario remoto puede escribir (https://ExternalEdgeInterfaceIP/sslvpn-plus/ en una ventana del explorador, donde ExternalEdgeInterfaceIP es la dirección IP de la interfazexterna de Edge en la que habilitó SSL VPN-Plus.

2 Inicie sesión en el portal con las credenciales del usuario.

3 Haga clic en la pestaña Acceso completo (Full Access).

Se descarga el cliente SSL.

4 Inicie sesión en el cliente SSL con las credenciales especificadas en la sección Usuarios (Users).

El certificado del servidor SSL VPN se valida según el sistema operativo cliente.

n Cliente Windows

El cliente Windows se autentica si se seleccionó la opción Validación de certificado deseguridad del servidor (Server security certificate validation) cuando se creó el paquete deinstalación.

n Cliente Linux


VMware, Inc. 199

El cliente Linux de SSL VPN valida el certificado del servidor con la tienda de certificados deFirefox de forma predeterminada a partir de NSX vSphere versión 6.1.3. Si se produce un erroren la validación del certificado del servidor, se le solicitará que se ponga en contacto con eladministrador del sistema. Si la validación del certificado del servidor se completa correctamente,se muestra un símbolo del sistema que le solicita que inicie sesión.

Agregar una entidad de certificación de confianza a la tienda de confianza, como la tienda decertificados de Firefox, es independiente del flujo de trabajo de la SSL VPN.

n Cliente OS X

El cliente OS X de SSL VPN valida el certificado del servidor con Keychain, una base de datosque se utiliza para almacenar certificados en OS X, de forma predeterminada a partir de NSXvSphere versión 6.1.3. Si se produce un error en la validación del certificado del servidor, se lesolicitará que se ponga en contacto con el administrador del sistema. Si la validación delcertificado del servidor se completa correctamente, se muestra un símbolo del sistema que lesolicita que inicie sesión.

Agregar una entidad de certificación de confianza a la tienda de confianza, como Keychain, esindependiente del flujo de trabajo de la SSL VPN.

Ahora, el usuario remoto puede acceder a la red privada.

Configurar el acceso web de SSL VPN-PlusEn el modo de acceso web, un usuario remoto puede acceder a redes privadas sin un cliente SSL dehardware o software.

Procedimiento

1 Crear un recurso web

Es posible agregar un servidor al cual el usuario pueda conectarse mediante un explorador web.

2 Agregar un usuario

Agregue un usuario remoto a la base de datos local.

3 Agregar autenticación

En lugar de un usuario local, puede agregar un servidor de autenticación externo (AD, LDAP,Radius o RSA) que esté vinculado a la puerta de enlace SSL. Todos los usuarios con cuentas en elservidor de autenticación vinculado se autenticarán.

4 Agregar configuración del servidor SSL VPN-Plus

Debe agregar la configuración del servidor SSL VPN para habilitar SSL en una interfaz NSX Edge.

5 Habilitar el servicio SSL VPN-Plus

Después de configurar el servicio SSL VPN-Plus, habilite el servicio para que los usuarios remotospuedan comenzar a acceder a las redes privadas.


VMware, Inc. 200

6 Agregar un script

Es posible agregar varios scripts de inicio o de cierre de sesión. Por ejemplo, se puede enlazar unscript de inicio de sesión para iniciar Internet Explorer con gmail.com. Cuando el usuario remotoinicia sesión en el cliente SSL, Internet Explorer abre gmail.com.

Crear un recurso webEs posible agregar un servidor al cual el usuario pueda conectarse mediante un explorador web.

Procedimiento




4 Haga clic en la pestaña Administrar (Manage) y seleccione la pestaña SSL VPN-Plus.

5 Seleccione Recurso web (Web Resource) en el panel izquierdo.


7 Escriba un nombre para el recurso web.

8 Especifique la dirección URL del recurso web al cual desea que el usuario remoto pueda acceder.

9 Seleccione Método HTTP (HTTP Method) y especifique la llamada GET o POST, según si el usuarioremoto desea leer o escribir en el recurso web.

10 Escriba una descripción para el recurso web. Esta descripción se mostrará en el portal web cuandoel usuario remoto acceda al recurso web.

11 Seleccione Habilitar (Enable) para habilitar el recurso web. El recurso web debe estar habilitadopara que el usuario remoto pueda acceder a él.

Agregar un usuarioAgregue un usuario remoto a la base de datos local.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Usuarios (Users) en el panel izquierdo.


3 Escriba el identificador de usuario.

4 Escriba la contraseña.

5 Vuelva a escribir la contraseña.

6 (opcional) Escriba el nombre y el apellido del usuario.

7 (opcional) Escriba una descripción para el usuario.


VMware, Inc. 201

8 En Detalles de la contraseña (Password Details), seleccione La contraseña no caduca nunca(Password never expires) para conservar siempre la misma contraseña para el usuario.

9 Seleccione Permitir cambio de contraseña (Allow change password) para permitir que el usuariocambie la contraseña.

10 Seleccione Cambiar contraseña en el próximo inicio de sesión (Change password on next login)si desea que el usuario cambie la contraseña la próxima vez que inicie sesión.

11 Establezca el estado del usuario.


Agregar autenticaciónEn lugar de un usuario local, puede agregar un servidor de autenticación externo (AD, LDAP, Radius oRSA) que esté vinculado a la puerta de enlace SSL. Todos los usuarios con cuentas en el servidor deautenticación vinculado se autenticarán.

El tiempo máximo de autenticación por medio de SSL VPN es de 3 minutos. Esto se debe a que eltiempo de espera sin autenticación es de 3 minutos, y no se trata de una propiedad configurable. Poreso, en situaciones donde el tiempo de espera de autenticación de AD se establece con un valorsuperior a 3 minutos, o donde existen varios servidores para autenticación en cadena y el tiempo quetarda la autorización del usuario es superior a 3 minutos, no será posible autenticarse.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Autenticación (Authentication) en el panel izquierdo.


3 Seleccione el tipo de servidor de autenticación.

4 Según el tipo de servidor de autenticación seleccionado, complete los siguientes campos.

u Servidor de autenticación de AD (AD authentication server)

Tabla 14‑6. Opciones del servidor de autenticación de AD (AD Authentication ServerOptions)


Habilitar SSL(Enable SSL)


Dirección IP(IP Address)

Dirección IP del servidor de autenticación.






VMware, Inc. 202

Tabla 14‑6. Opciones del servidor de autenticación de AD (AD Authentication ServerOptions) (Continuación)


Base debúsqueda(Search base)

Parte del árbol del directorio externo donde se llevará a cabo la búsqueda. La base de búsquedapuede ser un elemento equivalente a la organización, al grupo o al nombre de dominio (AD) deldirectorio externo.

DN de enlace(Bind DN)

El usuario del servidor de AD externo permitió la búsqueda en el directorio de AD dentro de la basede búsqueda definida. La mayoría de las veces, el DN de enlace se permite para buscar en todo eldirectorio. El rol del DN de enlace es realizar una consulta en el directorio con el filtro de consulta yla base de búsqueda del nombre distinguido (DN) para autenticar usuarios de AD. Cuando serecibe el DN, se utilizan el DN y la contraseña para autenticar el usuario de AD.



Volver aescribircontraseña deenlace (RetypeBind Password)


Nombre deatributo deinicio desesión (LoginAttribute Name)

Nombre con el cual se hace coincidir al identificador de usuario introducido por el usuario remoto.Para Active Directory, el nombre de atributo de inicio de sesión es sAMAccountName.

Filtro debúsqueda(Search Filter)

Valores de filtro con los cuales se limita la búsqueda. El formato del filtro de búsqueda es attributeoperator value.

Utilizar esteservidor paralaautenticaciónsecundaria(Use this serverfor secondaryauthentication)

Si se selecciona esta opción, este servidor de AD se utiliza como el segundo nivel de autenticación.

Finalizarsesión si seproduce unerror en laautenticación(TerminateSession ifauthenticationfails)


u Servidor de autenticación LDAP


VMware, Inc. 203

Tabla 14‑7. Opciones del servidor de autenticación LDAP


Habilitar SSL (EnableSSL)





Tiempo de espera(Timeout)



Base de búsqueda(Search base)

Parte del árbol del directorio externo donde se llevará a cabo la búsqueda. La base debúsqueda puede ser un elemento equivalente a la organización, al grupo o al nombre dedominio (AD) del directorio externo.

DN de enlace (BindDN)

El usuario del servidor externo permitió la búsqueda en el directorio de AD dentro de la basede búsqueda definida. La mayoría de las veces, el DN de enlace se permite para buscar entodo el directorio. El rol del DN de enlace es realizar una consulta en el directorio con el filtrode consulta y la base de búsqueda del nombre distinguido (DN) para autenticar usuarios deAD. Cuando se recibe el DN, se utilizan el DN y la contraseña para autenticar el usuario deAD.



Volver a escribircontraseña deenlace (Retype BindPassword)


Nombre de atributode inicio de sesión(Login Attribute Name)

Nombre con el cual se hace coincidir al identificador de usuario introducido por el usuarioremoto. Para Active Directory, el nombre de atributo de inicio de sesión es sAMAccountName.

Filtro de búsqueda(Search Filter)

Valores de filtro con los cuales se limita la búsqueda. El formato del filtro de búsqueda esattribute operator value.

Utilizar este servidorpara la autenticaciónsecundaria (Use thisserver for secondaryauthentication)


Finalizar sesión si seproduce un error enla autenticación(Terminate Session ifauthentication fails)


u Servidor de autenticación RADIUS


VMware, Inc. 204

Tabla 14‑8. Opciones del servidor de autenticación RADIUS








Secreto (Secret) Secreto específico compartido al agregar el agente de autenticación en la consola de seguridadde RSA.

Volver aescribir secreto(Retype secret)

Vuelva a escribir el secreto compartido.

Dirección IP deNAS (NAS IPAddress)

La dirección IP que se configura y utiliza como la dirección IP de NAS, atributo 4 de RADIUS, sincambiar la dirección IP de origen en el encabezado IP de los paquetes RADIUS.

Cantidad dereintentos(Retry Count)

Cantidad de veces que debe entablarse comunicación con el servidor RADIUS si no respondeantes de se produzca un error en la autenticación.





u Servidor de autenticación RSA-ACE


VMware, Inc. 205

Tabla 14‑9. Opciones del servidor de autenticación RSA-ACE




Archivo deconfiguración(ConfigurationFile)

Haga clic en Examinar (Browse) para seleccionar el archivo sdconf.rec que descargó de RSAAuthentication Manager.


Dirección IP deorigen (SourceIP Address)

Dirección IP de la interfaz de NSX Edge por medio de la cual se accede al servidor RSA.





u Servidor de autenticación local

Tabla 14‑10. Opciones del servidor de autenticación local



Si se selecciona esta opción, se define una directiva de contraseña. Especifica los valoresrequeridos.


Si se selecciona esta opción, se define una directiva de bloqueo de cuenta. Especifica los valoresrequeridos.

1 En Cantidad de reintentos (Retry Count), escriba la cantidad de veces que un usuario remotopuede intentar acceder a su cuenta después de introducir una contraseña incorrecta.

2 En Duración de los reintentos (Retry Duration), escriba el período durante el cual la cuenta delusuario remoto debe bloquearse tras intentos de inicio de sesión incorrectos.

Por ejemplo, si especifica 5 para Cantidad de reintentos (Retry Count) y 1 minuto paraDuración de los reintentos (Retry Duration), la cuenta del usuario remoto se bloquea si realiza5 intentos de inicio de sesión incorrectos en 1 minuto.


VMware, Inc. 206

Tabla 14‑10. Opciones del servidor de autenticación local (Continuación)


3 En Duración del bloqueo (Lockout Duration), escriba el período durante el cual permanecebloqueada la cuenta del usuario. Transcurrido este período, la cuenta se desbloqueaautomáticamente.






Agregar configuración del servidor SSL VPN-PlusDebe agregar la configuración del servidor SSL VPN para habilitar SSL en una interfaz NSX Edge.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Configuración del servidor (Server Settings) en el panelizquierdo.

2 Haga clic en Change (Cambiar).

3 Seleccione la dirección IPv4 o IPv6.

4 Si es necesario, edite el número de puerto. Este número de puerto se requiere para configurar elpaquete de instalación.

5 Seleccione el método de encriptación.

6 (opcional) En la tabla Certificados de servidor (Server Certificates), seleccione el certificado deservidor que desea agregar.


Habilitar el servicio SSL VPN-PlusDespués de configurar el servicio SSL VPN-Plus, habilite el servicio para que los usuarios remotospuedan comenzar a acceder a las redes privadas.


VMware, Inc. 207

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Panel (Dashboard) en el panel izquierdo.

2Haga clic en el icono .

El panel muestra el estado del servicio, la cantidad de sesiones de SSL VPN activas, y lasestadísticas y los detalles del flujo de datos de las sesiones. Haga clic en Detalles (Details) junto aCantidad de sesiones activas (Number of Active Sessions) para ver la información sobre lasconexiones simultáneas a redes privadas detrás de la puerta de enlace de NSX Edge.

Pasos siguientes

1 Agregue una regla SNAT para traducir la dirección IP del dispositivo NSX Edge a la dirección IP deEdge de la VPN.

2 En un explorador web, para desplazarse hasta la dirección IP de la interfaz de NSX Edge, escribahttps//NSXEdgeIPAddress.

3 Inicie sesión con el nombre de usuario y la contraseña que creó en la sección Agregar un usuario ydescargue el paquete de instalación.

4 Habilite el reenvío en el enrutador para el número de puerto utilizado en Agregar configuración delservidor SSL VPN-Plus.

5 Inicie el cliente VPN, seleccione el servidor VPN e inicie sesión. Ahora puede desplazarse hasta losservicios de la red. Los registros de la puerta de enlace de SSL VPN-Plus se envían al servidor deSyslog configurado en el dispositivo NSX Edge. Los registros del cliente SSL VPN-Plus sealmacenan en el directorio siguiente en el equipo del usuario remoto: %PROGRAMFILES%/VMWARE/SSLVPN Client/.

Agregar un scriptEs posible agregar varios scripts de inicio o de cierre de sesión. Por ejemplo, se puede enlazar un scriptde inicio de sesión para iniciar Internet Explorer con gmail.com. Cuando el usuario remoto inicia sesiónen el cliente SSL, Internet Explorer abre gmail.com.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Scripts de inicio/cierre de sesión (Login/Logoff Scripts)en el panel izquierdo.


3 En Script, haga clic en Examinar (Browse) y seleccione el script que desea enlazar con la puerta deenlace NSX Edge.


VMware, Inc. 208

4 Seleccione el Tipo (Type) de script.


Inicio de sesión (Login) Se ejecuta la acción del script cuando el usuario remoto inicia la sesión en SSLVPN.

Cierre de sesión (Logoff) Se ejecuta la acción del script cuando el usuario remoto cierra la sesión de SSLVPN.

Ambos (Both) Se ejecuta la acción del script cuando el usuario remoto inicia y cierra la sesiónde SSL VPN.

5 Introduzca una descripción para el script.

6 Seleccione Habilitado (Enabled) para habilitar el script.


Registros de SSL VPN-PlusLos registros de la puerta de enlace de SSL VPN-Plus se envían al servidor de Syslog configurado en eldispositivo NSX Edge. Los registros del cliente SSL VPN-Plus se almacenan en el siguiente directorio delequipo del usuario remoto: %PROGRAMFILES%/VMWARE/SSL VPN Client/.

Editar la configuración de clienteEs posible cambiar la manera en que el túnel cliente de SSL VPN reacciona cuando un usuario remotoinicia sesión en SSL VPN.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Configuración de cliente (Client Configuration) en elpanel izquierdo.

2 Seleccione una opción de Modo de tunelización (Tunneling Mode).

En el modo de túnel dividido, solo VPN pasa por la puerta de enlace de NSX Edge. En el modo detúnel completo, la puerta de enlace de NSX Edge se convierte en la puerta de enlacepredeterminada del usuario remoto y todo el tráfico (VPN, local e Internet) pasa por esta puerta.

3 Si seleccionó el modo de túnel completo:

a Seleccione Excluir subredes locales (Exclude local subnets) para impedir que el tráfico localpase por el túnel de VPN.

b Introduzca la dirección IP de la puerta de enlace predeterminada para el sistema del usuarioremoto.

4 Seleccione Habilitar reconexión automática (Enable auto reconnect) si desea que el usuarioremoto se vuelva a conectar automáticamente al cliente de SSL VPN después de una desconexión.

5 Seleccione Notificación de actualización de cliente (Client upgrade notification) para que elusuario remoto reciba una notificación cuando exista una actualización disponible para el cliente. Elusuario remoto decidirá si instala o no la actualización.


VMware, Inc. 209


Editar configuración generalEs posible editar la configuración de la VPN predeterminada.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Configuración general (General Settings) en el panelizquierdo.

2 Realice las selecciones necesarias.

Seleccionar Para

Evitar varios inicios de sesión con elmismo nombre de usuario (Preventmultiple logon using same username)

Permite que un usuario remoto inicie sesión solo una vez con un nombre deusuario.

Habilitar compresión (Enablecompression)

Habilita la compresión de datos inteligentes basados en TCP y mejora lavelocidad de transferencia de datos.

Habilitar registro (Enable logging) Mantiene un registro del tráfico que atraviesa la puerta de enlace de SSL VPN.

Forzar teclado virtual (Force virtualkeyboard)

Permite a los usuarios remotos escribir la información de inicio de sesión web ode cliente solo mediante el teclado virtual.

Aleatorizar teclas del teclado virtual(Randomize keys of virtual keyboard)

Muestra las teclas de forma aleatoria en el teclado virtual.

Habilitar tiempo de espera forzado(Enable forced timeout)

Desconecta al usuario remoto una vez finalizado el tiempo de esperaespecificado. Escriba el tiempo de espera en minutos.

Tiempo de espera de inactividad de lasesión (Session idle timeout)

Finaliza la sesión del usuario una vez finalizado el período si no hay actividad enla sesión del usuario por el período especificado.

Notificación al usuario (Usernotification)

Permite escribir un mensaje que se mostrará al usuario remoto después de iniciarsesión.

Habilitar acceso a URL pública (Enablepublic URL access)

Permite al usuario remoto acceder a cualquier sitio que el administrador no hayaconfigurado (y que no esté en el portal web).


Editar diseño del portal webEs posible editar el banner del cliente enlazado al cliente de SSL VPN.

Procedimiento

1 En la pestaña Instancias de NSX Edge (NSX Edges), haga doble clic en una instancia de NSXEdge.

2 Haga clic en la pestaña Supervisar (Monitor) y, a continuación, en la pestaña SSL VPN-Plus.

3 Seleccione Personalización del portal (Portal Customization) en el panel izquierdo.

4 Escriba el título del portal.

5 Escriba el nombre de la empresa del usuario remoto.


VMware, Inc. 210

6 En Logotipo (Logo), haga clic en Cambiar (Change) y seleccione el archivo de imagen del logotipodel usuario remoto.

7 En Colores (Colors), haga clic en el cuadro de colores junto al elemento numerado del que deseacambiar el color y seleccione el color deseado.

8 Si lo desea, cambie el banner del cliente.


Trabajar con grupos de direcciones IPPuede editar o eliminar un grupo de direcciones IP.

Para obtener información sobre cómo agregar un grupo de direcciones IP, consulte Configurar el accesode red de SSL VPN-Plus o Configurar el acceso web de SSL VPN-Plus.

Editar un grupo de direcciones IPEs posible editar un grupo de direcciones IP.

Procedimiento

1 En la pestaña SSL VPN-Plus, haga clic en Grupo de direcciones IP (IP Pool) en el panel izquierdo.

2 Seleccione el grupo de direcciones IP que desea editar.


Se abre el cuadro de diálogo Editar grupo de direcciones IP (Edit IP Pool).

4 Realice las ediciones necesarias.


Eliminar un grupo de direcciones IPEs posible eliminar un grupo de direcciones IP.

Procedimiento


2 Seleccione el grupo de direcciones IP que desea eliminar.


Se elimina el grupo de direcciones IP seleccionado.

Habilitar un grupo de direcciones IPPuede habilitar un grupo de direcciones IP si desea que se asigne una dirección IP de ese grupo alusuario remoto.


VMware, Inc. 211

Procedimiento


2 Seleccione el grupo de direcciones IP que desea habilitar.


Deshabilitar un grupo de direcciones IPPuede deshabilitar un grupo de direcciones IP si no desea que el usuario remoto se asigne a unadirección IP de ese grupo.

Procedimiento

1 En la pestaña SSL VPN-Plus, seleccione Grupo de direcciones IP (IP Pool) en el panel izquierdo.

2 Seleccione el grupo de direcciones IP que desea deshabilitar.

3 Haga clic en el icono Deshabilitar (Disable) ( ).

Cambiar el orden de un grupo de direcciones IPSSL VPN asigna a cada usuario remoto una dirección IP procedente de un grupo de direcciones IPsegún el orden de la dirección en la tabla de ese grupo.

Procedimiento


2 Seleccione el grupo de direcciones IP cuyo orden desea cambiar.


Trabajar con redes privadasPuede editar o eliminar una red privada a la que puede acceder un usuario remoto.

Para obtener información sobre cómo agregar una red privada, consulte Configurar el acceso de red deSSL VPN-Plus o Configurar el acceso web de SSL VPN-Plus.

Eliminar una red privadaEs posible eliminar una red privada.

Procedimiento

1 En la pestaña SSL VPN-Plus, haga clic en Redes privadas (Private Networks) en el panel izquierdo.

2 Seleccione la red que desea eliminar y haga clic en el icono Eliminar (Delete) ( ).

Habilitar una red privadaCuando habilita una red privada, el usuario remoto puede acceder a ella mediante SSL VPN-Plus.


VMware, Inc. 212

Procedimiento


2 Haga clic en la red que desea habilitar.


Se habilita la red seleccionada.

Deshabilitar una red privadaCuando se deshabilita una red privada, el usuario remoto no puede acceder a ella mediante SSL VPN-Plus.

Procedimiento


2 Haga clic en la red que desea deshabilitar.


Se deshabilita la red seleccionada.

Cambiar la secuencia de una red privadaCon SSL VPN-Plus, los usuarios remotos pueden acceder a redes privadas en la secuencia en la que semuestran en el panel Redes privadas (Private Networks).

Si se selecciona Habilitar optimización de TCP (Enable TCP Optimization) en una red privada, esposible que algunas aplicaciones como FTP en modo activo no funcionen dentro de esa subred. Paraagregar un servidor FTP configurado en modo activo, es necesario agregar otra red privada para eseservidor con la optimización de TCP deshabilitada. También se debe deshabilitar la red privada de TCPactiva y se debe colocar arriba de la red privada de la subred.

Procedimiento


2 Haga clic en el icono Cambiar orden (Change Order) .

3 Seleccione la red cuyo orden desea cambiar.



Trabajar con paquetes de instalaciónPuede eliminar o editar un paquete de instalación del cliente SSL.

Para obtener información sobre cómo crear un paquete de instalación, consulte Configurar el acceso dered de SSL VPN-Plus o Configurar el acceso web de SSL VPN-Plus.


VMware, Inc. 213

Editar un paquete de instalaciónEs posible editar un paquete de instalación.

Procedimiento

1 En la pestaña SSL VPN-Plus, haga clic en Paquete de instalación (Installation Package) en elpanel izquierdo.

2 Seleccione el paquete de instalación que desea editar.


Se abre el cuadro de diálogo Editar paquete de instalación (Edit Installation Package).



Eliminar un paquete de instalaciónEs posible eliminar un paquete de instalación.

Procedimiento

1 En la pestaña SSL VPN-Plus, haga clic en Paquete de instalación (Installation Package) en elpanel izquierdo.

2 Seleccione el paquete de instalación que desea eliminar.


Trabajar con usuariosPuede editar o eliminar usuarios de la base de datos local.

Para obtener información sobre cómo agregar un usuario, consulte Configurar el acceso de red de SSLVPN-Plus o Configurar el acceso web de SSL VPN-Plus.

Editar un usuarioEs posible editar los detalles de un usuario, excepto el identificador de usuario.

Procedimiento

1 En la pestaña SSL VPN-Plus, haga clic en Usuarios (Users) en el panel izquierdo.





VMware, Inc. 214

Eliminar un usuarioEs posible eliminar un usuario.

Procedimiento


2 En el panel Configurar (Configure), haga clic en Usuarios (Users).

3 Seleccione el usuario que desea eliminar y haga clic en el icono Eliminar (Delete) ( ).

Cambiar la contraseña de un usuarioEs posible cambiar la contraseña de un usuario.

Procedimiento


2 Haga clic en el icono Cambiar contraseña (Change Password).

3 Introduzca dos veces la contraseña nueva.

4 Haga clic en la opción Cambiar contraseña en el próximo inicio de sesión (Change password on nextlogin) para cambiar la contraseña la próxima vez que el usuario se conecte al sistema.


Trabajar con scripts de inicio y cierre de sesiónPuede vincular un script de inicio o cierre de sesión con la puerta de enlace de NSX Edge.

Editar un scriptEs posible editar el tipo, la descripción y el estado de un script de inicio o cierre de sesión que estéenlazado a la puerta de enlace de NSX Edge.

Procedimiento

1 En la pestaña SSL VPN-Plus, haga clic en Scripts de inicio/cierre de sesión (Login/Logoff Scripts)en el panel izquierdo.

2 Seleccione un script y haga clic en el icono Editar (Edit) ( ).

3 Realice los cambios adecuados.


Eliminar un scriptPuede eliminar un script de inicio o cierre de sesión.


VMware, Inc. 215

Procedimiento


2 Seleccione un script y haga clic en el icono Eliminar (Delete) ( ).

Habilitar un scriptDebe habilitar un script para que funcione.

Procedimiento


2 Seleccione un script y haga clic en el icono Habilitar (Enable) ( ).

Deshabilitar un scriptEs posible deshabilitar un script de inicio o cierre de sesión.

Procedimiento


2 Seleccione un script y haga clic en el icono Deshabilitar (Disable) ( ).

Cambiar el orden de un scriptEs posible cambiar el orden de un script. Por ejemplo, si un script de inicio de sesión para abrirgmail.com en Internet Explorer se encuentra arriba de un script de inicio de sesión para abrir yahoo.com,cuando el usuario remoto inicia sesión en SSL VPN, se muestra gmail.com antes que yahoo.com. Si seinvierte el orden de los scripts de inicio de sesión, se puede ver yahoo.com antes que gmail.com.

Procedimiento


2 Seleccione el script cuyo orden desea cambiar y haga clic en el icono Mover hacia arriba (Move Up)

o Mover hacia abajo (Move Down) .


Descripción general de IPsec VPNNSX Edge admite IPsec VPN de sitio a sitio entre una instancia de NSX Edge y sitios remotos. Seadmiten la autenticación de certificados, el modo de clave precompartida, el tráfico de unidifusión dedirecciones IP y el protocolo sin enrutamiento dinámico entre la instancia de NSX Edge y los enrutadoresde VPN remotos.


VMware, Inc. 216

Detrás de cada enrutador de VPN, es posible configurar varias subredes que se conecten a la red internadetrás de una instancia de NSX Edge mediante túneles IPsec.

Nota Las subredes y la red interna detrás de una instancia de NSX Edge deben tener un rango dedirecciones que no se superponga.

Si el equipo remoto y el equipo local que están al mismo nivel a través de una IPSec VPN tienendirecciones IP superpuestas, es posible que el tráfico reenviado en el túnel no sea consistente,dependiendo de si existen rutas conectadas locales y rutas asociadas automáticamente.

Puede implementar un agente NSX Edge detrás de un dispositivo NAT. En esta implementación, eldispositivo NAT traduce la dirección de la VPN de una instancia de NSX Edge a una dirección de accesopúblico a la que puede accederse desde Internet. Los enrutadores de VPN remotos utilizan estadirección pública para acceder a la instancia de NSX Edge.

También es posible colocar enrutadores de VPN remotos detrás de un dispositivo NAT. Se debenproporcionar la dirección nativa y el identificador de la puerta de enlace de la VPN para configurar eltúnel. En ambos extremos, se requiere una NAT estática individual para la dirección de la VPN.

La cantidad de túneles necesarios está definida por la cantidad de subredes locales multiplicada por lacantidad de subredes del mismo nivel. Por ejemplo, si hay 10 subredes locales y 10 subredes del mismonivel, se necesitan 100 túneles. La cantidad máxima de túneles admitida se determina según el tamañodel ESG, como se muestra a continuación.

Tabla 14‑11. Cantidad de túneles IPsec por ESG

ESG Cantidad de túneles IPsec

Compacto

512

Grande

1.600

Cuádruple

4096

Extragrande

6.000

Se admiten los siguientes algoritmos de IPsec VPN:

n AES (AES128-CBC)

n AES256 (AES256-CBC)

n Triple DES (3DES192-CBC)

n AES-GCM (AES128-GCM)

n DH-2 (Diffie–Hellman group 2)

n DH-5 (Diffie–Hellman group 5)


VMware, Inc. 217

Para acceder a ejemplos de configuración de IPsec VPN, consulte Capítulo 24Ejemplos de configuraciónde la VPN de NSX Edge.

Para solucionar problemas relacionados con la IPSec VPN, consulte https://kb.vmware.com/kb/2123580.

Configurar el servicio de IPsec VPNEs posible establecer un túnel de NSX Edge entre una subred local y una subred del mismo nivel.

Nota Si la conexión a un sitio remoto se realiza mediante una IPsec VPN, el enrutamiento dinámico nopuede conocer la dirección IP de ese sitio en el vínculo superior de Edge.

1 Habilitar el servicio IPsec VPN

Debe habilitar el servicio IPsec VPN para que el tráfico fluya de la subred local a la subred delmismo nivel.

2 Utilizar OpenSSL a fin de generar certificados firmados por la entidad de certificación para IPsecVPN

Para habilitar la autenticación de certificados para IPsec, deben importarse los certificados delservidor y los correspondientes certificados firmados por la entidad de certificación. También puedeutilizar una herramienta de línea de comandos de código abierto, como OpenSSL, para generarcertificados firmados por la entidad de certificación.

3 Especificar la configuración global de IPsec VPN

De este modo, se habilita IPsec VPN en la instancia de NSX Edge.

4 Habilitar el registro de IPsec VPN

Es posible habilitar el registro de todo el tráfico de IPsec VPN.

5 Configurar parámetros de IPsec VPN

Es necesario configurar al menos una dirección IP externa en NSX Edge para ofrecer el servicio deIPsec VPN.

Habilitar el servicio IPsec VPNDebe habilitar el servicio IPsec VPN para que el tráfico fluya de la subred local a la subred del mismonivel.

Procedimiento




4 Haga clic en la pestaña Administrar (Manage) y, a continuación, en la pestaña VPN.

5 Haga clic en IPsec VPN.

6 Haga clic en Habilitar (Enable).


VMware, Inc. 218


Utilizar OpenSSL a fin de generar certificados firmados por la entidad decertificación para IPsec VPNPara habilitar la autenticación de certificados para IPsec, deben importarse los certificados del servidor ylos correspondientes certificados firmados por la entidad de certificación. También puede utilizar unaherramienta de línea de comandos de código abierto, como OpenSSL, para generar certificados firmadospor la entidad de certificación.

Requisitos previos

Debe estar instalado OpenSSL.

Procedimiento

1 En la máquina Linux o Mac donde esté instalado OpenSSL, abra elarchivo: /opt/local/etc/openssl/openssl.cnf o /System/Library/OpenSSL/openssl.cnf.

2 Asegúrese de que dir = ..

3 Ejecute los siguientes comandos:

mkdir newcerts

mkdir certs

mkdir req

mkdir private

echo "01" > serial

touch index.txt

4 Ejecute el comando para generar un certificado firmado por la entidad de certificación:

openssl req -new -x509 -newkey rsa:2048 -keyout private/cakey.pem -out cacert.pem -days 3650

5 En NSX Edge1, genere una solicitud CSR, copie el contenido del archivo del correo mejorado conprivacidad (PEM) y guárdelo en un archivo en req/edge1.req.

Consulte Configurar un certificado firmado por una entidad de certificación.

6 Ejecute el comando para firmar la solicitud CSR:

sudo openssl ca -policy policy_anything -out certs/edge1.pem -in req/edge1.req

7 En NSX Edge2, genere una solicitud CSR, copie el contenido del archivo PEM y guárdelo en unarchivo en req/edge2.req.


VMware, Inc. 219

8 Ejecute el comando para firmar la solicitud CSR:

sudo openssl ca -policy policy_anything -out certs/edge2.pem -in req/edge2.req

9 Cargue el certificado PEM al final del archivo certs/edge1.pem en Edge1.

10 Cargue el certificado PEM al final del archivo certs/edge2.pem en Edge2.

11 Cargue el certificado de la entidad de certificación en el archivo cacert.pem en Edge1 y en Edge2como certificados firmados por la entidad de certificación.

12 En la configuración global de IPsec para Edge1 y Edge2 seleccione el certificado PEM cargado y elcertificado de la entidad de certificación cargado y guarde la configuración.

13 En la pestaña Certificado (Certificate), haga clic en el certificado cargado y registre la cadena DN.

14 Devuelva la cadena DN al formatoC=IN,ST=ka,L=blr,O=bmware,OU=vmware,CN=edge2.eng.vmware.com y guárdela para Edge1 yEdge2.

15 Cree sitios para IPsec VPN en Edge1 y Edge2 con un identificador de configuración regional y unidentificador de mismo nivel como cadena de nombre distinguido (DN) en el formato especificado.

Para verificar el estado, haga clic en Mostrar estadísticas de IPsec (Show IPSec Statistics). Haga clicen el canal para ver el estado del túnel. Tanto el estado del canal como el del túnel deben estar de colorverde.

Especificar la configuración global de IPsec VPNDe este modo, se habilita IPsec VPN en la instancia de NSX Edge.

Requisitos previos

Para habilitar la autenticación del certificado, deben importarse los certificados del servidor y loscorrespondientes certificados firmados por la entidad de autorización. También puede utilizar unaherramienta de línea de comandos de código abierto, como OpenSSL, para generar certificados firmadospor la entidad de certificación.

No pueden utilizarse certificados autofirmados para IPsec VPN. Solo se los puede utilizar en el equilibriode carga y en SSL VPN.

Procedimiento







VMware, Inc. 220

6 Haga clic en Cambiar (Change) junto al estado Configuración global (Global configuration).

7 Escriba una clave global previamente compartida para los sitios cuyo extremo punto a punto seestablece en cualquier valor y seleccione Mostrar clave compartida (Display shared key) para verla clave.

8 Seleccione Habilitar la autenticación de certificados (Enable certificate authentication) y seleccione elcertificado correspondiente.


Habilitar el registro de IPsec VPNEs posible habilitar el registro de todo el tráfico de IPsec VPN.

De forma predeterminada, el inicio de sesión está habilitado y establecido en el nivel de ADVERTENCIA.

Procedimiento





5 Haga clic en VPN con IPsec (IPSec VPN).

6 Haga clic en junto a Directiva de registro (Logging Policy) y haga clic en Habilitar registro(Enable logging) para registrar el flujo de tráfico entre la subred local y la subred del mismo nivel, yseleccione el nivel de registro.

7 Seleccione el nivel de registro y haga clic en Publicar cambios (Publish Changes).

Configurar parámetros de IPsec VPNEs necesario configurar al menos una dirección IP externa en NSX Edge para ofrecer el servicio deIPsec VPN.

Procedimiento




4 Haga clic en la pestaña Supervisar (Monitor) y seleccione la pestaña VPN.



7 Escriba un nombre para IPsec VPN.


VMware, Inc. 221

8 Introduzca la dirección IP de la instancia de NSX Edge en Identificador local (Local Id). Este será elidentificador del mismo nivel en el sitio remoto.

9 Introduzca la dirección IP para el extremo local.

Si desea agregar un túnel IP a IP con una clave precompartida, el identificador local y la dirección IPpara el extremo local pueden ser iguales.

10 Introduzca en formato CIDR las subredes para compartir contenido entre los sitios. Utilice la comacomo separador para especificar varias subredes.

11 Introduzca el identificador del mismo nivel para identificar de forma exclusiva el sitio del mismo nivel.Para los elementos del mismo nivel con autenticación por certificado, este identificador debe ser elnombre común indicado en el certificado para el elemento del mismo nivel. Para los elementos delmismo nivel con PSK, este identificador puede ser cualquier cadena. VMware recomienda utilizar ladirección IP pública de la red VPN o un nombre FQDN para el servicio VPN como identificador delmismo nivel.

12 Introduzca la dirección IP para el sitio del mismo nivel en Extremo de elemento del mismo nivel (PeerEndpoint). Si se deja esto en blanco, NSX Edge esperará a que el dispositivo del mismo nivel soliciteuna conexión.

13 Introduzca en formato CIDR la dirección IP interna de la subred del mismo nivel. Utilice la comacomo separador para especificar varias subredes.

14 Seleccione el algoritmo de cifrado.

15 En Método de autenticación (Authentication Method), seleccione una de las siguientes opciones:


PSK (Pre Shared Key) (Claveprecompartida [PSK])

Se indica que se utilizará la clave secreta compartida entre NSX Edge y el sitiodel mismo nivel para la autenticación. La clave secreta puede ser una cadenacon un máximo de 128 bytes de longitud.

Certificado (Certificate) Se indica que se utilizará el certificado definido en el nivel global para laautenticación.

16 Introduzca la clave compartida si algún sitio anónimo se conectará al servicio de VPN.

17 Haga clic en Mostrar clave compartida (Display Shared Key) para mostrar la clave en el sitio delmismo nivel.

18 En Grupo Diffie-Hellman (Diffie-Hellman [DH] Group), seleccione el esquema criptográfico con el cualel sitio del mismo nivel y NSX Edge podrán establecer un secreto compartido mediante un canal decomunicaciones no seguro.

19 En Extensión (Extension), introduzca una de las siguientes opciones:

n securelocaltrafficbyip=direcciónIP para redirigir el tráfico local de Edge mediante el túnel IPsecVPN. Este es el valor predeterminado.

n passthroughSubnets=direcciónIPDeSubredDelMismoNivel para admitir la superposición desubredes.


VMware, Inc. 222


NSX Edge creará un túnel desde la subred local hasta la subred del mismo nivel.

Pasos siguientes

Habilite el servicio de IPsec VPN.

Editar un servicio IPsec VPNEs posible editar un servicio IPsec VPN.

Procedimiento




4 Haga clic en la pestaña Supervisar (Monitor) y, a continuación, en la pestaña VPN.


6 Seleccione el servicio IPsec que desea editar.


8 Edite los valores adecuados.


Deshabilitar el servicio IPsecEs posible deshabilitar un servicio IPsec.

Procedimiento






6 Seleccione el servicio IPsec que desea deshabilitar.



VMware, Inc. 223

Eliminar servicio IPsecEs posible eliminar un servicio IPsec.

Procedimiento






6 Seleccione el servicio IPsec que desea eliminar.


Descripción general de VPN de Capa 2La VPN de Capa 2 le permite configurar un túnel entre dos sitios. Las máquinas virtuales permanecen enla misma subred en lugar de moverse entre estos sitios, lo que le permite ampliar el centro de datos. Unainstancia de NSX Edge de un sitio puede proporcionar todos los servicios a las máquinas virtuales deotro sitio.

Para crear el túnel VPN de Capa 2 debe configurar un servidor VPN de Capa 2 y un cliente VPN deCapa 2.

Configurar VPN de Capa 2Para ampliar la red con VPN de Capa 2, debe configurar un servidor VPN de Capa 2 (Edge de destino) yun cliente VPN de Capa 2 (Edge de origen). Para ello, debe habilitar el servicio VPN de Capa 2 tanto enel servidor como en el cliente.

Requisitos previos

Es necesario haber agregado una subinterfaz en una interfaz troncal de NSX Edge. Consulte Agregaruna subinterfaz.

Procedimiento

1 Prácticas recomendadas de VPN L2

Configurar la VPN L2 según las prácticas recomendadas puede evitar problemas como los bucles ylos pings y las respuestas duplicados.

2 Configurar un servidor VPN de Capa 2

El servidor VPN de Capa 2 es la instancia de NSX Edge de destino a la cual debe conectarse elcliente.


VMware, Inc. 224

3 Agregar sitios del mismo nivel

Puede conectar varios sitios al servidor VPN de Capa 2.

4 Habilitar el servicio VPN de Capa 2 en el servidor

Debe habilitar el servicio VPN de Capa 2 en el servidor VPN de Capa 2 (NSX Edge de destino). Siya está configurado HA en este dispositivo Edge, asegúrese de que Edge tenga más de unainterfaz interna configurada. Si solo hay una interfaz presente y ya está en uso con HA, laconfiguración de VPN de Capa 2 en la misma interfaz interna genera errores.

5 Configurar el cliente VPN de Capa 2

El cliente VPN de Capa 2 es la instancia de NSX Edge de origen que inicia la comunicación con lainstancia de Edge de destino (servidor VPN de Capa 2).

6 Habilitar el servicio VPN de Capa 2 en el cliente

Debe habilitar el servicio VPN de Capa 2 en el cliente VPN de Capa 2 (NSX Edge de origen).

Prácticas recomendadas de VPN L2Configurar la VPN L2 según las prácticas recomendadas puede evitar problemas como los bucles y lospings y las respuestas duplicados.

Opciones de VPN de Capa 2 para mitigar los bucles

Existen dos opciones para mitigar los bucles. Las instancias de NSX Edge y las máquinas virtualespueden estar en hosts ESXi diferentes o en el mismo host ESXi.

n Opción 1: separar los hosts ESXi para las instancias de Edge de VPN de Capa 2 y las máquinasvirtuales

a Implemente las instancias de Edge y las máquinas virtuales en hosts ESXi distintos.

b Configure la directiva de formación de equipos y conmutación por error para el grupo de puertosdistribuidos asociado con la vNic troncal de Edge de la siguiente forma:

1 Establezca el equilibrio de carga en "Enrutar según el puerto virtual de origen" (Route Basedon originating virtual port).

2 Configure solo un vínculo superior como Activo (Active) y el otro como En espera (Standby).

c Configure la directiva de formación de equipos y conmutación por error para el grupo de puertosdistribuidos asociado con las máquinas virtuales de la siguiente forma:

1 Cualquier directiva de formación de equipos está bien.

2 Es posible configurar varios vínculos superiores.

d Configure las instancias de Edge para que utilicen el modo de puerto de recepción y deshabiliteel modo promiscuo en la vNic troncal.


VMware, Inc. 225

n Opción 2: instancias de Edge y máquinas virtuales en el mismo host ESXi

a Configure la directiva de formación de equipos y conmutación por error para el grupo de puertosdistribuidos asociado con la vNic troncal de Edge de la siguiente forma:

1 Establezca el equilibrio de carga en "Enrutar según el puerto virtual de origen" (Route Basedon originating virtual port).

2 Configure solo un vínculo superior como activo y el otro como en espera.

b Configure la directiva de formación de equipos y conmutación por error para el grupo de puertosdistribuidos asociado con las máquinas virtuales de la siguiente forma:

1 Cualquier directiva de formación de equipos está bien.

2 Solo puede haber un vínculo superior activo.

3 El orden de los vínculos superiores activo/en espera debe ser igual en el grupo de puertosdistribuidos de las máquinas virtuales y el grupo de puertos distribuidos de la vNic troncal deEdge.

c Configure la instancia de Edge independiente del lado del cliente para que utilice el modo depuerto de recepción y deshabilite el modo promiscuo en la vNic troncal.

Configurar un puerto de recepción

Cuando una instancia de NSX Edge administrada por NSX se configura como cliente VPN de Capa 2,NSX realiza parte de la configuración automáticamente. Cuando una instancia de NSX Edgeindependiente se configura como cliente VPN de Capa 2, estos pasos de configuración deben realizarsemanualmente.

Si uno de sus sitios VPN no tiene NSX implementado, puede configurar una VPN de Capa 2. Para ello,debe implementar una instancia de NSX Edge independiente en dicho sitio. Para implementar unainstancia de Edge independiente, utilice un archivo OVF que represente una puerta de enlace de Edgeque actúe como cliente VPN de Capa 2 y se implemente en un host que no administre NSX.

Si una vNIC de enlace troncal de una instancia de Edge independiente se conecta a un conmutadorvSphere Distributed Switch, se requiere el modo promiscuo o un puerto de recepción para la funciónVPN de Capa 2. La utilización del modo promiscuo puede provocar pings duplicados y respuestasduplicadas. Por este motivo, se recomienda utilizar el modo de puerto de recepción en la configuraciónde la instancia de NSX Edge independiente de VPN de Capa 2.

Requisitos previos

Se necesita el número de puerto de la vNIC de enlace troncal de la instancia de Edge independiente.

Procedimiento

1 Recupere el valor de dvsUuid:

a Vaya a la interfaz de usuario de vCenter MOB. en https://<vc-ip>/mob?vmodl=1.

b Haga clic en contenido (content).

c Haga clic en el vínculo asociado con rootFolder (por ejemplo, group-d1 [Datacenters]).


VMware, Inc. 226

d Haga clic en el vínculo asociado con childEntity (por ejemplo: datacenter-1).

e Haga clic en el vínculo asociado con networkFolder (por ejemplo: group-n6).

f Haga clic en el vínculo del nombre de DVS para el conmutador vSphere Distributed Switchasociado con las instancias de NSX Edge (por ejemplo: dvs-1 [Mgmt_VDS]).

g Copie el valor de la cadena uuid.

2 Modifique la opción selectionSet en el explorador de objetos administrados por vCenter (MOB).

a Inicie sesión en la interfaz de usuario de vCenter MOB, en https://<vc-ip>/mob?vmodl=1.

b Haga clic en contenido (content).

c Haga clic en DVSManager.

d Haga clic en updateOpaqueDataEx.

e En el cuadro del valor selectionSet, pegue el siguiente bloque XML:

<selectionSet xsi:type="DVPortSelection">

<dvsUuid>c2 1d 11 50 6a 7c 77 68-e6 ba ce 6a 1d 96 2a 15</dvsUuid> 

<portKey>393</portKey> 

</selectionSet>

Utilice el valor dvsUuid que recuperó de vCenter MOB.


VMware, Inc. 227

f En el cuadro del valor opaqueDataSpec, pegue uno de los siguientes bloques XML:

Para habilitar el puerto de recepción:

<opaqueDataSpec>

<operation>edit</operation>

<opaqueData>

<key>com.vmware.etherswitch.port.extraEthFRP</key>

<opaqueData

xsi:type="vmodl.Binary">AAABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA


AAAAAA=</opaqueData>

</opaqueData>

</opaqueDataSpec>

Para deshabilitar el puerto de recepción:

<opaqueDataSpec>

<operation>edit</operation>

<opaqueData>

<key>com.vmware.etherswitch.port.extraEthFRP</key>

<opaqueData

xsi:type="vmodl.Binary">AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA



AAAAAA=</opaqueData>

</opaqueData>

</opaqueDataSpec>

g Establezca el booleano isRuntime en false.

h Haga clic en Invocar método (Invoke Method).

Configurar un servidor VPN de Capa 2El servidor VPN de Capa 2 es la instancia de NSX Edge de destino a la cual debe conectarse el cliente.

Procedimiento

1 En la pestaña VPN de Capa 2 (L2 VPN), seleccione Servidor (Server) y haga clic en Cambiar(Change).

2 En IP de agente de escucha (Listener IP), escriba la dirección IP principal o secundaria de unainterfaz externa de NSX Edge.

3 El puerto predeterminado para el servicio VPN de Capa 2 es 443. Si es necesario, edite esta opción.

4 Seleccione el algoritmo de encriptación para la comunicación entre el servidor y el cliente.

5 Seleccione el certificado que desea enlazar al servidor SSL VPN.



VMware, Inc. 228

Agregar sitios del mismo nivelPuede conectar varios sitios al servidor VPN de Capa 2.

Nota Al cambiar los ajustes de la configuración del sitio, NSX Edge desconecta y vuelve a conectartodas las conexiones existentes.

Procedimiento

1 En la pestaña VPN de Capa 2 (L2 VPN), asegúrese de que la opción Modo VPN de Capa 2 (L2 VPNMode) esté establecida en Servidor (Server).

2 En Detalles de configuración del sitio (Site Configuration Details), haga clic en el icono Agregar(Add).

3 Escriba un nombre único para el sitio del mismo nivel.

4 Escriba el nombre de usuario y la contraseña con las que se autentica el sitio del mismo nivel. Lascredenciales de usuario en el sitio del mismo nivel deben ser las mismas que las del lado del cliente.

5 En Interfaces ampliadas (Stretched Interfaces), haga clic en Seleccionar subinterfaces (SelectSub Interfaces) para seleccionar las subinterfaces que se ampliarán junto con el cliente.

a En Seleccionar objeto (Select Object), seleccione la interfaz troncal para Edge.

Aparecen las subinterfaces configuradas en la vNIC de tronco.

b Haga doble clic en las subinterfaces que se ampliarán.


6 Si la puerta de enlace predeterminada de las máquinas virtuales es la misma en los dos sitios,escriba las direcciones IP de la puerta de enlace donde el tráfico debe enrutarse localmente o dondeel tráfico debe bloquearse por medio del túnel en Dirección de la puerta de enlace deoptimización de egreso (Egress Optimization Gateway Address).


Habilitar el servicio VPN de Capa 2 en el servidorDebe habilitar el servicio VPN de Capa 2 en el servidor VPN de Capa 2 (NSX Edge de destino). Si yaestá configurado HA en este dispositivo Edge, asegúrese de que Edge tenga más de una interfaz internaconfigurada. Si solo hay una interfaz presente y ya está en uso con HA, la configuración de VPN deCapa 2 en la misma interfaz interna genera errores.

Procedimiento

1 Para ir a la instancia de NSX Edge de destino, desplácese hasta Administrar (Manage) > VPN >VPN de Capa 2 (L2 VPN).

2 En Configuración del servicio VPN de Capa 2 (L2 VPN Service Configuration), haga clic enHabilitar (Enable).


VMware, Inc. 229

Pasos siguientes

Cree una regla de firewall o NAT en el lado del firewall orientado a Internet para permitir la conexión entreel cliente y el servidor.

Configurar el cliente VPN de Capa 2El cliente VPN de Capa 2 es la instancia de NSX Edge de origen que inicia la comunicación con lainstancia de Edge de destino (servidor VPN de Capa 2).

También se puede configurar una instancia independiente de Edge como el cliente VPN de Capa 2.Consulte Configurar un dispositivo Edge independiente como cliente VPN de Capa 2.

Procedimiento

1 En la pestaña VPN de Capa 2 (L2 VPN), establezca la opción Modo VPN de Capa 2 (L2 VPN Mode)en Cliente (Client) y haga clic en Cambiar (Change).

2 Introduzca la dirección para el servidor VPN de Capa 2 al que se debe conectar este cliente. Ladirección puede ser el nombre de host o la dirección IP.

3 Si es necesario, edite el puerto predeterminado al que se debe conectar el cliente VPN de Capa 2.

4 Seleccione el algoritmo de cifrado para la comunicación con el servidor.

5 En Interfaces extendidas (Stretched Interfaces), haga clic en Seleccionar interfacessubordinadas (Select Sub Interfaces) para seleccionar las interfaces subordinadas que seextenderán hasta el servidor.

a En Seleccionar objeto (Select Object), seleccione la interfaz troncal para Edge.

Aparecen las subinterfaces configuradas en la vNIC de tronco.

b Haga doble clic en las subinterfaces que se ampliarán.


6 Escriba una descripción.

7 En Dirección de puerta de enlace de optimización de egreso (Egress Optimization GatewayAddress), introduzca la dirección IP de puerta de enlace de las interfaces subordinadas o lasdirecciones IP por las que no debe fluir el tráfico en el túnel.

8 En Detalles de usuario (User Details), introduzca las credenciales del usuario para su autenticaciónen el servidor.

9 Haga clic en la pestaña Avanzado (Advanced).

Si la instancia de NSX Edge cliente no dispone de acceso directo a Internet y necesita llegar a lainstancia de NSX Edge de origen (servidor) mediante un servidor proxy, especifique los valores deConfiguración del proxy (Proxy Settings).

10 Para habilitar solo las conexiones de proxy seguro, seleccione Habilitar proxy seguro (EnableSecure Proxy).

11 Introduzca la dirección, el puerto, el nombre de usuario y la contraseña para el servidor proxy.


VMware, Inc. 230

12 Para habilitar la validación de certificados de servidor, seleccione Validar certificado de servidor(Validate Server Certificate) y elija el certificado de la entidad de certificación correspondiente.


Pasos siguientes

Asegúrese de que el firewall orientado a Internet permita el flujo de tráfico desde la instancia de Edgecon VPN de Capa 2 hacia Internet. El puerto de destino es 443.

Habilitar el servicio VPN de Capa 2 en el clienteDebe habilitar el servicio VPN de Capa 2 en el cliente VPN de Capa 2 (NSX Edge de origen).

Procedimiento

1 Para ir a la instancia de NSX Edge de origen, desplácese hasta Administrar (Manage) > VPN >VPN de Capa 2 (L2 VPN).

2 En Configuración del servicio VPN de Capa 2 (L2 VPN Service Configuration), haga clic enHabilitar (Enable).

Pasos siguientes

n Cree una regla de firewall o NAT en el lado del firewall orientado a Internet para permitir la conexiónentre el cliente y el servidor.

n Si una vNIC troncal respaldada por un grupo de puertos estándar se va a ampliar, habilitemanualmente el tráfico de VPN de Capa 2 con los pasos siguientes:

a Establezca Modo promiscuo (Promiscuous mode) en Aceptar (Accept).

b Establezca Transmisiones falsificadas (Forged Transmits) en Aceptar (Accept).

Para obtener más información, consulte la documentación de ESXi y vCenter Server 5.5.

Configurar un dispositivo Edge independiente como cliente VPNde Capa 2Si uno de los sitios que desea ampliar no está respaldado por NSX, puede implementar una instancia deEdge independiente como cliente VPN de Capa 2 en ese sitio.

Requisitos previos

Ha creado un grupo de puertos troncales para que la interfaz troncal de la instancia de Edgeindependiente se conecte a ese grupo. Este grupo de puertos requiere cierta configuración manual:

n Si el grupo de puertos troncales está en un conmutador estándar de vSphere, debe seguir estospasos:

n Habilite las transmisiones falsificadas.

n Habilite el modo promiscuo.

Consulte la Guía de redes de vSphere.


VMware, Inc. 231

n Si el grupo de puertos troncales está en un conmutador vSphere Distributed Switch, debe seguirestos pasos:

n Habilite las transmisiones falsificadas. Consulte la Guía de redes de vSphere.

n Habilite el puerto de recepción para la vNic de tronco o habilite el modo promiscuo. La prácticarecomendada es habilitar un puerto de recepción.

La configuración del puerto de recepción debe realizarse después de implementar la instancia deEdge independiente, ya que se debe cambiar la configuración del puerto conectado a la vNIC detronco de Edge.

Procedimiento

1 Con vSphere Web Client, inicie sesión en la instancia de vCenter Server que administra el entornoque no es de NSX.

2 Seleccione Hosts y clústeres (Hosts and Clusters) y expanda los clústeres para mostrar los hostsdisponibles.

3 Haga clic con el botón derecho en el host en el que desea instalar la instancia de Edgeindependiente y seleccione Implementar plantilla de OVF (Deploy OVF Template).

4 Introduzca la URL para descargar e instalar el archivo OVF desde Internet, o bien haga clic enExaminar (Browse) para buscar la carpeta en el equipo que contiene el archivo OVF de la instanciade Edge independiente y, a continuación, haga clic en Siguiente (Next).

5 En la página Detalles de la plantilla de OVF (OVF Template Details), revise los detalles de la plantillay haga clic en Siguiente (Next).

6 En la página Seleccionar nombre y carpeta (Select name and folder), escriba un nombre para lainstancia de Edge independiente y seleccione la carpeta o el centro de datos donde desea realizar laimplementación. A continuación, haga clic en Siguiente (Next).

7 En la página Select Storage (Seleccionar almacenamiento), seleccione la ubicación para almacenarlos archivos de la plantilla implementada.

8 En la página Seleccionar redes (Select networks), configure las redes que debe utilizar la plantillaimplementada. Haga clic en Siguiente (Next).

n La interfaz pública es la interfaz de vínculo superior.

n La interfaz de tronco se utiliza para crear subinterfaces para las redes que se ampliarán. Conecteesta interfaz al grupo de puertos troncales creado.

9 En la página Personalizar plantilla (Customize Template), especifique los siguientes valores.

a Escriba la contraseña de administrador de la CLI y, a continuación, vuelva a escribirla.

b Escriba la contraseña de habilitación de la CLI y, a continuación, vuelva a escribirla.

c Escriba la contraseña raíz de la CLI y, a continuación, vuelva a escribirla.

d Escriba la dirección IP del vínculo superior y la longitud del prefijo y, de manera opcional, ladirección IP del DNS y la puerta de enlace predeterminada.


VMware, Inc. 232

e Seleccione el cifrado que se utilizará para la autenticación. Esta opción debe coincidir con elcifrado utilizado en el servidor VPN de Capa 2.

f Para habilitar la optimización de egreso, escriba las direcciones IP de la puerta de enlace paralas cuales debe enrutarse localmente el tráfico o para las cuales debe bloquearse el tráfico por eltúnel.

g Escriba el puerto y la dirección del servidor VPN de Capa 2.

h Escriba el nombre de usuario y la contraseña con las que se autentica el sitio del mismo nivel.

i En VLAN de subinterfaces (identificador de túnel) (Sub Interfaces VLAN [Tunnel ID]), escriba losidentificadores de VLAN de las redes que desea ampliar. Puede introducir los identificadores deVLAN en una lista separada por comas o un rango. Por ejemplo: 2,3,10-20.

Si desea cambiar el identificador de VLAN de la red antes de ampliar el sitio de la instancia deEdge independiente, puede escribir el identificador de VLAN de la red y, a continuación, escribirel identificador de túnel entre paréntesis. Por ejemplo: 2(100),3(200). El identificador de túnel seutiliza para asignar las redes que se van a ampliar. Sin embargo, no se puede especificar elidentificador de túnel con un rango. Por ejemplo, no se permitiría lo siguiente: 10(100)-14(104).Debe volver a escribirlo de la siguiente manera: 10(100),11(101),12(102),13(103),14(104).

j Si la instancia de NSX Edge independiente no tiene acceso directo a Internet y necesitacomunicarse con la instancia de NSX Edge de origen (servidor) mediante un servidor proxy,escriba la dirección, el puerto, el nombre de usuario y la contraseña del proxy.

k Si hay una entidad de certificación raíz disponible, puede pegarla en la sección Certificado(Certificate).

l Haga clic en Siguiente (Next).

10 En la página Ready to complete (Listo para finalizar), revise la configuración de la instancia de Edgeindependiente y haga clic en Finish (Finalizar).

Pasos siguientes

Encienda la máquina virtual de la instancia de Edge independiente.

Anote el número de puerto de la vNIC de tronco y configure un puerto de recepción. Consulte Configurarun puerto de recepción .

Realice cualquier cambio de configuración sucesivo mediante la interfaz de línea de comandos de lainstancia de Edge independiente. Consulte la Referencia de la interfaz de línea de comandos de NSX.

Ver estadísticas de la VPN de Capa 2Puede ver las estadísticas de la VPN de Capa 2, como el estado de túnel, los bytes enviados y recibidos,etc., de la instancia de NSX Edge de origen y destino.

Procedimiento

1 En la pestaña VPN de Capa 2 (L2 VPN) asegúrese de que el Modo VPN de Capa 2 (L2 VPN Mode)sea Cliente (Client).


VMware, Inc. 233

2 Haga clic en Estado de obtención (Fetch Status) y expanda el Estado del túnel (Tunnel Status).

Si el servidor de la VPN de Capa 2 tiene varios sitios del mismo nivel, se muestran las estadísticasde todos ellos.

Pasos siguientes

Para ver las redes configuradas en una interfaz troncal, desplácese hasta Administrar (Manage) >Configuración (Settings) > Interfaces de la instancia Edge y haga clic en Troncal (Trunk) en lacolumna Tipo (Type).


VMware, Inc. 234

Equilibrador de carga lógico 15El equilibrador de carga de NSX Edge habilita el servicio de disponibilidad alta y distribuye la carga deltráfico de red entre varios servidores. Distribuye las solicitudes de servicio entrante de manera uniformeentre los diversos servidores de forma tal que la distribución de carga sea transparente para los usuarios.Así, el equilibrio de carga ayuda a lograr una utilización de recursos óptima, maximizar la capacidad deproceso, minimizar el tiempo de respuesta y evitar la sobrecarga. NSX Edge proporciona el equilibrio decarga hasta la capa 7.

Usted asigna una dirección IP externa, o pública, a un conjunto de servidores internos para el equilibriode la carga. El equilibrador de carga acepta las solicitudes TCP, UDP, HTTP o HTTPS en la dirección IPexterna y decide qué servidor interno se va a utilizar. El puerto 80 es el puerto predeterminado paraHTTP y el puerto 443 es el puerto predeterminado para HTTPS.

Debe contar con una instancia de NSX Edge que funcione para poder equilibrar la carga. Para obtenerinformación sobre cómo configurar NSX Edge, consulte Configuración de NSX Edge.

Para obtener información sobre cómo configurar un certificado de NSX Edge, consulte Trabajar concertificados.


n Configurar equilibrio de carga

n Administrar perfiles de aplicaciones

n Administrar monitores de servicio

n Administrar grupos de servidores

n Administrar servidores virtuales

n Administrar reglas de aplicaciones

n Servidores web de equilibrio de carga que utilizan autenticación NTLM

n Escenarios de configuración del equilibrador de carga de NSX

Configurar equilibrio de cargaEl equilibrador de carga de NSX Edge distribuye el tráfico de red en varios servidores para optimizar lautilización de recursos.

VMware, Inc. 235

El equilibrador de carga de NSX es compatible con los motores del equilibrio de carga de Capa 4 y Capa7. El equilibrador de carga de Capa 4 está basado en paquetes y el equilibrador de carga de Capa 7 estábasado en sockets.

Un equilibrio de carga basado en paquetes se implementa en la capa de TCP y UDP. El equilibrio decarga basado en paquetes no detiene la conexión ni almacena en el búfer la solicitud completa, en sulugar, envía el paquete directamente al servidor seleccionado tras manipular el paquete. Las sesiones deTCP y UDP se mantienen en el equilibrador de carga para que los paquetes de una sesión única sedirijan al mismo servidor. Puede seleccionar Aceleración habilitada (Acceleration Enabled) tanto en laconfiguración global como en la configuración de los servidores virtuales relevantes para habilitar elequilibrio de carga basado en paquetes.

Se implementa un equilibrio de carga basado en sockets en la parte superior de la interfaz del socket. Seestablecen dos conexiones para una única solicitud, una conexión orientada al cliente y una conexiónorientada al servidor. La conexión orientada al servidor se establece tras la selección del servidor. Para laimplementación basada en socket de HTTP, se recibe la solicitud completa antes de enviarla al servidorseleccionado con la manipulación de Capa 7 opcional. Para la implementación basada en socket deHTTPS, la información de autenticación se intercambia en la conexión orientada al cliente o bien en laconexión orientada al servidor. El equilibrio de carga basado en socket es el modo predeterminado paralos servidores virtuales de TCP, HTTP y HTTPS.

Los conceptos clave del equilibrador de carga de NSX son los servidores virtuales, el grupo deservidores, el miembro del grupo de servidores y el monitor de servicio.

Servidor virtual Resumen del servicio de una aplicación, representada por una únicacombinación de IP, puerto y protocolos como TCP o UDP.

Grupo de servidores Grupo de servidores backend.

Miembro del grupo deservidores

Representa el servidor backend como miembro en un grupo.

Supervisión delservicio

Define cómo comprobar el estado de un servidor backend.

Para empezar, configure las opciones locales del equilibrador de carga. Ahora puede crear un grupo deservidores compuesto por servidores backend y asociar un supervisor de servicio al grupo paraadministrar y compartir los servidores backend de forma eficaz.

A continuación puede crear un perfil de aplicación para definir el comportamiento de la aplicación comúnen un equilibrador de carga como por ejemplo, el cliente SSL, el servidor SSL, x-forwarded-for o lapersistencia. La persistencia envía solicitudes posteriores con características similares, la IP de origen ola cookie deben enviarse al mismo miembro del grupo, sin ejecutar el algoritmo de equilibrio de carga. Elperfil de la aplicación se puede volver a usar en los servidores virtuales.


VMware, Inc. 236

Se puede crear una regla de aplicación opcional para establecer la configuración específica de lasaplicaciones para la manipulación del tráfico como por ejemplo, hacer coincidir una URL o un nombre dehost concretos para que distintos grupos puedan llevar a cabo distintas solicitudes. El siguiente paso escrear un monitor de servicio para definir los parámetros de comprobación de estado del equilibrador decarga.

Cuando el servidor virtual recibe una solicitud, el algoritmo del equilibrio de carga tiene en cuenta laconfiguración del miembro del grupo y el estado del tiempo de ejecución. El algoritmo calcula el grupoapropiado para distribuir el tráfico e incluye a uno o varios miembros. La configuración de los miembrosdel grupo incluye opciones como peso, conexión máxima y estado de la condición. El estado del tiempode ejecución incluye las conexiones actuales, el tiempo de respuesta y la información sobre el estado demantenimiento. Los métodos de cálculos pueden ser round robin, weighted round robin, least connectiono hash de IP de origen.

El monitor de servicio asociado supervisa a cada grupo. Cuando el equilibrador de carga detecta unproblema en un servidor del grupo, lo marca como fuera de servicio (DOWN). Solo se selecciona elservidor activo (UP) cuando se elige un miembro del grupo de servidores. Si el grupo de servidores noestá configurado con un monitor de servicio, todos los miembros del grupo se consideran activos (UP).

n Configurar el servicio de equilibrador de carga

Puede especificar parámetros de configuración del equilibrador de carga global.

n Crear un monitor de servicio

El monitor de servicio se crea para definir los parámetros de comprobación de estado de un tipo detráfico de red en especial. Cuando asocia un monitor de servicio con un grupo, los miembros delgrupo se supervisan según los parámetros del monitor de servicio.

n Agregar un grupo de servidores

Es posible agregar un grupo de servidores para administrar y compartir servidores de back-end deforma flexible y eficiente. Un grupo administra los métodos de distribución de equilibradores decarga y contiene un monitor de servicios asociado para los parámetros de comprobación de estado.

n Crear un perfil de aplicación

Puede crear un perfil de aplicación para definir el comportamiento de un tipo de tráfico de red enparticular. Después de configurar un perfil, este debe asociarse con un servidor virtual. Acontinuación, el servidor virtual procesa el tráfico según los valores especificados en el perfil. El usode perfiles mejora el control de la administración del tráfico de red y hace que las tareas deadministración de tráfico sean más sencillas y eficaces.

n Agregar una regla de aplicación

Puede escribir una regla de aplicación para manipular directamente el tráfico de las aplicaciones yadministrarlo.

n Agregar servidores virtuales

Es posible agregar una interfaz interna o de vínculo superior de NSX Edge como un servidor virtual.


VMware, Inc. 237

Configurar el servicio de equilibrador de cargaPuede especificar parámetros de configuración del equilibrador de carga global.

Procedimiento




4 Haga clic en Administrar (Manage) y seleccione la pestaña Equilibrador de carga (Load Balancer).


6 Seleccione las casillas de verificación situadas junto a las opciones que desea habilitar.


Habilitar equilibrador de carga (EnableLoad Balancer)

Permite que el equilibrador de carga de NSX Edge distribuya tráfico a servidoresinternos para equilibrar la carga.

Habilitar aceleración (EnableAcceleration)

Cuando se habilita esta opción de forma global, cada IP virtual utiliza el motor LBde Capa 4 más rápido en lugar del motor LB de Capa 7.

La VIP TCP de Capa 4 se procesa antes que Edge Firewall para que no serequiera una regla Permitir firewall (Allow firewall). Las VIP HTTP/HTTPS deCapa 7 se procesan después de Edge Firewall.

Si se selecciona la opción Habilitar aceleración (Enable Acceleration), una reglade Edge Firewall debe permitir el acceso a la VIP HTTP/HTTPS de Capa 7.

Si se selecciona la marca Habilitar aceleración (Enable Acceleration) con la VIPTCP de Capa 4 y el grupo de servidores está en el modo no transparente, seagregará una regla SNAT. En consecuencia, asegúrese de que el firewall estéhabilitado en NSX Edge.

Si la marca Habilitar aceleración no está seleccionada (Enable Acceleration) conla VIP TCP de Capa 4 y el firewall está habilitado, la regla de Edge Firewalldeberá permitir acceso a la VIP HTTP/HTTPS de Capa 7.

Registro (Logging) El equilibrador de carga de NSX Edge recopila registros de tráfico.

Puede seleccionar el nivel de registro en el menú desplegable. Los registros seexportan al servidor syslog configurado. Asimismo, puede utilizar el comandoshow log follow para incluir los registros del equilibrio de carga en una lista.

Las opciones Depurar (Debug) e Información (Info) registran las solicitudes deusuarios finales. Las opciones Advertencia (Warning), Error y Crítico (Critical) noregistran las solicitudes de usuarios finales.

Habilitar inserción de servicios (EnableService Insertion)

Permite que el equilibrador de carga funcione con servicios de terceros.

Si tiene un servicio de equilibrador de carga de terceros implementado en suentorno, consulte Usar el equilibrador de carga de un partner.



VMware, Inc. 238

Crear un monitor de servicioEl monitor de servicio se crea para definir los parámetros de comprobación de estado de un tipo detráfico de red en especial. Cuando asocia un monitor de servicio con un grupo, los miembros del grupose supervisan según los parámetros del monitor de servicio.

Procedimiento





5 En el panel de navegación izquierdo, haga clic en Supervisión de servicio (Service Monitoring).


7 Introduzca un nombre para el monitor de servicio.

8 Introduzca el intervalo en segundos en el cual se debe hacer ping al servidor.

9 Introduzca la cantidad de veces que se debe hacer ping al servidor antes de declararlo inactivo.

10 Introduzca la cantidad máxima de tiempo en segundos en la cual se debe recibir una respuesta delservidor.

11 Seleccione cómo enviar la solicitud de revisión de estado al servidor desde el menú desplegable.

12 En el caso de tráfico HTTP y HTTPS, realice los pasos siguientes.

a Introduzca la cadena en la que el monitor espera coincidir en la línea de estado de la respuestade HTTP en la sección esperada (Expected section).

Por ejemplo, 200, 301, 302, 401.

b Seleccione en el menú desplegable el método para detectar el estado del servidor.

c Introduzca la URL que se debe utilizar en la solicitud de muestra.

d Si selecciona el método POST, introduzca los datos que se deben enviar.

13 Introduzca la cadena que debe coincidir con la respuesta en la sección de recepción (Receivesection).

Si no coincide con la cadena de la sección esperada (Expected section), el monitor no intentarácoincidir con el contenido de recepción.

14 Introduzca los parámetros del monitor avanzados como las parejas key=value en la sección deextensión (Extension section).

Por ejemplo, warning=10 indica que si un servidor no responde en un lapso de 10 segundos, elestado se establecerá como advertencia (warning).


VMware, Inc. 239

Todos los elementos de extensión deben separarse con un carácter de retorno de carro.

<extension>eregi="(OK1|OK2)"</extension>

Consulte la tabla para las extensiones de protocolo compatibles.

Tabla 15‑1. Extensiones para el protocolo TCP

Extensión del monitor Descripción

escape Se pueden utilizar \n, \r, \t o \ en la cadena send o quit. Debeaparecer antes de la opción send o quit. Valorpredeterminado: nada agregado a send, \r\n agregado alfinal de quit.

all Todas las cadenas esperadas deben estar presentes en larespuesta del servidor. El valor predeterminado es any.

quit=STRING Cadena para enviar al servidor para iniciar un cierrecorrecto de la conexión.

refuse=ok|warn|crit Se aceptan los rechazos de TCP en los estados ok, warn ocrit. El valor predeterminado es crit.

mismatch=ok|warn|crit Se aceptan las faltas de coincidencia de la cadenaesperada con los estados ok, warn o crit. El valorpredeterminado es warn.

jail Se ocultan los resultados del socket de TCP.

maxbytes=INTEGER Se cierra la conexión cuando se recibe una cantidad debytes superior a la especificada.

delay=INTEGER Segundos que se deben esperar entre el envío de la cadenay el sondeo de la respuesta.

certificate=INTEGER[,INTEGER] Cantidad mínima de días que debe tener de validez uncertificado. El primer valor es #days para la advertencia y elsegundo valor es critical (si no se especifica, 0).

ssl-version=3 Forzar protocolo de enlace de SSL a través de sslv3.

Sslv3 y tlsv1 están deshabilitadas de forma predeterminadaen la opción para comprobar el estado.

ssl-version=10 Forzar protocolo de enlace de SSL a través de tls 1.0.



ciphers=’ECDHE-RSA-AES256-GCM-SHA384’ Mostrar los cifrados utilizados para comprobar el estado deHTTPS.

warning=DOUBLE Tiempo de respuesta en segundos antes de que aparezca elestado de advertencia.

critical=DOUBLE Tiempo de respuesta en segundos antes de que aparezca elestado crítico.


VMware, Inc. 240

Tabla 15‑2. Extensiones para el protocolo HTTP/HTTPS


no-body No esperar el cuerpo del documento: se interrumpe lalectura después de los encabezados. Observe que sesiguen haciendo llamadas HTTP/GET o POST, no HEAD.

max-age=SECONDS Se advierte si el documento tiene más de segundos deantigüedad que el valor que se especifica en SECONDS. Elnúmero también puede tener el formato 10m para minutos,10h para horas o 10d para días.

content-type=STRING Se especifica el tipo de medios de encabezado Content-Type en las llamadas POST.

linespan Se permite que la expresión regular expanda líneas nuevas(debe preceder -r o -R).

regex=STRING o ereg=STRING Se busca la expresión regular STRING en la página.

eregi=STRING Se busca la expresión regular STRING sin distinguir entremayúsculas y minúsculas en la página.

invert-regex Se devuelve CRITICAL si se encuentra, OK si no.

proxy-authorization=AUTH_PAIR Username:password en servidores proxy con autenticaciónbásica.

useragent=STRING Cadena que se debe enviar en encabezado HTTP comoUser Agent

header=STRING Cualquier otra etiqueta que se debe enviar en unencabezado HTTP. Se utiliza varias veces paraencabezados adicionales.

onredirect=ok|warning|critical|follow|sticky|stickyport Cómo controlar las páginas redirigidas. sticky es comofollow, pero se queda con la dirección IP especificada.stickyport también garantiza que el puerto permanezcaigual.

pagesize=INTEGER:INTEGER Tamaño de página mínimo necesario (bytes) : tamaño depágina máximo necesario (bytes).

warning=DOUBLE Tiempo de respuesta en segundos antes de que aparezca elestado de advertencia.

critical=DOUBLE Tiempo de respuesta en segundos antes de que aparezca elestado crítico.

Tabla 15‑3. Extensiones para el protocolo HTTPS


sni Se habilita la compatibilidad con la extensión de nombre dehost SSL/TLS (SNI).

certificate=INTEGER Cantidad mínima de días que debe tener de validez uncertificado. El valor predeterminado del puerto es 443.Cuando se utiliza esta opción, no se comprueba la URL.

authorization=AUTH_PAIR Username:password en sitios con autenticación básica.


VMware, Inc. 241


Pasos siguientes

Asocie un monitor de servicio con un grupo.

Agregar un grupo de servidoresEs posible agregar un grupo de servidores para administrar y compartir servidores de back-end de formaflexible y eficiente. Un grupo administra los métodos de distribución de equilibradores de carga ycontiene un monitor de servicios asociado para los parámetros de comprobación de estado.

Procedimiento





5 En el panel de navegación izquierdo, haga clic en Grupos (Pools).


7 Introduzca un nombre y una descripción para el grupo de equilibradores de carga.

8 Seleccione el método de equilibrio del algoritmo para cada servicio habilitado.


IP-HASH Selecciona un servidor según un hash de la dirección IP de origen y el peso totalde los servidores en ejecución.

Los parámetros del algoritmo se deshabilitan para esta opción.

LEASTCONN Se distribuyen las solicitudes de los clientes entre varios servidores según lacantidad de conexiones existentes en el servidor.

Las conexiones nuevas se envían al servidor con menos conexiones.


ROUND_ROBIN Se utiliza un servidor por vez según el peso que se le haya asignado a cada uno.

Este es el algoritmo más uniforme y justo para mantener el tiempo deprocesamiento de cada servidor distribuido equitativamente.



VMware, Inc. 242


URI Se aplica un hash sobre la porción izquierda del URI (antes del signo deinterrogación) que se divide entre el peso total de los servidores en ejecución.

El resultado permite designar el servidor que recibirá la solicitud. Esto garantizaque cada URI se dirija siempre al mismo servidor, a menos que el servidor seactive o desactive.

El parámetro del algoritmo URI tiene dos opciones uriLength=<len> yuriDepth=<dep>. El rango del parámetro de longitud debe ser 1<=len<256. Elrango del parámetro de profundidad debe ser 1<=dep<10.

Los parámetros de longitud y de profundidad están seguidos de un númeroentero positivo. Estas opciones pueden equilibrar los servidores según elprincipio del URI exclusivamente. El parámetro de longitud indica que el algoritmosolo debe considerar los caracteres definidos al principio del URI para calcular elhash.

El parámetro de profundidad indica la profundidad del directorio que se va autilizar para calcular el hash. Se cuenta un nivel por cada barra diagonal en lasolicitud. Si se especifican ambos parámetros, la evaluación se detiene cuandose llega a cualquiera de los dos.

HTTPHEADER El nombre del encabezado HTTP se busca en cada solicitud HTTP.

El nombre del encabezado entre paréntesis no distingue entre mayúsculas yminúsculas, de forma similar a la función ACL "hdr()". Si no hay encabezado oeste no contiene ningún valor, se aplicará el algoritmo round robin.

El parámetro del algoritmo HTTPHEADER tiene una opciónheaderName=<name>. Por ejemplo, puede utilizar host como el parámetro delalgoritmo HTTPHEADER.

URL El parámetro URL especificado en el argumento se busca en la cadena deconsulta de cada solicitud HTTP GET.

Si el parámetro está seguido de un signo igual (=) y un valor, el valor se dividiráentre el peso total de los servidores en ejecución y se le aplicará un hash. Elresultado permite designar el servidor que recibirá la solicitud. Este proceso seutiliza para realizar el seguimiento de los identificadores de usuario de lassolicitudes y para garantizar que se envía el mismo ID de usuario al mismoservidor, a menos que el servidor se active o se desactive.

Si no se encuentra ningún parámetro o ningún valor, se aplica un parámetroround robin.

El parámetro del algoritmo URL tiene una opción urlParam=<url>.

9 (opcional) Seleccione un monitor personalizado o uno predeterminado del menú desplegableMonitores (Monitors).

10 Agregue miembros al grupo.

a Haga clic en el icono Agregar (Add) ( ).

b Introduzca el nombre y la dirección IP del miembro del servidor o haga clic en Seleccionar(Select) para asignar objetos de grupo.

Los objetos de grupo pueden ser vCenter o NSX.


VMware, Inc. 243

c Introduzca el puerto en el que el miembro recibirá el tráfico y el puerto de supervisión en el que elmiembro recibirá los pings de estado.

El valor del puerto debe ser nulo si el servidor virtual relacionado se configura con un rango depuerto.

d Introduzca la proporción de tráfico que el miembro va a manejar en la sección Peso (Weight).

e Introduzca la cantidad máxima de conexiones simultáneas que el miembro podrá manejar.

Cuando las solicitudes entrantes superen la cantidad máxima, se colocarán en cola hasta que selibere una conexión.

f Introduzca la cantidad mínima de conexiones simultáneas que el miembro deberá aceptar.

g Haga clic en Aceptar (OK).

11 Seleccione la opción Transparente (Transparent) para que las direcciones IP del cliente seanvisibles para los servidores backend.

Cuando la opción Transparente (Transparent) no está seleccionada (valor predeterminado), losservidores de backend ven la dirección IP de origen del tráfico como una dirección IP interna delequilibrador de carga. Cuando la opción Transparente está seleccionada, la IP de origen es la IP realdel cliente y NSX Edge se debe configurar como la puerta de enlace predeterminada para que lospaquetes devueltos pasen por el dispositivo NSX Edge.


Crear un perfil de aplicaciónPuede crear un perfil de aplicación para definir el comportamiento de un tipo de tráfico de red enparticular. Después de configurar un perfil, este debe asociarse con un servidor virtual. A continuación, elservidor virtual procesa el tráfico según los valores especificados en el perfil. El uso de perfiles mejora elcontrol de la administración del tráfico de red y hace que las tareas de administración de tráfico seanmás sencillas y eficaces.

Procedimiento





5 En el panel de navegación izquierdo, haga clic en Perfiles de aplicación (Application Profiles).



VMware, Inc. 244

7 Escriba un nombre para el perfil y seleccione en el menú desplegable el tipo de tráfico para el que seestá creando el perfil.

Tipo de tráfico Método de persistencia admitido

TCP IP de origen, MSRDP

HTTP Cookie, IP de origen

HTTPS Cookie, ID de sesión SSL (SSL Passthrough habilitado), IP de origen

UDP IP de origen

8 Introduzca la URL a la que quiere redireccionar el tráfico HTTP.

Por ejemplo, puede redirigir el tráfico de http://myweb.com a https://myweb.com.

9 Especifique el tipo de persistencia para el perfil en el menú desplegable.

La persistencia realiza un seguimiento de los datos de la sesión como pro ejemplo, el miembro delgrupo específico que procesó una solicitud de cliente, y los almacena. Con la persistencia, lassolicitudes del cliente se dirigen al mismo miembro del grupo durante toda una sesión o durante lassesiones posteriores.

n Seleccione la persistencia de la Cookie para insertar una única cookie que identifique la sesiónla primera vez que un cliente acceda al sitio.

En las solicitudes posteriores se acude a la cookie para persistir en la conexión al servidorapropiado.

n Seleccione la persistencia de la IP de origen para hacer un seguimiento de las sesiones basadoen la dirección IP de origen.

Cuando un cliente solicita una conexión a un servidor virtual que admite la persistencia deafinidad de una dirección de origen, el equilibrador de carga comprueba si ese cliente se conectóanteriormente y, si lo hizo, devuelve el cliente al mismo miembro del grupo.

n Seleccione la persistencia del protocolo del escritorio remoto de Microsoft MSRDP paramantener sesiones persistentes entre los clientes de Windows y los servidores que se estánejecutando en el servicio del protocolo del escritorio remoto de Microsoft (RDP).

El escenario recomendado para habilitar la persistencia de MSRDP es crear un grupo deequilibrio de carga que cuente con miembros que ejecuten Windows Server 2003 o WindowsServer 2008, en el que todos los miembros pertenezcan a un clúster de Windows y participen enun directorio de sesiones de Windows.


VMware, Inc. 245

10 Introduzca el nombre de una cookie y seleccione el modo en el que debe insertarse.


Insertar (Insert) NSX Edge envía una cookie.

Si el servidor envía una o varias cookies, el cliente recibe una cookie extra (la olas cookies del servidor + la cookie de Edge). Si el servidor no envía ningunacookie, el cliente recibe la cookie de Edge.

Prefijo (Prefix) Se selecciona esta opción si el cliente no admite más de una cookie.

Nota Todos los navegadores aceptan varias cookies. Si cuenta con unaaplicación propia que utilice un cliente propio que sea compatible con una solacookie. El servidor web envía la cookie de la forma habitual. NSX Edge inyecta (amodo de prefijo) la información de su cookie en el valor de la cookie del servidor.Esta información agregada de la cookie se elimina cuando NSX Edge la envía alservidor.

Sesión de la aplicación El servidor no envía una cookie. En su lugar, envía información de sesión delusuario como una URL.

Por ejemplo,http://mysite.com/admin/UpdateUserServlet;jsessionid=OI24B9ASD7BSSD,donde jsessionid es la información de la sesión del usuario y se utiliza para lapersistencia. No es posible ver la tabla de persistencia de Sesión de aplicación(App Session) para la solución de problemas.

11 Introduzca el tiempo de caducidad de la persistencia en segundos.

El valor de la persistencia por defecto es de cinco minutos.

En el escenario de persistencia de la IP de origen de la TCP del equilibrio de carga de Capa 7, eltiempo de espera de la entrada de persistencia se agota si no se producen nuevas conexiones TCPdurante un periodo de tiempo, aunque las conexiones existentes aún estén activas.

12 (opcional) Crear un perfil de aplicación para el tráfico HTTPS.

Patrón de tráfico HTTPS compatible.

n Descarga SSL - Cliente > HTTPS -> LB (finalizar SSL) -> HTTP -> servidor

n Proxy SSL - Cliente > HTTPS -> LB (finalizar SSL) -> HTTPS -> servidor

n Passthrough SSL - Cliente > HTTPS -> LB (passthrough SSL) -> HTTPS -> servidor

n Cliente -> HTTP-> LB -> HTTP -> servidores

a (opcional) Seleccione el encabezado Insertar HTTP X-Forwarded-For (Insert X-Forwarded-ForHTTP) para identificar la dirección IP originaria de un cliente que se conecte a un servidor web através del equilibrador de carga.

b Seleccione Configurar certificado de servicio (Configure Service Certificate) para seleccionarel certificado de servicio, los certificados de CA y las listas CLR pertinentes que se utilizan parafinalizar el tráfico HTTPS desde el cliente en el equilibrador de carga en la pestaña Certificadosde servidor virtual (Virtual Server Certificates).

Esto es necesario solo si la conexión Cliente -> LB es HTTPS.


VMware, Inc. 246

c (opcional) Seleccione Habilitar SSL del grupo (Enable Pool Side SSL) para habilitar lacomunicación HTTPS entre el equilibrador de carga y los servidores backend.

Se puede usar el SSL del grupo para configurar el SSL de un extremo a otro.

d (opcional) Seleccione Configurar certificado de servicio (Configure Service Certificate) paraseleccionar el certificado de servicio, los certificados de CA y las listas CLR pertinentes que seutilizan para autenticar el equilibrador de carga desde el servidor en la pestaña Certificadosgrupo (Pool Certificates).

Esto es necesario solo para el patrón Cliente -> HTTPS -> LB -> HTTPS -> servidores.

Puede configurar el certificado de servicio si el equilibrador de carga de NSX Edge tiene uncertificado de CA y de CRL ya configurado y necesita comprobar el certificado de servicio de losservidores backend. Esta opción también se puede utilizar para proporcionar el certificado delequilibrador de carga al servidor backend si dicho servidor necesita comprobar el certificado deservicio del equilibrador de carga.

13 Introduzca los algoritmos de cifrado o el conjunto de cifrado negociado durante el protocolo deenlace SSL/TLS

Por ejemplo, solo se puede permitir el uso de tres conjuntos de cifrados 3DES.

14 Especifique en el menú desplegable si la autenticación del cliente se ignora o es necesaria.

Si selecciona que es necesaria, el cliente debe proporcionar un certificado tras la interrupción de lasolicitud o del protocolo de enlace.


Agregar una regla de aplicaciónPuede escribir una regla de aplicación para manipular directamente el tráfico de las aplicaciones yadministrarlo.

Para consultar ejemplos de reglas de aplicación, vaya a Ejemplos de reglas de aplicación.

Procedimiento





5 En el panel de navegación izquierdo, haga clic en Reglas de aplicación (Application Rules).



VMware, Inc. 247

7 Introduzca un nombre y un script para la regla.

Para obtener información sobre la sintaxis de las reglas de aplicación, consulte http://cbonte.github.io/haproxy-dconv/configuration-1.5.html.


Ejemplos de reglas de aplicación

Redireccionamiento de HTTP/HTTPS basado en condición

Un perfil de aplicación permite especificar una redirección HTTP/HTTPS, en la cual el tráfico se redirigesiempre, independientemente de las direcciones URL de solicitud. También se obtiene flexibilidad paraespecificar las condiciones en las que se debe redirigir el tráfico HTTP/HTTPS.

move the login URL only to HTTPS.

acl clear dst_port 80

acl secure dst_port 8080

acl login_page url_beg /login

acl logout url_beg /logout

acl uid_given url_reg /login?userid=[^&]+

acl cookie_set hdr_sub(cookie) SEEN=1

redirect prefix https://mysite.com set-cookie SEEN=1 if !cookie_set

redirect prefix https://mysite.com if login_page !secure

redirect prefix http://mysite.com drop-query if login_page !uid_given

redirect location http://mysite.com/ if !login_page secure

redirect location / clear-cookie USERID= if logout

Enrutamiento por nombre de dominio

Es posible crear una regla de aplicación para dirigir las solicitudes a un grupo de equilibradores de cargaespecífico según el nombre de dominio. La siguiente regla dirige las solicitudes de foo.com a pool_1 y lassolicitudes de bar.com a pool_2.

acl is_foo hdr_dom(host) -i foo

acl is_bar hdr_dom(host) -i bar

use_backend pool_1 if is_foo

use_backend pool_2 if is_bar

Protección y equilibrio de carga RDP de Microsoft

En el siguiente escenario de prueba, el equilibrador de carga envía un nuevo usuario al servidor menoscargado y reanuda una sesión interrumpida. La dirección IP de la interfaz interna de NSX Edge para esteescenario es 10.0.0.18, la dirección IP de la interfaz interna es 192.168.1.1 y los servidores virtuales son192.168.1.100, 192.168.1.101, y 192.168.1.102.

1 Cree un perfil de aplicación para el tráfico de TCP con persistencia de Escritorio remoto de Microsoft(MSRDP).

2 Cree una supervisión de estado de TCP (tcp_monitor).


VMware, Inc. 248

http://cbonte.github.io/haproxy-dconv/configuration-1.5.html

3 Cree un grupo (llamado rdp-pool) con 192.168.1.100:3389, 192.168.1.101:3389 y192.168.1.102:3389 como miembros.

4 Asocie tcp_monitor con rdp-pool.

5 Cree la siguiente regla de aplicación.

tcp-request content track-sc1 rdp_cookie(mstshash) table rdp-pool

tcp-request content track-sc2 src table ipv4_ip_table

# each single IP can have up to 2 connections on the VDI infrastructure

tcp-request content reject if { sc2_conn_cur ge 2 }

# each single IP can try up to 5 connections in a single minute

tcp-request content reject if { sc2_conn_rate ge 10 }

# Each user is supposed to get a single active connection at a time, block the second one

tcp-request content reject if { sc1_conn_cur ge 2 }

# if a user tried to get connected at least 10 times over the last minute,

# it could be a brute force

tcp-request content reject if { sc1_conn_rate ge 10 }

6 Cree un servidor virtual (con el nombre rdp-vs).

7 Asocie el perfil de aplicación a este servidor virtual y agregue la regla de aplicación creada en elpaso 4.

Esta regla aplicada recientemente en el servidor virtual protege los servidores RDP.

Registro avanzado

De forma predeterminada, el equilibrador de carga de NSX es compatible con el inicio de sesión básico.Es posible crear una regla de aplicación mediante los siguientes pasos para ver mensajes de registromás detallados para la solución de problemas.

# log the name of the virtual server

capture request header Host len 32

# log the amount of data uploaded during a POST

capture request header Content-Length len 10

# log the beginning of the referrer

capture request header Referer len 20

# server name (useful for outgoing proxies only)

capture response header Server len 20

# logging the content-length is useful with "option logasap"

capture response header Content-Length len 10

# log the expected cache behaviour on the response

capture response header Cache-Control len 8


VMware, Inc. 249

# the Via header will report the next proxy's name

capture response header Via len 20

# log the URL location during a redirection

capture response header Location len 20

Después de asociar la regla de aplicación al servidor virtual, los registros incluirán mensajes detalladoscomo los que se muestran en el siguiente ejemplo.

2013-04-25T09:18:17+00:00 edge-187 loadbalancer[18498]: [org1]: 10.117.7.117 - - [25/Apr/2013:09:18:16

+0000] "GET /favicon.ico HTTP/1.1" 404 1440 "" "" 51656 856 "vip-http-complete"

"pool-http-complete" "m2" 145 0 1 26 172 --NI 1 1 0 0 0 0 0 "" "" "10.117.35.187" "Mozilla/5.0

(Windows NT 6.1; WOW64) AppleWebKit/537.31

(KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31" "Apache/2.2.15 (Linux" ""

2013-04-25T09:18:17+00:00 edge-187 loadbalancer[18498]: [org1]: 10.117.7.117 - - [25/Apr/2013:09:18:16

+0000] "GET /favicon.ico HTTP/1.1" 404 1440 "" "" 51657 856 "vip-http-complete"

"pool-http-complete" "m2" 412 0 0 2 414 --NI 0 0 0 0 0 0 0 "" "" "10.117.35.187" "Mozilla/5.0 (Windows

NT 6.1; WOW64) AppleWebKit/537.31

(KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31" "Apache/2.2.15 (Linux" ""

Para solucionar problemas en el tráfico HTTPS, es posible que sea necesario agregar más reglas. Lamayoría de las aplicaciones web utilizan respuestas 301/302 con un encabezado de ubicación pararedirigir el cliente a una página (casi siempre después de un inicio de sesión o una llamada POST) ytambién requieren una cookie de aplicación. Es por eso que el servidor de aplicaciones puede tenerdificultades para conocer la información de conexión del cliente y no pueda proporcionar las respuestascorrectas; incluso puede impedir que la aplicación funcione.

Para permitir que una aplicación web admita la descarga de SSL, agregue la siguiente regla.

# See clearly in the log if the application is setting up response for HTTP or HTTPS

capture response header Location len 32

capture response header Set-Cookie len 32

# Provde client side connection info to application server over HTTP header

http-request set-header X-Forwarded-Proto https if { ssl_fc }

http-request set-header X-Forwarded-Proto http if !{ ssl_

El equilibrador de carga insertará el siguiente encabezado cuando la conexión se establezca medianteSSL.

X-Forwarded-Proto: https

El equilibrador de carga insertará el siguiente encabezado cuando la conexión se establezca medianteHTTP.

X-Forwarded-Proto: http


VMware, Inc. 250

Bloquear URL específicas

Es posible bloquear solicitudes que tengan palabras clave específicas en la URL. La siguiente reglacomprueba si la solicitud empieza por /private o /finance y bloquea las solicitudes que tienen dichostérminos.

acl block_url_list path_beg -i /private /finance

block if block_url_list

Redireccionamiento de autenticación HTTP si no hay cookies

Es posible redireccionar la solicitud de un cliente que no tenga cookies para obtener una autenticación.La siguiente regla comprueba si la solicitud de HTTP es auténtica y tiene cookies en el encabezado. Si lasolicitud no tiene cookies, la regla redirecciona la solicitud a / authent.php para la autenticación.

acl authent_url url /authent.php

acl cookie_present hdr_sub(cookie) cookie1=

redirect prefix /authent.php if !authent_url !cookie_present

Redireccionamiento de la página predeterminada

Es posible redireccionar la solicitud del cliente / a una página predeterminada. La siguiente reglacomprueba si la solicitud de HTTP es / y redirecciona la solicitud a la página de inicio de sesiónpredeterminada.

acl default_url url /

redirect prefix /login.php if default_url

Redireccionamiento al sitio de mantenimiento

Cuando el grupo primario esté fuera de servicio, puede usar un grupo de servidores de mantenimiento yredireccionar la URL a la página web de mantenimiento.

redirect location http://maitenance.xyz.com/maintenance.htm

Autenticación NT LAN Manager (NTLM)

Si no desea cerrar la sesión del servidor tras cada solicitud, puede mantener dicha sesión activa ysegura con el protocolo NTLM.

no option http-server-close


VMware, Inc. 251

Reemplazar el encabezado del servidor

Puede eliminar el encabezado del servidor de la respuesta existente y reemplazarlo por otro servidor. Lasiguiente regla de ejemplo elimina el encabezado del servidor y lo reemplaza por el servidor web NGINXque puede actuar como servidor proxy inverso para los protocolos HTTP, HTTPS, SMTP, POP3, y IMAP,la caché HTTP y un equilibrador de carga.

rspidel Server

rspadd Server:\ nginx

Volver a escribir el redireccionamiento

Puede cambiar el encabezado de ubicación de HTTP a HTTPS. La siguiente regla de ejemplo identificael encabezado de ubicación y reemplaza HTTP por HTTPS.

rspirep ^Location:\ http://(.*) Location:\ https://\1

Seleccionar un grupo específico basado en un host

Puede redireccionar solicitudes con un host específico a los grupos definidos. La siguiente regla deejemplo revisa la solicitud de los hosts específicos app1.xyz.com, app2.xyz.com y host_any_app3 yredirecciona estas solicitudes respectivamente a los grupos definidos pool_app1, o pool_app2 ypool_app3. El resto de las solicitudes se redireccionan a los grupos existentes definidos en el servidorvirtual.

acl host_app1 hdr(Host) -i app1.xyz.com

acl host_app2 hdr(Host) -i app2.xyz.com

acl host_any_app3 hdr_beg(host) -i app3

use_backend pool_app1 if host_app1

use_backend pool_app2 if host_app2

use_backend pool_app3 if host_any_app3

Seleccionar un grupo específico basado en URL

Puede redireccionar solicitudes con palabras clave de URL a los grupos específicos. La siguiente reglade ejemplo comprueba si la solicitud comienza por /private o /finance y las redirecciona a los gruposdefinidos, pool_private o pool_finance. El resto de las solicitudes se redireccionan a los grupos existentesdefinidos en el servidor virtual.

acl site_private path_beg -i /private

acl site_finance path_beg -i /finance

use_backend pool_private if site_private

use_backend pool_finance if site_finance


VMware, Inc. 252

Redireccionar cuando el grupo principal está fuera de servicio

Si los servidores están fuera de servicio en el grupo principal, puede redireccionar usuarios para utilizarlos servidores en el grupo secundario. La siguiente regla de ejemplo comprueba que pool_productionestá fuera de servicio y transfiere los usuarios a pool_sorry_server.

acl pool_production_down nbsrv(pool_production) eq 0

use_backend pool_sorry_server if pool_production_down

Conexión a TCP de la lista blanca

Puede bloquear las direcciones IP cliente para que no accedan al servidor. La siguiente regla de muestrabloquea la dirección IP definida y mantiene la conexión si la dirección IP no está en la lista blanca.

acl whitelist src 10.10.10.0 20.20.20.0

tcp-request connection reject if !whitelist

Habilitar sslv3 y tlsv1

Por defecto, sslv3 y tlsv1 son extensiones de supervisión de servicio deshabilitadas. Puede habilitarlasmediante la siguiente regla de aplicación.

sslv3 enable

tlsv1 enable

Configurar el tiempo de espera de la sesión del cliente

El tiempo de espera de la sesión es el tiempo de inactividad de conexión máximo en el lado de cliente. Eltiempo de espera de inactividad se aplica cuando se espera que el cliente confirme o envíe datos. En elmodo HTTP, es importante considerar este tiempo de espera durante la primera fase, cuando el clienteenvía la solicitud y durante la respuesta mientras el cliente está leyendo los datos enviados por elservidor. El valor del tiempo de espera por defecto es de cinco minutos.

La siguiente regla de muestra establece el periodo de tiempo de espera en 100 segundos.

timeout client 100s

Se puede establecer el tiempo como número entero con milisegundos, segundos, minutos, horas o días.

Agregar servidores virtualesEs posible agregar una interfaz interna o de vínculo superior de NSX Edge como un servidor virtual.

Requisitos previos

n Compruebe que está disponible el perfil de la aplicación. Consulte Crear un perfil de aplicación.

n Si está asociando una regla de una aplicación con el servidor virtual, consulte Crear un perfil deaplicación.


VMware, Inc. 253

n Si está habilitando la aceleración para usar el equilibrador de carga rápido, se debe habilitar laaceleración cuando se configure el equilibrador de carga. Consulte Configurar el servicio deequilibrador de carga.

Procedimiento





5 En el panel de navegación izquierdo, haga clic en Servidores virtuales (Virtual Servers).


7 Active Habilitar servidor virtual (Enable Virtual Server) para disponer de este servidor virtual parasu uso.

8 (opcional) Active Habilitar aceleración (Enable Acceleration) para que el equilibrador de carga deNSX Edge utilice el motor del equilibrador de carga de Capa 4 más rápido en lugar del motor delequilibrador de carga de Capa 7.

Si la configuración de un servidor virtual que incluya por ejemplo, reglas de aplicación, tipo de HTTPo persistencia de cookies, está utilizando el motor del equilibrador de carga de Capa 7, dicho motorse utiliza independientemente de que la aceleración esté o no activada.

Puede usar el comando de la CLI show service load balancer virt para confirmar el motor delequilibrador de carga que está en uso.

9 Seleccione el perfil de aplicación que se asociará con el servidor virtual.

Se puede asociar un solo perfil de aplicación con el mismo protocolo que el servidor virtual que sedesea agregar. Se mostrarán los servicios compatibles con el grupo seleccionado.

10 Introduzca un nombre y una descripción para el servidor virtual.

11 Haga clic en Seleccionar dirección IP (Select IP Address) para especificar la dirección IP en la queel equilibrador de carga escucha y el tipo de protocolo que el servidor virtual utilizará.

El cuadro de diálogo Seleccionar dirección IP (Select IP Address) muestra solo la dirección IPprincipal. Si está creando una VIP mediante una dirección IP secundaria, introdúzcala de formamanual.

12 En el menú desplegable, seleccione el protocolo que utiliza el servidor virtual.


VMware, Inc. 254

13 Introduzca el número de puerto en el que el equilibrador de carga escucha.

También puede establecer un rango de puertos como por ejemplo, 80,8001-8004,443, para compartirla configuración del servidor virtual que incluya opciones tales como grupo de servidores, perfil de laaplicación y regla de aplicación.

Para utilizar FTP, el protocolo TCP debe tener asignado el puerto 21.

14 Seleccione la regla de aplicación.

15 Introduzca las conexiones concurrentes máximas que el servidor virtual puede procesar en lasección Límite de conexión (Connection Limit section).

16 Introduzca las solicitudes de nueva conexión entrante máximas por segundo en la sección de Límitede velocidad de conexión (Connection Rate Limit section).

17 (opcional) Haga clic en la pestaña Avanzado (Advanced) y agregue la regla de aplicación paraasociarla con el servidor virtual.


Administrar perfiles de aplicacionesTras crear un perfil de aplicaciones y asociarlo a un servidor virtual, puede actualizar el perfil existente obien eliminarlo para reducir el consumo de recursos del sistema.

Editar un perfil de aplicaciónEs posible editar un perfil de aplicación.

Procedimiento




4 Haga clic en la pestaña Supervisar (Monitor) y, a continuación, en la pestaña Equilibrador de carga(Load Balancer).


6 Seleccione un perfil y haga clic en el icono Editar (Edit) ( ).

7 Realice los cambios apropiados de tráfico, persistencia, certificado o configuración de cifrado y hagaclic en Finalizar (Finish).


VMware, Inc. 255

Configurar la terminación SSL para un equilibrador de cargaSin tener configurada la terminación SSL, no se inspeccionan las solicitudes HTTP. El equilibrador decarga ve las direcciones IP de origen y de destino y los datos cifrados. Si desea inspeccionar lassolicitudes HTTP, puede finalizar la sesión SSL del equilibrador de carga y crear una nueva sesión SSL através del grupo de celdas.

Requisitos previos

Diríjase a Administrar > Configuración > Certificados (Manage > Settings > Certificates) paraasegurarse de que existe un certificado válido.

Procedimiento

1 En el perfil de aplicación HTTPS a través de Administrar > Equilibrador de carga > Perfiles deaplicación (Manage > Load Balancer > Application Profiles).

2 Seleccione el tipo de HTTPS en el menú desplegable.

3 Compruebe que la opción Habilitar Passthrough SSL (Enable SSL Passthrough) aparece sinseleccionar.

4 Compruebe que la opción Configurar certificado de servicio está seleccionada.

5 Seleccione el certificado apropiado en la lista.


VMware, Inc. 256

Eliminar un perfil de aplicaciónEs posible eliminar un perfil de aplicación.

Procedimiento






6 Seleccione un perfil y haga clic en el icono Eliminar (Delete).

Administrar monitores de servicioTras crear un monitor de servicio para definir los parámetros de comprobación de estado de un tráfico dered y asociarlo a un grupo, puede actualizar el monitor de servicio existente o bien eliminarlo para reducirel consumo de recursos del sistema.

Editar un monitor de servicioEs posible editar un monitor de servicio.

Procedimiento






6 Seleccione un monitor de servicio y haga clic en el icono Editar (Edit).


Eliminar un monitor de servicioEs posible eliminar un monitor de servicio.

Procedimiento



VMware, Inc. 257





6 Seleccione un monitor de servicio y haga clic en el icono Eliminar (Delete).

Administrar grupos de servidoresTras agregar un grupo de servidores para administrar la distribución del equilibrador de carga, puedeactualizar el grupo existente o eliminarlo para guardar recursos del sistema.

Editar un grupo de servidoresEs posible editar un grupo de servidores.

Procedimiento





5 Asegúrese de estar en la pestaña Grupo (Pool).

6 Seleccione el grupo que desea editar.


8 Realice los cambios adecuados y haga clic en Finalizar (Finish).

Configurar un equilibrador de carga para utilizar el modotransparenteLa opción Transparente (Transparent) indica si las direcciones IP del cliente son visibles para losservidores backend. Cuando la opción Transparente (Transparent) no está seleccionada (valorpredeterminado), los servidores backend ven la IP de origen del tráfico como una IP interna de equilibriode carga. Si la opción Transparente está seleccionada, la IP de origen es la IP del cliente real y NSXEdge debe estar en la ruta de la respuesta del servidor. Un diseño típico debe tener NSX Edge comopuerta de enlace predeterminada del servidor.


VMware, Inc. 258

Procedimiento

u En la configuración del grupo de servidores en Administrar > Equilibrador de carga > Grupos(Manage > Load Balancer > Pools), habilite el modo transparente.

Eliminar un grupo de servidoresEs posible eliminar un grupo de servidores.

Procedimiento





5 Asegúrese de estar en la pestaña Grupo (Pool).

6 Seleccione el grupo que desea eliminar.


Administrar servidores virtualesTras agregar servidores virtuales, puede actualizar la configuración de los existentes o eliminarlos.


VMware, Inc. 259

Editar un servidor virtualEs posible editar un servidor virtual.

Procedimiento





5 Haga clic en la pestaña Servidores virtuales (Virtual Servers).

6 Seleccione el servidor virtual que desea editar.


8 Realice los cambios adecuados y haga clic en Finalizar (Finish).

Eliminar un servidor virtualEs posible eliminar un servidor virtual.

Procedimiento





5 Haga clic en la pestaña Servidores virtuales (Virtual Servers).

6 Seleccione el servidor virtual que desea eliminar.


Administrar reglas de aplicacionesTras crear reglas de aplicaciones para configurar el tráfico de aplicaciones, puede editar la reglaexistente o bien eliminarla.


VMware, Inc. 260

Editar una regla de aplicaciónEs posible editar una regla de aplicación.

Procedimiento





5 En el panel de navegación izquierdo, haga clic en Reglas de aplicación (Application Rules).

6 Seleccione una regla y haga clic en el icono Editar (Edit).


Eliminar una regla de aplicaciónEs posible eliminar una regla de aplicación.

Procedimiento






6 Seleccione un perfil y haga clic en el icono Eliminar (Delete).

Servidores web de equilibrio de carga que utilizanautenticación NTLMDe forma predeterminada, NSX Load Balancer cierra la conexión TCP al servidor después de cadasolicitud de cliente. Dado que la autenticación NTLM requiere varias solicitudes HTTP en la mismasesión TCP, la autenticación a través de NSX Load Balancer se interrumpe.


VMware, Inc. 261

Requisitos previos

Como solución alternativa, agregue la regla de aplicación siguiente en el equilibrio de carga VIP de losservidores web con la autenticación NTLM:

add # NTLM authentication and keep the server connection open between requests

no option http-server-close

Esta regla de aplicación mantiene abierta la conexión del servidor entre solicitudes.

Escenarios de configuración del equilibrador de carga deNSXPuede utilizar los escenarios de configuración del equilibrador de carga de NSX para comprender el flujode trabajo de extremo a extremo necesario.

Escenario: configurar un equilibrador de carga one-armedLa puerta de enlace de servicio de Edge (ESG) puede estar concebida como un proxy para el tráfico decliente entrante.

VM VM VM

Leyenda

Red lógica

SolicitudRespuesta

En modo proxy, el equilibrador de carga utiliza su propia dirección IP como dirección de origen paraenviar solicitudes a un servidor backend. El servidor backend ve todo el tráfico que se envía desde elequilibrador de carga y responde directamente al equilibrador de carga. Este modo también se conocecomo modo SNAT o modo no transparente.


VMware, Inc. 262

Se implementa un equilibrador de carga one-armed de NSX en la misma subred con sus servidoresbackend, aparte del enrutador lógico. El servidor virtual del equilibrador de carga de NSX atiende a unaIP virtual para las solicitudes entrantes del cliente y distribuye las solicitudes a los servidores backend.Para el tráfico de retorno, es necesario que el NAT inverso cambie la dirección IP de origen desde elservidor backend a una dirección IP virtual (VIP) y que luego envíe la dirección IP virtual al cliente. Sinesta operación, se interrumpirá la conexión con el cliente.

Después de que la ESG reciba el tráfico, realiza dos operaciones: Traducción de operaciones de red dedestino, DNAT (Destination Network Address Translation), para cambiar la dirección VIP de la direcciónIP en una de las máquinas de equilibrador de carga y Traducción de direcciones de red de origen, SNAT(Source Network Address Translation), para intercambiar la dirección IP del cliente con la dirección IP deESG.

A continuación, el servidor de ESG envía el tráfico al equilibrador de carga y el servidor de este últimoenvía la respuesta de vuelta a ESG y luego de vuelta al cliente. Es más sencillo configurar esta opciónque configurar el modo en línea, pero tiene dos advertencias potenciales. La primera es que este modonecesita un servidor ESG dedicado y la segunda es que el servidor del equilibrador de carga no conocela dirección IP del cliente original. Una solución alternativa para las aplicaciones HTTP/HTTPS eshabilitar Insertar el reenvío de X (Insert X-Forwarded-For) en el perfil de la aplicación de HTTP para quelleve la dirección IP del cliente en el encabezado del reenvío de X (X-Forwarded-For) en la solicitudenviada al servidor backend.

Si es necesaria la visibilidad de la dirección IP del cliente en el servidor backend para aplicaciones queno sean HTTP/HTTPS, puede configurar el grupo de IP para que sean transparentes. En caso de que losclientes no estén en la misma subred que el servidor backend, se recomienda el modo en línea. De locontrario, debe usar la dirección IP del equilibrador de carga como puerta de enlace predeterminada delservidor backend.

Nota Normalmente, existen dos métodos para garantizar la integridad de la conexión:

n SNAT/proxy/modo no transparente (mencionado anteriormente)

n Direct server return (DSR)

En el modo DSR, el servidor backend responde directamente al cliente. Actualmente, el equilibrador decarga de NSX no admite DSR.


VMware, Inc. 263

Procedimiento

1 Haga doble clic en Edge para crear un certificado y, a continuación, seleccione Administrar >Configuración > Certificado (Manage > Settings > Certificate).

2 Habilite el servicio de equilibrador de carga mediante la selección de Administrar > Equilibrador decarga > Configuración global > Editar (Manage > Load Balancer > Global Configuration > Edit).


VMware, Inc. 264

3 Cree un perfil de aplicación HTTPS mediante la selección de Administrar > Equilibrador de carga> Perfiles de aplicación (Manage > Load Balancer > Application Profiles).

Nota La captura de pantalla anterior utiliza certificados autofirmados solo para documentación.

4 De forma opcional, haga clic en Administrar > Equilibrador de carga > Supervisión del servicio(Manage > Load Balancer > Service Monitoring) y edite la supervisión del servicio por defecto paracambiarla de HTTP/HTTPS básicos a URL/URIs específicas, según sea necesario.


VMware, Inc. 265

5 Cree grupos de servidores mediante la selección de Administrar > Equilibrador de carga >Grupos (Manage > Load Balancer > Pools).

Para usar el modo SNAT, deje la casilla Transparente (Transparent) sin marcar en la configuracióndel grupo.

Compruebe que todas las máquinas virtuales están en la lista y habilitadas.

6 De forma opcional, haga clic en Administrar > Equilibrador de carga > Grupos > Mostrarestadísticas de grupo (Manage > Load Balancer > Pools > Show Pool Statistics) para revisar elestado.

Asegúrese de que el estado de miembro es LISTO (UP).


VMware, Inc. 266

7 Cree un servidor virtual mediante la selección de Administrar > Equilibrador de carga >Servidores virtuales (Manage > Load Balancer > Virtual Servers).

Si quisiera utilizar el equilibrador de carga de Capa 4 para UDP o un rendimiento mayor de TCP,active Habilitar aceleración (Enable Acceleration). Si activa Habilitar aceleración (EnableAcceleration), asegúrese de que el estado del firewall es Habilitado (Enabled) en el equilibrador decarga de NSX Edge, porque se necesita un firewall para el SNAT de Capa 4.

Compruebe que la dirección IP está unida al grupo de servidores.

8 De forma opcional, si utiliza una regla de aplicaciones, compruebe la configuración en Administrar >Equilibrador de carga > Reglas de aplicaciones (Manage > Load Balancer > Application Rules).


VMware, Inc. 267

9 SI utiliza una regla de aplicaciones, asegúrese de que dicha regla está asociada con el servidorvirtual en Administrar > Equilibrador de carga > Servidores virtuales > Avanzado (Manage >Load Balancer > Virtual Servers > Advanced).

Para ejemplos compatibles, consulte https://communities.vmware.com/docs/DOC-31772.

En el modo no transparente, el servidor backend no puede consultar la IP del cliente, pero sí puedever el equilibrador de carga de la dirección IP interna. Como solución alternativa al tráfico deHTTP/HTTPS, active el encabezado Insertar X-Forwarded-For HTTP (Insert X-Forwarded-ForHTTP). Con esta opción activa, el equilibrador de carga de Edge agrega el encabezado "X-Forwarded-For" con el valor de la dirección IP de origen del cliente.

Escenario: configurar el equilibrador de carga de NSX paraPlaftorm Services ControllerPlatform Services Controller (PSC) proporciona funciones de seguridad en infraestructuras, comovCenter Single Sign-On, la reserva de servidores, la administración de certificados y la concesión delicencias.

Cuando haya configurado el equilibrador de carga de NSX, puede proporcionar la dirección IP de lainterfaz del vínculo superior del dispositivo NSX Edge para vCenter Single Sign-On.

Requisitos previos

n Realice las tareas de preparación de disponibilidad alta de PSC que se indican en la base deconocimientos. Consulte http://kb.vmware.com/kb/2113315.

n Guarde los archivos /ha/lb.crt y /ha/lb_rsa.key desde el primer nodo de PSC para configurar loscertificados.

n Compruebe que haya un dispositivo NSX Edge configurado.


VMware, Inc. 268


http://kb.vmware.com/kb/2113315

n Asegúrese de tener al menos un vínculo superior para configurar la VIP y una interfaz asociada alconmutador lógico interno.

Procedimiento

1 Agregue certificados de CA de PSC a la instancia de NSX Edge.

a Guarde el certificado y el archivo root.cer de PSC así como el RSA y la frase de contraseñagenerados por el comando OpenSSL.

b Haga doble clic en la instancia de Edge y seleccione Administrar (Manage) > Configuración(Settings) > Certificado (Certificate).

c Agregue el archivo guardado root.cer de contenido al contenido del certificado de CA.

d Agregue la frase de contraseña guardada a la sección de clave privada.

2 Habilite el servicio del equilibrador de carga.

a Seleccione Administrar (Manage) > Equilibrador de carga (Load Balancer) > Editar (Edit).

b Marque las opciones Habilitar equilibrio de carga (Enable Load Balancing) y Registro(Logging).


VMware, Inc. 269

3 Cree perfiles de aplicaciones con los protocolos HTTPS y TCP.

a Seleccione Administrar (Manage) > Equilibrador de carga (Load Balancer) > Perfiles deaplicaciones (Application Profiles).

b Cree un perfil de aplicación TCP.

c Crear un perfil de aplicación de HTTPS.


VMware, Inc. 270

4 Crear grupos de aplicaciones para agregar nodos de PSC de miembros.

a Seleccione Administrar (Manage) > Equilibrador de carga (Load Balancer) > Grupos(Pools).

b Cree dos grupos de aplicaciones con el puerto de supervisión 443.

Utilice la dirección IP del nodo de PSC.

c Cree dos grupos de aplicaciones con el puerto de supervisión 389.

Utilice la dirección IP del nodo de PSC.


VMware, Inc. 271

5 Crear servidores virtuales para los protocolos HTTPS y TCP.

a Seleccione Administrar (Manage) > Equilibrador de carga (Load Balancer) > Servidoresvirtuales (Virtual Servers).

b Cree un servidor virtual para la VIP de TCP.

c Cree un servidor virtual para la VIP de HTTPS.


VMware, Inc. 272

Otros servicios Edge 16Una puerta de enlace NSX Services ofrece agrupación de direcciones IP, asignación uno a uno dedirecciones IP estáticas y configuración de servidores DNS.

Para poder utilizar cualquiera de los servicios anteriores, debe tener una instancia de NSX Edge enfuncionamiento. Para obtener información sobre cómo configurar NSX Edge, consulte Configuración deNSX Edge.


n Administrar servicio DHCP

n Configurar retransmisión de DHCP

n Configurar servidores DNS

Administrar servicio DHCPNSX Edge admite la agrupación de direcciones IP y la asignación de direcciones IP estáticas con unacorrespondencia uno a uno. El enlace de direcciones IP estáticas se basa en el identificador de lainterfaz y el identificador del objeto administrado de vCenter del cliente que realiza la solicitud.

El servicio DHCP de NSX Edge adhiere a las instrucciones siguientes:

n Escucha en la interfaz interna de NSX Edge para la detección de DHCP.

n Utiliza la dirección IP de la interfaz interna en NSX Edge como la dirección de puerta de enlacepredeterminada para todos los clientes (excepto para los grupos conectados de forma no directa) ylos valores transmisión y máscara de subred de la interfaz interna para la red del contenedor.

Debe reiniciar el servicio DHCP en las máquinas virtuales de clientes en las situaciones siguientes:n Si cambió o eliminó un grupo DHCP, una puerta de enlace predeterminada o un servidor DNS.

n Si cambió la dirección IP interna de la instancia de NSX Edge.

Agregar un grupo de direcciones IP de DHCPEl servicio DHCP requiere un grupo de direcciones IP. Un grupo de direcciones IP es un rangosecuencial de direcciones IP dentro de la red. A las máquinas virtuales protegidas por NSX Edge que notienen una dirección vinculante se les asigna una dirección IP desde este grupo. El rango de un grupo dedirecciones IP no puede superponerse con otro, por lo que una dirección IP solo puede pertenecer a ungrupo.

VMware, Inc. 273

Procedimiento




4 Haga clic en la pestaña Administrar (Manage) y, a continuación, haga clic en la pestaña DHCP.


6 Configure el grupo.

Opción Acción

Configuración automática de DNS(Auto Configure DNS)

Seleccione esta opción para utilizar la configuración del servicio DNS para elenlace DHCP.

La concesión nunca caduca (Leasenever expires)

Seleccione esta opción para vincular la dirección MAC de la máquina virtualindefinidamente. Si selecciona esta opción, se deshabilita Tiempo de concesión(Lease Time).

IP inicial (Start IP) Escriba la dirección IP inicial del grupo.

IP final (End IP) Escriba la dirección IP final del grupo.

Nombre de dominio (Domain Name) Escriba el nombre de dominio del servidor DNS. Esto es opcional.

Servidor de nombre principal (PrimaryName Server)

Si no seleccionó Configurar automáticamente DNS (Auto Configure DNS),escriba el Servidor de nombre principal (Primary Name Server) para el servicioDNS. Debe introducir la dirección IP de un servidor DNS para la resolución dedirecciones IP a nombre de host. Esto es opcional.

Servidor de nombre secundario(Secondary Name Server)

Si no seleccionó Configurar automáticamente DNS (Auto Configure DNS),escriba el Servidor de nombre secundario (Secondary Name Server) para elservicio DNS. Debe introducir la dirección IP de un servidor DNS para laresolución de direcciones IP a nombre de host. Esto es opcional.

Puerta de enlace predeterminada(Default Gateway)

Escriba la dirección de la puerta de enlace predeterminada. Si no especificó ladirección IP de la puerta de enlace predeterminada, la interfaz interna de lainstancia de NSX Edge se toma como puerta de enlace predeterminada. Esto esopcional.

Máscara de subred (Subnet Mask) Especifique la máscara de subred. La máscara de subred debe ser la misma dela interfaz Edge o del relé DHCP, en caso de que se utilice un enrutadordistribuido.

Tiempo de concesión (Lease Time) Seleccione si desea arrendar la dirección para el cliente durante el tiempopredeterminado (1 día) o escriba un valor en segundos. No puede especificar eltiempo de concesión si seleccionó La concesión nunca caduca (Lease neverexpires). Esto es opcional.


Habilitar el servicio DHCPHabilite el servicio DHCP para permitir que NSX Edge asigne automáticamente una dirección IP a unamáquina virtual desde un grupo de direcciones IP definido.


VMware, Inc. 274

Requisitos previos

Debe haber agregado un grupo de direcciones IP de DHCP.

Procedimiento






6 Seleccione Habilitar registro (Enable logging), si es necesario, y seleccione el nivel de registro.


Pasos siguientes

Cree un grupo de direcciones IP y enlaces.

Editar un grupo de direcciones IP de DHCPPuede editar el grupo de IP de DHCP para agregar o eliminar direcciones IP.

Procedimiento





5 Seleccione un grupo de DHCP y haga clic en el icono Editar (Edit).


Agregar un enlace DHCP estáticoSi tiene servicios en ejecución en una máquina virtual y no desea modificar la dirección IP, puedeenlazarla a la dirección MAC de una máquina virtual. La dirección IP que enlace no debe superponersecon un grupo de direcciones IP.

Procedimiento




VMware, Inc. 275



5 Seleccione Enlaces (Bindings) en el panel izquierdo.


7 Configure el enlace.

Opción Acción

Configuración automática de DNS(Auto Configure DNS)

Seleccione esta opción para utilizar la configuración del servicio DNS para elenlace DHCP.

La concesión nunca caduca (Leasenever expires)

Seleccione esta opción para vincular la dirección MAC de la máquina virtualindefinidamente.

Interfaz (Interface) Seleccione la interfaz de NSX Edge que desea enlazar.

Nombre de máquina virtual (VM Name) Seleccione la máquina virtual que desea enlazar.

Índice de vNIC de máquina virtual (VMvNIC Index)

Seleccione la NIC de la máquina virtual para enlazar la dirección IP.

Nombre de host (Host Name) Escriba el nombre de host de la máquina virtual del cliente DHCP.

Dirección IP (IP Address) Escriba la dirección a la cual enlazar la dirección MAC de la máquina virtualseleccionada.

Máscara de subred (Subnet Mask) Especifique la máscara de subred. La máscara de subred debe ser la misma dela interfaz de Edge o del relé DHCP, en caso de que se utilice un enrutadordistribuido.

Nombre de dominio (Domain Name) Escriba el nombre de dominio del servidor DNS.

Servidor de nombre principal (PrimaryName Server)

Si no seleccionó Configurar automáticamente DNS (Auto Configure DNS),escriba el Servidor de nombre principal (Primary Name Server) para el servicioDNS. Debe introducir la dirección IP de un servidor DNS para la resolución dedirecciones IP a nombre de host.

Servidor de nombre secundario(Secondary Name Server)

Si no seleccionó Configurar automáticamente DNS (Auto Configure DNS),escriba el Servidor de nombre secundario (Secondary Name Server) para elservicio DNS. Debe introducir la dirección IP de un servidor DNS para laresolución de direcciones IP a nombre de host.

Puerta de enlace predeterminada(Default Gateway)

Escriba la dirección de la puerta de enlace predeterminada. Si no especificó ladirección IP de la puerta de enlace predeterminada, la interfaz interna de lainstancia de NSX Edge se toma como puerta de enlace predeterminada.

Tiempo de concesión (Lease Time) Si no seleccionó La concesión nunca caduca (Lease never expires), seleccionesi desea concesionar la dirección para el cliente durante el tiempopredeterminado (1 día) o escriba un valor en segundos.



Editar enlace DHCPPuede asignar una dirección IP estática distinta que esté ligada a una dirección MAC de una máquinavirtual.


VMware, Inc. 276

Procedimiento





5 Seleccione Enlaces (Bindings) en el panel izquierdo y haga clic en el enlace para editarlo.

6 Haga clic en el icono Editar (Edit).


Configurar retransmisión de DHCPLa retransmisión del protocolo Dynamic Host Configuration Protocol (DHCP) permite aprovechar lainfraestructura de DHCP existente en NSX sin interrupciones para la administración de direcciones IP delentorno. Los mensajes DHCP se retransmiten desde las máquinas virtuales hasta los servidores DHCPdesignados en el mundo físico. Esto permite que las direcciones IP en NSX continúen sincronizadas conlas direcciones IP de otros entornos.

La configuración de DHCP se aplica en el puerto del enrutador lógico y puede enumerar variosservidores DHCP. Las solicitudes se envían a todos los servidores enumerados. Mientras se retransmitela solicitud de DHCP desde el cliente, la retransmisión agrega una dirección IP de puerta de enlace a lasolicitud. El servidor DHCP externo utiliza esta dirección de puerta de enlace para buscar coincidenciascon un grupo y asignar una dirección IP a la solicitud. La dirección de la puerta de enlace debepertenecer a una subred del puerto NSX en el que se ejecuta la retransmisión.

Es posible especificar un servidor DHCP diferente para cada conmutador lógico y configurar variosservidores DHCP en cada enrutador lógico para proporcionar compatibilidad con varios dominios IP.

Cuando configure el grupo y el enlace en el servidor DHCP, asegúrese de que la máscara de subred delgrupo/enlace de las consultas retransmitidas sea la misma que la de la interfaz de retransmisión deDHCP. La información de la máscara de subred debe proporcionarse en la API mientras el DLR actúacomo retransmisión de DHCP entre las máquinas virtuales y la instancia de Edge que proporciona elservicio DHCP. Esta máscara de subred debe coincidir con la que está configurada en la interfaz depuerta de enlace de las máquinas virtuales en el DLR.


VMware, Inc. 277

Nota n La retransmisión de DHCP no admite la superposición del espacio de dirección IP (opción 82).

n La retransmisión de DHCP y el servicio DHCP no pueden ejecutarse en un puerto/una vNIC almismo tiempo. Si un agente de retransmisión se configura en un puerto, no se puede configurar ungrupo de DHCP en las subredes de ese puerto.

Agregar servidor de relé DHCPAgregue los servidores de relé externos a los cuales desea retransmitir los mensajes DHCP. El servidorde relé puede ser un grupo de direcciones IP, un bloque de direcciones IP, un dominio o una combinaciónde todos los anteriores. Los mensajes se retransmiten a cada uno de los servidores DHCP incluidos enel listado.

Procedimiento


2 Haga doble clic en la instancia de Edge correspondiente y asegúrese de estar en la pestañaAdministrar (Manage) > DHCP.

3 Haga clic en Editar (Edit), junto a Configuración global de relé DHCP (DHCP Relay GlobalConfiguration).


VMware, Inc. 278

4 Para agregar un grupo de direcciones IP como servidor:

a Haga clic en el icono Agregar (Add) y seleccione el grupo de direcciones IP.

b Mueva el grupo de direcciones IP seleccionado al listado Objetos seleccionados (Selected

Objects) haciendo clic en el icono .


5 Para agregar direcciones IP o nombres de dominio, escriba la dirección o el nombre en el áreacorrespondiente.


Agregar agentes de reléAgregue las interfaces Edge desde las cuales deben retransmitirse mensajes DHCP a los servidores derelé DHCP externos.

Procedimiento

1 En el área Agentes de relé DHCP (DHCP Relay Agents), haga clic en el icono Agregar (Add).

2 En vNIC, asegúrese de seleccionar una vNIC interna.

La opción Dirección IP de puerta de enlace (Gateway IP Address) muestra la dirección IP principalde la vNic seleccionada.


Configurar servidores DNSEs posible configurar servidores DNS externos a los que NSX Edge pueda retransmitir las solicitudes deresolución de nombres de los clientes. NSX Edge retransmitirá las solicitudes de las aplicaciones clientea los servidores DNS para resolver el nombre de red completo y almacenar en la memoria caché larespuesta de los servidores.

Procedimiento





5 En el panel Configuración de DNS (DNS Configuration), haga clic en Cambiar (Change).

6 Haga clic en Habilitar servicio DNS (Enable DNS Service) para habilitar el servicio DNS.

7 Introduzca las direcciones IP para los dos servidores DNS.

8 Cambie el tamaño predeterminado de la memoria caché si es necesario.


VMware, Inc. 279

9 Haga clic en Habilitar registro (Enable Logging) para registrar el tráfico de DNS y seleccionar elnivel de registro.

Los registros generados se enviarán al servidor de Syslog.



VMware, Inc. 280

Service Composer 17Service Composer permite aprovisionar y asignar los servicios de red y seguridad a las aplicaciones enuna infraestructura virtual. Estos servicios se asignan a un grupo de seguridad y se aplican a lasmáquinas virtuales del grupo de seguridad.

Grupo de seguridad

En principio, debe crear un grupo de seguridad para definir los activos que desea proteger. Los gruposde seguridad pueden ser estáticos (incluidas máquinas virtuales específicas) o dinámicos, y lapertenencia puede definirse en una o varias de las siguientes formas:

n Contenedores vCenter (clústeres, grupos de puertos o centros de datos)

n Etiquetas de seguridad, IPset, MACset o incluso otros grupos de seguridad Por ejemplo, puedeincluir un criterio para agregar al grupo de seguridad todos los miembros etiquetados con la etiquetade seguridad especificada (como AntiVirus.virusFound).

n Grupos de Active Directory (si NSX Manager se registró con Active Directory)

n Expresiones regulares, como máquinas virtuales con el nombre VM1

Tenga en cuenta que la pertenencia al grupo de seguridad cambia constantemente. Por ejemplo, unamáquina virtual que tiene la etiqueta AntiVirus.virusFound se mueve al grupo de seguridad paracuarentena. Cuando se borra el virus y se quita la etiqueta de la máquina virtual, vuelve a salir del grupode seguridad para cuarentena.

Directiva de seguridad

Una directiva de seguridad es una recopilación de las siguientes configuraciones de servicios.

Tabla 17‑1. Servicios de seguridad contenidos en una directiva de seguridad

Servicio Descripción Aplica a

Reglas defirewall

Reglas que definen el tráfico que se permitirá que circule desde, hacia o dentrodel grupo de seguridad.

vNIC

Servicio deextremo

Data Security o servicios de un proveedor de soluciones de terceros, comoservicios de administración de vulnerabilidad o antivirus.

máquinas virtuales

Servicios deintrospecciónde red

Servicios que supervisan la red, como IPS. máquinas virtuales

VMware, Inc. 281

Durante la implementación de servicios en NSX, el proveedor de soluciones de terceros selecciona lacategoría del servicio que se va a implementar. Para cada plantilla de proveedor se crea un perfil deservicios predeterminado.

Cuando los servicios del proveedor se actualizan a NSX 6.1, se crean perfiles de serviciopredeterminados para las plantillas de proveedores que se van a actualizar. Las directivas de serviciosexistentes que incluyen reglas de Guest Introspection se actualizan para establecer una referencia conlos perfiles de servicio creados durante la actualización.

Asignar una directiva de seguridad a un grupo de seguridad

Es posible asignar una directiva de seguridad (por ejemplo, DS1) a un grupo de seguridad (GS1). Losservicios configurados en DS1 se aplican a todas las máquinas virtuales que pertenecen a GS1.

Nota Si tiene muchos grupos de seguridad a los que debe aplicar la misma directiva de seguridad, creeun grupo de seguridad principal que incluya todos los grupos de seguridad secundarios y aplique ladirectiva de seguridad común al grupo principal. De este modo, se garantiza que Distributed Firewall deNSX utilice de forma eficiente la memoria del host ESXi.

Figura 17‑1. Descripción general de Service Composer

Grupo de seguridad

Si una máquina virtual pertenece a más de un grupo de seguridad, los servicios que se aplican a lamáquina virtual dependen de la prioridad de la directiva de seguridad asignada a los grupos deseguridad.

Los perfiles de Service Composer pueden exportarse e importarse como copias de seguridad o utilizarseen otros entornos. Este enfoque para la administración de servicios de red y seguridad permite laadministración de directivas de seguridad reiterativa y que se puede accionar.


n Utilizar Service Composer

n Vista gráfica de Service Composer

n Trabajar con etiquetas de seguridad

n Ver servicios efectivos

n Trabajar con directivas de seguridad

n Editar un grupo de seguridad

n Situaciones de Service Composer


VMware, Inc. 282

Utilizar Service ComposerService Composer permite consumir servicios de seguridad con facilidad.

Veamos un ejemplo para mostrar de qué modo Service Composer permite proteger la red de extremo aextremo. Imaginemos que cuenta con las siguientes directivas de seguridad definidas en su entorno:

n Una directiva de seguridad estatal inicial que incluye un servicio de examen de vulnerabilidades(InitStatePolicy).

n Una directiva de seguridad de corrección que incluye un servicio IPS de red además de reglas defirewall y un servicio antivirus (RemPolicy).

Asegúrese de que la directiva RemPolicy tenga mayor peso (prioridad) que la directiva InitStatePolicy.

También cuenta con los siguientes grupos de seguridad instalados:

n Un grupo de activos de aplicaciones que incluye las aplicaciones empresariales críticas del entorno(AssetGroup).

n Un grupo de seguridad de corrección definido por una etiqueta que indica la vulnerabilidad de lamáquina virtual (VULNERABILITY_MGMT.VulnerabilityFound.threat=medium) denominadoRemGroup.

Ahora puede asignar la directiva InitStatePolicy en el grupo de activos AssetGroup para proteger todaslas aplicaciones empresariales críticas del entorno. También puede asignar la directiva RemPolicy en elgrupo de corrección RemGroup para proteger las máquinas virtuales vulnerables.

Cuando se inicia un examen de vulnerabilidad, se examinan todas las máquinas virtuales del grupo deactivos AssetGroup. Si el examen identifica una vulnerabilidad en una máquina virtual, aplica la etiquetaVULNERABILITY_MGMT.VulnerabilityFound.threat=medium en la máquina virtual.

Service Composer agrega de inmediato la máquina virtual etiquetada en el grupo RemGroup, donde yahay una solución IPS de red para proteger esta máquina virtual vulnerable.


VMware, Inc. 283

Figura 17‑2. Service Composer en acción

Máquina virtual etiquetadaAplicación fundamental para

el negocio Grupo de seguridad

VULNERABILITY_MGMT.VulnerabilityFound.threat

=medium

Examen devulnerabilidad

Grupo de seguridadde corrección


=medium

Aplicación fundamental


=medium

Solución de partners

Solución de partners

para el negocio

En este tema ahora verá los pasos necesarios para consumir los servicios de seguridad que ofreceService Composer.

1 Crear un grupo de seguridad en Service Composer

Es posible crear un grupo de seguridad en el nivel de NSX Manager.

2 Crear una directiva de seguridad

Una directiva de seguridad es un conjunto de servicios de Guest Introspection, de firewall y deintrospección de red que se puede aplicar a un grupo de seguridad. La ponderación asociada con ladirectiva determina el orden en que se muestran las directivas de seguridad lo determina. De formapredeterminada, a una directiva nueva se le asigna la ponderación más alta para ubicarla en laparte superior de la tabla. Sin embargo, se puede modificar la ponderación sugeridapredeterminada para cambiar el orden asignado a la directiva nueva.

3 Aplicar una directiva de seguridad a un grupo de seguridad

Puede aplicar una directiva de seguridad a un grupo de seguridad para asegurar los escritoriosvirtuales, las aplicaciones esenciales del negocio y las conexiones entre ellos. También puede veruna lista de los servicios que no se aplicaron y el motivo por el cual no se los aplicó.

Crear un grupo de seguridad en Service ComposerEs posible crear un grupo de seguridad en el nivel de NSX Manager.

Procedimiento


2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, haga clic en ServiceComposer.


VMware, Inc. 284

3 Haga clic en la pestaña Grupos de seguridad (Security Groups) y, a continuación, en el iconoAgregar grupo de seguridad (Add Security Group).

4 Escriba un nombre y una descripción para el grupo de seguridad y haga clic en Siguiente (Next).

5 En la página Pertenencia dinámica (Dynamic Membership), defina los criterios que debe cumplir unobjeto para que se pueda agregar al grupo de seguridad que va a crear.

Por ejemplo, puede incluir un criterio para agregar al grupo de seguridad todos los miembrosetiquetados con la etiqueta de seguridad especificada (como AntiVirus.virusFound). Las etiquetas deseguridad distinguen entre mayúsculas y minúsculas.

Nota Si define un grupo de seguridad por las máquinas virtuales que tienen cierta etiqueta deseguridad aplicada, puede crear un flujo de trabajo dinámico o condicional. En el momento en que seaplica la etiqueta a la máquina virtual, esta se agrega automáticamente al grupo de seguridad.

O bien puede agregar al grupo de seguridad todas las máquinas virtuales que contengan el nombreW2008 y las máquinas virtuales que estén en el conmutador lógico global_wire.


7 En la página Seleccionar objetos para incluir (Select objects to include), seleccione el tipo de objetoen el menú desplegable.

8 Haga doble clic en el objeto que desea agregar a la lista para incluir. Puede incluir los siguientesobjetos en un grupo de seguridad.

n Otros grupos de seguridad para agrupar dentro del grupo de seguridad que se va a crear.

n Clúster

n Conmutador lógico

n Red

n Aplicación virtual

n Centro de datos

n Conjuntos de direcciones IP


VMware, Inc. 285

n Grupos de AD

Nota La configuración de AD para los grupos de seguridad de NSX es diferente de laconfiguración de AD para vSphere SSO. La configuración de AD de NSX está destinada ausuarios finales que acceden a las máquinas virtuales invitadas mientras que vSphere SSO espara los administradores que utilizan vSphere y NSX.

n Conjuntos de direcciones MAC

n Etiqueta de seguridad

n vNIC

n Máquina virtual

n Grupo de recursos

n Grupo de puertos virtuales distribuidos

Los objetos aquí seleccionados se incluyen siempre en el grupo de seguridad, independientementede que coincidan o no con los criterios dinámicos.

Cuando se agrega un recurso a un grupo de seguridad, todos los recursos asociados se agreganautomáticamente. Por ejemplo, cuando selecciona una máquina virtual, la vNIC asociada se agregaautomáticamente al grupo de seguridad.

9 Haga clic en Siguiente (Next) y doble clic en los objetos que desea excluir del grupo de seguridad.

Los objetos aquí seleccionados se excluyen siempre del grupo de seguridad, aunque coincidan conlos criterios dinámicos o estén seleccionados en la lista de inclusión.


La pertenencia a un grupo de seguridad se determina de la siguiente manera:

{Resultado de la expresión (derivados de Paso 5) + Inclusiones (especificadas en Paso 8} - Exclusión(especificada en Paso 9)

lo cual significa que los elementos de inclusión se agregan primero al resultado de la expresión. Acontinuación, se restan los elementos de exclusión del resultado total.

Crear una directiva de seguridadUna directiva de seguridad es un conjunto de servicios de Guest Introspection, de firewall y deintrospección de red que se puede aplicar a un grupo de seguridad. La ponderación asociada con ladirectiva determina el orden en que se muestran las directivas de seguridad lo determina. De formapredeterminada, a una directiva nueva se le asigna la ponderación más alta para ubicarla en la partesuperior de la tabla. Sin embargo, se puede modificar la ponderación sugerida predeterminada paracambiar el orden asignado a la directiva nueva.


VMware, Inc. 286

Requisitos previos

Asegúrese de que:

n Los servicios integrados de VMware requeridos (como Distributed Firewall, Data Security y GuestIntrospection) estén instalados.

n Los servicios de partners necesarios se hayan registrado con NSX Manager.

n La opción predeterminada que desee aplicar al valor se configura para las reglas del firewall deService Composer. Consulte Editar la opción "Se aplica a" (Applied to) del firewall de ServiceComposer.

Procedimiento



3 Haga clic en la pestaña Directivas de seguridad (Security Policies).

4 Haga clic en el icono Crear directiva de seguridad (Create Security Policy) ( ).

5 En el cuadro de diálogo Agregar directiva de seguridad (Add Security Policy), escriba un nombrepara la directiva de seguridad.

6 Escriba una descripción para la directiva de seguridad.

NSX asigna una ponderación predeterminada (la ponderación más alta +1.000) a la directiva. Porejemplo, si la ponderación más alta en la directiva existente es 1.200, a la directiva nueva se leasignará la ponderación 2.200.

Las directivas de seguridad se aplican según su ponderación: una directiva con ponderación másalta tiene precedencia sobre una con ponderación más baja.

7 Seleccione Heredar directiva de seguridad de directiva especificada (Inherit security policy fromspecified policy) si desea que la directiva que va a crear reciba servicios de otra directiva deseguridad. Seleccione la directiva primaria.

La directiva nueva hereda todos los servicios de la directiva primaria.



VMware, Inc. 287

9 En la página Servicios de Guest Introspection (Guest Introspection Services), haga clic en el icono

Agregar servicio de Guest Introspection (Add Guest Introspection Service) ( ).

a En el cuadro de diálogo Agregar servicio de Guest Introspection (Add Guest IntrospectionService), escriba un nombre y una descripción para el servicio.

b Especifique si desea aplicar el servicio o bloquearlo.

Cuando hereda una directiva de seguridad, puede elegir bloquear un servicio de la directivaprimaria.

Si aplica un servicio, debe seleccionar un servicio y un perfil de servicio. Si bloquea un servicio,debe seleccionar el tipo de servicio que se debe bloquear.

c Si elige bloquear el servicio, seleccione el tipo de servicio.

Si selecciona Data Security, debe haber una directiva de seguridad de datos vigente. Consulte Capítulo 19Data Security.

d Si eligió aplicar el servicio de Guest Introspection, seleccione el nombre del servicio.

Se muestra el perfil de servicio predeterminado del servicio seleccionado, que incluyeinformación sobre los tipos de funcionalidad de servicios admitidos por la plantilla de proveedorasociada.

e En Estado (State), especifique si desea habilitar el servicio de Guest Introspection odeshabilitarlo.

Puede agregar servicios de Guest Introspection como marcadores de posición para habilitar losservicios más adelante. Esto resulta particularmente útil en los casos en los que los servicios sedeben aplicar a petición (por ejemplo, aplicaciones nuevas).

f Seleccione si se debe aplicar el servicio de Guest Introspection (es decir, no se puede anular). Siel perfil de servicio seleccionado es compatible con varios tipos de funcionalidad de servicios,esto se establece en Aplicar (Enforce) de forma predeterminada y no se puede cambiar.

Si aplica un servicio de Guest Introspection en una directiva de seguridad, otras directivas queheredan esta directiva de seguridad requerirían que esta directiva se aplique antes que otrasdirectivas secundarias. Si no se aplica este servicio, una selección de herencia agregaría ladirectiva primaria una vez aplicadas las directivas secundarias.


Es posible agregar servicios de Guest Introspection adicionales con los pasos anteriores. Losservicios de Guest Introspection se pueden administrar por medio de los iconos ubicados arriba de latabla de servicios.

Si desea exportar o copiar los servicios en esta página, haga clic en el icono en la parte inferiorderecha de la página Servicios de Guest Introspection (Guest Introspection Services).



VMware, Inc. 288

11 En la página Firewall, haga clic en el icono Agregar regla de firewall (Add Firewall Rule) ( ).

Aquí define las reglas de firewall de los grupos de seguridad a los que se aplicará esta directiva deseguridad.

a Escriba un nombre y una descripción para la regla de firewall que está por agregar.

b Seleccione Permitir (Allow) o Bloquear (Block) para indicar si la regla debe permitir o bloquearel tráfico hacia el destino seleccionado.

c Seleccione el origen para la regla. De forma predeterminada, la regla se aplica al tráfico queproviene de los grupos de seguridad a los que se aplica esta directiva. Para cambiar el origenpredeterminado, haga clic en Cambiar (Change) y seleccione los grupos de seguridadadecuados.

d Seleccione el destino para la regla.

Nota El origen o el destino, o ambos, deben ser grupos de seguridad a los se aplica estadirectiva.

Supongamos que crea una regla con el Origen (Source) predeterminado, especifica el Destino(Destination) como Nómina (Payroll) y selecciona Negar destino (Negate Destination). Después,aplica esta directiva de seguridad al grupo de seguridad Ingeniería (Engineering). Esto permitiríaque Ingeniería (Engineering) acceda a todo excepto al servidor de Nómina (Payroll).

e Seleccione los servicios o los grupos de servicios a los que se aplica la regla.

f Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para especificar el estado de laregla.

g Seleccione Registrar (Log) para registrar las sesiones que coincidan con esta regla.

Si el registro se habilita, el rendimiento puede verse afectado.


Es posible agregar reglas de firewall adicionales con los pasos anteriores. Es posible administrar lasreglas de firewall por medio de los iconos ubicados arriba de la tabla de firewall.

Si desea exportar o copiar las reglas en esta página, haga clic en el icono en la parte inferiorderecha de la página Firewall.

Las reglas de firewall que agrega aquí se muestran en la tabla de firewall. VMware recomienda noeditar las reglas de Service Composer en la tabla de firewall. Si debe hacerlo para solucionarproblemas en una emergencia, debe volver a sincronizar las reglas de Service Composer con las defirewall. Para ello, seleccione Sincronizar reglas de firewall (Synchronize Firewall Rules) en elmenú Acciones (Actions) de la pestaña Políticas de seguridad (Security Policies).


La página Servicios de introspección de red (Network Introspection Services) muestra los serviciosde NetX que se integraron con el entorno virtual de VMware.


VMware, Inc. 289

13 Haga clic en el icono Agregar servicio de introspección de red (Add Network Introspection

Service) ( ).

a En el cuadro de diálogo Agregar servicio de introspección de red (Add Network IntrospectionService), escriba un nombre y una descripción para el servicio que va a agregar.

b Seleccione si desea redirigir el servicio o no.

c Seleccione el nombre y el perfil del servicio.

d Seleccione el origen y el destino.

e Seleccione el servicio de red que desea agregar.

Puede realizar selecciones adicionales según el servicio que seleccionó.

f Seleccione si desea habilitar o deshabilitar el servicio.

g Seleccione Registrar (Log) para registrar las sesiones que coincidan con esta regla.


Es posible agregar servicios de introspección de red adicionales con los pasos anteriores. Losservicios de introspección de red se pueden administrar por medio de los iconos sobre la tabla deservicios.

Si desea exportar o copiar los servicios en esta página, haga clic en el icono en la parte inferiorderecha de la página Servicios de introspección de red (Network Introspection Services).

Nota Se sobrescribirán los enlaces creados manualmente para los perfiles de servicio utilizados enlas directivas de Service Composer.


La directiva de seguridad se agrega a la tabla de directivas. Puede hacer clic en el nombre de ladirectiva y seleccionar la pestaña adecuada para ver un resumen de los servicios asociados con ladirectiva, ver los errores de servicio o editar un servicio.

Pasos siguientes

Asigne la directiva de seguridad a un grupo de seguridad.

Editar la opción "Se aplica a" (Applied to) del firewall de Service ComposerEs posible establecer la opción "Se aplica a" (Applied to) para todas las reglas del firewall creadas através de Service Composer para el Distributed Firewall o las directivas de los grupos de seguridad. Deforma predeterminada, "Se aplica a" (Applied to) se configura para el Distributed Firewall.

Cuando las reglas del firewall de Service Composer tienen una opción de "Se aplica a" (Applied to) paraconfigurar el firewall distribuido, las reglas se aplican a todos los clústeres en los que dicho firewall estéinstalado. Si se configuraron las reglas del firewall para aplicarse a los grupos de seguridad de ladirectiva, cuenta con más control granular sobre las reglas del firewall, pero puede necesitar variasdirectivas de seguridad o reglas del firewall para conseguir el resultado deseado.,


VMware, Inc. 290

Procedimiento


2 Haga clic en Redes y seguridad (Networking & Security), en Service Composer y, por último, en lapestaña Directivas de seguridad (Security Policies).

3 Haga clic en Acciones > Editar configuración de directiva de firewall (Actions > Edit FirewallPolicy Settings). Seleccione una configuración predeterminada para "Se aplica a" (Applied to) y hagaclic en Aceptar (OK).


Distributed Firewall Las reglas del firewall se aplican a todos los clústeres en los que el DistributedFirewall está instalado.

Directivas de grupos de seguridad Las reglas del firewall se aplican a los grupos de seguridad a los que se apliquela directiva de seguridad.

La configuración predeterminada de "Se aplica a" (Applied to) también se puede ver y se puedecambiar a través de la API. Consulte la Guía de NSX API.

Ejemplo: Comportamiento de "Se aplica a" (Applied to)

En este escenario de ejemplo, la acción predeterminada de la regla de firewall está configurada para elbloqueo. Existen dos grupos de seguridad: web-servers y app-servers, que contienen las máquinasvirtuales. Cree una directiva de seguridad, allow-ssh-from-web, que incluya la siguiente regla de firewall yaplíquela a app-servers del grupo de seguridad.

n Nombre: allow-ssh-from-web

n Origen: web-servers

n Destino: directivas de grupos de seguridad

n Servicio: ssh

n Acción: permitir

Si la regla de firewall se aplica al Distributed Firewall, podrá realizar la acción ssh desde una máquinavirtual en web-servers del grupo de seguridad a una máquina virtual de app-servers del grupo deseguridad.

Si la regla del firewall se aplica al grupo de seguridad de la directiva, no podrá realizar la acción ssh yaque el tráfico se bloquea para alcanzar los servidores de la aplicación. Será necesario crear una directivade seguridad adicional para permitir la acción ssh para los servidores de la aplicación y aplicar estadirectiva a web-servers del grupo de seguridad.

n Nombre: allow-ssh-to-app

n Origen: grupo de seguridad de la directiva

n Destino: app-servers

n Servicio: ssh

n Acción: permitir


VMware, Inc. 291

Aplicar una directiva de seguridad a un grupo de seguridadPuede aplicar una directiva de seguridad a un grupo de seguridad para asegurar los escritorios virtuales,las aplicaciones esenciales del negocio y las conexiones entre ellos. También puede ver una lista de losservicios que no se aplicaron y el motivo por el cual no se los aplicó.

Procedimiento



3 Haga clic en la pestaña Directiva de seguridad (Security Policy).

4 Seleccione una directiva de seguridad y haga clic en el icono Aplicar directiva de seguridad (Apply

Security Policy) ( ).

5 Seleccione el grupo de seguridad en el que desea aplicar la directiva.

Si selecciona un grupo de seguridad definido por máquinas virtuales que tienen una cierta etiquetade seguridad aplicada, puede crear un flujo de trabajo dinámico o condicional. En el momento en quese aplica la etiqueta a la máquina virtual, esta se agrega automáticamente a dicho grupo deseguridad.

Las reglas de introspección de red y las reglas de extremo asociadas con la directiva no surtiránefecto en los grupos de seguridad que contienen miembros IPSet o MacSet.

6 Haga clic en el icono Vista previa de estado del servicio (Preview Service Status) para ver losservicios que no se pueden aplicar al grupo de seguridad seleccionado y los motivos.

Por ejemplo, el grupo de seguridad puede incluir una máquina virtual que pertenece a un clúster enel que uno de los servicios de la directiva no se instaló. Debe instalar ese servicio en el clústeradecuado para que la directiva de seguridad funcione como se pretende.


Vista gráfica de Service ComposerService Composer ofrece una vista de lienzo donde se muestran todos los grupos de seguridad de lainstancia de NSX Manager seleccionada. La vista también muestra detalles como los miembros de cadagrupo de seguridad y la directiva de seguridad aplicada.

En este tema se presenta Service Composer desde un sistema parcialmente configurado de modo quese puedan visualizar las asignaciones entre los grupos de seguridad y los objetos de la directiva deseguridad en un nivel alto de la vista de lienzo.

Procedimiento



VMware, Inc. 292


3 Haga clic en la pestaña Lienzo (Canvas).

Se muestran todos los grupos de seguridad de la instancia de NSX Manager seleccionada (que noestán incluidos en otro grupo de seguridad) junto con las directivas aplicadas en ellos. El menúdesplegable NSX Manager muestra todas las instancias de NSX Manager donde tiene un rolasignado el usuario cuya sesión está iniciada actualmente.

Figura 17‑3. Vista del nivel superior del lienzo de Service Composer

Cada casilla rectangular del lienzo representa un grupo de seguridad y los iconos dentro del rectángulorepresentan los miembros del grupo de seguridad y los detalles de la directiva de seguridad asignada.

Figura 17‑4. Grupo de seguridad

El número junto a cada icono indica la cantidad de instancias; por ejemplo, indica que ese grupode seguridad tiene asignada una directiva de seguridad.


VMware, Inc. 293

Icono Haga clic para mostrar

Los grupos de seguridad anidados en el grupo de seguridad principal.

Las máquinas virtuales que actualmente forman parte del grupo de seguridad principal, así como los grupos deseguridad anidados. Haga clic en la pestaña Errores (Errors) para ver las máquinas virtuales con errores en elservicio.

Las directivas de seguridad efectivas asignadas al grupo de seguridad.n Para crear una nueva directiva de seguridad, haga clic en el icono Crear directiva de seguridad (Create Security

Policy) ( ). El objeto de la directiva de seguridad recién creada se asigna automáticamente al grupo deseguridad.

n Para asignar otras directivas de seguridad al grupo de seguridad, haga clic en el icono Aplicar directiva de

seguridad (Apply Security Policy) ( ).

Los servicios Effective Endpoint asociados con la directiva de seguridad asignada al grupo de seguridad. Imaginemosque tiene dos directivas aplicadas en un grupo de seguridad y que ambas tienen configurada la misma categoría deservicio Endpoint. El recuento de servicios Effective Endpoint en este caso es 1 (dado que se anula el segundoservicio en prioridad más baja).

Los errores en el servicio Endpoint, si los hay, se indican con un icono de alerta. Haga clic en el icono para ver elerror.

Las reglas de firewall de Effective Endpoint asociadas con la directiva de seguridad asignada al grupo de seguridad.

Los errores en el servicio, si los hay, se indican con un icono de alerta. Haga clic en el icono para ver el error.

Los servicios de introspección de red efectiva asociados con la directiva de seguridad asignada al grupo deseguridad.

Los errores en el servicio, si los hay, se indican con un icono de alerta. Haga clic en el icono para ver el error.

Haga clic en el icono para ver un cuadro de diálogo con los detalles correspondientes.

Figura 17‑5. Detalles que aparecen al hacer clic en un icono del grupo de seguridad

Puede buscar los grupos de seguridad por su nombre. Por ejemplo, si escribe PCI en el campo debúsqueda en la esquina superior derecha de la vista de lienzo, solo aparecerán los grupos de seguridadque tengan PCI en el nombre.

Para ver la jerarquía de los grupos de seguridad, haga clic en el icono Nivel superior (Top Level) ( )ubicado en la esquina superior izquierda de la ventana y seleccione el grupo de seguridad que desea

mostrar. Si un grupo de seguridad contiene grupos de seguridad anidados, haga clic en para ver losgrupos anidados. La barra superior muestra el nombre del grupo de seguridad primario y los iconos de la


VMware, Inc. 294

barra muestran la cantidad total de directivas de seguridad, servicios Endpoint, servicios de firewall yservicios de introspección de red aplicables al grupo principal. Puede desplazarse de vuelta hacia el nivel

superior: haga clic en el icono Subir un nivel (Go up one level) (icono ) ubicado en la parte superiorizquierda de la ventana.

Para hacer zoom para acercar o alejar la vista de lienzo lentamente, mueva el control deslizante delzoom en la esquina superior derecha de la ventana. El cuadro Navegador (Navigator) muestra una vistaalejada del lienzo completo. Si el lienzo es muy grande y no cabe en la pantalla, aparecerá un cuadroalrededor del área que sigue viéndose, que podrá mover para cambiar la sección del lienzo que deseamostrar.

Pasos siguientes

Ahora que vimos cómo funciona la asignación entre grupos de seguridad y directivas de seguridad,puede empezar a crear directivas de seguridad para definir los servicios de seguridad que desea aplicaren sus grupos de seguridad.

Asignar grupo de seguridad a directiva de seguridadPuede asignar el grupo de seguridad seleccionado a una directiva de seguridad.

Procedimiento

1 Seleccione la directiva de seguridad que desea aplicar en el grupo de seguridad.

2 Para crear una directiva nueva, seleccione Nuevo grupo de seguridad (New Security Group).

Consulte Crear una directiva de seguridad.


Trabajar con etiquetas de seguridadPuede ver las etiquetas de seguridad aplicadas a una máquina virtual o crear una etiqueta de seguridaddefinida por el usuario.

Ver etiquetas de seguridad aplicadasPuede ver las etiquetas de seguridad aplicadas a las máquinas virtuales del entorno.

Requisitos previos

Deberá haberse ejecutado un examen antivirus o de seguridad de datos y deberá haberse aplicado unaetiqueta en la máquina virtual correspondiente.

Nota Consulte la documentación de la solución de terceros para ver los detalles de las etiquetas queaplican estas soluciones.


VMware, Inc. 295

Procedimiento




4 Haga clic en la pestaña Etiquetas de seguridad (Security Tags).

Se muestra una lista de etiquetas aplicadas al entorno, junto con los detalles de las máquinasvirtuales en las que se aplicaron esas etiquetas. Anote el nombre exacto de la etiqueta si deseaagregar un grupo de seguridad para incluir máquinas virtuales con una etiqueta específica.

5 Haga clic en la cantidad en la columna Recuento de máquinas virtuales (VM Count) para ver lasmáquinas virtuales en las que se aplicó la etiqueta de esa fila.

Agregar una etiqueta de seguridadEs posible agregar manualmente una etiqueta de seguridad y aplicarla a una máquina virtual. Esto esparticularmente útil cuando se utiliza una solución que no es de NETX en el entorno y, por lo tanto, no sepueden registrar las etiquetas de la solución con NSX Manager.

Requisitos previos

Procedimiento





5 Haga clic en el icono Nueva etiqueta de seguridad (New Security Tag) ( ).

6 Escriba un nombre y una descripción para la etiqueta, y haga clic en Aceptar (OK).

Asignar una etiqueta de seguridadAdemás de crear un flujo de trabajo condicional con una etiqueta de seguridad dinámica basada enpertenencia, es posible asignar manualmente una etiqueta de seguridad a una máquina virtual.

Procedimiento




VMware, Inc. 296



5 Seleccione una etiqueta de seguridad y haga clic en el icono Asignar etiqueta de seguridad

(Assign Security Tag) .

6 Seleccione una o varias máquinas virtuales y haga clic en Aceptar (OK).

Editar una etiqueta de seguridadEs posible editar una etiqueta de seguridad definida por el usuario. Si un grupo de seguridad se basa enla etiqueta que está editando, los cambios en la etiqueta pueden afectar la pertenencia al grupo deseguridad.

Procedimiento





5 Seleccione una etiqueta de seguridad y haga clic en el icono Editar etiqueta de seguridad (Edit

Security Tag) ( ).


Eliminar una etiqueta de seguridadEs posible eliminar una etiqueta de seguridad definida por el usuario. Si un grupo de seguridad estábasado en la etiqueta que va a eliminar, los cambios en la etiqueta pueden afectar la pertenencia algrupo de seguridad.

Procedimiento





5 Seleccione una etiqueta de seguridad y haga clic en el icono Eliminar etiqueta de seguridad

(Delete Security Tag) ( ).


VMware, Inc. 297

Ver servicios efectivosPuede ver los servicios efectivos en un objeto de una directiva de seguridad o en una máquina virtual.

Ver servicios efectivos en una directiva de seguridadPuede ver los servicios efectivos en una directiva de seguridad, incluidos los servicios heredados de unadirectiva primaria.

Procedimiento




4 Haga clic en una directiva de seguridad en la columna Nombre (Name).

5 Asegúrese de estar en la pestaña Administrar (Manage) > Seguridad de la información(Information Security).

Cada una de las tres pestañas (Servicios Endpoint [Endpoint Services], Firewall, y Servicios deintrospección de red [Network Introspection Services]) muestra los correspondientes servicios de ladirectiva de seguridad.

Los servicios que no están efectivos aparecen atenuados. La columna Anulados (Overridden) muestralos servicios que en efecto se aplicaron a la directiva de seguridad y la columna Heredados de (Inheritedfrom) muestra la directiva de seguridad de la cual se heredan los servicios.

Ver errores de servicios en una directiva de seguridadPuede ver los servicios asociados con una directiva de seguridad que no pudo aplicarse a los grupos deseguridad asignados a la directiva.

Procedimiento




4 Haga clic en una directiva de seguridad en la columna Nombre (Name).

5 Asegúrese de estar en la pestaña Supervisar (Monitor) > Errores del servicio (Service Errors).

Si hace clic en el vínculo de la columna Estado (Status), llegará a la página Implementación delservicio (Service Deployment), donde puede corregir los errores del servicio.


VMware, Inc. 298

Ver servicios efectivos en una máquina virtualPuede ver los servicios efectivos en una máquina virtual. Si se están aplicando varias directivas deseguridad en una máquina virtual (es decir, la máquina virtual integra varios grupos de seguridad condirectivas asignadas), entonces esta vista enumerará todos los servicios efectivos en estas directivas, enel orden en que se aplicaron. La columna del estado del servicio muestra el estado de cada servicio.

Procedimiento


2 Haga clic en vCenter y, a continuación, en Máquinas virtuales (Virtual Machines).

3 Haga clic en una máquina virtual de la columna Nombre (Name).

4 Asegúrese de estar en la pestaña Supervisar (Monitor) > Service Composer.

Trabajar con directivas de seguridadUna directiva de seguridad es un grupo de servicios de red y seguridad.

Los siguientes servicios de red y seguridad pueden agruparse en una directiva de seguridad:

n Servicios Endpoint: seguridad de datos, antivirus y administración de vulnerabilidades.

n Reglas de Distributed Firewall.

n Servicios de introspección de red: IPS de red y análisis forense de la red.

Administrar la prioridad de las directivas de seguridadLas directivas de seguridad se aplican según su ponderación: una directiva con ponderación más altatiene más prioridad. Cuando mueve una directiva hacia arriba o abajo en la tabla, la ponderación seajusta acorde al movimiento.

Se pueden aplicar varias directivas de seguridad a una máquina virtual, ya sea porque el grupo deseguridad que contiene la máquina virtual está asociado con varias directivas o porque la máquina virtuales parte de varios grupos de seguridad asociados con distintas directivas. Si hay un conflicto entre losservicios agrupados con cada directiva, la ponderación de la directiva determina los servicios que seaplicarán a la máquina virtual. Por ejemplo, supongamos que la directiva 1 bloquea el acceso a Internet ytiene un valor de ponderación de 1000, mientras que la directiva 2 permite el acceso a Internet y tiene unvalor de ponderación de 2000. En este caso en particular, la directiva 2 tiene mayor ponderación y, por lotanto, la máquina virtual podrá acceder a Internet.

Procedimiento





VMware, Inc. 299

4 Haga clic en el icono Administrar precedencia (Manage Precedence) ( ).

5 En el cuadro de diálogo Administrar precedencia (Manage Precedence), seleccione la directiva deseguridad a la que desea modificarle la precedencia y haga clic en el icono Mover hacia arriba(Move Up) ( ) o Mover hacia abajo (Move Down) ( ).


Editar directiva de seguridadEs posible editar el nombre o la descripción de una directiva de seguridad, al igual que las reglas y losservicios asociados.

Procedimiento




4 Seleccione la directiva de seguridad que desea editar y haga clic en el icono Editar directiva de

seguridad (Edit Security Policy) ( ).

5 En el cuadro de diálogo Editar directiva de seguridad (Edit Security Policy), realice los cambiosadecuados y haga clic en Finalizar (Finish).

Eliminar una directiva de seguridadEs posible eliminar una directiva de seguridad.

Procedimiento




4 Seleccione la directiva de seguridad que desea eliminar y haga clic en el icono Eliminar directiva de

seguridad (Delete Security Policy) ( ).

Editar un grupo de seguridadEs posible editar un grupo de seguridad.

Procedimiento



VMware, Inc. 300


3 Haga clic en la pestaña Grupos de seguridad (Security Groups).

4 Seleccione el grupo de seguridad que desea editar y haga clic en el icono Editar grupo deseguridad (Edit Security Group).


Situaciones de Service ComposerEsta sección muestra algunas situaciones hipotéticas para Service Composer. Se da por sentado que aladministrador de cada situación se le asignó el rol Administrador de seguridad.

Situación de máquinas infectadas en cuarentenaService Composer puede identificar si hay sistemas infectados en la red con soluciones antivirus deterceros y ponerlos en cuarentena para evitar otras infecciones.

Nuestro caso de muestra explica cómo proteger los escritorios de extremo a extremo.

Figura 17‑6. Configurar Service Composer

Crear directiva de seguridadpara examinar escritorios

(DesktopPolicy)

Crear directiva de seguridadpara aislar sistemas infectados

(QuarantinePolicy)

Crear directiva de seguridad para máquinas virtuales

infectadas (QuarantinePolicy)

Crear directivade seguridad para

escritorios

Asignar QuarantinePolicy aQuarantineSecurityGroup

Tareas del administrador

Ejecutar exploración

del partner

Asignar DesktopPolicy aDesktopSecurityGroup

(DesktopPolicy)

de soluciones

Figura 17‑7. Flujo de trabajo condicional de Service Composer

Tareas del administrador Acción automática deService Composer

Exploraciónde administración

de vulnerabilidades

máquina virtual

vulnerable etiquetada

máquina virtual etiquetadaagregada instantáneamente a

QuarantineSecurityGroup

máquina virtual enQuarantineSecurityGroup

protegida con IPSvulnerable

Requisitos previos

Estamos al tanto de que las etiquetas de Symantec infectaron las máquinas virtuales con la etiquetaAntiVirus.virusFound.

Procedimiento

1 Instale, registre e implemente la solución Symantec Antimalware.


VMware, Inc. 301

2 Cree una directiva de seguridad para los escritorios.

a Haga clic en la pestaña Directivas de seguridad (Security Policies) y, a continuación, en elicono Agregar directiva de seguridad (Add Security Policy).

b En Nombre (Name), escriba DesktopPolicy.

c En Descripción (Description), escriba Antivirus scan for all desktops.

d Cambie el promedio a 51.000. La prioridad de la directiva se establece como alta para garantizarque se aplique antes que las demás directivas.

e Haga clic en Siguiente (Next).

f En la página Agregar servicio de extremo (Add Endpoint Service), haga clic en y complete lossiguientes valores.

Opción Valor

Acción (Action) No modifique el valor predeterminado

Tipo de servicio (Service Type) Antivirus

Nombre del servicio (Service Name) Symantec Antimalware

Configuración del servicio (ServiceConfiguration)

Silver

Estado (State) No modifique el valor predeterminado

Aplicar (Enforce) No modifique el valor predeterminado

Nombre (Name) AV del escritorio

Descripción (Description) Directiva obligatoria para aplicar en todos los escritorios.


h No agregue ningún servicio de introspección de red o firewall y haga clic en Finalizar (Finish).

3 Cree una directiva de seguridad para las máquinas virtuales infectadas.

a Haga clic en la pestaña Directivas de seguridad (Security Policies) y, a continuación, en elicono Agregar directiva de seguridad (Add Security Policy).

b En Nombre (Name), escriba QuarantinePolicy.

c En Descripción (Description), escriba Policy to be applied to all infected systems.

d No cambie el promedio predeterminado.


f En la página Agregar servicio de extremo (Add Endpoint Service), no realice ninguna acción yhaga clic en Siguiente (Next).

g En Firewall, agregue tres reglas: una para bloquear todo el tráfico saliente, la siguiente parabloquear todo el tráfico con los grupos y la última para permitir el tráfico entrante solo desde lasherramientas de corrección.

h No agregue ningún servicio de introspección de red y haga clic en Finalizar (Finish).


VMware, Inc. 302

4 Mueva QuarantinePolicy al principio de la tabla de directivas de seguridad para garantizar que seaplique antes que las demás directivas.

a Haga clic en el icono Administrar prioridades (Manage Priority).

b Seleccione QuarantinePolicy y haga clic en el icono Subir (Move Up).

5 Cree un grupo de seguridad para todos los escritorios del entorno.


b Haga clic en Redes y seguridad (Networking & Security) y, a continuación, haga clic en ServiceComposer.

c Haga clic en la pestaña Grupos de seguridad (Security Groups) y, a continuación, en el iconoAgregar grupo de seguridad (Add Security Group).

d En Nombre (Name), escriba DesktopSecurityGroup.

e En Descripción (Description), escriba All desktops.

f Haga clic en Siguiente (Next) en las próximas páginas.

g Revise sus selecciones en la página Listo para finalizar (Ready to Complete) y haga clic enFinalizar (Finish).

6 Cree un grupo de seguridad para cuarentena donde colocará las máquinas virtuales infectadas.

a Haga clic en la pestaña Grupos de seguridad (Security Groups) y, a continuación, en el iconoAgregar grupo de seguridad (Add Security Group).

b En Nombre (Name), escriba QuarantineSecurityGroup.

c En Descripción (Description), escribaDynamic group membership based on infected VMs identified by the antivirus

scan.

d En la página Definir criterios de pertenencia (Define membership Criteria), haga clic en yagregue los siguientes criterios.

e No realice ninguna acción en las páginas Seleccionar objetos para incluir (Select objects toinclude) o Seleccionar objetos para excluir (Select objects to exclude) y haga clic en Siguiente(Next).

f Revise sus selecciones en la página Listo para finalizar (Ready to Complete) y haga clic enFinalizar (Finish).


VMware, Inc. 303

7 Asigne la directiva DesktopPolicy al grupo de seguridad DesktopSecurityGroup.

a En la pestaña Directivas de seguridad (Security Policies), asegúrese de que se hayaseleccionado la directiva DesktopPolicy.

bHaga clic en el icono Aplicar directiva de seguridad (Apply Security Policy) ( ) y seleccioneel grupo SG_Desktops.


Esta asignación garantiza que todos los escritorios (parte de DesktopSecurityGroup) seanalicen al activar un análisis antivirus.

8 Desplácese hasta la vista de lienzo para confirmar que QuarantineSecurityGroup aún no incluyaninguna máquina virtual.

a Haga clic en la pestaña Seguridad de la información (Information Security).

b

Confirme que haya 0 máquinas virtuales en el grupo ( )

9 Asigne QuarantinePolicy a QuarantineSecurityGroup.

Esta asignación garantiza que no circule tráfico hacia los sistemas infectados.

10 Desde la consola de Symantec Antimalware, active una exploración en la red.

La exploración detecta las máquinas virtuales infectadas y les asigna la etiqueta de seguridadAntiVirus.virusFound. Las máquinas virtuales etiquetadas se agregan de inmediato aQuarantineSecurityGroup. La directiva QuarantinePolicy permite que no circule tráfico por lossistemas infectados.

Realizar copias de seguridad de la configuración de seguridadService Composer puede ser una herramienta sumamente útil para realizar una copia de seguridad de laconfiguración de seguridad y restaurarla en otro momento.

Procedimiento

1 Instale, registre e implemente la solución Rapid 7 Vulnerability Management.

2 Cree un grupo de seguridad para el primer nivel de la aplicación SharePoint, los servidores web.


b Haga clic en Redes y seguridad (Networking & Security) y, a continuación, haga clic en ServiceComposer.

c Haga clic en la pestaña Grupos de seguridad (Security Groups) y, a continuación, en el iconoAgregar grupo de seguridad (Add Security Group).

d En Nombre (Name), escriba SG_Web.

e En Descripción (Description), escriba Security group for application tier.


VMware, Inc. 304

f No realice ningún cambio en la página Definir criterios de pertenencia (Define membershipCriteria) y haga clic en Siguiente (Next).

g En la página Seleccionar objetos para incluir (Select objects to include), seleccione las máquinasvirtuales del servidor web.

h No realice ningún cambio en la página Seleccionar objetos para excluir (Select objects toexclude) y haga clic en Siguiente (Next).

i Revise sus selecciones en la página Listo para finalizar (Ready to Complete) y haga clic enFinalizar (Finish).

3 Ahora, cree un grupo de seguridad para la base de datos y uno para los servidores SharePointServer, y asígneles los nombres SG_Database y SG_Server_SharePoint, respectivamente. Incluyalos objetos apropiados en cada grupo.

4 Cree un grupo de seguridad de nivel superior para los niveles de aplicación y asígnele el nombreSG_App_Group. Agregue SG_Web, SG_Database y SG_Server_SharePoint a este grupo.

5 Cree una directiva de seguridad para los servidores web.

a Haga clic en la pestaña Directivas de seguridad (Security Policies) y, a continuación, en el iconoAgregar directiva de seguridad (Add Security Policy).

b En Nombre (Name), escriba SP_App.

c En Descripción (Description), escriba SP for application web servers.

d Cambie el peso a 50000. La prioridad de la directiva es bastante alta para garantizar que seaplique por sobre la mayoría de las otras directivas (a excepción de la cuarentena).


f En la página Servicios Endpoint (Endpoint Services), haga clic en (Agregar) y complete lossiguientes valores.

Opción Valor

Acción (Action) No modifique el valor predeterminado

Tipo de servicio (Service Type) Administración de la vulnerabilidad

Nombre del servicio (Service Name) Rapid 7

Configuración del servicio (ServiceConfiguration)

Silver

Estado (State) No modifique el valor predeterminado

Aplicar (Enforce) No modifique el valor predeterminado

g No agregue ningún servicio de introspección de red o firewall y haga clic en Finalizar (Finish).

6 Asigne SP_App a SG_App_Group.


VMware, Inc. 305

7 Desplácese hasta la vista de lienzo para confirmar que SP_App se haya asignado a SG_App_Group.

a Haga clic en la pestaña Seguridad de la información (Information Security).

bHaga clic en el número junto al icono para ver si se asignó SP_App.

8 Exporte la directiva SP_App.

a Haga clic en la pestaña Directivas de seguridad (Security Policies) y seleccione el icono

Exportar plano técnico (Export Blueprint) .

b En Nombre (Name), escriba Template_ App_ y, en Prefijo (Prefix), escriba FromAppArchitect.

c Haga clic en Siguiente (Next).

d Seleccione la directiva SP_App y haga clic en Siguiente (Next).

e Revise las selecciones y haga clic en Finalizar (Finish).

f Seleccione el directorio de su equipo donde desea descargar el archivo exportado y haga clic enGuardar (Save).

Se exportará la directiva de seguridad junto con todos los grupos de seguridad en los que se aplicóesta directiva (en este caso, el grupo de seguridad Aplicación [Application] y los tres grupos deseguridad anidados en él).

9 Para probar el funcionamiento de la directiva exportada, elimine la directiva SP_App.

10 A continuación, restaure la directiva Template_ App_ DevTest que exportó en el paso 7.

a Haga clic en Acciones (Actions) y, a continuación, haga clic en el icono Importar configuraciónde servicios (Import Service Configuration).

b Seleccione el archivo FromAppArtchitect_Template_App en el escritorio (lo guardó en el paso7).

c Haga clic en Siguiente (Next).

d La página Listo para finalizar (Ready to complete) muestra las directivas de seguridad, junto conlos objetos asociados (grupos de seguridad en los que se han aplicado estas directivas, ademásde servicios de extremo, reglas de firewall y servicios de introspección de red) que se importarán.

e Haga clic en Finalizar (Finish).

La configuración y los objetos asociados se importarán al inventario de vCenter y se podrán veren la vista de lienzo.


VMware, Inc. 306

Guest Introspection 18Guest Introspection descarga el procesamiento antivirus y antimalware en un dispositivo virtual protegidoy exclusivo que ofrecen los partners de VMware. Dado que el dispositivo virtual protegido (a diferencia deuna máquina virtual invitada) no se desconecta, puede actualizar continuamente firmas antivirus y, deeste modo, ofrecer protección ininterrumpida para las máquinas virtuales del host. Asimismo, las nuevamáquinas virtuales (o las existentes que se desconectaron) quedan protegidas de inmediato con lasfirmas antivirus más actuales al volver a conectarse.

El estado de mantenimiento de Guest Introspection se transmite mediante el uso de alarmas queaparecen en rojo en la consola de vCenter Server. Por otra parte, puede recopilarse más información delestado desde los registros de eventos.

Importante La instancia de vCenter Server debe estar correctamente configurada para la seguridad deGuest Introspection:n Guest Introspection no admite todos los sistemas operativos invitados. Las máquinas virtuales con

sistemas operativos no compatibles no quedan protegidas por la solución de seguridad.

n Todos los hosts del grupo de recursos que contienen máquinas virtuales protegidas deben estarpreparados para Guest Introspection, de modo que las máquinas virtuales sigan protegidas cuandose las mueva mediante vMotion desde un host ESX a otro dentro del grupo de recursos.

Este capítulo incluye los siguientes temas:n Instalar Guest Introspection

n Ver el estado de Guest Introspection

n Alarmas de Guest Introspection

n Eventos de Guest Introspection

n Mensajes de auditoría de Guest Introspection

n Recopilar información para solucionar problemas de Guest Introspection

n Desinstalar un módulo de Guest Introspection

VMware, Inc. 307

Instalar Guest IntrospectionAl instalar Guest Introspection se instalan automáticamente un nuevo VIB y una máquina virtual deservicio en cada host del clúster. Se requiere Guest Introspection para NSX Data Security, ActivityMonitoring y varias soluciones de seguridad de terceros.

Para instalar Auto Deploy en hosts sin estado, debe reiniciar manualmente la máquina virtual de servicio(SVM) de NSX for vSphere 6.x después de reiniciar un host ESXi. Para obtener más información,consulte el artículo http://kb.vmware.com/kb/2120649 de la base de conocimientos.

Precaución En un entorno VMware NSX for vSphere 6.x, cuando se migra una máquina virtual deservicio (SVM) (vMotion/SvMotion), pueden aparecer los siguientes síntomas:

n Una interrupción en el servicio (máquina virtual de carga de trabajo) para el que la máquina virtual deservicio (SVM) proporciona información.

n Error en el host ESXi con una pantalla de diagnóstico púrpura que contiene backtraces similares a:

@BlueScreen: #PF Exception 14 in world wwww:WorldName IP 0xnnnnnnnn addr 0x0

PTEs:0xnnnnnnnn;0xnnnnnnnn;0x0;

0xnnnnnnnn:[0xnnnnnnnn]VmMemPin_DecCount@vmkernel#nover+0x1b

0xnnnnnnnn:[0xnnnnnnnn]VmMemPinUnpinPages@vmkernel#nover+0x65

0xnnnnnnnn:[0xnnnnnnnn]VmMemPin_ReleaseMainMemRange@vmkernel#nover+0x6

0xnnnnnnnn:[0xnnnnnnnn]P2MCache_ReleasePages@vmkernel#nover+0x2a

0xnnnnnnnn:[0xnnnnnnnn][email protected]#v2_2_0_0+0x34

Este es un problema conocido que afecta a los hosts de VMware ESXi 5.5.x y 6.x. Como soluciónalternativa al problema, no migre de forma manual una máquina virtual de servicio (SVM)(vMotion/SvMotion) a otro host ESXi en el clúster. Para migrar una máquina virtual de servicio a otroalmacén de datos (svMotion), VMware recomienda hacer una migración en frío. Para ello, apague lamáquina virtual de servicio y, a continuación, realice la migración a otro almacén de datos.

Requisitos previos

Las instrucciones de instalación a continuación dan por sentado que se cuenta con el siguiente sistema:

n Un centro de datos con versiones compatibles de vCenter Server y ESXi instalado en cada host delclúster.

n Si los hosts de los clústeres se actualizaron de vCenter Server versión 5.0 a la versión 5.5, debeabrir los puertos 80 y 443 en esos hosts.

n Los hosts del clúster donde quiere instalar Guest Introspection deben estar preparados para NSX.Consulte cómo preparar el clúster del host para NSX (Prepare the Host Cluster for NSX) en Guía deinstalación de NSX. Guest Introspection no puede instalarse en hosts independientes. Si utiliza NSXpara implementar y administrar Guest Introspection solo para la capacidad de descarga antivirus, noes necesario que prepare los hosts para NSX, acción que no está permitida por la licencia de NSXpara vShield Endpoint.

n NSX Manager 6.2 instalado y en ejecución.


VMware, Inc. 308


n Asegúrese de que NSX Manager y los hosts preparados que ejecuten los servicios de GuestIntrospection estén vinculados con el mismo servidor NTP y que la hora esté sincronizada. Un erroral realizar esta acción puede provocar que las máquinas virtuales no estén protegidas por losservicios de antivirus, aunque el estado del clúster aparezca en verde para Guest Introspection ycualquier servicio de terceras partes.

Si se agrega un servidor NTP, VMware recomienda que se vuelva a implementar Guest Introspectiony cualquier servicio de terceras partes.

Si desea asignar una dirección IP a la máquina virtual de servicio de Guest Introspection desde un grupode IP, cree el grupo de IP antes de instalar NSX Guest Introspection. Consulte cómo trabajar con gruposIP en la Guía de administración de NSX.

vSphere Fault Tolerance no funciona con Guest Introspection.

Procedimiento

1 En la pestaña Instalación (Installation), haga clic en Implementaciones de servicios (ServiceDeployments).

2 Haga clic en el icono Nueva implementación de servicios (New Service Deployment) ( ).

3 En el cuadro de diálogo Implementar servicios de red y seguridad (Deploy Network and SecurityServices), seleccione Guest Introspection.

4 En Especificar programación (Specify schedule) (en la parte inferior del cuadro de diálogo),seleccione Implementar ahora (Deploy now) para implementar Guest Introspection en cuanto estéinstalado, o bien seleccione una fecha y una hora para la implementación.


6 Seleccione el centro de datos y los clústeres donde desea instalar Guest Introspection y haga clic enSiguiente (Next).

7 En la página Seleccionar red de administración y almacenamiento (Select storage and ManagementNetwork), seleccione el almacén de datos donde desea agregar el almacenamiento de las máquinasvirtuales de servicio, o bien seleccione Especificado en el host (Specified on host). Se recomiendautilizar las redes y los almacenes de datos compartidos en lugar de la opción "Especificado en elhost" (Specified on host) de modo que los flujos de trabajo de la implementación se automaticen.

El almacén de datos seleccionado debe estar disponible en todos los hosts del clúster elegido.

Si seleccionó Especificado en el host (Specified on host), siga los pasos a continuación para cadahost del clúster.

a En la página de inicio de vSphere Web Client, haga clic en vCenter y, a continuación, en Hosts.

b Haga clic en un host en la columna Nombre (Name) y, a continuación, en la pestañaAdministrar (Manage).

c Haga clic en Configuración de la máquina virtual del agente (Agent VM Settings) y en Editar(Edit).


VMware, Inc. 309

d Seleccione el almacén de datos y haga clic en Aceptar (OK).

8 Seleccione el grupo de puertos virtuales distribuidos donde se alojará la interfaz de administración. Sise estableció el almacén de datos en la opción Especificado en el host (Specified on host), la redtambién debe establecerse en la opción Especificado en el host.

El grupo de puertos seleccionado debe poder comunicarse con el grupo de puertos de NSX Managery estar disponible en todos los hosts del clúster seleccionado.

Si seleccionó Especificado en el host (Specified on host), siga los subpasos del paso 7 paraseleccionar una red del host. Para agregar un host (o varios hosts) al clúster, el almacén de datos yla red deben establecerse antes de agregar cada host al clúster.

9 En la asignación de direcciones IP, seleccione una de las siguientes opciones:

Seleccionar Para

DHCP Asignar una dirección IP a la máquina virtual de servicio de NSX GuestIntrospection mediante el protocolo de configuración dinámica de host (DHCP).Seleccione esta opción si los hosts se encuentran en diferentes subredes.

Grupo de direcciones IP Asignar una dirección IP a la máquina virtual de servicio de NSX GuestIntrospection a partir del grupo de direcciones IP seleccionado.

10 Haga clic en Siguiente (Next) y, a continuación, en Finalizar (Finish) en la página Listo para finalizar

(Ready to complete).

11 Supervise la implementación hasta que la columna Estado de instalación (Installation Status)muestre Correcto (Succeeded).

12 Si la columna Estado de instalación (Installation Status) muestra Con errores (Failed), haga clic enel icono junto a Con errores. Se muestran todos los errores de implementación. Haga clic enResolver (Resolve) para solucionar los errores. En algunos casos, al resolver los errores aparecenotros nuevos. Realice la acción requerida y haga clic de nuevo en Resolver (Resolve).

Pasos siguientes

Instale VMware Tools en las máquinas virtuales invitadas.

Instalar VMware Tools en las máquinas virtuales invitadasVMware Tools incluye NSX Thin Agent, que se debe instalar en cada máquina virtual invitada comoprotección. Las máquinas virtuales con VMware Tools instalado quedan automáticamente protegidascuando se inician en un host ESX con la solución de seguridad instalada. Es decir, las máquinas virtualesprotegidas mantienen la protección de seguridad durante los apagados y reinicios e incluso después deltraslado de vMotion a otro host ESX con la solución de seguridad instalada.


VMware, Inc. 310

Requisitos previos

Asegúrese de que una máquina virtual invitada tenga ESX 5.1 o posterior y una versión compatible deWindows instalada. Los sistemas operativos de Windows siguientes son compatibles con NSX GuestIntrospection:

n Windows Vista (32 bit)

n Windows 7 (32/64 bit)

n Windows XP SP3 y posteriores (32 bit)

n Windows 2003 SP2 y posteriores (32/64 bit)

n Windows 2003 R2 (32/64 bit)

n Windows 2008 (32/64 bit)

n Windows 2008 R2 (64 bit)

n Windows 8 (32/64) -- a partir de vSphere 5.5 y posteriores

n Win2012 (64) -- a partir de vSphere 5.5 y posteriores

n Windows 8.1 (32/64) -- a partir de vSphere 5.5 Revisión 2 y posteriores

n Win2012 R2 (64) -- a partir de vSphere 5.5 Revisión 2 y posteriores

Procedimiento

1 Siga el procedimiento Instalar o actualizar VMware Tools en una máquina virtual de Windows deforma manual.

2 Después de seleccionar configuración Personalizada (Custom) en el paso 7, expanda la secciónControlador de VMCI (VMCI Driver), seleccione Controladores de vShield (vShield Drivers) yseleccione Esta característica se instalará en el disco duro local (This feature will be installed onthe local hard drive).

3 Siga los pasos restantes del procedimiento.

Ver el estado de Guest IntrospectionLa supervisión de una instancia de Guest Introspection implica verificar el estado de los componentes deGuest Introspection: la máquina virtual de seguridad (SVM), el módulo de Guest Introspection que resideen el host ESX y la instancia de Thin Agent que reside en la máquina virtual protegida.

Procedimiento

1 En vSphere Web Client, haga clic en vCenter y, a continuación, en Centros de datos (Datacenters).

2 En la columna Nombre (Name), haga clic en un centro de datos.


VMware, Inc. 311

3 Haga clic en Supervisar (Monitor) y en Endpoint (Extremo).

La página Estado y alarmas de Guest Introspection (Guest Introspection Health and Alarms) muestrael estado de los objetos del centro de datos seleccionado, así como las alarmas activas. Los cambiosen el estado de mantenimiento se ven reflejados al minuto de ocurrido el evento que activó elcambio.

Alarmas de Guest IntrospectionLas alarmas indican al administrador de vCenter Server los eventos de Guest Introspection querequieren atención. Las alarmas se cancelan automáticamente en caso de que el estado de la alarma yano esté presente.

Las alarmas de vCenter Server pueden mostrarse sin un complemento personalizado de vSphere.Consulte la Guía de administración de vCenter Server sobre eventos y alarmas.

Tras registrarse como una extensión de vCenter Server, NSX Manager define las reglas que crean yeliminan alarmas, en función de los eventos provenientes de los tres componentes de GuestIntrospection: SVM, módulo de Guest Introspection y Thin Agent. Las reglas pueden personalizarse. Paraobtener instrucciones sobre cómo crear nuevas reglas personalizadas para las alarmas, consulte ladocumentación de vCenter Server. En algunos casos, hay varias causas posibles para la alarma. En lastablas que figuran a continuación se enumeran las posibles causas y las acciones correspondientes paracorregirlas.

Alarmas de hostLos eventos que afectan el estado de mantenimiento del módulo Guest Introspection generan alarmas dehost.

Tabla 18‑1. Errores (marcados en rojo)

Causa posible Acción

El módulo Guest Introspection se instaló en el host,pero ya no informa el estado a NSX Manager.

1 Asegúrese de que Guest Introspection se esté ejecutando. Para ello,inicie sesión en el host y escriba elcomando /etc/init.d/vShield-Endpoint-Mux start.

2 Asegúrese de que la red se haya configurado correctamente paraque Guest Introspection pueda conectarse a NSX Manager.

3 Reinicie NSX Manager.

Alarmas de SVMLas alarmas de SVM son generadas por eventos que afectan el estado de mantenimiento de SVM.


VMware, Inc. 312

Tabla 18‑2. Alarmas rojas de SVM

Problema Acción

No coincide la versión del protocolo con el módulode Guest Introspection.

Asegúrese de que el módulo de Guest Introspection y SVM tengan unprotocolo compatible con cada uno.

Guest Introspection no pudo establecer unaconexión con SVM.

Asegúrese de que SVM esté encendida y que la red esté configuradacorrectamente.

La SVM no informa su estado aunque los invitadosestán conectados.

Error interno. Póngase en contacto con su representante de soportetécnico de VMware.

Eventos de Guest IntrospectionLos eventos se utilizan para las condiciones de registro y auditoría dentro del sistema de seguridadbasado en Guest Introspection.

Los eventos pueden mostrarse sin un complemento personalizado de vSphere. Consulte la Guía deadministración de vCenter Server sobre eventos y alarmas.

Los eventos son la base de las alarmas que se generan. Tras registrarse como una extensión de vCenterServer, la instancia de NSX Manager define las reglas que crean y eliminan alarmas.

Algunos argumentos comunes de todos los eventos son la marca de tiempo del evento y el event_id deNSX Manager.

En la siguiente tabla se enumeran los eventos de Guest Introspection informados por la SVM y NSXManager.

Tabla 18‑3. Eventos de Guest Introspection

Descripción Gravedad Argumentos de VC

La solución de Guest Introspection SolutionName está habilitada. Laversión compatible versionNumber del protocolo VFile.

info marca de tiempo

El módulo de ESX está habilitado. info marca de tiempo

El módulo de ESX está desinstalado. info marca de tiempo

NSX Manager perdió la conexión con el módulo de ESX. info marca de tiempo

La solución de Guest Introspection SolutionName se puso en contactocon una versión no compatible del módulo de ESX.

error marca de tiempo, versión de lasolución, versión del módulo deESX

Se produjo un error en la conexión entre el módulo de ESX ySolutionName.

error marca de tiempo, versión delmódulo de ESX, versión de lasolución

Guest Introspection no se pudo conectar a la SVM. error marca de tiempo

Guest Introspection perdió la conexión con la SVM. error marca de tiempo


VMware, Inc. 313

Mensajes de auditoría de Guest IntrospectionLos mensajes de auditoría incluyen errores irrecuperables y otros mensajes importantes de auditoría, yse registran en vmware.log.

Las siguientes condiciones se registran como mensajes de auditoría (AUDIT):

n Inicialización correcta de Thin Agent (y número de versión).

n Inicialización de Thin Agent con errores.

n Primera comunicación establecida con la SVM.

n Error al establecer la comunicación con la SVM (cuando ocurre el primer error).

Los mensajes de registro generados tienen las siguientes subcadenas cerca del comienzo de cadamensaje de registro: vf-AUDIT, vf-ERROR, vf-WARN, vf-INFO, vf-DEBUG.

Recopilar información para solucionar problemas deGuest IntrospectionEl soporte técnico de VMware solicita de forma rutinaria información del diagnóstico o un paquete desoporte cuando se gestiona una solicitud de soporte. La información del diagnóstico contiene archivos deregistro y de configuración de las máquinas virtuales.

Información para solucionar problemas del firewall de identidadSi el entorno del firewall basado en identidad utiliza Guest Introspection, puede encontrar información dediagnóstico en los artículos de la base de conocimientos sobre cómo solucionar problemas en vShieldEndpoint o NSX Guest Introspection (https://kb.vmware.com/kb/2094261) y en los artículos sobre cómorecopilar registros en la máquina virtual de servicio universal de VMware NSX for vSphere 6.x GuestIntrospection (https://kb.vmware.com/kb/2144624).

Desinstalar un módulo de Guest IntrospectionAl desinstalar Guest Introspection se extrae un VIB de los hosts del clúster y se extrae la máquina virtualde servicio de cada host del clúster. NSX Data Security, la supervisión de la actividad y varias solucionesde seguridad de terceros requieren Guest Introspection. La desinstalación de Guest Introspection puedetraer consecuencias de amplio alcance.

Precaución Antes de desinstalar un módulo de Guest Introspection del clúster, deberá desinstalartodos los productos de terceros que están utilizando Guest Introspection en los hosts de ese clúster. Sigalas instrucciones del proveedor de la solución.

Para desinstalar Guest Introspection:

1 En vCenter, desplácese hasta Inicio > Redes y seguridad > Instalación (Home > Networking &Security > Installation) y seleccione la pestaña Implementaciones de servicios (ServiceDeployments).


VMware, Inc. 314



2 Seleccione una instancia de Guest Introspection y haga clic en el icono de eliminación.

3 Puede eliminarla ahora o programar la eliminación para más adelante.


VMware, Inc. 315

Data Security 19NSX Data Security ofrece visibilidad de datos confidenciales almacenados en los entornos virtualizados oen la nube de la organización. Según las infracciones que informe NSX Data Security, es posiblegarantizar que los datos confidenciales estén protegidos adecuadamente y evaluar el cumplimiento enfunción de las normas que rigen en todo el mundo.

Nota Desde la versión 6.2.3 de NSX, la función de seguridad de datos de NSX pasó a estar obsoleta.En la versión 6.2.3 de NSX puede seguir utilizando esta función como desee, pero tenga en cuenta quese eliminará de NSX en versiones futuras.

Para comenzar a utilizar NSX Data Security, cree una directiva que defina las reglamentaciones que seaplican a la seguridad de datos en su organización, donde se especifiquen las áreas del entorno y losarchivos que se examinarán. Una reglamentación está compuesta por hojas de contenido, que permitenidentificar el contenido confidencial que se detectará. NSX admite solo reglamentaciones relacionadascon PCI, PHI y PII.

Al comenzar una exploración con Data Security, NSX analiza los datos en las máquinas virtuales delinventario de vSphere e informa sobre la cantidad de infracciones detectadas y los archivos queinfringieron la directiva.

Este capítulo incluye los siguientes temas:n Instalar NSX Data Security

n Roles del usuario de NSX Data Security

n Definir una directiva de seguridad de datos

n Ejecutar una exploración de Data Security

n Ver y descargar informes

n Crear expresiones regulares

n Desinstalar NSX Data Security

VMware, Inc. 316

Instalar NSX Data Security

Nota Desde la versión 6.2.3 de NSX, la función de seguridad de datos de NSX pasó a estar obsoleta.En la versión 6.2.3 de NSX puede seguir utilizando esta función como desee, pero tenga en cuenta quese eliminará de NSX en versiones futuras.

Requisitos previos

NSX Guest Introspection debe instalarse en el clúster donde se va a instalar Data Security.

Si desea asignar una dirección IP a la máquina virtual del servicio Data Security desde un grupo dedirecciones IP, cree el grupo de direcciones IP antes de instalar Data Security. Consulte Agrupar objetosen la Guía de administración de NSX.

Procedimiento


2 Haga clic en el icono Nueva implementación de servicios (New Service Deployment) ( ).

3 En el cuadro de diálogo Implementar servicios de red y seguridad (Deploy Network and SecurityServices), seleccione Data Security y haga clic en Siguiente (Next).

4 En Especificar programación (Specify schedule), en la parte inferior del cuadro de diálogo,seleccione Implementar ahora (Deploy now) para implementar Data Security apenas se instale, obien seleccione una fecha y una hora de implementación.


6 Seleccione el centro de datos y los clústeres donde desea instalar Data Security y, a continuación,haga clic en Siguiente (Next).

7 En la página Seleccionar red de almacenamiento y administración (Select storage and ManagementNetwork), seleccione el almacén de datos en el que desea agregar las máquinas virtuales deservicio, o bien seleccione Especificado en el host (Specified on host).


Si seleccionó Especificado en el host (Specified on host), el almacén de datos del host ESX debeespecificarse en la opción Configuración de máquinas virtuales de agente (AgentVM Settings) delhost antes de agregarse al clúster. Consulte la documentación de vSphere API/SDK.


VMware, Inc. 317

8 Seleccione el grupo de puertos virtuales distribuidos donde se alojará la interfaz de administración.Este grupo de puertos debe poder comunicarse con el grupo de puertos de NSX Manager.

Si el almacén de datos se configura como Especificado en el host (Specified on host), la red que seutilizará debe especificarse en la propiedad agentVmNetwork de cada host en el clúster. Consulte ladocumentación de vSphere API/SDK.

Cuando agrega hosts al clúster, la propiedad agentVmNetwork del host debe configurarse antes deagregarse al clúster.

El grupo de puertos seleccionado debe estar disponible en todos los hosts del clúster seleccionado.


Seleccionar Para

DHCP Asigne una dirección IP a las máquinas virtuales del servicio Data Security através del protocolo de configuración dinámica de host (DHCP).

Grupo de direcciones IP Asigne una dirección IP a las máquinas virtuales del servicio Data Security desdeel grupo de direcciones IP seleccionado.

Tenga en cuenta que no se admiten direcciones IP estáticas.

10 Haga clic en Siguiente (Next) y, a continuación, en Finalizar (Finish) en la página Listo para finalizar(Ready to complete).

11 Supervise la implementación hasta que la columna Estado de instalación (Installation Status)muestre Correcto (Succeeded).

12 Si la columna Estado de instalación (Installation Status) muestra Con errores (Failed), haga clic enel icono junto a Con errores. Se muestran todos los errores de implementación. Haga clic enResolver (Resolve) para solucionar los errores. En algunos casos, al resolver los errores aparecenotros nuevos. Realice la acción necesaria y vuelva a hacer clic en Resolver (Resolve).

Roles del usuario de NSX Data SecurityEl rol de un usuario determina las acciones que puede realizar.

Rol Acciones permitidas

Administrador de seguridad (SecurityAdministrator)

Cree y publique directivas y vea los informes de incumplimiento. No se puede iniciar nidetener un examen de Data Security.

Administrador de NSX (NSXAdministrator)

Inicie y detenga los exámenes de Data Security.

Auditor Vea las directivas configuradas y los informes de incumplimiento.

Definir una directiva de seguridad de datosPara detectar datos confidenciales en el entorno, debe crear una directiva de seguridad de datos. Debeser administrador de seguridad para crear directivas.


VMware, Inc. 318

Para definir una directiva, debe especificar lo siguiente:

Normas Una norma es una ley de privacidad de datos para proteger la informaciónde PCI (sector de tarjetas de pago), PHI (información de estado protegida)y PII (información personal). Puede seleccionar las normas que suempresa debe cumplir. Cuando ejecuta una exploración, Data Securityidentifica los datos que infringen las normas de la directiva y que sonconfidenciales para su organización.

Filtros de archivos Puede crear filtros para limitar los datos que se van a analizar y excluir delanálisis los tipos de archivo con poca probabilidad de contener datosconfidenciales.

Seleccionar normasDespués de seleccionar las normas que debe cumplir la empresa en términos de datos, NSX puedeidentificar los archivos que contienen información sobre el incumplimiento de estas normas.

Requisitos previos

Debe tener el rol de Administrador de seguridad.

Procedimiento


2 Haga clic en Redes y seguridad (Networking and Security) y, a continuación, en Data Security.

3 Haga clic en la pestaña Administrar (Manage).

4 Haga clic en Editar (Edit) y, a continuación, en Todo (All) para ver todas las normas disponibles.

5 Seleccione las normas de las que desea obtener información sobre el cumplimiento.

Nota Para obtener más información sobre las normas disponibles, consulte la guía de referencia deseguridad de datos.

Ciertas normas requieren información adicional para que NSX Data Security reconozca los datosconfidenciales. Especifique un patrón de expresión regular para identificar los datos si seleccionóuna norma que supervisa los números de seguros de grupos, números de identificación depacientes, números de historias clínicas, números de beneficiarios de planes de salud, números decuentas bancarias estadounidenses, cuentas de clientes o números de identificación de estudiantes.

6 Verifique la precisión de la expresión regular.

Si se especifican expresiones regulares incorrectas, el proceso de detección puede volverse máslento. Para obtener más información sobre expresiones regulares, consulte Crear expresionesregulares.




VMware, Inc. 319

9 Haga clic en Publicar cambios (Publish Changes) para aplicar la directiva.

Especificar filtros de archivosLos archivos que se supervisarán se pueden restringir según el tamaño, la fecha de última modificación olas extensiones de archivo.

Requisitos previos

Debe tener asignado el rol de Administrador de seguridad.

Procedimiento

1 En la pestaña Administrar (Manage) del panel Data Security, haga clic en Editar (Edit) junto aArchivos para examinar (Files to scan).

2 Puede o bien supervisar todos los archivos de las máquinas virtuales del inventario, o bienseleccionar las restricciones que desea aplicar.


Se supervisan todos los archivos delas máquinas virtuales invitadas.

NSX Data Security examina todos los archivos.

Se supervisan únicamente los archivosque coinciden con las siguientescondiciones.

Seleccione las siguientes opciones según corresponda.n Tamaño (Size) indica que NSX Data Security solo debe examinar los

archivos cuyo tamaño es menor del especificado.n Fecha de última modificación (Last Modified Date) indica que NSX Data

Security solo debe examinar los archivos modificados entre las fechasespecificadas.

n Tipos: (Types:). Seleccione Solo archivos con las siguientes extensiones(Only files with the following extensions) para introducir los tipos de archivoque se examinarán. Seleccione Todos los archivos, excepto los quetienen extensiones (All files, except those with extensions) para introducirlos tipos de archivo que se excluirán del examen.

Para obtener información sobre los formatos de archivo que NSX Data Security puede detectar,consulte la guía de referencia de seguridad de datos.


4 Haga clic en Publicar cambios (Publish Changes) para aplicar la directiva.

Ejecutar una exploración de Data SecurityLa ejecución de una exploración de Data Security identifica datos del entorno virtual que infringen ladirectiva.

Requisitos previos

Para iniciar, pausar o detener una exploración de Data Security debe ser administrador de NSX.


VMware, Inc. 320

Procedimiento



3 Haga clic en la pestaña Administrar (Manage).

4 Haga clic en Iniciar (Start) junto a Exploración (Scanning).

Nota Si la máquina virtual está apagada, no se la podrá examinar hasta que vuelva a encenderse.

En un examen en curso, las opciones disponibles son Pausar (Pause) y Detener (Stop).

Si Data Security forma parte de una directiva de Service Composer, las máquinas virtuales del grupo deseguridad asignadas a esa directiva de Service Composer se examinan una vez durante unaexploración. Si la directiva se edita y publica mientras hay una exploración en curso, la exploración sereinicia. Esta nueva exploración garantiza que todas las máquinas virtuales cumplan con la directivaeditada. La nueva exploración se activa al editar y publicar una directiva, no al actualizar los datos de lasmáquinas virtuales.

Si se mueve una máquina virtual a un grupo de recursos o a un clúster excluido mientras está en curso laexploración de Data Security, los archivos de la máquina virtual no se examinan. Si vMotion mueve unamáquina virtual a otro host, la exploración continúa en el segundo host. Los archivos que se examinaronmientras la máquina virtual estaba en el primer host no se vuelven a examinar.

Cuando el motor de Data Security inicia la exploración de una máquina virtual, registra la hora de iniciode la exploración. Cuando la exploración se completa, registra la hora de su finalización. Puede ver lahora de inicio y finalización de la exploración de un clúster, un host o una máquina virtual desde lapestaña Tareas y eventos (Tasks and Events).

NSX Data Security acelera la cantidad de máquinas virtuales que se pueden examinar simultáneamenteen un host para minimizar el impacto en el rendimiento. VMware recomienda pausar la exploracióndurante el horario laboral normal a fin de evitar una sobrecarga en el rendimiento.

Ver y descargar informesCuando se inicia un examen de seguridad, NSX muestra la hora de inicio y finalización de cada examen,la cantidad de máquinas virtuales examinadas y la cantidad de incumplimientos detectados.

Requisitos previos

Debe tener el rol Administrador de seguridad o Auditor.

Procedimiento



3 Haga clic en la pestaña Informes (Reports).


VMware, Inc. 321

4 Especifique el informe de recuentos de incumplimientos (Violation counts) o de incumplimiento dearchivos (Violating files).

Crear expresiones regularesUna expresión regular es un patrón que describe una cierta secuencia de caracteres de texto, tambiénconocida como cadena. Las expresiones regulares se utilizan para buscar cadenas o clases de cadenasespecíficas en el cuerpo de un texto, o buscar coincidencias con estas.

Utilizar una expresión regular es como realizar una búsqueda con comodines, pero las expresionesregulares son más eficaces. Las expresiones regulares pueden ser muy simples o muy complejas. Unejemplo de una expresión regular simple es cat.

Busca la primera instancia de la secuencia de letras cat en cualquier cuerpo de texto en el que se laaplique. Si desea asegurarse de que solamente busque la palabra cat y no otras cadenas como cats ohepcat, puede utilizar una expresión regular un poco más compleja: \bcat\b.

Esta expresión incluye caracteres especiales que garantizan una coincidencia si hay separación depalabras a ambos lados de la secuencia cat. Como otro ejemplo, para realizar un equivalente cercano ala cadena de búsqueda con comodines típica c+t, puede utilizar esta expresión regular: \bc\w+t\b.

Esto significa buscar un límite de palabra (\b) seguido por una c, seguido por uno o más caracteres queno sean espacios en blanco ni de puntuación (\w+), seguido por una t, seguido por un límite de palabra(\b). Esta expresión busca cot, cat, croat, pero no crate.

Las expresiones pueden ser muy complejas. La expresión siguiente encuentra cualquier dirección decorreo electrónico válida.

\b[A-Za-z0-9._%-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,4}\b

Para obtener más información sobre la creación de expresiones regulares, consulte http://userguide.icu-project.org/strings/regexp.

Desinstalar NSX Data SecurityDesinstale NSX Data Security si ya no lo usa o si está actualizando NSX Manager. NSX Data Security noes compatible con una actualización directa. Antes de actualizar NSX Manager, es importante desinstalarNSX Data Security y volver a instalarlo después de la actualización.

Desde la versión 6.2.3 de NSX, la función de seguridad de datos de NSX pasó a estar obsoleta. En laversión 6.2.3 de NSX puede seguir utilizando esta función como desee, pero tenga en cuenta que seeliminará de NSX en versiones futuras.

Procedimiento


2 Seleccione el servicio NSX Data Security y haga clic en el icono Eliminar implementación de

servicios ( ) (Delete Service Deployment).


VMware, Inc. 322

http://userguide.icu-project.org/strings/regexp

3 En el cuadro de diálogo Confirmar eliminación (Confirm Delete), haga clic en Eliminar ahora (Deletenow) o seleccione la fecha y hora en que tendrá lugar la eliminación.



VMware, Inc. 323

Extensibilidad de la red 20Las redes de centros de datos involucran generalmente una amplia variedad de servicios de red,incluidos la conmutación, el enrutamiento, el firewall, el equilibrio de carga, etc. En la mayoría de loscasos, estos servicios son proporcionados por distintos proveedores. En el mundo físico, la conexión deestos servicios en la red es una práctica complicada de organización en bastidores y apilación dedispositivos de red físicos, establecimiento de conectividad física y administración de estos servicios porseparado. NSX simplifica la experiencia de conexión de los servicios adecuados en las rutas de accesode tráfico correctas y puede ayudar a crear redes complejas dentro de un único host ESX Server o envarios hosts ESX Server con fines de producción, prueba o desarrollo.

Cualquier dispositivo

vSphere

Superponer transporte

Cualquier hardware de red

NSX API

Extensiones de partner de software

Introspección de invitados y de red

Extensiones de partner de hardware

NSX

Cargas de trabajo virtuales o físicas

Redes virtuales

Inserción de servicio Edge

Existen varios métodos de implementación para insertar servicios de terceros en NSX.


n Inserción de servicio distribuido

n Inserción de servicio basado en Edge

n Integrar servicios de terceros

VMware, Inc. 324

n Implementar un servicio de partner

n Consumir servicios del proveedor mediante Service Composer

n Redireccionar el tráfico a la solución de un proveedor mediante el firewall lógico

n Usar el equilibrador de carga de un partner

n Quitar integración de terceros

Inserción de servicio distribuidoEn la inserción de servicio distribuido, un host único tiene todos los módulos de servicio, los módulos dekernel y las implementaciones de máquina virtual en una única máquina física. Todos los componentesdel sistema interactúan con los componentes dentro del host físico. Esto permite una comunicaciónmódulo a módulo más veloz y modelos de implementación compactos. Se puede replicar la mismaconfiguración en los sistemas físicos de la red a los fines de escalado, y mantener el control y el tráficodel plano de datos hacia y desde los módulos de servicio al vmkernel en el mismo sistema físico.Durante la ejecución de vMotion en las máquinas virtuales protegidas, la máquina de seguridad delpartner mueve el estado de la máquina virtual del host de origen al de destino.

Las soluciones de proveedores que utilizan este tipo de inserción de servicios incluyen servicio deprevención de intrusiones (IPS)/servicio de detección de intrusiones (IDS), firewall, antivirus, supervisiónde identidad de archivos (FIM) y administración de vulnerabilidad.

Inserción de servicio basado en EdgeNSX Edge se implementa como una máquina virtual en el clúster de servicios Edge junto con otrosservicios de red. NSX Edge tiene la capacidad de redirigir tráfico específico a servicios de red deterceros.

Las soluciones de proveedores que utilizan este tipo de inserción de servicios incluyen dispositivos ADCo de equilibrio de carga.

Integrar servicios de tercerosEste es un flujo de trabajo de alto nivel genérico para insertar un servicio de terceros en la plataforma deNSX.

Procedimiento

1 Registre el servicio de terceros con NSX Manager en la consola del proveedor.

Necesita las credenciales de inicio de sesión de NSX para registrar el servicio. Para obtener másinformación, consulte la documentación del proveedor.

2 Implemente el servicio en NSX. Consulte Implementar un servicio de partner.

Una vez implementado, el servicio de terceros se muestra en la ventana Definiciones de servicios deNSX (NSX Service Definitions) y está listo para utilizarse. El procedimiento para utilizar el servicio enNSX depende del tipo de servicio insertado.


VMware, Inc. 325

Por ejemplo, puede habilitar un servicio de firewall basado en el host creando una directiva deseguridad en Service Composer o creando una regla de firewall para redirigir el tráfico al servicio.Consulte Consumir servicios del proveedor mediante Service Composer o Redireccionar el tráfico ala solución de un proveedor mediante el firewall lógico. Para obtener información sobre cómo utilizarun servicio basado en Edge, consulte Usar el equilibrador de carga de un partner.

Implementar un servicio de partnerSi la solución del partner incluye un dispositivo virtual host-residente, podrá implementar el servicio unavez que la solución esté registrada en NSX Manager.

Requisitos previos

Asegúrese de que:

n La solución del partner se registra en NSX Manager.

n NSX Manager puede acceder a la consola de administración de la solución del partner.

Procedimiento


2 Haga clic en la pestaña Implementaciones de servicios (Service Deployments) y haga clic en el

icono Nueva implementación de servicios (New Service Deployments) ( ).

3 En el cuadro de diálogo Implementar servicios de red y seguridad (Deploy Network and SecurityServices), seleccione las soluciones adecuadas.

4 En Especificar programación (Specify schedule) (en la parte inferior del cuadro de diálogo),seleccione Implementar ahora (Deploy now) para implementar la solución inmediatamente oseleccionar una fecha y una hora de implementación.


6 Seleccione el centro de datos y los clústeres en los que desea implementar la solución y haga clic enSiguiente (Next).

7 Seleccione el almacén de datos en el que desea agregar el almacenamiento de máquinas virtualesdel servicio de soluciones o bien seleccione Especificado en el host (Specified on host).


Si seleccionó Especificado en el host (Specified on host), el almacén de datos del host ESX debeespecificarse en la opción Configuración de máquinas virtuales de agente (AgentVM Settings) delhost antes de agregarse al clúster. Consulte la documentación de vSphere API/SDK.

8 Seleccione el grupo de puertos virtuales distribuidos donde se alojará la interfaz de administración.Este grupo de puertos debe poder comunicarse con el grupo de puertos de NSX Manager.

Si la red está establecida en Especificado en el host (Specified on host), la red que se utilizarádebe especificarse en la propiedad Configuración de máquina virtual agente > Red (Agent VMSettings > Network) de cada host del clúster. Consulte la documentación de vSphere API/SDK.


VMware, Inc. 326

Debe establecer la propiedad de la red de la máquina virtual de agente en un host antes deagregarlo a un clúster. Acceda a Administrar > Configuración > Configuración de máquinavirtual agente > Red (Manage > Settings > Agent VM Settings > Network) y haga clic en Editar(Edit) para establecer la red de la máquina virtual de agente.

El grupo de puertos seleccionado debe estar disponible en todos los hosts del clúster seleccionado.


Seleccionar Para

DHCP Asigne una dirección IP a la máquina virtual de servicios a través del protocoloDynamic Host Configuration Protocol (DHCP).

Grupo de direcciones IP Asigne una dirección IP a la máquina virtual de servicios desde el grupo dedirecciones IP seleccionado.

10 Haga clic en Siguiente (Next) y, a continuación, en Finalizar (Finish) en la página Listo para finalizar

(Ready to complete).

11 Supervise la implementación hasta que Estado de instalación (Installation Status) muestre Correcto(Successful). Si el estado muestra Con errores (Failed), haga clic en el icono junto a Con errores(Failed) y complete las acciones necesarias para solucionar el error.

Pasos siguientes

Ahora puede consumir el servicio del partner a través de la interfaz de usuario de NSX o NSX API.

Consumir servicios del proveedor mediante ServiceComposerLos servicios del proveedor externo incluyen el redireccionamiento de tráfico, el equilibrador de carga ylos servicios de seguridad invitados, como prevención de pérdida de datos, antivirus, etc. ServiceComposer permite aplicar estos servicios a un conjunto de objetos de vCenter.

Un grupo de seguridad es un conjunto de objetos de vCenter, como clústeres, máquinas virtuales, vNIC yconmutadores lógicos. Una directiva de seguridad es un conjunto de servicios de Guest Introspection,reglas de firewall y servicios de introspección de red.

Cuando se asigna una directiva de seguridad a un grupo de seguridad, se crean las reglas deredireccionamiento en el perfil de servicios del proveedor externo correspondiente. A medida que eltráfico circula desde las máquinas virtuales pertenecientes a ese grupo de seguridad, se redirecciona alos servicios de proveedor externo registrados que determinan cómo procesar ese tráfico. Para obtenermás información sobre Service Composer, consulte Utilizar Service Composer.

Redireccionar el tráfico a la solución de un proveedormediante el firewall lógicoPuede agregar reglas de firewall para redireccionar el tráfico a soluciones de proveedores registradas. Acontinuación, el servicio del proveedor procesa el tráfico redireccionado.


VMware, Inc. 327

Requisitos previos

n El servicio de terceros debe estar registrado en NSX Manager y debe estar implementado en NSX.

n Si la acción de regla de firewall predeterminada está establecida en Bloquear (Block), debe agregaruna regla para permitir que se redireccione el tráfico.

Procedimiento


2 Haga clic en la pestaña Servicios de seguridad de partners (Partner security services).

3 En la sección donde desea agregar una regla, haga clic en el icono Agregar regla (Add rule) ( ).

Se agregará una nueva regla de permiso "any any" en la parte superior de la sección.

4 Coloque el puntero sobre la celda Nombre (Name) de la nueva regla, haga clic en y escriba unnombre para la regla.

5 Especifique las categorías Origen (Source), Destino (Destination) y Servicio (Service) de la regla.Para obtener más información, consulte Agregar una regla de firewall

6 Coloque el puntero sobre la celda Acción (Action) de la nueva regla y haga clic en .

a En Acción (Action), seleccione Redireccionar (Redirect).

b En Redireccionar a (Redirect To), seleccione el perfil de servicio y el conmutador lógico o elgrupo de seguridad donde desea vincular el perfil de servicio.

El perfil de servicio se aplica a las máquinas virtuales que están conectadas al conmutador lógicoo al grupo de seguridad seleccionado o incluidas allí.

c Indique si el tráfico redireccionado debe registrarse y escriba comentarios, si los hubiera.


El perfil de servicio seleccionado se muestra como un vínculo en la columna Acción (Action). Alhacer clic en el vínculo del perfil de servicios se muestran los enlaces del perfil.


Usar el equilibrador de carga de un partnerPuede utilizar un equilibrador de carga de terceros para equilibrar el tráfico de una instancia de NSXEdge específica.

Requisitos previos

El equilibrador de carga de terceros debe estar registrado en NSX Manager y debe estar implementadoen NSX.


VMware, Inc. 328

Procedimiento




4 Haga clic en Editar (Edit) junto a Configuración global del equilibrador de carga (Load balancerglobal configuration).

5 Seleccione Habilitar el equilibrador de carga (Enable Load Balancer) y Habilitar inserción delservicio (Enable Service Insertion).

6 En Definición del servicio (Service Definition) seleccione el equilibrador de carga del partnercorrespondiente.

7 En Configuración del servicio (Service Configuration) seleccione la configuración de serviciocorrespondiente.

8 Complete los campos restantes e instale el equilibrador de carga; para eso, agregue un monitor deservicio, un grupo de servidores, un perfil de aplicación, reglas de aplicación y un servidor virtual.Cuando agregue el servidor virtual, seleccione la plantilla proporcionada por el proveedor. Paraobtener más información, consulte Configurar equilibrio de carga.

La consola de administración del proveedor externo equilibra la carga del tráfico de la instancia Edgeespecificada.

Quitar integración de tercerosEn este ejemplo se describe cómo quitar una solución de integración de terceros de NSX.

Existe un orden correcto de software cuando se quita cualquier solución de software de terceros.

Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad > Service Composer (Networking &Security > Service Composer) y elimine las reglas (o las directivas de seguridad) que redirigen eltráfico a la solución de terceros.

2 Desplácese hasta Definiciones de servicios (Service Definitions) y haga doble clic en el nombre dela solución de terceros.

3 Haga clic en Objetos relacionados (Related Objects) y elimine los objetos relacionados.

4 Desplácese hasta Instalación > Implementaciones de servicios (Installation > ServiceDeployments) y elimine la implementación de terceros.

Esta acción desinstala las máquinas virtuales asociadas.

5 Regrese a Definiciones de servicios (Service Definitions) y elimine cualquier subcomponente de ladefinición.


VMware, Inc. 329

6 En la instancia del servicio, elimine el perfil del servicio.

7 Elimine la instancia del servicio.

8 Elimine la definición del servicio.

La solución de integración de terceros se elimina de NSX.

Pasos siguientes

Tome nota de la configuración y, a continuación, quite NSX de la solución de terceros. Por ejemplo, esposible que deba eliminar reglas que hacen referencia a otros objetos y, a continuación, eliminar losobjetos.


VMware, Inc. 330

Administración de usuarios 21En muchas organizaciones, las operaciones de redes y seguridad están a cargo de diferentes equipos omiembros. Estas organizaciones pueden requerir una forma de limitar ciertas operaciones adeterminados usuarios. En este tema se describen las opciones que ofrece NSX para configurar estecontrol de acceso.

NSX también admite Single Sign-On (SSO), que habilita a NSX para que autentique a los usuarios desdeotros servicios de identidad, como Active Directory, NIS y LDAP.

La administración de usuarios en vSphere Web Client está separada de la administración de usuarios enla CLI de cualquier componente de NSX.


n Usuarios y permisos de NSX según la función

n Configurar Single Sign-On

n Administrar derechos de usuario

n Administrar la cuenta de usuario predeterminado

n Asignar una función a un usuario de vCenter

n Editar una cuenta de usuario

n Cambiar un rol de usuario

n Deshabilitar o habilitar una cuenta de usuario

n Eliminar una cuenta de usuario

Usuarios y permisos de NSX según la funciónPara implementar y administrar NSX, se necesitan algunos permisos de vCenter. NSX ofrece permisosamplios de lectura, así como de lectura y escritura para varios usuarios y varias funciones.

Definición de funcionesLas funciones disponibles son los siguientes:

roles = system_write, system_urm, super_user, vshield_admin, security_admin, auditor, dlp_svm,epsec_host, enterprise_admin, component_manager_user y replicator

VMware, Inc. 331

local_user_roles = system_write, system_urm, super_user, security_admin, auditor, dlp_svm,epsec_host, component_manager_user y replicator

system_roles = system_write, system_urm, dlp_svm, epsec_host y replicator

Tipos de permisosLos tipos de permisos son de lectura y de escritura.

Definición de acceso de funcionesLas definiciones de acceso de funciones determinan si una función tiene permiso de lectura o de lecturay escritura.

super_user.object_permission = lectura y escritura

vshield_admin.object_permission = lectura y escritura

security_admin.object_permission = lectura y escritura

auditor.object_permission = lectura

system_write.object_permission = lectura y escritura

system_urm.object_permission = lectura

dlp_svm.object_permission = lectura y escritura

epsec_host.object_permission = lectura y escritura

enterprise_admin.object_permission = lectura y escritura

replicator.object_permission = lectura y escritura

Definición de raízLa definición de raíz describe las funciones del superusuario.

super_user.superuser = true

system_write.superuser = true

Acceso de funciones a objetos para el ámbito globalvshield_admin.object_access_scope.global = true

super_user.object_access_scope.global = true

system_write.object_access_scope.global = true

system_urm.object_access_scope.global = true

dlp_svm.object_access_scope.global = true

epsec_host.object_access_scope.global = true

enterprise_admin.object_access_scope.global = true


VMware, Inc. 332

Acceso de funciones a objetos para el ámbito universalReplicator.object_access_scope.universal = true

System_write.object_access_scope.universal = true

ServiciosLos siguientes servicios están disponibles en NSX:

administration, urm, edge, app, namespace, spoofguard, dlp, epsec, library, install, vdn, eam, si,truststore, component_manager, ipam, secfabric, security_policy, messaging y replicator

Definiciones de funcionesLas definiciones de funciones de cada servicio son las siguientes:

administration.featurelist = administration.configuration, administration.update,administration.system_events, administration.audit_logs y administration.debug

urm.featurelist = urm.user_account_management, urm.object_access_control yurm.feature_access_control

edge.featurelist = edge.system, edge.nat, edge.firewall, edge.dhcp, edge.loadbalancer, edge.vpn,edge.syslog, edge.support, edge.routing, edge.certificate, edge.appliance, edge.highavailability,edge.dns, edge.vnic, edge.ssh, edge.autoplumbing, edge.statistics, edge.bridging y edge.systemcontrol

app.featurelist = app.config, app.firewall, app.flow, app.forcesync, app.syslog y app.techsupport

pgi.featurelist = pgi.switch, pgi.portgroup y pgi.lkm

namespace.featurelist = namespace.config

spoofguard.featurelist = spoofguard.config

dlp.featurelist = dlp.scan_scheduling, dlp.reports, dlp.policy y dlp.svm_interaction

epsec.featurelist = epsec.registration, epsec.health_monitoring, epsec.manager, epsec.policy,epsec.svm_priv, epsec.scan y epsec.reports

library.featurelist = library.grouping, library.host_preparation y library.tagging

install.featurelist = install.app, install.epsec y install.dlp

vdn.featurelist = vdn.config_nsm y vdn.provision

eam.featurelist = eam.install

si.featurelist = si.service y si.serviceprofile

truststore.featurelist = truststore.trustentity_management

component_manager.featurelist = healthstatus

ipam.featurelist = ipam.configuration y ipam.ipallocation


VMware, Inc. 333

secfabric.featurelist = secfabric.deploy y secfabric.alarms

security_policy.featurelist = security_policy.configuration y security_policy.security_group_binding

blueprint_sam.featurelist = blueprint_sam.reports, blueprint_sam.ad_config,blueprint_sam.control_data_collection, blueprint_sam.techsupport y blueprint_sam.db_maintain

messaging.featurelist = messaging.messaging

replicator.featurelist = replicator.configuration

Definiciones de acceso de funcionesPara cada combinación de características y funciones, la definición de acceso de características denotasi el usuario tiene permisos de solo lectura o de lectura y escritura.

Si no aparece una combinación de funciones y características, significa que el usuario que tiene dichafunción no tiene acceso a esta característica.

Por ejemplo:

auditor.app.firewall = lectura

security_admin.app.firewall = lectura y escritura

Esto significa que la función del auditor de la característica app.firewall tiene acceso de solo lectura,mientras que la función security_admin de la característica app.firewall tiene acceso de lectura yescritura.

Definiciones de acceso de funciones - system_urmsystem_urm.urm.user_account_management = lectura

Definiciones de acceso de funciones - vshield_adminvshield_admin.administration.configuration = lectura y escritura

vshield_admin.administration.update = lectura y escritura

vshield_admin.administration.system_events = lectura y escritura

vshield_admin.administration.audit_logs = lectura

vshield_admin.urm.user_account_management = lectura y escritura

vshield_admin.urm.object_access_control = lectura

vshield_admin.urm.feature_access_control = lectura

vshield_admin.edge.system = lectura y escritura

vshield_admin.edge.appliance = lectura y escritura

vshield_admin.edge.highavailability = lectura y escritura

vshield_admin.edge.vnic = lectura y escritura


VMware, Inc. 334

vshield_admin.edge.dns = lectura

vshield_admin.edge.ssh = lectura y escritura

vshield_admin.edge.autoplumbing = lectura

vshield_admin.edge.statistics = lectura

vshield_admin.edge.nat = lectura

vshield_admin.edge.dhcp = lectura

vshield_admin.edge.loadbalancer = lectura

vshield_admin.edge.vpn = lectura

vshield_admin.edge.syslog = lectura y escritura

vshield_admin.edge.support = lectura y escritura

vshield_admin.edge.routing = lectura

vshield_admin.edge.firewall = lectura

vshield_admin.edge.bridging = lectura

vshield_admin.edge.certificate = lectura

vshield_admin.edge.systemcontrol = lectura y escritura

vshield_admin.library.grouping = lectura

vshield_admin.app.config = lectura y escritura

vshield_admin.app.forcesync = lectura y escritura

vshield_admin.app.syslog = lectura y escritura

vshield_admin.app.techsupport = lectura y escritura

vshield_admin.namespace.config = lectura y escritura

vshield_admin.dlp.scan_scheduling = lectura y escritura

vshield_admin.epsec.reports = lectura y escritura

vshield_admin.epsec.registration = lectura y escritura

vshield_admin.epsec.health_monitoring = lectura

vshield_admin.epsec.policy = lectura y escritura

vshield_admin.epsec.scan_scheduling = lectura y escritura

vshield_admin.library.host_preparation = lectura y escritura

vshield_admin.library.tagging = lectura

vshield_admin.install.app = lectura y escritura

vshield_admin.install.epsec = lectura y escritura

vshield_admin.install.dlp = lectura y escritura


VMware, Inc. 335

vshield_admin.vdn.config_nsm = lectura y escritura

vshield_admin.vdn.provision = lectura y escritura

vshield_admin.eam.install = lectura y escritura

vshield_admin.si.service = lectura y escritura

vshield_admin.si.serviceprofile = lectura y escritura

vshield_admin.truststore.trustentity_management = lectura y escritura

vshield_admin.ipam.configuration = lectura y escritura

vshield_admin.ipam.ipallocation = lectura y escritura

vshield_admin.secfabric.deploy = lectura y escritura

vshield_admin.secfabric.alarms = lectura y escritura

vshield_admin.blueprint_sam.ad_config = lectura y escritura

vshield_admin.blueprint_sam.control_data_collection = lectura y escritura

vshield_admin.blueprint_sam.techsupport = lectura y escritura

vshield_admin.blueprint_sam.db_maintain = lectura y escritura

vshield_admin.messaging.messaging = lectura y escritura

vshield_admin.replicator.configuration = lectura y escritura

Definiciones de acceso de funciones - security_adminsecurity_admin.administration.system_events = lectura y escritura

security_admin.administration.audit_logs = lectura

security_admin.edge.system = lectura

security_admin.edge.appliance = lectura

security_admin.edge.highavailability = lectura

security_admin.edge.vnic = lectura y escritura

security_admin.edge.dns = lectura y escritura

security_admin.edge.ssh = lectura y escritura

security_admin.edge.autoplumbing = lectura y escritura

security_admin.edge.statistics = lectura

security_admin.edge.nat = lectura y escritura

security_admin.edge.dhcp = lectura y escritura

security_admin.edge.loadbalancer = lectura y escritura

security_admin.edge.vpn = lectura y escritura


VMware, Inc. 336

security_admin.edge.syslog = lectura y escritura

security_admin.edge.support = lectura y escritura

security_admin.edge.routing = lectura y escritura

security_admin.edge.firewall = lectura y escritura

security_admin.edge.bridging = lectura y escritura

security_admin.edge.certificate = lectura y escritura

security_admin.edge.systemcontrol = lectura y escritura

security_admin.app.firewall = lectura y escritura

security_admin.app.flow = lectura y escritura

security_admin.app.forcesync = lectura

security_admin.app.syslog = lectura

security_admin.namespace.config = lectura

security_admin.spoofguard.config = lectura y escritura

security_admin.dlp.reports = lectura y escritura

security_admin.dlp.policy = lectura y escritura

security_admin.epsec.policy = lectura y escritura

security_admin.epsec.reports = lectura

security_admin.epsec.health_monitoring = lectura

security_admin.library.grouping = lectura y escritura

security_admin.library.tagging = lectura y escritura

security_admin.install.app = lectura

security_admin.install.epsec = lectura

security_admin.install.dlp = lectura

security_admin.vdn.config_nsm = lectura

security_admin.vdn.provision = lectura

security_admin.eam.install = lectura

security_admin.si.service = lectura y escritura

security_admin.si.serviceprofile = lectura

security_admin.truststore.trustentity_management = lectura y escritura

security_admin.ipam.configuration = lectura y escritura

security_admin.ipam.ipallocation = lectura y escritura

security_admin.secfabric.alarms = lectura


VMware, Inc. 337

security_admin.secfabric.deploy = lectura

security_admin.security_policy.configuration = lectura y escritura

security_admin.security_policy.security_group_binding = lectura y escritura

security_admin.blueprint_sam.reports = lectura

security_admin.blueprint_sam.ad_config = lectura

security_admin.blueprint_sam.control_data_collection = lectura

security_admin.blueprint_sam.db_maintain = lectura

security_admin.messaging.messaging = lectura y escritura

security_admin.replicator.configuration = lectura

Definiciones de acceso de funciones- auditorauditor.administration.system_events = lectura

auditor.administration.audit_logs = lectura

auditor.edge.appliance = lectura

auditor.edge.highavailability = lectura

auditor.edge.vnic = lectura

auditor.edge.dns = lectura

auditor.edge.ssh = lectura

auditor.edge.autoplumbing = lectura

auditor.edge.statistics = lectura

auditor.edge.nat = lectura

auditor.edge.dhcp = lectura

auditor.edge.loadbalancer = lectura

auditor.edge.vpn = lectura

auditor.edge.syslog = lectura

auditor.edge.routing = lectura

auditor.edge.firewall = lectura

auditor.edge.bridging = lectura

auditor.edge.system = lectura

auditor.edge.certificate = lectura

auditor.edge.systemcontrol = lectura

auditor.app.firewall = lectura


VMware, Inc. 338

auditor.app.flow = lectura

auditor.app.forcesync = lectura

auditor.app.syslog = lectura

auditor.namespace.config = lectura

auditor.spoofguard.config = lectura

auditor.dlp.scan_scheduling = lectura

auditor.dlp.policy = lectura

auditor.dlp.reports = lectura

auditor.library.grouping = lectura

auditor.epsec_host.health_monitoring = lectura

auditor.epsec.policy = lectura

auditor.epsec.reports = lectura

auditor.epsec.registration = lectura

auditor.vdn.config_nsm = lectura

auditor.epsec.scan_scheduling = lectura

auditor.vdn.provision = lectura

auditor.si.service = lectura

auditor.si.serviceprofile = lectura

auditor.truststore.trustentity_management = lectura

auditor.secfabric.alarms = lectura

auditor.secfabric.deploy = lectura

auditor.security_policy.configuration = lectura

auditor.security_policy.security_group_binding = lectura

auditor.blueprint_sam.reports = lectura

auditor.blueprint_sam.ad_config = lectura

auditor.blueprint_sam.control_data_collection = lectura

auditor.blueprint_sam.db_maintain = lectura

auditor.library.tagging = lectura

auditor.ipam.configuration = lectura

auditor.ipam.ipallocation = lectura

auditor.messaging.messaging = lectura

auditor.replicator.configuration = lectura


VMware, Inc. 339

Definiciones de acceso de funciones - dlp_svmdlp_svm.dlp.svm_interaction = lectura y escritura

dlp_svm.epsec.svm_priv = lectura y escritura

dlp_svm.epsec.registration = lectura

dlp_svm.epsec.policy = lectura

dlp_svm.epsec.scan_scheduling = lectura

dlp_svm.library.host_preparation = lectura y escritura

dlp_svm.library.tagging = lectura y escritura

Definiciones de acceso de funciones - epsec_hostepsec_host.epsec.registration = lectura

epsec_host.epsec.health_monitoring = escritura

Definiciones de acceso de funciones - enterprise_adminenterprise_admin.administration.configuration = lectura y escritura

enterprise_admin.administration.update = lectura y escritura

enterprise_admin.administration.system_events = lectura y escritura

enterprise_admin.administration.audit_logs = lectura

enterprise_admin.urm.user_account_management = lectura y escritura

enterprise_admin.urm.object_access_control = lectura

enterprise_admin.urm.feature_access_control = lectura

enterprise_admin.edge.system = lectura y escritura

enterprise_admin.edge.appliance = lectura y escritura

enterprise_admin.edge.highavailability = lectura y escritura

enterprise_admin.edge.vnic = lectura y escritura

enterprise_admin.edge.dns = lectura y escritura

enterprise_admin.edge.ssh = lectura y escritura

enterprise_admin.edge.autoplumbing = lectura y escritura

enterprise_admin.edge.statistics = lectura y escritura

enterprise_admin.edge.nat = lectura y escritura

enterprise_admin.edge.dhcp = lectura y escritura


VMware, Inc. 340

enterprise_admin.edge.loadbalancer = lectura y escritura

enterprise_admin.edge.vpn = lectura y escritura

enterprise_admin.edge.syslog = lectura y escritura

enterprise_admin.edge.support = lectura y escritura

enterprise_admin.edge.routing = lectura y escritura

enterprise_admin.edge.firewall = lectura y escritura

enterprise_admin.edge.bridging = lectura y escritura

enterprise_admin.edge.certificate = lectura y escritura

enterprise_admin.edge.systemcontrol = lectura y escritura

enterprise_admin.library.grouping = lectura y escritura

enterprise_admin.library.host_preparation = lectura y escritura

enterprise_admin.library.tagging = lectura y escritura

enterprise_admin.app.config = lectura y escritura

enterprise_admin.app.forcesync = lectura y escritura

enterprise_admin.app.syslog = lectura y escritura

enterprise_admin.app.techsupport = lectura y escritura

enterprise_admin.app.firewall = lectura y escritura

enterprise_admin.app.flow = lectura y escritura

enterprise_admin.namespace.config = lectura y escritura

enterprise_admin.dlp.scan_scheduling = lectura y escritura

enterprise_admin.dlp.reports = lectura y escritura

enterprise_admin.dlp.policy = lectura y escritura

enterprise_admin.epsec.registration = lectura y escritura

enterprise_admin.epsec.health_monitoring = lectura

enterprise_admin.epsec.scan_scheduling = lectura y escritura

enterprise_admin.epsec.reports = lectura y escritura

enterprise_admin.epsec.policy = lectura y escritura

enterprise_admin.install.app = lectura y escritura

enterprise_admin.install.epsec = lectura y escritura

enterprise_admin.install.dlp = lectura y escritura

enterprise_admin.eam.install = lectura y escritura

enterprise_admin.spoofguard.config = lectura y escritura


VMware, Inc. 341

enterprise_admin.vdn.config_nsm = lectura y escritura

enterprise_admin.vdn.provision = lectura y escritura

enterprise_admin.si.service = lectura y escritura

enterprise_admin.si.serviceprofile = lectura y escritura

enterprise_admin.truststore.trustentity_management = lectura y escritura

enterprise_admin.ipam.configuration = lectura y escritura

enterprise_admin.ipam.ipallocation = lectura y escritura

enterprise_admin.secfabric.deploy = lectura y escritura

enterprise_admin.secfabric.alarms = lectura y escritura

enterprise_admin.security_policy.configuration = lectura y escritura

enterprise_admin.security_policy.security_group_binding = lectura y escritura

enterprise_admin.blueprint_sam.reports = lectura

enterprise_admin.blueprint_sam.ad_config = lectura y escritura

enterprise_admin.blueprint_sam.control_data_collection = lectura y escritura

enterprise_admin.blueprint_sam.techsupport = lectura y escritura

enterprise_admin.blueprint_sam.db_maintain = lectura y escritura

enterprise_admin.messaging.messaging = lectura y escritura

enterprise_admin.replicator.configuration = lectura y escritura

Definiciones de acceso de funciones - component_manager_usercomponent_manager_user.component_manager.healthstatus = lectura

Definiciones de acceso de funciones - replicatorreplicator.administration.configuration = lectura y escritura

replicator.administration.update = lectura y escritura

replicator.administration.system_events = lectura y escritura

replicator.administration.audit_logs = lectura

replicator.urm.user_account_management = lectura y escritura

replicator.urm.object_access_control = lectura

replicator.urm.feature_access_control = lectura

replicator.edge.system = lectura y escritura

replicator.edge.appliance = lectura y escritura


VMware, Inc. 342

replicator.edge.highavailability = lectura

replicator.edge.vnic = lectura y escritura

replicator.edge.dns = lectura

replicator.edge.ssh = lectura

replicator.edge.autoplumbing = lectura y escritura

replicator.edge.statistics = lectura

replicator.edge.nat = lectura

replicator.edge.dhcp = lectura y escritura

replicator.edge.loadbalancer = lectura

replicator.edge.vpn = lectura

replicator.edge.syslog = lectura

replicator.edge.support = lectura

replicator.edge.routing = lectura y escritura

replicator.edge.firewall = lectura

replicator.edge.bridging = lectura

replicator.edge.certificate = lectura

replicator.edge.systemcontrol = lectura

replicator.library.grouping = lectura y escritura

replicator.library.host_preparation = lectura y escritura

replicator.library.tagging = lectura y escritura

replicator.app.config = lectura y escritura

replicator.app.forcesync = lectura y escritura

replicator.app.syslog = lectura y escritura

replicator.app.techsupport = lectura y escritura

replicator.app.firewall = lectura y escritura

replicator.app.flow = lectura y escritura

replicator.namespace.config = lectura y escritura

replicator.dlp.scan_scheduling = lectura y escritura

replicator.dlp.reports = lectura y escritura

replicator.dlp.policy = lectura y escritura

replicator.epsec.registration = lectura y escritura

replicator.epsec.health_monitoring = lectura


VMware, Inc. 343

replicator.epsec.scan_scheduling = lectura y escritura

replicator.epsec.reports = lectura y escritura

replicator.epsec.policy = lectura y escritura

replicator.install.app = lectura y escritura

replicator.install.epsec = lectura y escritura

replicator.install.dlp = lectura y escritura

replicator.eam.install = lectura y escritura

replicator.spoofguard.config = lectura y escritura

replicator.vdn.config_nsm = lectura y escritura

replicator.vdn.provision = lectura y escritura

replicator.si.service = lectura y escritura

replicator.si.serviceprofile = lectura y escritura

replicator.truststore.trustentity_management = lectura y escritura

replicator.ipam.configuration = lectura y escritura

replicator.ipam.ipallocation = lectura y escritura

replicator.secfabric.deploy = lectura y escritura

replicator.secfabric.alarms = lectura y escritura

replicator.security_policy.configuration = lectura y escritura

replicator.security_policy.security_group_binding = lectura y escritura

replicator.blueprint_sam.reports = lectura

replicator.blueprint_sam.ad_config = lectura y escritura

replicator.blueprint_sam.control_data_collection = lectura y escritura

replicator.blueprint_sam.techsupport = lectura y escritura

replicator.blueprint_sam.db_maintain = lectura y escritura

replicator.messaging.messaging = lectura y escritura

replicator.replicator.configuration = lectura y escritura

Sobrescribir permisos de características de funciones en el nodosecundario de objetos universalessecondary.super_user.edge.highavailability = lectura y escritura

secondary.enterprise_admin.edge.highavailability = lectura y escritura

secondary.vshield_admin.edge.highavailability = lectura y escritura


VMware, Inc. 344

secondary.super_user.edge.ssh = lectura y escritura

secondary.enterprise_admin.edge.ssh = lectura y escritura

secondary.security_admin.edge.ssh = lectura y escritura

secondary.vshield_admin.edge.ssh = lectura y escritura

secondary.super_user.edge.syslog = lectura y escritura

secondary.enterprise_admin.edge.syslog = lectura y escritura

secondary.security_admin.edge.syslog = lectura y escritura

secondary.vshield_admin.edge.syslog = lectura y escritura

secondary.super_user.edge.support = lectura y escritura

secondary.enterprise_admin.edge.support = lectura y escritura

secondary.security_admin.edge.support = lectura y escritura

secondary.vshield_admin.edge.support = lectura y escritura

secondary.super_user.edge.routing = lectura y escritura

secondary.security_admin.edge.routing = lectura y escritura

secondary.enterprise_admin.edge.routing = lectura y escritura

secondary.super_user.edge.appliance = lectura y escritura

secondary.vshield_admin.edge.appliance = lectura y escritura

secondary.enterprise_admin.edge.appliance = lectura y escritura

secondary.super_user.edge.vnic = lectura y escritura

secondary.vshield_admin.edge.vnic = lectura y escritura

secondary.enterprise_admin.edge.vnic = lectura y escritura

secondary.super_user.edge.firewall = lectura y escritura

secondary.vshield_admin.edge.firewall = lectura y escritura

secondary.enterprise_admin.edge.firewall = lectura y escritura

Configurar Single Sign-OnSSO hace que vSphere y NSX sean más seguros, ya que permite que distintos componentes secomuniquen entre sí mediante un mecanismo de intercambio de token seguro, en lugar de solicitar quecada componente autentique un usuario por separado. Puede configurar un servicio de búsqueda enNSX Manager y proporcionar las credenciales de administrador de SSO para registrar NSX ManagementService como usuario de SSO. La integración del servicio Single Sign-On (SSO) con NSX mejora laseguridad de la autenticación de usuarios en vCenter y permite que NSX autentique usuarios de otrosservicios de identidad, como AD, NIS y LDAP.


VMware, Inc. 345

Con SSO, NSX admite la autenticación mediante tokens autenticados de lenguaje de marcado deaserción de seguridad (SAML) de una fuente confiable mediante llamadas API de REST. NSX Managertambién puede adquirir tokens de autenticación SAML para utilizarlos con las soluciones de VMware.

NSX almacena en la memoria caché la información grupal de los usuarios de SSO. Los cambios en losmiembros de grupos tardan hasta 60 minutos en propagarse desde el proveedor de identidad (porejemplo, Active Directory) hasta NSX.

Requisitos previos

n Para utilizar SSO en NSX Manager, es necesario tener la versión vCenter Server 5.5 o posterior, y elservicio de autenticación Single Sign-On (SSO) debe estar instalado en vCenter Server. Tenga encuenta que esto aplica al servicio SSO integrado. En cambio, la implementación debe utilizar unservidor SSO externo centralizado.

Para obtener información sobre los servicios SSO que ofrece vSphere, consulte http://kb.vmware.com/kb/2072435 y http://kb.vmware.com/kb/2113115.

n Debe especificarse el servidor NTP para que la hora del servidor SSO y la hora de NSX Managerestén sincronizadas.

Por ejemplo:

Procedimiento

1 Inicie sesión en el dispositivo virtual de NSX Manager.

En un explorador web, desplácese hasta la GUI del dispositivo NSX Manager en https://<nsx-manager-ip> o https://<nsx-manager-hostname> e inicie sesión como administrador con lacontraseña que configuró al instalar NSX Manager.

2 Haga clic en la pestaña Administrar (Manage) y, a continuación, en NSX Management Service.

3 Escriba el nombre o la dirección IP del host que tiene el servicio de búsqueda.

Si va a utilizar vCenter para realizar el servicio de búsqueda, introduzca el nombre de host o ladirección IP de vCenter Server y, a continuación, introduzca el nombre de usuario y la contraseña devCenter Server.


VMware, Inc. 346



4 Escriba el número de puerto.

Escriba 443 si va a utilizar vSphere 6.0. Para la versión vSphere 5.5, escriba el número de puerto7444.

Se mostrará la URL de Lookup Service según el host y el puerto especificados.

Por ejemplo:

5 Compruebe si la huella digital del certificado coincide con el certificado de vCenter Server.

Si instaló un certificado firmado por la entidad de certificación en el servidor de la entidad decertificación, verá la huella digital del certificado firmado por la entidad de certificación. De locontrario, verá un certificado autofirmado.

6 Confirme que el estado de Lookup Service sea Conectado (Connected).

Por ejemplo:

Pasos siguientes

Asigne un rol al usuario de SSO.

Administrar derechos de usuarioEl rol de un usuario define las acciones que tiene permitidas realizar el usuario en un recurso dado. El roldetermina las actividades autorizadas del usuario en el recurso dado, asegura que un usuario tengaacceso solo a las funciones necesarias para completar las funciones correspondientes. Esto permite elcontrol del dominio en recursos específicos, o control en todo el sistema si su derecho no tienerestricciones.


VMware, Inc. 347

Se aplican las reglas siguientes:

n Un usuario puede tener un solo rol.

n No puede agregar un rol a un usuario o quitar un rol asignado de un usuario. Puede, sin embargo,cambiar el rol asignado de un usuario.

Tabla 21‑1. Roles de usuario de NSX Manager

Derecho Permisos

Administrador empresarial Funcionamiento y seguridad de NSX.

Administrador de NSX (NSXAdministrator)

Solo funcionamiento de NSX: por ejemplo, instalar dispositivos virtuales, configurar gruposde puertos.

Administrador de seguridad(Security Administrator)

Solo seguridad de NSX: por ejemplo, definir directivas de seguridad de datos, crear gruposde puertos, crear informes de módulos de NSX.

Auditor Solo lectura.

Solo se pueden asignar las funciones de administrador empresarial y administrador de NSX a usuariosde vCenter.

Administrar la cuenta de usuario predeterminadoLa interfaz de usuario de NSX Manager incluye una cuenta de usuario que tiene derechos de acceso atodos los recursos. No puede editar los derechos de este usuario ni eliminarlo. El nombre del usuariopredeterminado es admin y la contraseña predeterminada es default o la contraseña que especificódurante la instalación de NSX Manager.

Puede administrar el usuario admin del dispositivo NSX Manager solo a través de comandos de CLI.

Asignar una función a un usuario de vCenterCuando se asigna un rol a un usuario de SSO, vCenter autentica al usuario mediante el servicio deidentidad configurado en el servidor SSO. Si el servidor SSO no se configuró o no se encuentradisponible, se autentica al usuario de forma local o mediante Active Directory según la configuración devCenter.



3 Haga clic en una instancia de NSX Manager en la columna Nombre (Name) y seleccione la pestañaAdministrar (Manage).

4 Haga clic en Usuarios (Users).


Se abrirá la ventana Asignar rol (Assign Role).

6 Haga clic en Especificar un usuario de vCenter (Specify a vCenter user) o en Especificar ungrupo de vCenter (Specify a vCenter group).


VMware, Inc. 348

7 Especifique el nombre de Usuario (User) o Grupo (Group) de vCenter para el usuario.

Consulte el siguiente ejemplo para obtener más información.

Nombre de dominio: corp.vmware.com

Alias: corp

Nombre de grupo: [email protected]

Nombre de usuario: [email protected]

Cuando se asigna una función a un grupo en NSX Manager, cualquier usuario de ese grupo puedeiniciar sesión en la interfaz de usuario de dicho producto.

Para asignar un rol a un usuario, escriba el alias de usuario. Por ejemplo, user1@corp.


9 Seleccione el rol para el usuario y haga clic en Siguiente (Next). Para obtener más informaciónsobre los roles disponibles, consulte Administrar derechos de usuario.


Se mostrará la cuenta de usuario en la tabla Usuarios (Users).

Información sobre la asignación de roles según el grupoLas organizaciones crean grupos de usuarios para administrar correctamente los usuarios. Después dela integración con SSO, NSX Manager puede obtener detalles sobre los grupos a los que pertenece elusuario. En lugar de asignar roles a usuarios individuales que pueden pertenecer al mismo grupo, NSXManager asigna roles a los grupos. En las siguientes situaciones se muestra la forma en que NSXManager asigna los roles.

Ejemplo: Situación de control de acceso basado en rolesEn esta situación se otorga a Sally Moore (ingeniera de redes de TI) acceso a los componentes de NSXen el siguiente entorno.

Dominio de AD: corp.local, grupo de vCenter: [email protected], nombre de usuario:[email protected]

Requisitos previos: vCenter Server registrado en NSX Manager y SSO configurado.

1 Asigne un rol a Sally.


b Haga clic en Redes y seguridad (Networking & Security) y seleccione Instancias de NSXManager (NSX Managers).

c Haga clic en una instancia de NSX Manager en la columna Nombre (Name) y seleccione lapestaña Administrar (Manage).


VMware, Inc. 349

d Haga clic en Usuarios (Users) y seleccione Agregar (Add).

Se abrirá la ventana Asignar función (Assign Role).

e Haga clic en Especificar un grupo de vCenter (Specify a vCenter group) y [email protected] en Grupo (Group).

f Haga clic en Siguiente (Next).

g En Seleccionar roles (Select Roles), haga clic en Administrador de NSX (NSX Administrator) yseleccione Siguiente (Next).

2 Otorgue permiso a Sally para acceder al centro de datos.

a Haga clic en el icono Inicio (Home) y seleccione Inicio de vCenter (vCenter Home) > Centrosde datos (Datacenters).

b Seleccione un centro de datos y haga clic en Acciones (Actions) > Todas las acciones devCenter (All vCenter Actions) > Agregar permiso (Add Permission).

c Haga clic en Agregar (Add) y seleccione el dominio CORP.

d En Usuarios y grupos (Users and Groups), seleccione Mostrar grupos primero (Show GroupsFirst).

e Seleccione Ing. redes (NetEng) y haga clic en Aceptar (OK).

f En Rol asignado (Assigned Role), seleccione Solo lectura (Read-only), anule la selección dePropagar a objetos secundarios (Propagate to children) y haga clic en Aceptar (OK).

3 Cierre la sesión de vSphere Web Client y vuelva a iniciar sesión como [email protected].

Sally solo podrá realizar operaciones de NSX. Por ejemplo, instalar dispositivos virtuales, crearconmutadores lógicos, etc.

Ejemplo: Situación de herencia de permisos mediante pertenenciade grupo o de usuario

Opción de grupo Valor

Nombre G1

Rol asignado Auditor (solo lectura)

Recursos Raíz global

Opción de usuario Valor

Nombre John

Pertenece al grupo G1

Rol asignado Ninguno

John pertenece al grupo G1, al que se le ha asignado el rol Auditor. John hereda los permisos sobrerecursos y el rol de ese grupo.


VMware, Inc. 350

Ejemplo: Situación de usuario miembro de varios grupos


Nombre G1

Rol asignado Auditor (solo lectura)



Nombre G2

Rol asignado Administrador de seguridad (lectura y escritura)

Recursos Centro de datos 1


Nombre Joseph

Pertenece al grupo G1, G2

Rol asignado Ninguno

Joseph pertenece a los grupos G1 y G2, y hereda una combinación de los derechos y los permisosincluidos en los roles Auditor y Administrador de seguridad. Por ejemplo, Joseph posee los siguientespermisos:

n Lectura y escritura (rol Administrador de seguridad) para Centro de datos 1

n Solo lectura (Auditor) para raíz global

Ejemplo: Situación de usuario miembro de varios roles


Nombre G1

Rol asignado Administrador empresarial



Nombre Bob

Pertenece al grupo G1

Rol asignado Administrador de seguridad (lectura y escritura)

Recursos Centro de datos 1

Se asignó el rol Administrador de seguridad a Bob; es por eso que no hereda los permisos de los rolesdel grupo. Bob posee los siguientes permisos:

n Lectura y escritura (rol Administrador de seguridad) para Centro de datos 1 y sus recursossecundarios


VMware, Inc. 351

n Rol Administrador empresarial en Centro de datos 1.

Editar una cuenta de usuarioEs posible editar una cuenta de usuario para cambiar el rol o el ámbito. No se puede editar la cuentaadmin.

Procedimiento


2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redesy seguridad (Networking & Security Inventory), haga clic en NSX Managers.



5 Seleccione el usuario que desea editar.


7 Realice los cambios necesarios

8 Haga clic en Finalizar (Finish) para guardar los cambios.

Cambiar un rol de usuarioEs posible cambiar la asignación de roles de todos los usuarios, excepto el usuario admin.

Procedimiento





5 Seleccione el usuario cuyo rol desea cambiar.

6 Haga clic en Cambiar rol (Change Role).

7 Realice los cambios necesarios

8 Haga clic en Finalizar (Finish) para guardar los cambios.

Deshabilitar o habilitar una cuenta de usuarioEs posible deshabilitar una cuenta de usuario para evitar que ese usuario inicie sesión en NSX Manager.No se pueden deshabilitar el usuario admin o un usuario que se encuentre conectado a NSX Manager.


VMware, Inc. 352

Procedimiento





5 Seleccione una cuenta de usuario.

6 Haga clic en el icono Habilitar (Enable) o Deshabilitar (Disable).

Eliminar una cuenta de usuarioEs posible eliminar cualquier cuenta de usuario creada. No se puede eliminar la cuenta admin. Losregistros de auditoría de los usuarios eliminados se mantienen en la base de datos y se puede hacerreferencia a ellos en un informe de registro de auditoría.

Procedimiento





5 Seleccione una cuenta de usuario.

6 Haga clic en Eliminar (Delete).

7 Haga clic en Aceptar (OK) para confirmar la eliminación.

Si elimina una cuenta de usuario de vCenter, solo se elimina la asignación de rol de NSX Manager.No se elimina la cuenta de usuario en vCenter.


VMware, Inc. 353

Objetos de seguridad y red 22En esta sección se describen los contenedores de seguridad y red personalizados. Estos contenedoresse pueden utilizar en un Distributed Firewall y Service Composer. En un entorno de Cross-vCenter NSX,puede crear contenedores de seguridad y red universales para utilizarlos en las reglas de DistributedFirewall universales. No puede utilizar objetos de seguridad y red universales en Server Composer.


n Trabajar con grupos de direcciones IP

n Trabajar con grupos de direcciones MAC

n Trabajar con grupos de direcciones IP

n Trabajar con grupos de seguridad

n Trabajar con servicios y grupos de servicios

Trabajar con grupos de direcciones IP

Crear un grupo de direcciones IPEs posible crear un grupo de direcciones IP y, a continuación, agregar este grupo como el origen o eldestino en una regla de firewall. Dicha regla puede servir de ayuda para proteger las máquinas físicas delas virtuales o viceversa.

Procedimiento




u Debe seleccionar la instancia de NSX Manager principal si necesita administrar grupos dedirecciones IP universales.

4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic enConjuntos de direcciones IP (IP Sets).

VMware, Inc. 354


6 Escriba un nombre para el grupo de direcciones.

7 (opcional) Escriba una descripción para el grupo de direcciones.

8 Escriba las direcciones IP que se deben incluir en el grupo.

9 (opcional) Seleccione Habilitar herencia para tener visibilidad en ámbitos subyacentes (Enableinheritance to allow visibility at underlying scopes).

10 (opcional) Seleccione Marcar este objeto para sincronización universal (Mark this object forUniversal Synchronization) para crear un grupo de direcciones IP universal.


Editar un grupo de direcciones IP

Requisitos previos

Procedimiento






5 Seleccione el grupo que desea editar y haga clic en el icono Editar (Edit) ( ).

6 En el cuadro de diálogo Editar conjuntos de direcciones IP (Edit IP Sets), realice los cambiosadecuados.


Eliminar un grupo de direcciones IPProcedimiento




VMware, Inc. 355




5 Seleccione el grupo que desea eliminar y haga clic en el icono Eliminar (Delete) ( ).

Trabajar con grupos de direcciones MAC

Crear un grupo de direcciones MACPuede crear un grupo de direcciones MAC compuesto por un rango de direcciones MAC y, acontinuación, agregar este grupo como origen o destino en una regla de Distributed Firewall. Dicha reglapuede servir de ayuda para proteger las máquinas físicas de las virtuales o viceversa.

Procedimiento




u Debe seleccionar la instancia de NSX Manager principal si necesita administrar grupos dedirecciones MAC universales.

4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic enConjuntos de direcciones MAC (MAC Sets).


6 Escriba un nombre para el grupo de direcciones.

7 (opcional) Escriba una descripción para el grupo de direcciones.

8 Escriba las direcciones MAC que se deben incluir en el grupo.


10 (opcional) Seleccione Marcar este objeto para sincronización universal (Mark this object forUniversal Synchronization) para crear un grupo de direcciones MAC universal.



VMware, Inc. 356

Editar un grupo de direcciones MACProcedimiento







6 En el cuadro de diálogo Editar conjunto de direcciones MAC (Edit MAC Set), realice los cambiosadecuados.


Eliminar un grupo de direcciones MACProcedimiento







Trabajar con grupos de direcciones IPPuede editar o eliminar un grupo de direcciones IP.

Para obtener información sobre cómo agregar un grupo de direcciones IP, consulte Configurar el accesode red de SSL VPN-Plus o Configurar el acceso web de SSL VPN-Plus.


VMware, Inc. 357

Crear un grupo de direcciones IPProcedimiento




4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Grupode direcciones IP (IP Pool).

5 Haga clic en el icono Agregar grupo de direcciones IP nuevo (Add New IP Pool).

6 Escriba un nombre para el grupo de direcciones IP y escriba la longitud del prefijo y la puerta deenlace predeterminados.

7 (opcional) Escriba los DNS principal y secundario y el sufijo DNS.

8 Escriba los rangos de direcciones IP que se deben incluir en el grupo y haga clic en Aceptar (OK).

Editar un grupo de direcciones IPEs posible editar un grupo de direcciones IP, pero no la puerta de enlace o CIDR.

Procedimiento




4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Gruposde direcciones IP (IP Pools).

5 Seleccione un grupo de direcciones IP y haga clic en el icono Editar (Edit).


Eliminar grupo de direcciones IPProcedimiento




VMware, Inc. 358


4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Grupode direcciones IP (IP Pool).

5 Seleccione el grupo de direcciones IP que desea eliminar y haga clic en el icono Eliminar (Delete).

Trabajar con grupos de seguridadUn grupo de seguridad es una recopilación de activos u objetos agrupados del inventario de vSphere.

Crear un grupo de seguridadEs posible crear un grupo de seguridad en el nivel de NSX Manager.

Requisitos previos

Si crea un grupo de seguridad basado en objetos de grupos de Active Directory, asegúrese de que hayauno o varios dominios registrados en NSX Manager. NSX Manager obtiene información del grupo y delusuario, así como de la relación existente entre estos elementos, desde cada dominio con el que estáregistrado. Consulte Registrar un dominio de Windows con NSX Manager.

Procedimiento




u Debe seleccionar la instancia de NSX Manager principal si necesita administrar grupos deseguridad universales.

4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Grupode seguridad (Security Group) y en el icono Agregar grupo de seguridad (Add Security Group).

5 Escriba un nombre y, de manera opcional, una descripción para el grupo de seguridad.

6 (opcional) Si debe crear un grupo de seguridad universal, seleccione Marcar este objeto parasincronización universal (Mark this object for universal synchronization).



VMware, Inc. 359

8 En la página Pertenencia dinámica (Dynamic Membership), defina los criterios que debe cumplir unobjeto para que se pueda agregar al grupo de seguridad que va a crear. Al definir un filtro de criterioscon una serie de parámetros compatibles con los criterios de búsqueda, se pueden incluir máquinasvirtuales.

Nota Si crea un grupo de seguridad universal, el paso Definir pertenencia dinámica (Definedynamic membership) no está disponible.

Por ejemplo, puede incluir un criterio para agregar al grupo de seguridad todas las máquinasvirtuales etiquetadas con la etiqueta de seguridad específica (como AntiVirus.virusFound). Lasetiquetas de seguridad distinguen entre mayúsculas y minúsculas.

O bien puede agregar al grupo de seguridad todas las máquinas virtuales que contengan el nombreW2008 y las máquinas virtuales que estén en el conmutador lógico global_wire.



VMware, Inc. 360

10 En la página Seleccionar los objetos que se van a incluir (Select objects to include), seleccione lapestaña del recurso que desea agregar y, a continuación, seleccione uno o varios recursos paraagregarlos al grupo de seguridad. Puede incluir los siguientes objetos en un grupo de seguridad.

Tabla 22‑1. Objetos que pueden incluirse en grupos de seguridad y grupos de seguridaduniversales.

Grupo de seguridad Grupo de seguridad universal

n Otros grupos de seguridad para agrupar dentro delgrupo de seguridad que se va a crear.

n Clústern Conmutador lógicon Redn Aplicación virtualn Centro de datosn Conjuntos de direcciones IPn Grupos de directorios

Nota La configuración de Active Directory para losgrupos de seguridad de NSX es diferente de laconfiguración de Active Directory para vSphere SSO. Laconfiguración de grupos de AD de NSX es para losusuarios finales que acceden a máquinas virtualesinvitadas, mientras que vSphere SSO es para losadministradores que utilizan vSphere y NSX. Parautilizar estos grupos de directorio debe sincronizarsecon Active Directory. Consulte Capítulo 11Introducciónal firewall de identidad.

n Conjuntos de direcciones MACn Etiqueta de seguridadn vNICn Máquina virtualn Grupo de recursosn Grupo de puertos virtuales distribuidos

n Otros grupos de seguridad universales para agrupardentro del grupo de seguridad universal que se va acrear.

n Conjuntos de direcciones IP universalesn Conjuntos de direcciones MAC universales

Los objetos seleccionados aquí siempre se incluyen en el grupo de seguridad, más allá de sicoinciden o no con los criterios mencionados en el Paso 8.

Cuando se agrega un recurso a un grupo de seguridad, todos los recursos asociados se agreganautomáticamente. Por ejemplo, cuando selecciona una máquina virtual, la vNIC asociada se agregaautomáticamente al grupo de seguridad.

11 Haga clic en Siguiente (Next) y seleccione los objetos que desea excluir del grupo de seguridad.

Nota Si crea un grupo de seguridad universal, el paso Seleccionar los objetos que se van aexcluir (Select objects to exclude) no está disponible.

Los objetos seleccionados aquí siempre se excluyen del grupo de seguridad, más allá de sicoinciden o no con los criterios dinámicos.



VMware, Inc. 361

La pertenencia a un grupo de seguridad se determina de la siguiente manera:

{Resultado de la expresión (derivado del Paso 8) + Inclusiones (especificadas en el Paso 10} - Exclusión(especificada en el Paso 11)

Esto significa que los elementos de inclusión se agregan primero al resultado de la expresión. Acontinuación, se restan los elementos de exclusión del resultado total.

Editar un grupo de seguridadProcedimiento





4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Grupode seguridad (Security Group).


6 En el cuadro de diálogo Editar grupo de seguridad (Edit Security Group), realice los cambiosadecuados.


Eliminar un grupo de seguridadProcedimiento





4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Grupode seguridad (Security Group).



VMware, Inc. 362

Trabajar con servicios y grupos de serviciosUn servicio es una combinación de puerto y protocolo, mientras que un grupo de servicios es un grupoque incluye servicios u otros grupos de servicios.

Crear un servicioEs posible crear un servicio y, a continuación, definir reglas para ese servicio.

Procedimiento




u Debe seleccionar la instancia de NSX Manager principal si necesita administrar serviciosuniversales.

4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Servicio(Service).


6 Escriba un Nombre (Name) para identificar el servicio.

7 (opcional) Escriba una Descripción (Description) para el servicio.

8 Seleccione un Protocolo (Protocol).

a Según el protocolo seleccionado, es posible que se le solicite introducir más información, comoel puerto de destino.


10 (opcional) Seleccione Marcar este objeto para sincronización universal (Mark this object forUniversal Synchronization) para crear un servicio universal.


El servicio aparece en la tabla Servicios (Services).

Crear un grupo de serviciosEs posible crear un grupo de servicios y, a continuación, definir reglas para ese grupo de servicios.

Procedimiento



VMware, Inc. 363



u Debe seleccionar la instancia de NSX Manager principal si necesita administrar grupos deservicio universales.

4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Gruposde servicios (Service Groups).


6 Escriba un Nombre (Name) para identificar el grupo de servicios.

7 (opcional) Escriba una Descripción (Description) para el grupo de servicios.

8 (opcional) Seleccione Marcar este objeto para sincronización universal (Mark this object forUniversal Synchronization) para crear un grupo de servicios universal.

9 En Miembros (Members), seleccione los servicios o los grupos de servicios que desea agregar algrupo.



Editar un servicio o un grupo de serviciosEs posible editar servicios o grupos de servicios.

Procedimiento




u Debe seleccionar la instancia de NSX Manager principal si necesita administrar servicios ogrupos de servicio universales.

4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Servicio(Service) o Grupos de servicios (Service Groups).

5 Seleccione un servicio o un grupo de servicios personalizado y haga clic en el icono Editar (Edit)

( ).




VMware, Inc. 364

Eliminar un servicio o un grupo de serviciosEs posible eliminar servicios o un grupo de servicios.

Procedimiento




u Debe seleccionar la instancia de NSX Manager principal si necesita administrar servicios ogrupos de servicio universales.

4 Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Servicio(Service) o Grupos de servicios (Service Groups).

5 Seleccione un servicio o un grupo de servicios personalizados y haga clic en el icono Eliminar

(Delete) ( ).

6 Haga clic en Sí (Yes).

Se eliminan el servicio o el grupo de servicios.


VMware, Inc. 365

Operaciones y administración 23Este capítulo incluye los siguientes temas:

n Cambiar la contraseña de la controladora

n Recuperación de un error de NSX Controller

n Cambiar el puerto de VXLAN

n Comprobar estado del canal de comunicación

n Programa de mejora de la experiencia de cliente

n Eventos del sistema y registros de auditoría

n Configuración del sistema de administración

n Trabajar con traps SNMP

n Copia de seguridad y restauración de NSX

n Flow Monitoring

n Supervisión de actividad

n Traceflow

Cambiar la contraseña de la controladoraPara garantizar la seguridad de los datos, es posible cambiar las contraseñas de las instancias de NSXController.

Procedimiento



3 En Administración (Management), seleccione la controladora cuya contraseña desea cambiar.

4 Haga clic en Acciones (Actions) y seleccione Cambiar contraseña de clúster de la controladora(Change Controller Cluster Password).

5 Introduzca una contraseña nueva y haga clic en Aceptar (OK).

Se cambiará la contraseña de la controladora.

VMware, Inc. 366

Recuperación de un error de NSX ControllerEn caso de que se produzca un error en NSX Controller, posiblemente aún queden dos controladorasque funcionen. La mayoría del clúster se mantiene y el plano de control sigue funcionando. A pesar deesto, es importante eliminar las tres controladoras y agregar nuevas, a fin de mantener un clúster de tresnodos completamente funcional.

Se recomienda eliminar el clúster de controladoras cuando una o más controladoras sufren errorescatastróficos e irrecuperables, o cuando una o más de las máquinas virtuales de la controladora dejan deser accesibles y esto no se puede solucionar.

Se recomienda eliminar todas las controladoras en tal caso, aun cuando algunas parezcan tener unestado normal. El proceso recomendado es crear un clúster de controladoras nuevo y utilizar elmecanismo Actualizar estado de controladora (Update Controller State) en NSX Manager parasincronizar el estado de las controladoras.

Procedimiento


2 En Redes y seguridad (Networking & Security), haga clic en Instalación > Administración(Installation > Management).

3 En la sección de nodos de NSX Controller, haga clic en cada controladora y tome capturas oimpresiones de pantalla de las pantallas de detalle, o bien escriba la información de configuraciónpara usarla como referencia en el futuro.

Por ejemplo:

4 En la sección de nodos de NSX Controller, elimine los tres nodos. Para ello, seleccione cada nodo yhaga clic en el icono Eliminar nodo (x) (Delete Node [x]).

Cuando no hay controladoras en el sistema, los hosts funcionan en lo que se denomina modo "sinperiféricos". Las máquinas virtuales migradas con vMotion o las máquinas virtuales nuevas tendránproblemas de red hasta que se implementen las controladoras nuevas y se complete lasincronización.

5 Implemente tres nodos nuevos de NSX Controller. Para ello, haga clic en el icono Agregar nodo (+)(Add Node [+]).


VMware, Inc. 367

6 En el cuadro de diálogo Agregar controladora (Add Controller), seleccione el centro de datos en elque agregará los nodos y configure las opciones de la controladora.

a Seleccione el clúster adecuado.

b Seleccione un host en el clúster y el almacenamiento.

c Seleccione el grupo de puertos distribuidos.

d Seleccione el grupo de direcciones IP desde el cual se deben asignar las direcciones IP al nodo.

e Haga clic en Aceptar (OK), espere a que finalice la instalación y compruebe que todos los nodostengan el estado Normal.

7 Vuelva a sincronizar el estado de la controladora. Para ello, haga clic en Acciones > Actualizarestado de controladora (Actions > Update Controller State).

La opción Actualizar estado de controladora (Update Controller State) realiza un envío push de laconfiguración del enrutador lógico distribuido y el VXLAN actual (que incluye los objetos universalesde una implementación de Cross-VC NSX) de NSX Manager al clúster de NSX Controller.

Cambiar el puerto de VXLANEs posible cambiar el puerto utilizado para el tráfico de VXLAN.

En NSX 6.2.3., el puerto VXLAN predeterminado es el 4789, el puerto estándar que asigna la IANA.Antes de NSX 6.2.3, el número de puerto UDP de VXLAN predeterminado era el 8472.

Las instalaciones nuevas de NSX utilizarán el puerto UDP 4789 para VXLAN.

Si en la actualización a NSX 6.2.3 y en la instalación se utilizó el puerto antiguo predeterminado (8472) oun número de puerto personalizado predeterminado (por ejemplo, el 8888) antes de la actualización,dicho puerto seguirá utilizándose tras la actualización a menos que realice los pasos necesarios paracambiarlo.

Si la instalación que actualizó utiliza o utilizará puertas de enlace de VTEP de hardware (puertas deenlace ToR), debe cambiar al puerto 4789 de VXLAN.

No es necesario que utilice el puerto 4789 para el puerto VXLAN en Cross-vCenter NSX; sin embargo,todos los hosts de un entorno de Cross-vCenter NSX deben estar configurados para usar el mismopuerto VXLAN. Si cambia al puerto 4789, garantiza que las nuevas instalaciones de NSX agregadas alentorno de Cross-vCenter NSX utilizan el mismo puerto que las implementaciones de NSX.


VMware, Inc. 368

El cambio del puerto de VXLAN se realiza en un proceso de tres fases y no interrumpirá el tráfico deVXLAN. En un entorno de Cross-vCenter NSX, el cambio se propagará a todos los dispositivos de NSXManager y a todos los hosts del entorno de Cross-vCenter NSX.

Requisitos previos

n Compruebe que un firewall no bloquee el puerto que desea utilizar para VXLAN.

n Compruebe que la preparación del host no se esté ejecutando a la vez que cambia el puerto deVXLAN.

Procedimiento

1 Haga clic en la pestaña Preparación de red lógica (Logical Network Preparation) y, a continuación,haga clic en Transporte de VXLAN (VXLAN Transport).

2 Haga clic en el botón Cambiar (Change) en el panel del puerto de VXLAN. Introduzca el puerto alque desee cambiar. El puerto 4789 es el que asigna la IANA para VXLAN.

El cambio de puerto tardará un breve periodo de tiempo en propagarse a todos los hosts.

3 (opcional) Compruebe el progreso del cambio de puerto con la solicitud API deGET /api/2.0/vdn/config/vxlan/udp/port/taskStatus.

GET https://nsxmgr-01a/api/2.0/vdn/config/vxlan/udp/port/taskStatus

<?xml version="1.0" encoding="UTF-8"?>

<vxlanPortUpdatingStatus>

<prevPort>8472</prevPort>

<targetPort>4789</targetPort>

<taskPhase>PHASE_TWO</taskPhase>

<taskStatus>PAUSED</taskStatus>

</vxlanPortUpdatingStatus>

...

<?xml version="1.0" encoding="UTF-8"?>

<vxlanPortUpdatingStatus>

<prevPort>8472</prevPort>

<targetPort>4789</targetPort>

<taskPhase>FINISHED</taskPhase>

<taskStatus>SUCCEED</taskStatus>

</vxlanPortUpdatingStatus>

Comprobar estado del canal de comunicaciónNSX comprueba el estado de la comunicación entre NSX Manager y el agente de firewall, NSX Managery el agente de plano de control, y el agente de plano de control y las controladoras.


VMware, Inc. 369

Procedimiento

1 En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) >Instalación (Installation) > Preparación del host (Host Preparation).

2 Seleccione un clúster o expanda los clústeres y seleccione un host. Haga clic en Acciones (Actions)

y seleccione Estado de canal de comunicación (Communication Channel Health).

Se mostrará información sobre el estado del canal de comunicación.

Programa de mejora de la experiencia de clienteNSX participa en el programa de mejora de la experiencia de cliente (CEIP) de VMware.

Los detalles relacionados con los datos recopilados mediante el CEIP, así como los fines para los queVMware los utiliza, se pueden encontrar en el Centro de seguridad y confianza en http://www.vmware.com/trustvmware/ceip.html.

Si desea unirse o abandonar el CEIP de NSX o editar la configuración del programa, consulte Editar laopción del programa de mejora de la experiencia de cliente.


VMware, Inc. 370

http://www.vmware.com/trustvmware/ceip.html.

Editar la opción del programa de mejora de la experiencia declienteCuando se instala o actualiza NSX Manager, se puede seleccionar unirse al CEIP. Puede unirse al CEIPo bien salir posteriormente. También se puede definir la frecuencia y los días en los que la información serecopilará.

Requisitos previos

n Compruebe que NSX Manager está conectado y se puede sincronizar con vCenter Server.

n Compruebe que DNS está configurado en NSX Manager.

n Compruebe que NSX está conectado a una red pública para subir datos.

Procedimiento


2 Seleccione Redes y seguridad (Networking & Security).

3 En el inventario de redes y seguridad (Networking & Security Inventory), seleccione NSX Managers.

4 Haga doble clic en la instancia de NSX Manager que desee modificar.

5 Haga clic en la pestaña Resumen (Summary).

6 Haga clic en Editar (Edit) en el cuadro de diálogo del programa de mejora de la experiencia decliente.

7 Seleccione o desmarque la opción Unirse al programa de mejora de la experiencia de cliente deVMware (Join the VMware Customer Experience Improvement Program).

8 (opcional) Configure los ajustes de periodicidad.


Eventos del sistema y registros de auditoríaLos eventos del sistema son eventos que están relacionados con operaciones de NSX. Se elevan paradar detalles de cada evento operativo. Los eventos incluso pueden relacionarse con el funcionamientobásico (Informativo) o con un error crítico (Crítico).

A través de la característica NSX Ticket Logger, con un identificador de ticket puede hacer unseguimiento de los cambios realizados. Los registros de auditoría de las operaciones registradas en unticket incluirán el identificador de ticket.


VMware, Inc. 371

Acerca de los registros de NSXEn esta sección se describe de qué manera puede configurar el servidor de Syslog y ver registros desoporte técnico para cada componente de NSX. Hay registros de planos de administración disponiblesen NSX Manager y registros de planos de datos disponibles en vCenter Server. Por ese motivo, serecomienda especificar el mismo servidor de Syslog para el componente de NSX y vCenter Server, a finde tener un panorama completo al ver los registros en el servidor de Syslog.

Para obtener información sobre la configuración de Syslog para hosts administrados por una instancia devCenter Server, consulte la documentación de VMware vSphere ESXi y vCenter Server 5.5.

Nota Los servidores syslog o de salto que se utilizan para recopilar registros y acceder a la máquinavirtual de control del enrutador lógico distribuido (DLR) de NSX no pueden estar en el conmutador lógicoque está directamente conectado a las interfaces lógicas de ese DLR.

NSX ManagerPara especificar un servidor de Syslog, consulte Especificar un servidor syslog.

Para descargar registros de soporte técnico, consulte Descargar registros de soporte técnico para NSX.

NSX EdgePara especificar un servidor syslog, consulte Configurar los servidores de Syslog remotos.

Para descargar registros de soporte técnico, consulte Descargar registros de soporte técnico para NSXEdge.

FirewallDebe configurar el servidor de Syslog remoto para cada clúster donde el firewall está habilitado. Elservidor de Syslog remoto está especificado en el atributo Syslog.global.logHost. Consulte ladocumentación de ESXi y vCenter Server 5.5.

Esta es una línea de ejemplo de un archivo de registro del host.

2013-10-02T05:41:12.670Z cpu11:1000046503)vsip_pkt: INET, match, PASS, Rule 0/3, Ruleset domain-c7,

Rule ID 100, OUT, Len 60, SRC 10.24.106.96, DST 10.24.106.52, TCP SPORT 59692, DPORT 22 S

que consiste en tres partes:

Tabla 23‑1. Componentes de una entrada de archivo de registro

Valor en el ejemplo

La porción de registro común de VMkernelconsiste en fecha, hora, CPU y WorldID

2013-10-02T05:41:12.670Z cpu11:1000046503)

Identificador vsip_pkt

Porción específica del firewall INET, match, PASS, Rule 0/3, Ruleset domain-c7, Rule ID 100, OUT, Len 60,SRC 10.24.106.96, DST 10.24.106.52, TCP SPORT 59692, DPORT 22 S


VMware, Inc. 372

Tabla 23‑2. Porción específica del firewall de la entrada del archivo de registro

Entidad Valores posibles

Valor AF INET, INET6

Motivo Valores posibles: match, bad-offset, fragment, short, normalize, memory, bad-timestamp, congestion, ip-option, proto-cksum, state-mismatch, state-insert, state-limit, src-limit, synproxy, spoofguard

Acción PASS, DROP, SCRUB, NOSCRUB, NAT, NONAT, BINAT, NOBINAT, RDR, NORDR, SYNPROXY_DROP,PUNT, REDIRECT, COPY

Identificador de laregla

Identificador

Valor de la regla Identificador del conjunto de reglas y posición de la regla (detalles internos)

Identificador delconjunto dereglas

Identificador

Valor del conjuntode reglas

Nombre del conjunto de reglas

Identificador delidentificador dereglas

Identificador

Identificador dereglas

Coincidencia de identificador

Dirección ROUT, IN

Identificador delongitud

Len seguido de la variable

Valor de lalongitud

Longitud de paquetes

Identificador deorigen

SRC

Dirección IP deorigen

Dirección IP

Identificador dedestino

Dirección IP

Protocolo TCP, UDP, PROTO

Identificador depuerto de origen

SPORT

Puerto de origen Número de puerto de origen para TDP y UDP

Identificador depuerto de origen

Identificador de puerto de destino

Puerto de destino Número de puerto de destino para TDP y UDP

Marca Marca de TCP


VMware, Inc. 373

Usar NSX Ticket LoggerNSX Ticket Logger permite hacer un seguimiento de los cambios de infraestructura realizados. Todas lasoperaciones están etiquetadas con el identificador de ticket especificado, y los registros de auditoría deestas operaciones incluyen el identificador de ticket. Los archivos de registro de estas operaciones estánetiquetados con el mismo identificador de ticket.

Procedimiento


2 Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en la pestañaAdministrar (Manage).

3 Haga clic en Editar (Edit) junto a Configuración de NSX Ticket Logger (NSX Ticket LoggerSettings).

4 Escriba el identificador de un ticket y haga clic en Activar (Turn On).

Aparecerá el panel Registro de tickets de NSX (NSX Ticket Logging) en el lateral derecho de laventana de vSphere Web Client. Los registros de auditoría de las operaciones realizadas en lasesión actual de la interfaz de usuario incluyen el identificador de ticket en la columna Etiquetas deoperación (Operation Tags).

Figura 23‑1. Panel de NSX Ticket Logger

Si vSphere Web Client está administrando varias instancias de vCenter Server, el identificador deticket se utiliza para conectarse a todas las instancias correspondientes de NSX Manager.

Pasos siguientes

El registro de tickets está basado en la sesión. Si el registro de tickets está activado y se cierra la sesióno si se pierde la sesión, se desactivará el registro de tickets de forma predeterminada cuando vuelva ainiciar sesión en la interfaz de usuario. Para completar las operaciones de un ticket, desactive el registrorepitiendo los pasos 2 y 3, y haga clic en Desactivar (Turn Off).


VMware, Inc. 374

Ver el informe de eventos del sistemaDesde vSphere Web Client puede ver los eventos del sistema para todos los componentes administradospor NSX Manager.

Procedimiento



3 Haga clic en una instancia de NSX Manager en la columna Nombre (Name) y, a continuación, en lapestaña Supervisar (Monitor).

4 Haga clic en la pestaña Eventos del sistema (System Events).

Puede hacer clic en las flechas de los encabezados de las columnas para ordenar eventos, o utilizarel cuadro de texto Filtrar (Filter) para filtrar eventos.

Eventos del dispositivo virtual NSX Manager

Los siguientes eventos son específicos del dispositivo virtual de NSX Manager.

Tabla 23‑3. Eventos del dispositivo virtual NSX Manager

Apagado Encendido Interfaz desactivada Interfaz activada

CLI local Ejecute el comando showlog follow.

Ejecute el comando showlog follow.

Ejecute el comando showlog follow.

Ejecute el comandoshow log follow.

Interfazgráfica deusuario

No corresponde No corresponde No corresponde No corresponde

Tabla 23‑4. Eventos del dispositivo virtual NSX Manager

CPU Memoria Almacenamiento

CLI local Ejecute el comando show processmonitor.

Ejecute el comando show systemmemory.

Ejecute el comando showfilesystem.

Interfazgráfica deusuario

No corresponde No corresponde No corresponde

Acerca del formato de Syslog


VMware, Inc. 375

El mensaje de evento del sistema registrado en el servidor de Syslog tiene la siguiente estructura.

syslog header (timestamp + hostname + sysmgr/)

Timestamp (from the service)

Name/value pairs

Name and value separated by delimiter '::' (double colons)

Each name/value pair separated by delimiter ';;' (double semi-colons)

Los campos y los tipos de eventos del sistema contienen la siguiente información.

Event ID :: 32 bit unsigned integer

Timestamp :: 32 bit unsigned integer

Application Name :: string

Application Submodule :: string

Application Profile :: string

Event Code :: integer (possible values: 10007 10016 10043 20019)

Severity :: string (possible values: INFORMATION LOW MEDIUM HIGH CRITICAL)

Message ::

Ver el registro de auditoríaLa pestaña Registros de auditoría (Audit Logs) proporciona una vista de las acciones realizadas portodos los usuarios de NSX Manager. NSX Manager conserva hasta 1.000.000 de registros de auditoría.

Procedimiento



3 En la columna Nombre (Name), haga clic en un servidor NSX y, a continuación, en la pestañaSupervisar (Monitor).

4 Haga clic en la pestaña Registros de auditoría (Audit Logs).

5 Cuando hay detalles disponibles sobre un registro de auditoría, se puede hacer clic en el texto de lacolumna Operación (Operation) de ese registro. Para ver los detalles de un registro de auditoría,haga clic en el texto de la columna Operación (Operation).

6 En Detalles de cambios en los registros de auditoría (Audit Log Change Details), seleccione Filascon cambios (Changed Rows) para ver solo aquellas propiedades cuyos valores cambiaron en laoperación de este registro de auditoría.

Configuración del sistema de administraciónPuede editar vCenter Server, el servidor NTP y DNS, y el servidor Lookup que especificó durante elprimer inicio de sesión. NSX Manager necesita comunicación con vCenter Server y los servicios comoDNS y NTP para brindar detalles sobre el inventario de VMware Infrastructure.


VMware, Inc. 376

Iniciar sesión en el dispositivo virtual de NSX ManagerDespués de haber instalado y configurado la máquina virtual de NSX Manager, inicie sesión en eldispositivo virtual de NSX Manager para revisar la configuración especificada durante la instalación.

Procedimiento

1 Abra una ventana del explorador web y escriba la dirección IP asignada a NSX Manager. Porejemplo, https://192.168.110.42.

Se abre la interfaz de usuario de NSX Manager en una ventana del explorador web con SSL.

2 Acepte el certificado de seguridad.

Nota Puede utilizar un certificado SSL para la autenticación.

Aparece la pantalla de inicio de sesión de NSX Manager.

3 Inicie sesión en el dispositivo virtual de NSX Manager con el nombre de usuario admin y lacontraseña que estableció durante la instalación.

4 Haga clic en Iniciar sesión (Log In).

Editar fecha y hora de NSX ManagerPuede cambiar el servidor NTP especificado durante el primer inicio de sesión.

Procedimiento


2 En Administración de dispositivos (Appliance Management), haga clic en Administrarconfiguración de dispositivos (Manage Appliance Settings).

3 Haga clic en Editar (Edit) junto a Configuración de hora (Time Settings).



6 Reinicie NSX Manager.

Especificar un servidor syslogSi especifica un servidor de Syslog, NSX Manager envía todos los registros de auditoría y los eventos delsistema al servidor de Syslog.

Los datos de Syslog son útiles para solucionar problemas y revisar los datos registrados durante lainstalación y la configuración.

NSX Edge es compatible con dos servidores syslog. NSX Manager y las instancias de NSX Controllerson compatibles con un servidor syslog.


VMware, Inc. 377

Procedimiento

1 En un navegador web, acceda a la interfaz gráfica de usuario (GUI) del dispositivo NSX Manager enhttps://<nsx-manager-ip> o https://<nsx-manager-hostname>.

2 Inicie sesión como administrador con la contraseña que estableciera durante la instalación de NSXManager.

3 Haga clic en Manage Appliance Settings (Administrar configuración de dispositivo).

Por ejemplo:

4 En el panel Configuración (Settings), haga clic en General.

5 Haga clic en Editar (Edit) junto a Servidor de Syslog (Syslog Server).

6 Escriba el nombre del host o la dirección IP, el puerto y el protocolo del servidor de Syslog.

Si no especifica un puerto, se utiliza el puerto UDP predeterminado para la dirección IP o el nombrede host del servidor de Syslog.

Por ejemplo:



VMware, Inc. 378

Se habilita el registro remoto en vCenter Server y los registros se almacenan en el servidor de Syslogindependiente.

Editar servidores DNSPuede cambiar los servidores DNS especificados durante la instalación de Manager.

Procedimiento



3 En el panel Configuración (Settings), haga clic en Red (Network).

4 Haga clic en Editar (Edit) junto a Servidores DNS (DNS Servers).



Editar detalles de Lookup ServiceEs posible cambiar los detalles de Lookup Service especificados durante el primer inicio de sesión.

Procedimiento



3 En el panel Configuración (Settings), haga clic en Servicio de administración de NSX (NSXManagement Service).

4 Haga clic en Editar (Edit) junto a Lookup Service.



Editar vCenter ServerPuede cambiar la instancia de vCenter Server con la cual registró NSX Manager durante la instalación.Debe hacerlo únicamente si cambia la dirección IP de la instancia actual de vCenter Server.

Procedimiento

1 Si inició sesión en vSphere Web Client, cierre la sesión.




VMware, Inc. 379

4 En el panel Configuración (Settings), haga clic en Servicio de administración de NSX (NSXManagement Service).

5 Haga clic en Editar (Edit) junto a vCenter Server.



Descargar registros de soporte técnico para NSXEs posible descargar los registros del sistema NSX Manager y de Web Manager en el escritorio.

Procedimiento

1 Inicie sesión en el dispositivo virtual NSX Manager.


3Haga clic en y, a continuación, en Descargar registro de soporte técnico (Download TechSupport Log).

4 Haga clic en Descargar (Download).

5 Una vez listo el registro, haga clic en Guardar (Save) para descargar el registro en el escritorio.

Se comprime el registro y tiene la extensión de archivo .gz.

Pasos siguientes

Puede abrir el registro con una utilidad de descompresión; para ello, busque Todos los archivos (AllFiles) en el directorio en el que guardó el archivo.

Certificación SSL de NSX ManagerNSX Manager requiere un certificado firmado para autenticar la identidad del servicio web de NSXManager y para cifrar la información que se envía al servidor web de NSX Manager. El proceso implicagenerar una solicitud de firma de certificado (CSR), hacerla firmar por una entidad de certificación eimportar el certificado SSL firmado en NSX Manager. La práctica recomendada de seguridad indicautilizar la opción de generación de certificados para generar una clave pública y una clave privada; estaúltima se guarda en NSX Manager.

Para obtener un certificado de NSX Manager, puede utilizar el generador de CSR integrado de NSXManager u otra herramienta, como OpenSSL.

La CSR generada mediante el generador de CSR integrado de NSX Manager no puede conteneratributos extendidos, como un nombre alternativo de sujeto (SAN). Si desea incluir atributos extendidos,debe utilizar otra herramienta para generar las CSR. Si utiliza otra herramienta, como OpenSSL, paragenerar la CSR, el proceso implicará 1) generar la CSR, 2) hacerla firmar y 3) seguir con la sección Convertir el archivo de certificado de NSX Manager a formato PKCS#12.


VMware, Inc. 380

Utilizar el generador de CSR integradoUn método para obtener los certificados SSL en NSX Manager es utilizar el generador de CSR integrado.

Este método es limitado, ya que la solicitud CSR no puede contener atributos extendidos, como unnombre alternativo de sujeto (SAN). Si desea incluir atributos extendidos, deberá utilizar otra herramientapara generar las solicitudes CSR. Si está utilizando otra herramienta para generar solicitudes CSR, omitaeste procedimiento.

Procedimiento



3 En el panel Configuración (Settings), haga clic en Certificados SSL (SSL Certificates).

4 Haga clic en Generar CSR (Generate CSR).

5 Complete el formulario llenando los siguientes campos:

Opción Acción

Tamaño de clave (Key Size) Seleccione la longitud de clave utilizada en el algoritmo seleccionado.

Nombre común (Common Name) Escriba la dirección IP o el nombre de dominio completo (Fully Qualified DomainName, FQDN) de NSX Manager. VMware recomienda introducir el FQDN.

Unidad de organización (OrganizationUnit)

Introduzca el departamento de la empresa que está solicitando el certificado.

Nombre de organización (OrganizationName)

Introduzca la razón social completa de la empresa.

Nombre de la ciudad (City Name) Introduzca el nombre completo de la ciudad donde está ubicada la empresa.

Nombre del estado (State Name) Introduzca el nombre completo del estado donde está ubicada la empresa.

Código de país (Country Code) Introduzca el código de dos dígitos que representa al país. Por ejemplo, paraEE. UU. es US.


7 Envíe la solicitud CSR a la entidad de certificación para que la firme.

a Para descargar la solicitud generada, haga clic en Descargar CSR (Download CSR).

Mediante este método, la clave privada nunca sale de NSX Manager.

b Envíe la solicitud a la entidad de certificación.


VMware, Inc. 381

c Obtenga el certificado firmado, así como los certificados de una entidad de certificación raíz ointermedia en formato PEM.

d Para convertir los certificados con formato CER/DER en formato PEM, utilice el siguientecomando OpenSSL:

openssl x509 -inform der -in Cert.cer -out 4-nsx_signed.pem

e Concatene todos los certificados (de servidor, intermediarios y raíz) en un archivo de texto.

f En la interfaz de usuario de NSX Manager, haga clic en Importar (Import) y desplácese hasta elarchivo de texto con todos los certificados.

g Una vez que la importación se haya realizado correctamente, el certificado de servidor y todoslos certificados de la entidad de certificación aparecerán en la página Certificados de SSL (SSLCertificates).

Pasos siguientes

Importe el certificado SSL firmado en NSX Manager.

Convertir el archivo de certificado de NSX Manager a formato PKCS#12Si utilizó otra herramienta, como OpenSSL, para obtener el certificado de NSX Manager, asegúrese deque el certificado y la clave privada tengan el formato PKCS#12. Si el certificado y la clave privada deNSX Manager no tienen el formato PKCS#12, debe convertirlos para poder importarlos en NSX Manager.

Requisitos previos

Compruebe que OpenSSL esté instalado en el sistema. Puede descargar openssl desde http://www.openssl.org.

Procedimiento

u Después de recibir el certificado firmado por un firmante autorizado, utilice OpenSSL para generar unarchivo de almacén de claves PKCS#12 (.pfx o .p12) desde el archivo de certificado y la claveprivada.

Por ejemplo:

openssl pkcs12 -export -out server.p12 -inkey server.key -in server.crt -certfile CACert.crt

En este ejemplo, CACert.crt es el nombre del certificado raíz que devolvió la entidad de certificación.

Pasos siguientes

Importe el certificado SSL firmado en NSX Manager.

Importar un certificado SSLPuede importar un certificado SSL preexistente o firmado por la entidad de certificación para que loutilice NSX Manager.


VMware, Inc. 382

http://www.openssl.org

Requisitos previos

Cuando instale un certificado en NSX Manager, solo se admite el formato de almacén de clavesPKCS#12, y debe contener una sola clave privada y su correspondiente certificado o cadena decertificados firmados.

Procedimiento



3 En el panel Configuración (Settings), haga clic en Certificados SSL (SSL Certificates).

4 Haga clic en Cargar almacén de claves PKCS#12 (Upload PKCS#12 Keystore).

5 Haga clic en Elegir archivo (Choose File) para ubicar el archivo.

6 Haga clic en Importar (Import).

7 Para aplicar el certificado, reinicie el dispositivo NSX Manager.

El certificado se almacena en NSX Manager.

Trabajar con traps SNMPNSX Manager recibe eventos del sistema que son informativos, de advertencia y críticos de, por ejemplo,NSX Edge y el hipervisor. Los agentes SNMP reenvían las traps SNMP con los OID al receptor SNMP.

Los traps SNMP deben tener la versión SNMPv2c. Los traps deben estar asociados con una base dedatos de información de la administración (MIB) para que el receptor SNMP pueda procesar los traps conidentificadores de objetos (OID).

De forma predeterminada, el mecanismo de traps SNMP está deshabilitado. Habilitar el trap SNMP soloactiva las notificaciones críticas y de gravedad alta para que el administrador SNMP no reciba un granvolumen de notificaciones. Una dirección IP o el nombre de un host define el destino del trap. Para que elnombre del host funcione en el destino del trap, el dispositivo debe estar configurado para solicitar unservidor de Sistema de nombres de dominio (DNS).

Cuando habilita el servicio SNMP, la primera vez se envía un trap coldStart con el OID1.3.6.1.6.3.1.1.5.1. Posteriormente se envía un trap warmStart con el OID 1.3.6.1.6.3.1.1.5.2 en cadainicio y parada de los receptores SNMP configurados.


VMware, Inc. 383

Si el servicio SNMP continúa habilitado, cada cinco minutos se envía un trap latido vmwHbHeartbeat conel OID 1.3.6.1.4.1.6876.4.190.0.401. Cuando deshabilita el servicio, se envía un trapvmwNsxMSnmpDisabled con el OID 1.3.6.1.4.1.6876.90.1.2.1.0.1. El proceso detiene la ejecución deltrap vmwHbHeartbeat y deshabilita el servicio.

Cuando agrega, modifica o elimina un valor del receptor de SNMP, se envían un trap warmStart con elOID 1.3.6.1.6.3.1.1.5.2 y un trap vmwNsxMSnmpManagerConfigUpdated con el OID1.3.6.1.4.1.6876.90.1.2.1.0.2 a las nuevas configuraciones o actualizaciones de los receptores SNMP.

Nota El polling de SNMP no es compatible.

Configurar los ajustes de SNMPPuede habilitar los ajustes de SNMP y configurar los receptores de destino para enviar traps que seancríticos, avanzados o informativos.

Requisitos previos

n Familiarícese con el mecanismo de trap de SNMP. Consulte Trabajar con traps SNMP.

n Compruebe esté configurado un receptor SNMP.

n Descargue e instale el módulo MIB para NSX Manager de forma que el receptor SNMP puedaprocesar los traps con OID. Consulte http://kb.vmware.com/kb/1013445.

Procedimiento


2 Seleccione Redes y seguridad > Inventario de redes y seguridad > NSX Managers (Networking &Security > Networking & Security Inventory > NSX Managers).

3 Seleccione una dirección IP de NSX Manager.

4 Seleccione las pestañas Administrar > Eventos del sistema (Manage > System Events).


VMware, Inc. 384


5 Haga clic en Editar (Edit) para configurar las opciones de SNMP.


Servicio Enviar trap de SNMP.

De forma predeterminada, esta opción está deshabilitada.

Notificaciones de grupo Opciones predefinidas de grupos para algunos eventos del sistema que seutilizan para agregar los eventos que puedan ocurrir. De forma predeterminada,esta opción está habilitada.

Por ejemplo, si un evento del sistema pertenece a un grupo, el trap de esoseventos agrupados está retenido. Cada cinco minutos se envía un trap detallandoel número de eventos del sistema que se recibieron de NSX Manager. Si seenvían menos traps, se ahorran recursos del receptor SNMP.

Receptores Puede configurar hasta cuatro receptores para que se envíen los traps.

Debe completar las siguientes secciones cuando agregue un receptor SNMP.

Dirección de receptor: dirección IP o el nombre de plenamente cualificado delhost receptor.

Puerto del receptor: el puerto UDP predeterminado del receptor SNMP es 162.

Cadena de comunidad: se debe enviar la información como parte del trap denotificación.

Habilitar: indica si el receptor está enviando un trap.


El servicio SNMP está habilitado y los traps se envían a los receptores.

Pasos siguientes

Comprobar si la configuración del SNMP funciona. Consulte Comprobar la configuración del trap deSNMP.

Comprobar la configuración del trap de SNMPAntes de empezar a editar un trap del sistema, debe comprobar si el servicio SNMP recién habilitado o elSNMP actualizado funcionan correctamente.

Requisitos previos

Compruebe que el SNMP está configurado. Consulte Configurar los ajustes de SNMP.

Procedimiento

1 Compruebe la conexión del receptor y la configuración de SNMP.

a Seleccione las pestañas Administrar > Eventos del sistema (Manage > System Events).

b Haga clic en Editar (Edit) para configurar las opciones de SNMP.

No cambie las opciones del cuadro de diálogo.


Se enviará un trap warmStart con el OID 1.3.6.1.6.3.1.1.5.2 a todos los receptores SNMP.


VMware, Inc. 385

2 Depure la configuración de SNMP o solucione los problemas del receptor.

a Si el receptor SNMP no recibe los traps, compruebe que el receptor SNMP se esté ejecutandoen un puerto configurado.

b Compruebe la precisión de la información del receptor en la sección Configuración de SNMP(SNMP settings).

c Si el receptor SNMP deja de recibir un trap vmwHbHeartbeat con el OID1.3.6.1.4.1.6876.4.190.0.401 cada cinco minutos, compruebe si el dispositivo NSX Manager o elagente SNMP de NSX Manager funcionan.

d Si el trap latido se detiene, compruebe si el servicio SNMP está deshabilitado o si la conectividadde red entre NSX Manager y el receptor SNMP funciona.

Editar los traps del sistemaEs posible editar un trap del sistema para aumentar o disminuir la gravedad y la habilitación de un trappara que dichos traps se envían a los receptores o bien se retienen.

Si el valor de la columna habilitada del trap del módulo, OID o SNMP aparece como --, significa que nose asignó a dichos eventos una OID de trap. Por lo tanto, no se enviará ningún trap para dichos eventos.

Un trap del sistema tiene varias columnas en las que se muestran distintos aspectos de un evento delsistema.


Código de evento Código de evento estático asociado a un evento.

Descripción Resumen que describe el evento.

Módulo Subcomponentes que activan un evento.

Gravedad El nivel de un evento puede ser informativo, bajo, medio, principal, crítico o alto.

De forma predeterminada, cuando se habilita el servicio SNMP, se envían los traps solo para los eventosde gravedad crítica y alta para resaltar los traps que necesitan atención inmediata.

OID de SNMP Representa la OID individual que se envía cuando ocurre un evento en el sistema.

La notificación del grupo está habilitada de forma predeterminada. Cuando las notificaciones del grupoestán habilitadas, el evento o los traps que estén en este grupo muestran la OID del grupo al que el eventoo el trap pertenecen.

Por ejemplo, la OID de la notificación de grupo clasificada en el grupo de la configuración tiene la OID1.3.6.1.4.1.6876.90.1.2.0.1.0.1.

Trap de SNMPhabilitado

Muestra si el envío del trap para este evento está habilitado o no.

Es posible alternar el icono para activar de forma individual la habilitación de un trap o un evento. Cuandola notificación de grupo esté habilitada, no se puede alternar la habilitación del trap.

Filtrar Buscar términos para filtrar los traps del sistema.

Requisitos previos

Compruebe que la configuración de SNMP está disponible. Consulte Configurar los ajustes de SNMP.


VMware, Inc. 386

Procedimiento


2 Seleccione Redes y seguridad > Inventario de redes y seguridad > NSX Managers (Networking &Security > Networking & Security Inventory > NSX Managers).

3 Seleccionar una dirección IP de NSX Manager.

4 Seleccione las pestañas Administrar > Eventos del sistema (Manage > System Events).

5 Seleccione un evento del sistema en la sección de Traps del sistema (System Traps).


No se puede editar la habilitación de un trap si la notificación de grupo está habilitada. Es posiblecambiar la habilitación de traps que no pertenecen a un grupo.

7 Puede cambiar la gravedad del evento del sistema en el menú desplegable.

8 Si cambia la gravedad de informativo a crítico, active la casilla de verificación Habilitar comocaptura de SNMP (Enable as SNMP Trap).


10 (opcional) Haga clic en el icono Habilitar ( ) o el icono Deshabilitar ( ) en el encabezado parahabilitar o deshabilitar el envío de un trap del sistema.

11 (opcional) Haga clic en el icono Copiar ( ) para copiar una o más filas de eventos en elportapapeles.

Copia de seguridad y restauración de NSXRealizar copias de seguridad apropiadas de todos los componentes de NSX es crucial para restaurar elsistema a su estado funcional en caso de errores.

La copia de seguridad de NSX Manager contiene toda la configuración de vShield, incluidas lascontroladoras, la conmutación lógica, las entidades en red, la seguridad, las reglas de firewall y todo loque configure dentro de la UPI o la API de NSX Manager. Se debe realizar una copia de seguridad porseparado de la base de datos de vCenter y los elementos relacionados como por ejemplo, losconmutadores virtuales.

Como mínimo, recomendamos realizar copias de seguridad regulares de NSX Manager y vCenter. Lafrecuencia y la programación de las copias de seguridad pueden variar según las necesidadescomerciales y los procedimientos operativos. Recomendamos realizar copias de seguridad de NSX confrecuencia en momentos de cambios de configuración continuos.

Las copias de seguridad de NSX Manager pueden realizarse a petición o por hora, por día o por semana.

Recomendamos realizar copias de seguridad en las siguientes situaciones:

n Antes de una actualización de NSX o vCenter.

n Después de una actualización de NSX o vCenter.


VMware, Inc. 387

n Después de una implementación desde cero y de la configuración inicial de componentes de NSX.Por ejemplo, después de crear controladoras NSX Controller, conmutadores lógicos, enrutadoreslógicos, puertas de enlace de servicios Edge y directivas de seguridad y firewall.

n Después de cambios de infraestructura o topología.

n Después de cualquier cambio importante de día 2.

Para proporcionar el estado de todo un sistema al que se pueda revertir en un momento determinado, serecomiendan sincronizar las copias de seguridad de los componentes de NSX (por ejemplo, NSXManager) con la programación de copias de seguridad de otros componentes con los que existainteracción, como vCenter, sistemas de administración en la nube, herramientas operativas, etc.

Hacer copias de seguridad de los datos de NSX ManagerPara hacer copias de seguridad de los datos de NSX Manager, puede hacer una copia de seguridad apetición o una copia de seguridad programada.

La copia de seguridad y la restauración de NSX Manager pueden configurarse desde la interfaz web deldispositivo virtual de NSX Manager o a través de la API de NSX Manager Las copias de seguridadpueden programarse por hora, por día o por semana.

El archivo de copia de seguridad se guarda en una ubicación de FTP o SFTP remota a la que NSXManager tenga acceso. Los datos de NSX Manager incluyen tablas de configuración, de eventos y deregistros de auditoría. Las tablas de configuración se incluyen en todas las copias de seguridad.

La restauración solo se permite en la misma versión de NSX Manager que la versión de la copia deseguridad. Por este motivo, es importante crear un nuevo archivo de copia de seguridad antes y despuésde realizar una actualización de NSX, una para la versión anterior y otra para la nueva.

Procedimiento


2 En Administración de dispositivos (Appliance Management), haga clic en Copias de seguridad yrestauración (Backups & Restore).

3 Para especificar la ubicación de la copia de seguridad, haga clic en Cambiar (Change), junto aConfiguración de servidor FTP (FTP Server Settings).

a Escriba la dirección IP o el nombre del host del sistema de copia de seguridad.

b En el menú desplegable Protocolo de transferencia (Transfer Protocol), seleccione SFTP oFTP, según lo que admita el destino.

c Si es necesario, edite el puerto predeterminado.

d Escriba el nombre de usuario y la contraseña requeridos para iniciar sesión en el sistema decopia de seguridad.


VMware, Inc. 388

e En el campo Directorio de copia de seguridad (Backup Directory), escriba la ruta de accesoabsoluta donde se almacenarán las copias de seguridad.

Para determinar la ruta de acceso absoluta, puede iniciar sesión en el servidor FTP, desplazarsehasta el directorio que desea utilizar y ejecutar el comando de directorio de trabajo presente(pwd). Por ejemplo:

PS C:\Users\Administrator> ftp 192.168.110.60

Connected to 192.168.110.60.

220 server-nfs FTP server ready.

User (192.168.110.60:(none)): admin

331 Password required for admin.

Password:

230 User admin logged in.

ftp> ls

200 PORT command successful.

150 Opening BINARY mode data connection for 'file list'.

datastore-01

226 Transfer complete.

ftp: 22 bytes received in 0.00Seconds 22000.00Kbytes/sec.

ftp> cd datastore-01

250 CWD command successful.

ftp> pwd

257 "/datastore-01" is current directory.

f Escriba una cadena de texto en Prefijo de nombre de archivo (Filename Prefix).

Este texto se agrega antes del nombre de archivo de cada copia de seguridad para que elsistema de copia de seguridad lo reconozca fácilmente. Por ejemplo, si escribe ppdb, la copia deseguridad resultante se denominará ppdbHH_MM_SS_DayDDMonYYYY.

g Escriba la frase de contraseña para proteger la copia de seguridad.

Necesitará esta frase de contraseña para restaurar la copia de seguridad.


Por ejemplo:


VMware, Inc. 389

4 En el caso de una copia de seguridad a petición, haga clic en Copia de seguridad (Backup).

Se agrega un archivo nuevo en Historial de copias de seguridad (Backup History).

5 En el caso de una copia de seguridad programada, haga clic en Cambiar (Change), junto aProgramación (Scheduling).

a En el menú desplegable Frecuencia de copia de seguridad (Backup Frequency), seleccionePor hora (Hourly), Por día (Daily) o Por semana (Weekly). Los menús desplegables Día de lasemana (Day of Week), Hora del día (Hour of Day) y Minuto (Minute) se deshabilitan según lafrecuencia seleccionada. Por ejemplo, si selecciona Por día (Daily), el menú desplegable Día dela semana (Day of Week) se deshabilita, ya que este campo no se aplica a una frecuencia diaria.

b Para las copias de seguridad por semana, seleccione el día de la semana en que debe realizarseuna copia de seguridad de los datos.

c Para las copias de seguridad por semana o por día, seleccione la hora en que debe iniciarse lacopia de seguridad.

d Seleccione el minuto en que desea comenzar y haga clic en Programar (Schedule).

6 Para excluir datos de registros y flujos de la copia de seguridad, haga clic en Cambiar (Change),junto a Excluir (Exclude).

a Seleccione los elementos que desea excluir de la copia de seguridad.


7 Guarde la dirección IP o el nombre del host, las credenciales, los detalles de directorio y la frase decontraseña del servidor FTP. Esta información es necesaria para restaurar la copia de seguridad.

Restaurar una copia de seguridad de NSX ManagerLa restauración de NSX Manager provoca que se cargue un archivo de copia de seguridad en undispositivo NSX Manager. El archivo de copia de seguridad debe guardarse en una ubicación de FTP oSFTP remota a la que tenga acceso NSX Manager. Los datos de NSX Manager incluyen tablas deconfiguración, de eventos y de registros de auditoría.

Importante Haga una copia de seguridad de los datos actuales antes de restaurar un archivo de copiade seguridad.


VMware, Inc. 390

Requisitos previos

Antes de restaurar los datos de NSX Manager, se recomienda volver a instalar el dispositivo NSXManager. Ejecutar la operación de restauración en un dispositivo NSX Manager existente también podríaser efectivo, pero no posee soporte oficial. Se da por sentado que el dispositivo NSX Manager existenteposee errores y, en consecuencia, se implementa un nuevo dispositivo NSX Manager.

La práctica recomendada es realizar capturas de pantalla o tomar notas de la configuración actual deldispositivo NSX Manager antiguo para utilizarlas en el momento de especificar la información dedirección IP y ubicación de copias de seguridad del dispositivo NSX Manager recientementeimplementado.

Procedimiento

1 Realice capturas de pantalla o anote todas las opciones de configuración del dispositivo NSXManager existente.

2 Implemente un nuevo dispositivo NSX Manager.

La versión debe ser igual a la del dispositivo NSX Manager de la copia de seguridad.

3 Inicie sesión en el dispositivo NSX Manager nuevo.

4 En Administración de dispositivos (Appliance Management), haga clic en Copias de seguridad yrestauración (Backups & Restore).

5 En Configuración del servidor FTP (FTP Server Settings), haga clic en Cambiar (Change) y agreguelas opciones de configuración.

En los campos Dirección IP de host (Host IP Address), Nombre de usuario (User Name),Contraseña (Password), Directorio de copia de seguridad (Backup Directory), Prefijo de nombrede archivo (Filename Prefix) y Frase de contraseña (Pass Phrase) en la pantalla Ubicación decopia de seguridad (Backup Location) se debe poder identificar la ubicación de la copia de seguridadque se desea restaurar.

6 En la sección Historial de copias de seguridad (Backups History), active la casilla de la copia deseguridad que desea restaurar y haga clic en Restaurar (Restore).

Hacer copias de seguridad de NSX EdgeSe hacen copias de seguridad de todas las configuraciones de NSX Edge (enrutadores lógicos y puertasde enlace de servicios Edge) como parte de las copias de seguridad de datos de NSX Manager.

Si tiene una configuración de NSX Manager intacta, puede recrear una máquina virtual de dispositivoEdge inaccesible o con errores volviendo a implementar NSX Edge (haga clic en el icono Volver aimplementar NSX Edge [Redeploy NSX Edge] en vSphere Web Client).

No se admite la realización de copias de seguridad individuales de NSX Edge.


VMware, Inc. 391

Hacer copias de seguridad de conmutadores distribuidos devSpherePuede exportar la configuración de un conmutador distribuido de vSphere y de un grupo de puertosdistribuidos a un archivo.

El archivo conserva los valores de red válidos, lo que permite la distribución de estos valores a otrasimplementaciones.

Esta funcionalidad solo está disponible con vSphere Web Client 5.1 o posterior. La configuración de VDSy la configuración del grupo de puertos se incluyen en la importación.

La práctica recomendada consiste en importar la configuración de VDS antes de preparar el clúster paraVXLAN. Para obtener instrucciones detalladas, consulte http://kb.vmware.com/kb/2034602.

Hacer una copia de seguridad de vCenterPara proteger la implementación de NSX, es importante hacer una copia de seguridad de la base dedatos de vCenter y crear instantáneas de las máquinas virtuales.

Consulte la documentación de su versión de vCenter para conocer los procedimientos y las prácticasrecomendadas de copias de seguridad y restauraciones de vCenter.

Para las instantáneas de máquinas virtuales, consulte http://kb.vmware.com/kb/1015180.

Vínculos útiles para vCenter 5.5:

n http://kb.vmware.com/kb/2057353


n http://www.vmware.com/files/pdf/techpaper/vmware-vcenter-server-availability-guide.pdf

Vínculos útiles para vCenter 6.0:

n https://pubs.vmware.com/vsphere-60/topic/com.vmware.vsphere.install.doc/GUID-539B47B4-114B-49BC-9736-F14058127ECA.html


Flow MonitoringFlow monitoring es una herramienta de análisis de tráfico que proporciona una vista detallada del tráficohacia y desde las máquinas virtuales protegidas. Cuando la opción Flow monitoring está habilitada, elresultado define qué máquinas están intercambiando datos y por medio de qué aplicación. Estos datosincluyen la cantidad de sesiones y los paquetes que se transmiten por sesión. Los detalles de la sesiónincluyen los orígenes, los destinos, las aplicaciones y los puertos que se están utilizando. Los detalles dela sesión pueden utilizarse para crear un firewall para permitir o bloquear reglas.


VMware, Inc. 392





http://www.vmware.com/files/pdf/techpaper/vmware-vcenter-server-availability-guide.pdf

https://pubs.vmware.com/vsphere-60/topic/com.vmware.vsphere.install.doc/GUID-539B47B4-114B-49BC-9736-F14058127ECA.html

https://pubs.vmware.com/vsphere-60/topic/com.vmware.vsphere.install.doc/GUID-539B47B4-114B-49BC-9736-F14058127ECA.html


Puede ver los datos de flujo de varios tipos de protocolo diferentes, incluidos TCP, UDP, ARP, ICMP, etc.Puede supervisar en tiempo real las conexiones TCP y UDP desde y hacia una vNIC seleccionada.También puede excluir flujos por medio de la especificación de filtros.

Por lo tanto, Flow monitoring puede utilizarse como una herramienta forense para detectar serviciosmaliciosos y examinar sesiones salientes.

Ver datos de Flow MonitoringPuede ver las sesiones de tráfico de las máquinas virtuales en un período determinado. De formapredeterminada se muestran los datos de las últimas 24 horas; el período mínimo es una hora y elmáximo es dos semanas.

Requisitos previos

Los datos de Flow Monitoring solo están disponibles en las máquinas virtuales de clústeres que tieneninstalados componentes de virtualización de red y un firewall habilitado. Consulte la Guía de instalaciónde NSX.

Procedimiento


2 Seleccione Redes y seguridad (Networking & Security) en el panel de navegación izquierdo y, acontinuación, seleccione Flow Monitoring.

3 Asegúrese de estar en la pestaña Panel (Dashboard).


VMware, Inc. 393

4 Haga clic en Flow Monitoring.

La página puede tardar varios segundos en cargarse. La parte superior de la página muestra elporcentaje de tráfico permitido, el tráfico bloqueado por reglas de firewall y el tráfico bloqueado porSpoofGuard. El gráfico de varias líneas muestra el flujo de datos de cada servicio del entorno.Cuando se señala un servicio en el área de leyendas, el trazado de ese servicio aparece resaltado.

Las estadísticas de tráfico se muestran en tres pestañas:

n Flujos principales (Top Flows) muestra el tráfico total entrante y saliente por cada servicio en elperíodo especificado, en función del valor total de bytes (y no de sesiones/paquetes). Semuestran los principales cinco servicios. Los flujos bloqueados no se tienen en cuenta paracalcular los flujos principales.

n Destinos principales (Top Destinations) muestra el tráfico entrante por cada destino en elperíodo especificado. Se muestran los principales cinco destinos.

n Orígenes principales (Top Sources) muestra el tráfico saliente por cada origen en el períodoespecificado. Se muestran los principales cinco orígenes.


VMware, Inc. 394

5 Haga clic en la pestaña Detalles por servicio (Details by Service).

Se muestran los detalles de todo el tráfico relacionado con el servicio seleccionado. La pestañaFlujos permitidos (Allowed Flows) muestra las sesiones de tráfico permitido y la pestaña Flujosbloqueados (Blocked Flows) muestra el tráfico bloqueado.

Puede buscar por los nombres del servicio.

6 Haga clic en un elemento de la tabla para ver las reglas que permitieron o bloquearon el flujo detráfico.

7 Haga clic en Identificador de regla (Rule Id) para mostrar los detalles de la regla.

Cambiar el intervalo de fechas de los gráficos de Flow MonitoringEs posible cambiar el intervalo de fechas de los datos de Flow Monitoring en las pestañas Panel(Dashboard) y Detalles (Details).

Procedimiento



3 Haga clic en junto a Intervalo de tiempo (Time interval).

4 Seleccione un período o introduzca fechas de inicio y de finalización nuevas.

El alcance máximo de la vista con los datos de Flow Monitoring es dos semanas atrás.


VMware, Inc. 395


Agregar o editar una regla de firewall desde el informe de FlowMonitoringAl explorar en profundidad los datos de tráfico, es posible evaluar el uso de los recursos y enviarinformación sobre la sesión a Distributed Firewall con el fin de crear una nueva regla de permiso obloqueo en cualquier nivel.

Procedimiento



3 Haga clic en la pestaña Detalles por servicio (Details by Service).

4 Haga clic en un servicio para ver el flujo de tráfico para ese servicio.

Según la pestaña seleccionada, se mostrarán las reglas por las que se permitió o se denegó eltráfico en este servicio.

5 Haga clic en el identificador de una regla para ver los detalles de la regla.

6 Realice una de las siguientes acciones:

n Para editar una regla:

1 Haga clic en Editar regla (Edit Rule) en la columna Acciones (Actions).

2 Cambie el nombre, la acción o los comentarios para la regla.


n Para agregar una regla:

1 Haga clic en Agregar regla (Add Rule) en la columna Acciones (Actions).

2 Complete el formulario para agregar una regla. Para obtener información sobre la manera decompletar el formulario de reglas de firewall, consulte Agregar una regla de firewall.


La regla se agregará a la parte superior de la sección de reglas de firewall.

Ver flujo en tiempo realPuede ver las conexiones de UDP y TCP con una vNIC seleccionada. Para ver el tráfico que circulaentre dos máquinas virtuales, puede ver el tráfico directo de una máquina virtual en un equipo y la otramáquina en un segundo equipo. Puede ver el tráfico de dos vNIC por host y de cinco vNIC porinfraestructura, como máximo.

La visualización de flujos directos puede afectar el rendimiento de NSX Manager y de la correspondientemáquina virtual.


VMware, Inc. 396

Procedimiento



3 Haga clic en la pestaña Flujo directo (Live Flow).

4 Haga clic en Explorar (Browse) y seleccione una vNIC.

5 Haga clic en Inicio (Start) para empezar a ver el flujo directo.

La página se actualizará cada cinco segundos. Puede seleccionar otra frecuencia desde el menúdesplegable Velocidad de actualización (Refresh Rate).

6 Haga clic en Detener (Stop) cuando termine la depuración o la solución de problemas a fin de evitarque se afecte el rendimiento de NSX Manager o de la máquina virtual seleccionada.

Configurar recopilación de datos de Flow MonitoringDespués de ver y filtrar los datos de Flow Monitoring que se desean recopilar, es posible configurar larecopilación de datos. Para filtrar los datos que se muestran, se puede especificar un criterio deexclusión. Por ejemplo, es posible que se desee excluir un servidor proxy para evitar ver flujosduplicados. O bien al ejecutar una exploración Nessus en las máquinas virtuales de un inventario, esposible evitar que se recopilen los flujos de exploración. Se puede configurar IPFix de modo que lainformación de flujos específicos se exporte directamente de un firewall a un recopilador de flujos. Losgráficos de Flow Monitoring no incluyen los flujos de IPFix. Esos flujos se muestran en la interfaz delrecopilador de IPFix.

Procedimiento



3 Seleccione la pestaña Configuración (Configuration).

4 Asegúrese de que la opción Estado de la recopilación global de flujos (Global Flow CollectionStatus) se encuentre Habilitada (Enabled).

Se recopilarán todos los flujos relacionados con el firewall en el inventario, excepto los objetosespecificados en Configuración de exclusión (Exclusion Settings).


VMware, Inc. 397

5 Para especificar criterios de filtrado, haga clic en Exclusión de flujos (Flow Exclusion) y siga lospasos a continuación.

a Haga clic en la pestaña correspondiente a los flujos que desea excluir.

b Especifique la información obligatoria.

Si seleccionó Especifique esta información

Recopilar flujos bloqueados (CollectBlocked Flows)

Seleccione No para excluir los flujos bloqueados.

Recopilar flujos de Capa 2 (CollectLayer2 Flows)

Seleccione No para excluir los flujos de la Capa 2.

Origen (Source) No se recopilarán los flujos para los orígenes especificados.


2 En Ver (View), seleccione el contenedor apropiado.

3 Seleccione los objetos que desea excluir.

Destino (Destination) No se recopilarán los flujos para los destinos especificados.


2 En Ver (View), seleccione el contenedor apropiado.

3 Seleccione los objetos que desea excluir.

Puertos de destino (Destinationports)

Se excluirán los flujos a los puertos especificados.

Escriba los números de los puertos que desea excluir.

Servicio (Service) Se excluirán los flujos para los servicios y los grupos de serviciosespecificados.


2 Seleccione los servicios o los grupos de servicios apropiados.

c Haga clic en Guardar (Save).


VMware, Inc. 398

6 Para configurar la recopilación de flujos, haga clic en IPFix y siga los pasos a continuación.

a Haga clic en la opción Editar (Edit) junto a Configuración de IPFix (IPFix Configuration) yseleccione Habilitar configuración de IPFix (Enable IPFix Configuration).

b En Identificador de dominio de observación (Observation Domain ID), introduzca unidentificador de 32 bits con el cual el recopilador de flujos identifique al exportador del firewall.

c En Tiempo de espera de exportación de flujos activos (Active Flow Export Timeout),introduzca el tiempo (en minutos) después del cual se exportarán los flujos activos al recopiladorde flujos. El valor predeterminado es 5. Por ejemplo, si el flujo permanece activo por 30 minutosy el tiempo de espera de exportación es 5 minutos, el flujo de exportará 7 veces durante su vidaútil. Una vez para la creación, otra para la eliminación y 5 veces durante el período activo.

d En IP de recopilador (Collector IPs), haga clic en icono Agregar (Add) y especifique ladirección IP y el puerto UDP del recopilador de flujos.


Supervisión de actividadLa supervisión de actividad ofrece visibilidad en las aplicaciones en uso en máquinas virtuales deescritorio Windows administradas por vCenter. Esta visibilidad ayuda a garantizar que se apliquencorrectamente las directivas de seguridad en la organización.

Una directiva de seguridad puede establecer quién puede acceder a determinadas aplicaciones. Eladministrador de la nube puede generar informes de supervisión de actividad para determinar si la reglade firewall basada en dirección IP que estableció tiene el efecto deseado. Al ofrecer detalles en el niveldel usuario y de la aplicación, la supervisión de actividad traduce directivas de seguridad de alto nivel enimplementaciones de bajo nivel basadas en red y dirección IP.

Figura 23‑2. El entorno virtual actual

NSX ManagerVM

WMware ESXi

VM VM

Active directory

John

Origen Destino

172.16.254.1 172.16.112.2

Una vez que habilite la recopilación de datos para Supervisión de actividad, podrá ejecutar informes paraver el tráfico entrante (como máquinas virtuales a las que acceden los usuarios) y el tráfico saliente(utilización de recursos, interacción entre contenedores de inventario y grupos de AD que accedieron aun servidor).


VMware, Inc. 399

Figura 23‑3. El entorno virtual con Supervisión de actividad

Dispositivo virtual

VM

WMware ESXi

VM

Active directory

John

VMExtremo Extremo Extremo

NSX Manager

Usuario Grupo de AD

John Doctores

Nombre de Nombre de

virtual de origen

Nombre de

virtual de destinoIP de origen IP de destino

Epic.exe DoctorsWS13 EpicSVR3 172.16.254.1 172.16.112.2

la aplicación máquina máquina

Importante La supervisión de actividad no es compatible con máquinas virtuales Linux.

Configurar la supervisión de actividadPara que la supervisión de actividad funcione, deben realizarse varios procedimientos obligatorios, entreellos, instalar el controlador de Guest Introspection, instalar las máquinas virtuales de GuestIntrospection y habilitar la supervisión de actividad de NSX. Como opción, puede utilizar ServiceComposer para controlar qué máquinas virtuales se supervisarán.

Requisitos previos

n NSX debe estar instalado y operativo.

n NSX Manager debe estar vinculado con el servidor de AD donde estarán los grupos a los cualesasignará usuarios de las máquinas virtuales de Windows.

n El inventario de vCenter debe contener una o más máquinas virtuales de escritorio de Windows.

n VMware Tools debe estar actualizado y en ejecución en las máquinas virtuales de escritorio deWindows.


VMware, Inc. 400

Procedimiento

1 Instale el controlador de Guest Introspection en las máquinas virtuales de Windows del inventario devCenter, si aún no está instalado.

a Desplácese hasta Panel de control/Programas/Programas y características (ControlPanel\Programs\Programs and Features), haga clic con el botón derecho en VMware Tools yseleccione Cambiar (Change).

b Seleccione Modificar (Modify).

c En Controlador VMCI (VMCI Driver), haga clic en Controladores de Guest Introspection > Seinstalarán en el disco duro local (Guest Introspection Drivers > Will be installed on local harddrive).


VMware, Inc. 401

El controlador de Guest Introspection detecta cuáles son las aplicaciones que se están ejecutandoen cada máquina virtual de Windows y envía esta información a la máquina virtual de GuestIntrospection.

2 Instale las máquinas virtuales de Guest Introspection.

Cuando inicie por primera vez la instalación de VMware Tools, elija la opción Personalizado(Custom). En la carpeta VMCI, seleccione Controlador de Guest Introspection (GuestIntrospection Driver). El controlador no está seleccionado de forma predeterminada.

Para agregarlo una vez que ya esté instalado VMware Tools:

a En vCenter Web Client, desplácese hasta Redes y seguridad > Instalación >Implementaciones de servicios (Networking & Security > Installation > Service Deployments).

b Agregue una nueva implementación de servicio.

c Seleccione Guest Introspection.

d Seleccione los clústeres de hosts que contienen máquinas virtuales de Windows.

e Seleccione los almacenes de datos, las redes y el mecanismo de generación de direcciones IPcorrespondientes. Si no está utilizando DHCP para las máquinas virtuales de GuestIntrospection, cree y asigne un grupo de direcciones IP.

Se instalarán dos máquinas virtuales de Guest Introspection, una en cada host de cada clúster.


VMware, Inc. 402

3 Habilite la supervisión de actividad en las máquinas virtuales de Windows.

a En la vista Hosts y clústeres (Hosts and Clusters), seleccione la máquina virtual de Windows yla pestaña Resumen (Summary).

b En NSX Activity Monitoring, haga clic en Editar (Edit) y en Sí (Yes).

Repita este paso para todas las máquinas virtuales de Windows que desea supervisar.

4 (opcional) Modifique la lista de objetos de vCenter que se supervisan o defina una regla depertenencia dinámica.

a En vCenter Web Client, desplácese hasta Redes y seguridad > Service Composer (Networking& Security > Service Composer).

b Edite el grupo de seguridad Recopilación de datos para supervisión de actividad (ActivityMonitoring Data Collection).


VMware, Inc. 403

c Defina una regla de pertenencia dinámica de modo que, a medida que se agreguen nuevasmáquinas virtuales Windows al clúster, la máquina virtual se supervise automáticamente.

d Seleccione los objetos de vCenter que desea incluir o excluir del grupo de seguridad desupervisión de actividad.

Las máquinas virtuales en las que está habilitada la supervisión de actividad se incluyenautomáticamente en el grupo de seguridad de supervisión de actividad.

En este ejemplo, todas las máquinas virtuales cuyo nombre empieza con "win" se agreganautomáticamente al grupo de seguridad de supervisión de actividad. Esto significa que lacaracterística de supervisión de actividad se habilitará en ellas automáticamente.

Situaciones de supervisión de actividadEn esta sección se describen algunas situaciones hipotéticas para la supervisión de actividad.

Acceso de usuarios a las aplicacionesNuestra empresa imaginaria, ACME Enterprise, solo permite que usuarios autorizados accedan adeterminadas aplicaciones de los activos corporativos.

Los términos de su directiva de seguridad son los siguientes:

n Se permite que únicamente los usuarios autorizados accedan a las aplicaciones empresarialescríticas.

n Se permiten únicamente aplicaciones autorizadas en los servidores corporativos.

n Se permite el acceso únicamente a los puertos requeridos desde redes específicas.


VMware, Inc. 404

Según lo anterior, la empresa debe controlar el acceso de los empleados en función de la identidad delusuario para proteger los activos corporativos. Como punto de partida, el operador de seguridad deACME Enterprise debe poder comprobar que solo se permita el acceso administrativo a los servidoresMS SQL.

Procedimiento


2 Haga clic en Redes y seguridad (Networking & Security y, a continuación, en Supervisión deactividad (Activity Monitoring).

3 Haga clic en la pestaña Actividad entrante (Inbound Activity).

4 En Saliente desde (Outbound from), deje el valor como Todos los grupos de AD observados (AllObserved AD Groups) para ver el acceso desde cualquier empleado.

5 En Donde la máquina virtual de destino (Where destination virtual machine), seleccione incluye(includes) y deje seleccionado todas las máquinas virtuales de destino observadas (all observeddestination virtual machines).

6 En Y donde la aplicación de destino (And where destination application), seleccione incluye(includes), haga clic en todas las aplicaciones de destino observadas (all observed destinationapplications) y seleccione los servidores MS SQL.

7 Haga clic en Buscar (Search).

Los resultados de la búsqueda muestran que solo los usuarios administradores están accediendo alos servidores MS SQL. Tenga en cuenta que no hay grupos (como Finanzas o Recursos Humanos)que estén accediendo a estos servidores.

8 Ahora podemos invertir la consulta configurando el valor de Saliente desde (Outbound from) en losgrupos de Recursos Humanos (HR) y Finanzas (Finance).


No se muestran registros, lo cual confirma que ningún usuario de ninguno de estos grupos puedeacceder a los servidores MS SQL.

Aplicaciones en el centro de datosComo parte de sus directivas de seguridad, ACME Enterprise necesita visibilidad sobre todas lasaplicaciones de centros de datos. Esto puede ayudar a identificar las aplicaciones maliciosas querecolectan información confidencial o desvían datos confidenciales a orígenes externos.

John, administrador de la nube de ACME Enterprise, desea confirmar que solo se pueda acceder aSharePoint Server a través de Internet Explorer y que ninguna aplicación maliciosa (como FTP o RDP)pueda acceder a este servidor.

Procedimiento



VMware, Inc. 405


3 Haga clic en la pestaña Actividad de máquina virtual (VM Activity).

4 En Donde la máquina virtual de origen (Where source VM), seleccione incluya (includes) y dejeseleccionada la opción Todas las máquinas virtuales observadas (All observed virtual machines)para capturar el tráfico procedente de todas las máquinas virtuales en el centro de datos.

5 En Donde la máquina virtual de destino (Where destination VM), seleccione incluya (includes),haga clic en Todas las máquinas virtuales observadas (All observed virtual machines) yseleccione SharePoint Server.


En la columna Nombre de producto de aplicación saliente (Outbound App Product Name) de losresultados de la búsqueda se mostrará que todo el acceso a SharePoint Server se realizó a través deInternet Explorer. Los resultados de la búsqueda relativamente homogéneos indican que se aplicó unaregla de firewall a este servidor SharePoint Server para evitar cualquier otro método de acceso.

También se puede observar que los resultados de la búsqueda muestran el usuario de origen del tráficoobservado en lugar del grupo de origen. Al hacer clic en la flecha de los resultados de la búsqueda, semostrarán detalles sobre el usuario de origen como el grupo de AD al que pertenece el usuario.

Comprobar puertos abiertosUna vez que John Admin sabe que al servidor SharePoint de ACME Enterprise solo están accediendolas aplicaciones autorizadas, puede asegurarse de que la empresa permita que solo se abran los puertosrequeridos en función del uso esperado.

Requisitos previos

En el escenario Aplicaciones en el centro de datos, John Admin había observado la circulación de tráficohacia el servidor SharePoint de ACME Enterprise. Ahora quiere asegurarse de que todo el acceso desdeel servidor SharePoint hacia el servidor MSSQL se realice mediante las aplicaciones y los protocolosesperados.

Procedimiento

1 Haga clic en el icono Ir a Inicio (Go Home).

2 Haga clic en Inicio de vCenter (vCenter Home) y, a continuación, en Máquinas virtuales (VirtualMachines).

3 Seleccione win_sharepoint y, a continuación, haga clic en la pestaña Supervisar (Monitor).

4 Haga clic en Supervisión de la actividad (Activity Monitoring).

5 En Donde destino (Where destination), seleccione win2K-MSSQL.



VMware, Inc. 406

Los resultados de la búsqueda muestran la circulación de tráfico desde el servidor SharePoint hacia elservidor MSSQL. Las columnas Usuario (User) y Aplicación saliente (Outbound App) muestran quesolo los procesos del sistema se están conectando al servidor MSSQL, que es lo que espera ver John.

Las columnas Puerto entrante (Inbound Port) y Aplicación (App) muestran que todo el acceso estádirigido al servidor MSSQL que está ejecutándose en el servidor de destino.

Debido a que hay demasiados registros en los resultados de la búsqueda para que John los analice enun explorador web, puede exportar el conjunto entero de resultados y guardarlo en un archivo con

formato CSV. Para eso, deberá hacer clic en el icono en la esquina inferior derecha de la página.

Habilitar recopilación de datosDebe habilitar la recopilación de datos de una o más máquinas virtuales en una instancia de vCenterServer antes de ejecutar un informe de Supervisión de actividad. Antes de ejecutar un informe,asegúrese de que las máquinas virtuales habilitadas estén activas y de que generen tráfico de red.

También debe registrar NSX Manager con la controladora de dominio de AD. Consulte Registrar undominio de Windows con NSX Manager.

Tenga en cuenta que el servicio de supervisión de actividad (Activity Monitoring) solo hace unseguimiento de las conexiones activas. Los informes no reflejan el tráfico de máquina virtual quebloquean las reglas de firewall en el nivel de la vNIC.

Habilitar recopilación de datos en una sola máquina virtualDebe habilitar la recopilación de datos al menos cinco minutos antes de ejecutar un informe deSupervisión de actividad.

Requisitos previos

Procedimiento


2 Haga clic en vCenter y, a continuación, haga clic en Máquinas virtuales y plantillas (VMs andTemplates).

3 Seleccione la máquina virtual en el panel de inventario de la izquierda.


5 Haga clic en NSX Activity Monitoring en el panel izquierdo.


7 En el cuadro de diálogo Editar configuración de recopilación de datos de NSX Activity Monitoring(Edit NSX Activity Monitoring Data Collection Settings), haga clic en Sí (Yes).


VMware, Inc. 407

Habilitar recopilación de datos en varias máquinas virtualesEl grupo de seguridad Recopilación de datos de supervisión de actividad (Activity Monitoring DataCollection) es un grupo de seguridad predefinido. Puede agregar varias máquinas virtuales a la vez aeste grupo de seguridad y la recopilación de datos se habilita en todas estas máquinas virtuales.

Debe habilitar la recopilación de datos al menos cinco minutos antes de ejecutar un informe deSupervisión de actividad.

Procedimiento



3 Haga clic en la pestaña Grupos de seguridad (Security Groups).

4 Seleccione el grupo de seguridad Recopilación de datos de supervisión de actividad (Activity

Monitoring Data Collection) y haga clic en el icono Editar (Edit) ( ).

5 Siga los pasos del asistente para agregar máquinas virtuales al grupo de seguridad.

La recopilación de datos se habilita en todas las máquinas virtuales que agregó a este grupo deseguridad y se deshabilita en cualquier máquina virtual que haya excluido del grupo de seguridad.

Ver informe de actividad de la máquina virtualPuede ver el tráfico que circula hacia o desde una máquina virtual o un conjunto de máquinas virtualesdel entorno.

Es posible hacer una consulta rápida mediante los criterios de búsqueda predeterminados si hace clic enBuscar (Search) o personalizar la búsqueda de acuerdo con sus requisitos.

Requisitos previos

n Guest Introspection debe estar instalado en el entorno.

n Debe tener un dominio registrado en NSX Manager. Para obtener información sobre el registro dedominios, consulte Registrar un dominio de Windows con NSX Manager.

n Debe estar habilitada la recopilación de datos en una o varias máquinas virtuales.

Procedimiento



3 Haga clic en la pestaña Actividad de máquina virtual (VM Activity).


VMware, Inc. 408

4 Haga clic en el vínculo junto a Donde el origen (Where source). Seleccione las máquinas virtualescuyo tráfico saliente desea ver. Indique si desea incluir o excluir la(s) máquina(s) virtual(es)seleccionada(s) del informe.

5 Haga clic en el vínculo junto a Donde el destino (Where destination). Seleccione las máquinasvirtuales cuyo tráfico entrante desea ver. Indique si desea incluir o excluir la(s) máquina(s) virtual(es)seleccionada(s) del informe.

6 Haga clic en el icono Durante el período (During period) ( ) y seleccione el período de labúsqueda.


Se muestran los resultados de la búsqueda filtrados por el criterio especificado. Haga clic en una fila paraver información detallada sobre el usuario de esa fila.

Puede exportar un registro específico o todos los registros de la página y guardarlos en un directorio en

formato .csv; haga clic en el icono en la esquina inferior derecha de la página.

Ver actividad entrantePuede ver toda la actividad entrante en un servidor según el grupo de escritorios, el grupo de seguridado el grupo de AD.

Figura 23‑4. Ver actividad entrante

VM

Grupo de Grupo deGrupo de ADescritorios seguridad


Requisitos previos




Procedimiento




VMware, Inc. 409

3 Haga clic en la pestaña Actividad entrante (Inbound Activity).

4 Haga clic en el vínculo junto a Origen desde (Originating from).

5 Seleccione el tipo de grupo de usuarios cuya actividad desea ver.

6 En Tipo de filtro (Filter type), seleccione uno o varios grupos y haga clic en Aceptar (OK).

7 En Donde la máquina virtual de destino (Where destination virtual machine) seleccione incluya(includes) o excluya (excludes) para indicar si las máquinas virtuales seleccionadas deben incluirseo excluirse en la búsqueda.

8 Haga clic en el vínculo junto a Y donde la máquina virtual de destino (And where destinationvirtual machine).


10 En Y donde la aplicación de destino (And where destination application), seleccione incluya(includes) o excluya (excludes) para indicar si las aplicaciones seleccionadas deben incluirse oexcluirse en la búsqueda.

11 Haga clic en el vínculo junto a Y donde la aplicación de destino (And where destinationapplication).

12 Seleccione una o varias aplicaciones y haga clic en Aceptar (OK).



Se muestran los resultados de la búsqueda filtrados por el criterio especificado. Haga clic en cualquierlugar de la tabla de resultados para ver información sobre los usuarios que accedieron a las aplicacionesy las máquinas virtuales especificadas.



Ver actividad salientePuede ver cuáles son las aplicaciones que está ejecutando un grupo de seguridad o un grupo deescritorios y, a continuación, ver los detalles en un informe para averiguar cuáles aplicaciones del clienteestán estableciendo conexiones salientes mediante un grupo de usuarios en particular. También puededetectar todos los usuarios y grupos de usuarios que están accediendo a una aplicación determinada, locual permite determinar si se necesita ajustar el firewall de identidad del entorno.

Figura 23‑5. Ver actividad saliente

VM VM VM VM


VMware, Inc. 410

Requisitos previos




Procedimiento



3 Asegúrese de que la pestaña Actividad saliente (Outbound Activity) esté seleccionada en el panelizquierdo.


Se muestran todos los grupos detectados mediante Guest Introspection.

5 Seleccione el tipo de grupo de usuarios cuya utilización de recursos desea ver.

6 En Filtro (Filter), seleccione uno o varios grupos y haga clic en Aceptar (OK).

7 En Donde la aplicación (Where application), seleccione incluya (includes) o excluya (excludes)para indicar si la aplicación seleccionada debe incluirse o excluirse en la búsqueda.

8 Haga clic en el vínculo junto a Donde la aplicación (Where application).

9 Seleccione una o varias aplicaciones y haga clic en Aceptar (OK).

10 En Y donde el destino (And where destination), seleccione incluya (includes) o excluya (excludes)para indicar si las máquinas virtuales seleccionadas deben incluirse o excluirse en la búsqueda.

11 Haga clic en el vínculo junto a Y donde el destino (And where destination).




Desplácese hasta la derecha para ver toda la información presentada.

Se muestran los resultados de la búsqueda filtrados por el criterio especificado. Haga clic en una fila paraver información sobre los usuarios del grupo de AD que utilizaron la aplicación especificada con el fin deacceder a las máquinas virtuales especificadas.




VMware, Inc. 411

Ver interacción entre contenedores de inventarioPuede ver el tráfico que circula entre los contenedores definidos, como grupos de AD, grupos deseguridad o grupos de escritorios. De este modo, puede identificar y configurar el acceso a servicioscompartidos y resolver las relaciones mal configuradas entre las definiciones del contenedor delinventario, los grupos de escritorios y los grupos de AD.

Figura 23‑6. Interacción entre contenedores

VM

aplicaciones

Sistema Grupo de AD de desarrolladores

Grupo de seguridad deoperativo

desarrolladores


Requisitos previos




Procedimiento



3 Seleccione la pestaña Interacción entre contenedores (Inter Container Interaction) en el panelizquierdo.



5 Seleccione el tipo de grupo de usuarios cuya utilización de recursos desea ver.


7 En Donde el destino es (Where the destination is), seleccione es (is) o no es (is not) para indicar siel grupo seleccionado debe incluirse o excluirse de la búsqueda.

8 Haga clic en el vínculo junto a Donde el destino es (Where the destination is).

9 Seleccione el tipo de grupo.



VMware, Inc. 412



Se muestran los resultados de la búsqueda filtrados por el criterio especificado. Haga clic en una fila paraver información sobre los usuarios que accedieron a los contenedores especificados.



Ejemplo: Consulta de interacción entre contenedores de inventarion Comprobar la comunicación permitida

Si se definieron contenedores en el inventario de vCenter y, luego, se agregó una regla para permitirla comunicación entre estos contenedores, se puede comprobar que la regla esté funcionandomediante la ejecución de esta consulta con dos contenedores especificados en los campos Origendesde (Originating from) y Donde el destino es (Where the destination is).

n Comprobar la comunicación denegada

Si se definieron contenedores en el inventario de vCenter y, luego, se agregó una regla para denegarla comunicación entre estos contenedores, se puede comprobar que la regla esté funcionandomediante la ejecución de esta consulta con dos contenedores especificados en los campos Origendesde (Originating from) y Donde el destino es (Where the destination is).

n Comprobar la comunicación denegada entre contenedores

Si se implementó una directiva que no permite la comunicación de los miembros de un contenedorcon otros miembros del mismo contenedor, es posible ejecutar esta consulta para comprobar que ladirectiva esté funcionando. Seleccione el contenedor en los dos campos Origen desde (Originatingfrom) y Donde el destino es (Where the destination is).

n Eliminar el acceso innecesario

Supongamos que se definieron contenedores en el inventario de vCenter y, luego, se agregó unaregla para permitir la comunicación entre estos contenedores. Es posible que haya miembros encada contenedor que no interactúen en absoluto con otro contenedor. Podrá optar, entonces, porquitar estos miembros del contenedor correspondiente a fin de optimizar el control de la seguridad.Para recuperar esta lista, seleccione los contenedores correspondientes en los campos Origendesde (Originating from) y Donde el destino es (Where the destination is). Seleccione no es (is not)junto al campo Donde el destino es (Where the destination is).

Ver actividad de grupo de AD salientePuede ver el tráfico entre los miembros de los grupos de Active Directory definidos y puede utilizar estosdatos para ajustar en detalle las reglas de firewall.


VMware, Inc. 413


Requisitos previos




Procedimiento



3 Seleccione la pestaña Contenedores y grupos de AD (AD Groups & Containers) en el panelizquierdo.



5 Seleccione el tipo de grupo de usuarios que desea incluir en la búsqueda.


7 En Donde el grupo de AD (Where AD Group), seleccione incluya (includes) o excluya (excludes)para indicar si el grupo de AD seleccionado debe incluirse o excluirse en la búsqueda.

8 Haga clic en el vínculo junto a Donde el grupo de AD (Where AD Group).

9 Seleccione uno o varios grupos de AD y haga clic en Aceptar (OK).



Se muestran los resultados de la búsqueda filtrados por el criterio especificado. Haga clic en una fila paraver información sobre los miembros del grupo de AD especificado que están accediendo a los recursosde red dentro del grupo de escritorios o el grupo de seguridad especificado.



Anular recopilación de datosEn caso de que ocurra una emergencia, por ejemplo, una sobrecarga de red, puede desactivar larecopilación de datos a nivel global. De este modo, se anula cualquier otra configuración de recopilaciónde datos.


VMware, Inc. 414

Procedimiento



3 Haga clic en la pestaña Configuración (Settings).

4 Seleccione la instancia de vCenter Server en la cual desea sobrescribir la recopilación de datos.


6 Desactive la casilla Recopilar datos de informes (Collect reporting data).


TraceflowTraceflow es una herramienta de solución de problemas que proporciona la capacidad de inyectar unpaquete y observar dónde se lo ve a medida que circula por la red física y lógica. Las observacionespermiten determinar información sobre la red, como la identificación de un nodo que está fuera deservicio o una regla de firewall que está impidiendo que un paquete sea recibido en su destino.

Acerca de TraceflowTraceflow inyecta paquetes en el puerto de una instancia de vSphere Distributed Switch (VDS) y ofrecevarios puntos de observación en toda la ruta que sigue el paquete en las entidades físicas y lógicas(como hosts ESXi, conmutadores lógicos y enrutadores lógicos) en las redes superpuestas ysubordinadas. Esto permite identificar qué ruta (o rutas) toma un paquete para llegar a su destino o, demanera inversa, en qué parte del trayecto se descarta un paquete. Cada entidad informa sobre laentrega del paquete en la entrada y la salida, por lo que es posible determinar si se producen problemasal recibir un paquete o al reenviarlo.

Tenga en cuenta que una instancia de Traceflow no es lo mismo que la respuesta o la solicitud de pingque va de una pila de la máquina virtual invitada a otra. Lo que Traceflow hace es observar un paquetemarcado mientras atraviesa la red superpuesta. Cada paquete se supervisa mientras atraviesa la redsuperpuesta hasta que llega a la máquina virtual invitada de destino y se pueda entregar en esta. Sinembargo, el paquete inyectado de Traceflow nunca se entrega a la máquina virtual invitada de destino.Esto significa que una instancia de Traceflow se puede entregar correctamente cuando la máquina virtualinvitada esté apagada.

Traceflow admite los siguientes tipos de tráfico:

n Unidifusión de Capa 2

n Unidifusión de Capa 3

n Difusión de Capa 2

n Multidifusión de Capa 2


VMware, Inc. 415

Puede construir paquetes con campos de encabezado y tamaños de paquete personalizados. El origende Traceflow siempre es una NIC de máquina virtual (vNIC). El extremo de destino puede ser cualquierdispositivo de la red superpuesta o subordinada de NSX. Sin embargo, no puede seleccionar un destinoque esté por encima de una puerta de enlace de servicios de NSX Edge (ESG). El destino debe estar enla misma subred o debe ser accesible mediante enrutadores lógicos distribuidos de NSX.

La operación de Traceflow se considera de Capa 2 si las vNIC de origen y destino están en el mismodominio de Capa 2. En NSX, esto significa que están en el mismo identificador de red de VXLAN(identificador de segmento o VNI). Esto sucede, por ejemplo, cuando hay dos máquinas virtualesconectadas al mismo conmutador lógico.

Si el puente de NSX se configura, los paquetes de Capa 2 desconocidos se envían siempre al puente.Normalmente, el puente reenvía estos paquetes a una VLAN e informa de que el paquete de Traceflowse ha entregado. El hecho de que un paquete se marque como entregado no implica necesariamenteque el paquete de seguimiento se haya entregado al destino especificado.

Para el tráfico de unidifusión de Traceflow de Capa 3, los dos extremos están en conmutadores lógicosdiferentes y tienen VNI diferentes conectadas a un enrutador lógico distribuido (Distributed LogicalRouter, DLR).

Para el tráfico de multidifusión, el origen es una vNIC de máquina virtual y el destino es una dirección degrupo de multidifusión.

Las observaciones de Traceflow pueden incluir las observaciones de los paquetes difundidos deTraceflow. El host ESXi difunde un paquete de Traceflow si no conoce las direcciones MAC del host dedestino. Para el tráfico de difusión, el origen es una vNIC de máquina virtual. La dirección MAC dedestino de Capa 2 para el tráfico de difusión es FF:FF:FF:FF:FF:FF. Si desea crear un paquete válidopara la inspección de firewall, la operación de Traceflow de difusión requiere una longitud de prefijo desubred. La máscara de subred permite que NSX calcule una dirección de red IP para el paquete.

Precaución Según la cantidad de puertos lógicos en la implementación, las operaciones de difusión ymultidifusión de Traceflow generan un alto volumen de tráfico.

Hay dos maneras de utilizar Traceflow: mediante la API y con la interfaz gráfica de usuario. La API es lamisma que utiliza la interfaz gráfica de usuario, salvo que la API permite especificar la configuraciónexacta dentro del paquete, mientras que la interfaz gráfica de usuario tiene una configuración máslimitada.

La interfaz gráfica de usuario permite establecer los siguientes valores:

n Protocolo: TCP, UDP, ICMP.

n Tiempo de vida (TTL). El valor predeterminado es 64 saltos.

n Números de puerto de origen y destino TCP y UDP. El valor predeterminado es 0.

n Marcas TCP.

n Número de secuencia e identificador ICMP. De forma predeterminada, ambos valores son 0.

n Un tiempo de espera de expiración, en milisegundos (ms), para la operación de Traceflow. El valorpredeterminado es 10.000 milisegundos.


VMware, Inc. 416

n Tamaño de la trama Ethernet. El valor predeterminado es 128 bytes por trama. El tamaño de tramamáximo es 1.000 bytes por trama.

n Codificación de carga útil. El valor predeterminado es Base64.

n Valor de carga útil.

Utilizar Traceflow para la solución de problemasHay varias situaciones donde Traceflow resulta útil.

Traceflow resulta útil en las siguientes situaciones:

n Solución de problemas y errores de redes para ver la ruta de acceso exacta del tráfico.

n Supervisión de rendimiento para ver la utilización de vínculos.

n Planificación de redes para ver cómo se comporta una red cuando está en producción.

Requisitos previos

n Las operaciones de Traceflow requieren la comunicación entre vCenter, NSX Manager, el clúster deNSX Controller y los agentes del ámbito del usuario netcpa de los hosts.

n Para que Traceflow trabaje correctamente, asegúrese de que el clúster del controlador estáconectado y en buen estado.

Procedimiento

1 En vCenter Web Client, desplácese hasta Inicio > Redes y seguridad > Traceflow (Home >Networking & Security > Traceflow).

2 Seleccione el tipo de tráfico: unidifusión, difusión o multidifusión.


VMware, Inc. 417

3 Seleccione la vNIC de la máquina virtual de origen.

Si la máquina virtual se administra en la misma instancia de vCenter Server donde se estáejecutando Traceflow, puede seleccionar la máquina virtual y la vNIC de una lista.

4 Para el tipo de Traceflow con unidifusión, introduzca la información de la vNIC de destino.

El destino puede ser la vNIC de cualquier dispositivo en la superposición o subordinación de NSX,como un host, una máquina virtual, un enrutador lógico o una puerta de enlace de servicios Edge. Siel destino es una máquina virtual que está ejecutando VMware Tools y se administra en la mismainstancia de vCenter Server donde se está ejecutando Traceflow, puede seleccionar la máquinavirtual y la vNIC de la lista.

De lo contrario, deberá introducir la dirección IP de destino (y la dirección MAC de una instancia deTraceflow de Capa 2 y unidifusión). Puede recopilar esta información desde el propio dispositivo enla consola de dispositivos o desde una sesión de SSH. Por ejemplo, en una máquina virtual Linux,puede obtener la dirección IP o MAC si ejecuta el comando ifconfig en el terminal Linux. En unenrutador lógico o puerta de enlace de servicios de Edge, puede recopilar la información con elcomando de la CLI show interface.

5 En una instancia de Traceflow de Capa 2 y difusión, introduzca la longitud del prefijo de subred.

El paquete se cambia únicamente en función de la dirección MAC. La dirección MAC de destino esFF:FF:FF:FF:FF:FF.

Se requieren tanto la dirección IP de origen como la de destino para que el paquete de IP sea válidopara la inspección de firewall.

6 En una instancia de Traceflow de Capa 2 y multidifusión, introduzca la dirección del grupo demultidifusión.

El paquete se cambia únicamente en función de la dirección MAC.

Se requieren tanto la dirección IP de origen como la de destino para que el paquete de IP sea válido.En el caso de una instancia de multidifusión, la dirección MAC se deduce de la dirección IP.

7 Configure otros parámetros opcionales y obligatorios.

8 Haga clic en Rastrear (Trace).

Ejemplo: SituacionesEl siguiente ejemplo muestra una instancia de Traceflow de Capa 2 donde participan dos máquinasvirtuales que se están ejecutando en un único host ESXi. Las dos máquinas virtuales están conectadas aun único conmutador lógico.


VMware, Inc. 418

El siguiente ejemplo muestra una instancia de Traceflow de Capa 2 donde participan dos máquinasvirtuales que se están ejecutando en dos hosts ESXi diferentes. Las dos máquinas virtuales estánconectadas a un único conmutador lógico.


VMware, Inc. 419

El siguiente ejemplo muestra una instancia de Traceflow de Capa 3. Las dos máquinas virtuales estánconectadas a dos conmutadores lógicos diferentes que están separados por un enrutador lógico.


VMware, Inc. 420

El siguiente ejemplo muestra una instancia de Traceflow de difusión en una implementación que tienetres máquinas virtuales conectadas a un único conmutador lógico. Dos de las máquinas virtuales estánen un host (esx-01a) y la tercera está en otro host (esx-02a). La difusión se envía desde una de lasmáquinas virtuales del host 192.168.210.53.


VMware, Inc. 421

El siguiente ejemplo muestra qué sucede cuando se envía tráfico de multidifusión en una implementaciónque tiene configurada la multidifusión.


VMware, Inc. 422

El siguiente ejemplo muestra qué sucede cuando cae una instancia de Traceflow por una regla deDistributed Firewall que bloquea el tráfico ICMP enviado a la dirección de destino. Tenga en cuenta queel tráfico nunca sale del host original, incluso aunque la máquina virtual de destino esté en otro host.


VMware, Inc. 423

El siguiente ejemplo muestra qué sucede cuando una instancia de Traceflow de destino está del otrolado de la puerta de enlace de servicios Edge, como una dirección IP en Internet o cualquier destinointerno que debe enrutarse a través de la puerta de enlace. No se permite Traceflow, por diseño, porquees compatible con destinos que están en la misma subred o a los que se pueden llegar a través deenrutadores lógicos distribuidos (DLR).

El siguiente ejemplo muestra qué sucede cuando la instancia de Traceflow de destino es una máquinavirtual que se encuentra en otra subred y está apagada.


VMware, Inc. 424

Ejemplos de configuración de laVPN de NSX Edge 24Este escenario proporciona ejemplos de configuración de una conexión básica IPsec VPN de punto apunto entre una instancia de NSX Edge y una VPN Cisco o WatchGuard del otro extremo.

En este escenario, NSX Edge conecta la red interna 192.0.2.0/24 a Internet. Las interfaces de NSX Edgeestán configuradas del siguiente modo:

n Interfaz del vínculo superior: 198.51.100.1

n Interfaz interna: 192.0.2.1

La puerta de enlace remota conecta la red interna 172.16.0.0/16 a Internet. Las interfaces de la puerta deenlace remota están configuradas del siguiente modo:

n Interfaz del vínculo superior: 10.24.120.90/24

n Interfaz interna: 172.16.0.1/16

Figura 24‑1. NSX Edge conectándose a una puerta de enlace de VPN remota

Internet

192.168.5.1

192.168.5.0/24

10.115.199.103 10.24.120.90 172.16.0.1

172.15.0.0/16

NSX Edge

Nota Para las instancias de NSX Edge a túneles IPsec de NSX Edge, se puede utilizar el mismoescenario si se instala la segunda instancia de NSX Edge como puerta de enlace remota.


n Terminología

n Fase 1 y fase 2 de IKE

n Ejemplo de configuración del servicio IPsec VPN

n Usar un enrutador de servicios integrados Cisco 2821

n Usar Cisco ASA 5510

n Configurar WatchGuard Firebox X500

n Ejemplo de solución de problemas con la configuración de NSX Edge

VMware, Inc. 425

TerminologíaIPsec es un marco de estándares abiertos. Hay muchos términos técnicos en los registros de NSX Edgey otros dispositivos VPN que se pueden utilizar para solucionar problemas con IPsec VPN.

Estos son algunos de los estándares que puede encontrar:

n ISAKMP (Protocolo de administración de claves y asociaciones de seguridad en Internet) es unprotocolo definido por RFC 2408 para establecer asociaciones de seguridad (SA) y clavescriptográficas en un entorno de Internet. ISAKMP solo proporciona un marco para la autenticación yel intercambio de claves y está diseñado para ser independiente del intercambio de claves.

n Oakley es un protocolo de acuerdo de claves que permite que las partes autenticadas intercambienmaterial de claves en una conexión no protegida mediante el algoritmo de intercambio de clavesDiffie-Hellman.

n IKE (Intercambio de claves por red) es una combinación del marco ISAKMP y de Oakley. NSX Edgeproporciona IKEv1.

n El intercambio de claves Diffie-Hellman (DH) es un protocolo criptográfico que permite que dospartes que no se conocen previamente puedan establecer conjuntamente una clave secretacompartida en un canal de comunicaciones sin protección. VSE admite el grupo 2 (1024 bits) y elgrupo 5 (1536 bits) de DH.

Fase 1 y fase 2 de IKEIKE es un método estándar que se utiliza para organizar comunicaciones seguras y autenticadas.

Parámetros de fase 1La fase 1 configura la autenticación mutua de los pares, negocia los parámetros criptográficos y creaclaves de sesión. Los parámetros de la fase 1 que utiliza NSX Edge son:

n Modo Main

n TripleDES / AES [se puede configurar]

n SHA-1

n MODP Grupo 2 (1024 bits)

n secreto compartido previamente [se puede configurar]

n Vida útil de SA de 28800 segundos (ocho horas) sin regeneración de clave de kbytes

n Modo intenso ISAKMP deshabilitado


VMware, Inc. 426

Parámetros de fase 2La fase 2 de IKE negocia un túnel de IPsec con la creación de material de claves para que utilice el túnelde IPsec (ya sea con las claves de la fase uno de IKE como base o con un intercambio de clave nueva).Los parámetros de la fase 2 de IKE compatibles con NSX Edge son:

n TripleDES / AES [coincidirá con la configuración de la fase 1]

n SHA-1

n Modo de túnel ESP

n MODP Grupo 2 (1024 bits)

n Confidencialidad directa total para la regeneración de clave

n Vida útil de SA de 3600 segundos (una hora) sin regeneración de clave de kbytes

n Selectores para todos los protocolos IP, todos los puertos, entre las dos redes, con subredes IPv4

Muestras de modo de transacciónNSX Edge es compatible con el modo Principal (Main) de la fase 1 y el modo Rápido (Quick) de lafase 2.

NSX Edge propone una directiva que requiere PSK, 3DES/AES128, sha1 y grupo DH 2/5. El par debeaceptar esta directiva, de lo contrario, se produce un error en la fase de negociación.

Fase 1: transacciones de modo Principal (Main)En este ejemplo se muestra un intercambio de negociación de fase 1 iniciado desde una instancia deNSX Edge a un dispositivo Cisco.

Las transacciones siguientes ocurren en secuencia entre la instancia de NSX Edge y un dispositivo deVPN Cisco en modo Principal (Main).

1 NSX Edge a Cisco

n propuesta: cifrar 3des-cbc, sha, psk, group5(group2)

n DPD habilitado

2 Cisco a NSX Edge

n contiene propuestas elegidas por Cisco

n Si el dispositivo Cisco no acepta ninguno de los parámetros que envió la instancia de NSX Edgeen el paso uno, el dispositivo Cisco envía un mensaje con la marca NO_PROPOSAL_CHOSENy finaliza la negociación.

3 NSX Edge a Cisco

n Nonce y clave DH


VMware, Inc. 427

4 Cisco a NSX Edgen Nonce y clave DH

5 NSX Edge a Cisco (cifrado)n incluir identificador (PSK)

6 Cisco a NSX Edge (cifrado)n incluir identificador (PSK)

n Si el dispositivo Cisco encuentra que PSK no coincide, el dispositivo Cisco envía un mensaje conla marca INVALID_ID_INFORMATION; ocurre un error en la fase 1.

Fase 2: transacciones de modo Rápido (Quick)Las transacciones siguientes ocurren en secuencia entre la instancia de NSX Edge y un dispositivo deVPN Cisco en modo Rápido (Quick).

1 NSX Edge a Cisco

NSX Edge propone una directiva de fase 2 al par. Por ejemplo:

Aug 26 12:16:09 weiqing-desktop

ipsec[5789]:

"s1-c1" #2: initiating Quick Mode

PSK+ENCRYPT+TUNNEL+PFS+UP+SAREFTRACK

{using isakmp#1 msgid:d20849ac

proposal=3DES(3)_192-SHA1(2)_160

pfsgroup=OAKLEY_GROUP_MODP1024}

2 Cisco a NSX Edge

El dispositivo Cisco devuelve NO_PROPOSAL_CHOSEN si no encuentra una directiva que coincidacon la propuesta. De lo contrario, el dispositivo Cisco envía el conjunto de parámetros elegido.

3 NSX Edge a Cisco

Para facilitar la depuración, puede habilitar el registro de IPsec en NSX Edge y habilitar la depuraciónde cifrado en Cisco (debug crypto isakmp <level>).

Ejemplo de configuración del servicio IPsec VPNDebe configurar los parámetros de VPN y después habilitar el servicio IPsec.

Procedimiento

1 Ejemplo de configuración de parámetros de VPN de NSX Edge

Debe configurar al menos una dirección IP externa en NSX Edge para proporcionar el servicioIPsec VPN.

2 Ejemplo de habilitación del servicio IPsec VPN

Debe habilitar el servicio IPsec VPN para que el tráfico fluya de la subred local a la subred delmismo nivel.


VMware, Inc. 428

Ejemplo de configuración de parámetros de VPN de NSX EdgeDebe configurar al menos una dirección IP externa en NSX Edge para proporcionar el servicio IPsecVPN.

Procedimiento







7 Escriba un nombre para IPsec VPN.

8 Introduzca la dirección IP de la instancia de NSX Edge en Identificador local (Local Id). Este será elidentificador del mismo nivel en el sitio remoto.

9 Introduzca la dirección IP para el extremo local.

Si desea agregar un túnel IP a IP con una clave precompartida, el identificador local y la dirección IPpara el extremo local pueden ser iguales.

10 Introduzca en formato CIDR las subredes para compartir contenido entre los sitios. Utilice la comacomo separador para especificar varias subredes.

11 Introduzca el identificador del mismo nivel para identificar de forma exclusiva el sitio del mismo nivel.Para los elementos del mismo nivel con autenticación por certificado, este identificador debe ser elnombre común indicado en el certificado para el elemento del mismo nivel. Para los elementos delmismo nivel con PSK, este identificador puede ser cualquier cadena. VMware recomienda utilizar ladirección IP pública de la VPN o un FQDN para el servicio VPN como identificador del mismo nivel.

12 Introduzca la dirección IP para el sitio del mismo nivel en Extremo de elemento del mismo nivel (PeerEndpoint). Si se deja esto en blanco, NSX Edge esperará a que el dispositivo del mismo nivel soliciteuna conexión.

13 Introduzca en formato CIDR la dirección IP interna de la subred del mismo nivel. Utilice la comacomo separador para especificar varias subredes.

14 Seleccione el algoritmo de cifrado.


VMware, Inc. 429

15 En Método de autenticación (Authentication Method), seleccione una de las siguientes opciones:


PSK (Pre Shared Key) (Claveprecompartida [PSK])

Se indica que se utilizará la clave secreta compartida entre NSX Edge y el sitiodel mismo nivel para la autenticación. La clave secreta puede ser una cadenacon un máximo de 128 bytes de longitud.

Certificado (Certificate) Se indica que se utilizará el certificado definido en el nivel global para laautenticación.

16 Introduzca la clave compartida si algún sitio anónimo se conectará al servicio de VPN.

17 Haga clic en Mostrar clave compartida (Display Shared Key) para mostrar la clave en el sitio delmismo nivel.

18 En Grupo Diffie-Hellman (Diffie-Hellman [DH] Group), seleccione el esquema criptográfico con el cualel sitio del mismo nivel y NSX Edge podrán establecer un secreto compartido mediante un canal decomunicaciones no seguro.

19 Cambie el umbral de MTU, si es necesario.

20 Seleccione si desea habilitar o deshabilitar el umbral de confidencialidad directa total (PFS). En lasnegociaciones de IPsec, la confidencialidad directa total (PFS) garantiza que cada clave criptográficanueva no esté relacionada con ninguna clave anterior.


NSX Edge creará un túnel desde la subred local hasta la subred del mismo nivel.

Pasos siguientes

Habilite el servicio de IPsec VPN.

Ejemplo de habilitación del servicio IPsec VPNDebe habilitar el servicio IPsec VPN para que el tráfico fluya de la subred local a la subred del mismonivel.

Procedimiento








VMware, Inc. 430

Pasos siguientes

Haga clic en Habilitar registro (Enable Logging) para registrar el flujo de tráfico entre la subred local y lasubred del mismo nivel.

Usar un enrutador de servicios integrados Cisco 2821A continuación se describen las configuraciones realizadas con Cisco IOS.

Procedimiento

1 Configurar interfaces y ruta predeterminada

interface GigabitEthernet0/0

ip address 10.24.120.90 255.255.252.0

duplex auto

speed auto

crypto map MYVPN

!


ip address 172.16.0.1 255.255.0.0

duplex auto

speed auto

!

ip route 0.0.0.0 0.0.0.0 10.24.123.253

2 Configurar la directiva de IKE

Router# config term

Router(config)# crypto isakmp policy 1

Router(config-isakmp)# encryption 3des

Router(config-isakmp)# group 2

Router(config-isakmp)# hash sha

Router(config-isakmp)# lifetime 28800

Router(config-isakmp)# authentication

pre-share

Router(config-isakmp)# exit

3 Buscar coincidencias de cada nivel con su secreto compartido previamente

Router# config term

Router(config)# crypto isakmp key vshield

address 10.115.199.103


4 Definir la transformación de IPsec

Router# config term

Router(config)# crypto ipsec transform-set

myset esp-3des esp-sha-hmac



VMware, Inc. 431

5 Crear la lista de acceso de IPsec

Router# config term

Enter configuration commands, one per line.

End with CNTL/Z.

Router(config)# access-list 101 permit ip

172.16.0.0 0.0.255.255 192.168.5.0 0.0.0.255

Router(config)# exit

6 Conectar la directiva con un mapa criptográfico y etiquetarlo

En el siguiente ejemplo, el mapa criptográfico está etiquetado como MYVPN.

Router# config term

Router(config)# crypto map MYVPN 1

ipsec-isakmp

% NOTE: This new crypto map will remain

disabled until a peer and a valid

access list have been configured.

Router(config-crypto-map)# set transform-set

myset

Router(config-crypto-map)# set pfs group1

Router(config-crypto-map)# set peer

10.115.199.103

Router(config-crypto-map)# match address 101

Router(config-crypto-map)# exit

Ejemplo: Configuración

router2821#show running-config output

Building configuration...

Current configuration : 1263 bytes

!

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname router2821

!

boot-start-marker

boot-end-marker

!

! card type command needed for slot 0

! card type command needed for slot 1

enable password cisco

!

no aaa new-model

!

resource policy

!

ip subnet-zero


VMware, Inc. 432

!

ip cef

!no ip dhcp use vrf connected

!

!

no ip ips deny-action ips-interface

!

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

crypto isakmp key vshield address 10.115.199.103

!

crypto ipsec transform-set myset esp-3des

esp-sha-hmac

!

crypto map MYVPN 1 ipsec-isakmp

set peer 10.115.199.103

set transform-set myset

set pfs group1

match address 101

!


ip address 10.24.120.90 255.255.252.0

duplex auto

speed auto

crypto map MYVPN

!


ip address 172.16.0.1 255.255.0.0

duplex auto

speed auto

!

ip classless

ip route 0.0.0.0 0.0.0.0 10.24.123.253

!

ip http server

no ip http secure-server

!

access-list 101 permit ip 172.16.0.0

0.0.255.255 192.168.5.0 0.0.0.255

!

control-plane

!

line con 0

line aux 0

line vty 0 4

password cisco

login

line vty 5 15

password cisco

login


VMware, Inc. 433

!

scheduler allocate 20000 1000

!

end

Usar Cisco ASA 5510Utilice los siguientes resultados para configurar una instancia de Cisco ASA 5510.

ciscoasa# show running-config output

: Saved

:

ASA Version 8.2(1)18

!

hostname ciscoasa

enable password 2KFQnbNIdI.2KYOU encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

names

!

interface Ethernet0/0

nameif untrusted

security-level 100

ip address 10.24.120.90 255.255.252.0

!


nameif trusted

security-level 90

ip address 172.16.0.1 255.255.0.0

!


shutdown

no nameif

no security-level

no ip address

!


shutdown

no nameif

no security-level

no ip address

!

interface Management0/0

shutdown

no nameif

no security-level

no ip address

!

boot system disk0:/asa821-18-k8.bin

ftp mode passive

access-list ACL1 extended permit ip 172.16.0.0 255.255.0.0

192.168.5.0 255.255.255.0

access-list ACL1 extended permit ip 192.168.5.0 255.255.255.0

172.16.0.0 255.255.0.0


VMware, Inc. 434

access-list 101 extended permit icmp any any

pager lines 24

mtu untrusted 1500

mtu trusted 1500

no failover

icmp unreachable rate-limit 1 burst-size 1

icmp permit any untrusted

icmp permit any trusted

no asdm history enable

arp timeout 14400

access-group 101 in interface untrusted

access-group 101 out interface untrusted

access-group 101 in interface trusted

access-group 101 out interface trusted

route untrusted 10.115.0.0 255.255.0.0 10.24.123.253 1

route untrusted 192.168.5.0 255.255.255.0 10.115.199.103 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00

udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00

mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00

sip-disconnect 0:02:00

timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

timeout tcp-proxy-reassembly 0:01:00

dynamic-access-policy-record DfltAccessPolicy

no snmp-server location

no snmp-server contact

crypto ipsec transform-set MYSET esp-3des esp-sha-hmac

crypto ipsec security-association lifetime seconds 28800

crypto ipsec security-association lifetime kilobytes 4608000

crypto map MYVPN 1 match address ACL1

crypto map MYVPN 1 set pfs

crypto map MYVPN 1 set peer 10.115.199.103

crypto map MYVPN 1 set transform-set MYSET

crypto map MYVPN interface untrusted

crypto isakmp enable untrusted

crypto isakmp policy 1

authentication pre-share

encryption 3des

hash sha

group 2

lifetime 86400

telnet 10.0.0.0 255.0.0.0 untrusted

telnet timeout 5

ssh timeout 5

console timeout 0

no threat-detection basic-threat

no threat-detection statistics access-list

no threat-detection statistics tcp-intercept

username admin password f3UhLvUj1QsXsuK7 encrypted

tunnel-group 10.115.199.103 type ipsec-l2l

tunnel-group 10.115.199.103 ipsec-attributes

pre-shared-key *

!


VMware, Inc. 435

!

prompt hostname context

Cryptochecksum:29c3cc49460831ff6c070671098085a9

: end

Configurar WatchGuard Firebox X500Puede configurar la instancia de WatchGuard Firebox X500 como una puerta de enlace remota.

Nota Consulte la documentación de WatchGuard Firebox para ver los pasos exactos.

Procedimiento

1 En el Administrador del sistema Firebox (Firebox System Manager), seleccione Herramientas(Tools) > Policy Manager (Administrador de directivas) > .

2 En Administrador de directivas (Policy Manager), seleccione Red (Network) > Configuración(Configuration).

3 Configure las interfaces y haga clic en Aceptar (OK).

4 (opcional) Seleccione Red (Network) > Rutas (Routes) para configurar una ruta predeterminada.

5 Seleccione Red (Network) > VPN de la sucursal (Branch Office VPN) > IPsec manual (ManualIPSec) para configurar la puerta de enlace remota.

6 En el cuadro de diálogo Configuración de IPsec (IPSec Configuration), haga clic en Puertas deenlace (Gateways) para configurar la puerta de enlace remota de IPsec.

7 En el cuadro de diálogo Configuración de IPsec (IPSec Configuration), haga clic en Túneles(Tunnels) para configurar un túnel.

8 En el cuadro de diálogo Configuración de IPsec (IPSec Configuration), haga clic en Agregar (Add)para agregar una directiva de enrutamiento.

9 Haga clic en Cerrar (Close).

10 Confirme que el túnel esté funcionando.

Ejemplo de solución de problemas con la configuraciónde NSX EdgeUtilice esta información para solucionar problemas de negociación en la configuración.

Negociación correcta (Fase 1 y Fase 2)Los siguientes ejemplos muestran un resultado de negociación exitoso entre NSX Edge y un dispositivoCisco.


VMware, Inc. 436

NSX EdgeDesde la interfaz de línea de comandos NSX Edge (ipsec auto -status, part of show service ipseccommand):

000 #2: "s1-c1":500 STATE_QUICK_I2 (sent QI2, IPsec SA established);

EVENT_SA_REPLACE in 2430s; newest IPSEC; eroute owner; isakmp#1; idle;

import:admin initiate

000 #2: "s1-c1" [email protected] [email protected]

[email protected] [email protected] ref=0 refhim=4294901761

000 #1: "s1-c1":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in

27623s; newest ISAKMP; lastdpd=0s(seq in:0 out:0); idle;


Cisco

ciscoasa# show crypto isakmp sa detail

Active SA: 1

Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)

Total IKE SA: 1

IKE Peer: 10.20.129.80

Type : L2L Role : responder

Rekey : no State : MM_ACTIVE

Encrypt : 3des Hash : SHA

Auth : preshared Lifetime: 28800

Lifetime Remaining: 28379

No coincide la directiva de Fase 1A continuación se incluyen los registros de error de la directiva de Fase 1 de no coincidencia.

NSX EdgeNSX Edge deja de responder en el estado STATE_MAIN_I1. En /var/log/messages, busque informacióndonde se muestre que el elemento del mismo nivel envió de vuelta el mensaje IKE establecido en"NO_PROPOSAL_CHOSEN".

000 #1: "s1-c1":500 STATE_MAIN_I1 (sent MI1,

expecting MR1); EVENT_RETRANSMIT in 7s; nodpd; idle;


000 #1: pending Phase 2 for "s1-c1" replacing #0

Aug 26 12:31:25 weiqing-desktop ipsec[6569]:

| got payload 0x800(ISAKMP_NEXT_N) needed: 0x0 opt: 0x0


| ***parse ISAKMP Notification Payload:


| next payload type: ISAKMP_NEXT_NONE

Aug 26 12:31:25 weiqing-desktop ipsec[6569]: | length: 96


VMware, Inc. 437


| DOI: ISAKMP_DOI_IPSEC

Aug 26 12:31:25 weiqing-desktop ipsec[6569]: | protocol ID: 0

Aug 26 12:31:25 weiqing-desktop ipsec[6569]: | SPI size: 0


| Notify Message Type: NO_PROPOSAL_CHOSEN


"s1-c1" #1: ignoring informational payload,

type NO_PROPOSAL_CHOSEN msgid=00000000

CiscoSi se habilita el cifrado de depuración, se imprimirá un mensaje de error para mostrar que ningunapropuesta fue aceptada.

ciscoasa# Aug 26 18:17:27 [IKEv1]:

IP = 10.20.129.80, IKE_DECODE RECEIVED

Message (msgid=0) with payloads : HDR + SA (1)

+ VENDOR (13) + VENDOR (13) + NONE (0) total length : 148

Aug 26 18:17:27 [IKEv1 DEBUG]: IP = 10.20.129.80,

processing SA payload

Aug 26 18:17:27 [IKEv1]: Phase 1 failure: Mismatched attribute

types for class Group Description: Rcv'd: Group 5

Cfg'd: Group 2

Aug 26 18:17:27 [IKEv1]: Phase 1 failure: Mismatched attribute

types for class Group Description: Rcv'd: Group 5

Cfg'd: Group 2

Aug 26 18:17:27 [IKEv1]: IP = 10.20.129.80, IKE_DECODE SENDING

Message (msgid=0) with payloads : HDR + NOTIFY (11)

+ NONE (0) total length : 124

Aug 26 18:17:27 [IKEv1 DEBUG]: IP = 10.20.129.80,

All SA proposals found unacceptable

Aug 26 18:17:27 [IKEv1]: IP = 10.20.129.80, Error processing

payload: Payload ID: 1

Aug 26 18:17:27 [IKEv1 DEBUG]: IP = 10.20.129.80, IKE MM Responder

FSM error history (struct &0xd8355a60) <state>, <event>:

MM_DONE, EV_ERROR-->MM_START, EV_RCV_MSG-->MM_START,

EV_START_MM-->MM_START, EV_START_MM-->MM_START,

EV_START_MM-->MM_START, EV_START_MM-->MM_START,

EV_START_MM-->MM_START, EV_START_MM

Aug 26 18:17:27 [IKEv1 DEBUG]: IP = 10.20.129.80, IKE SA

MM:9e0e4511 terminating: flags 0x01000002, refcnt 0,

tuncnt 0

Aug 26 18:17:27 [IKEv1 DEBUG]: IP = 10.20.129.80, sending

delete/delete with reason message

No coincide la Fase 2A continuación se incluyen los registros de error de la directiva de Fase 2 de no coincidencia.


VMware, Inc. 438

NSX EdgeNSX Edge deja de responder en STATE_QUICK_I1. Un mensaje del registro muestra que el elementodel mismo nivel envió el mensaje NO_PROPOSAL_CHOSEN.

000 #2: "s1-c1":500 STATE_QUICK_I1 (sent QI1, expecting

QR1); EVENT_RETRANSMIT in 11s; lastdpd=-1s(seq in:0 out:0);

idle; import:admin initiate

Aug 26 12:33:54 weiqing-desktop ipsec[6933]: | got payload

0x800(ISAKMP_NEXT_N) needed: 0x0 opt: 0x0

Aug 26 12:33:54 weiqing-desktop ipsec[6933]: | ***parse

ISAKMP Notification Payload:

Aug 26 12:33:54 weiqing-desktop ipsec[6933]: | next payload

type: ISAKMP_NEXT_NONE






Aug 26 12:33:54 weiqing-desktop ipsec[6933]: | Notify Message

Type: NO_PROPOSAL_CHOSEN

Aug 26 12:33:54 weiqing-desktop ipsec[6933]: "s1-c1" #3:

ignoring informational payload, type NO_PROPOSAL_CHOSEN

msgid=00000000

CiscoEl mensaje de depuración muestra que la Fase 1 está completa, pero se produjo un error en la Fase 2por un error en la negociación de la directiva.

Aug 26 16:03:49 [IKEv1]: Group = 10.20.129.80,

IP = 10.20.129.80, PHASE 1 COMPLETED

Aug 26 16:03:49 [IKEv1]: IP = 10.20.129.80, Keep-alive type

for this connection: DPD

Aug 26 16:03:49 [IKEv1 DEBUG]: Group = 10.20.129.80,

IP = 10.20.129.80, Starting P1 rekey timer: 21600 seconds

Aug 26 16:03:49 [IKEv1]: IP = 10.20.129.80, IKE_DECODE RECEIVED

Message (msgid=b2cdcb13) with payloads : HDR + HASH (8)

+ SA (1) + NONCE (10) + KE (4) + ID (5) + ID (5) + NONE (0)

total length : 288

.

.

.

Aug 26 16:03:49 [IKEv1]: Group = 10.20.129.80, IP = 10.20.129.80,

Session is being torn down. Reason: Phase 2 Mismatch

Falta de coincidencia con PFSA continuación se incluyen los registros de error de falta de coincidencia con PFS.


VMware, Inc. 439

NSX EdgePFS se negocia como parte de la Fase 2. Si PFS no coincide, el comportamiento es similar al del casode error descrito en No coincide la Fase 2

000 #4: "s1-c1":500 STATE_QUICK_I1 (sent QI1, expecting

QR1); EVENT_RETRANSMIT in 8s; lastdpd=-1s(seq in:0 out:0);

idle; import:admin initiate

Aug 26 12:35:52 weiqing-desktop ipsec[7312]: | got payload 0x800

(ISAKMP_NEXT_N) needed: 0x0 opt: 0x0


| ***parse ISAKMP Notification Payload:

Aug 26 12:35:52 weiqing-desktop ipsec[7312]: | next payload

type: ISAKMP_NEXT_NONE






Aug 26 12:35:52 weiqing-desktop ipsec[7312]: | Notify Message

Type: NO_PROPOSAL_CHOSEN

Aug 26 12:35:52 weiqing-desktop ipsec[7312]: "s1-c1" #1: ignoring

informational payload, type NO_PROPOSAL_CHOSEN

msgid=00000000

Aug 26 12:35:52 weiqing-desktop ipsec[7312]: | info: fa 16 b3 e5

91 a9 b0 02 a3 30 e1 d9 6e 5a 13 d4

Aug 26 12:35:52 weiqing-desktop ipsec[7312]: | info: 93 e5 e4 d7


| processing informational NO_PROPOSAL_CHOSEN (14)

Cisco

<BS>Aug 26 19:00:26 [IKEv1 DEBUG]: Group = 10.20.129.80,

IP = 10.20.129.80, sending delete/delete with

reason message


IP = 10.20.129.80, constructing blank hash payload


IP = 10.20.129.80, constructing blank hash payload


IP = 10.20.129.80, constructing IKE delete payload


IP = 10.20.129.80, constructing qm hash payload


Message (msgid=19eb1e59) with payloads : HDR + HASH (8)

+ DELETE (12) + NONE (0) total length : 80

Aug 26 19:00:26 [IKEv1]: Group = 10.20.129.80, IP = 10.20.129.80,

Session is being torn down. Reason: Phase 2 Mismatch


VMware, Inc. 440

No coincide con PSKA continuación se incluyen los registros de error de la directiva PSK de no coincidencia.

NSX EdgePSK se negocia en la última ronda de la Fase 1. Si se produce un error en la negociación de PSK, elestado de NSX Edge es STATE_MAIN_I4. El elemento del mismo nivel envía el mensajeINVALID_ID_INFORMATION.


"s1-c1" #1: transition from state STATE_MAIN_I3 to

state STATE_MAIN_I4


STATE_MAIN_I4: ISAKMP SA established

{auth=OAKLEY_PRESHARED_KEY

cipher=oakley_3des_cbc_192 prf=oakley_sha group=modp1024}

Aug 26 11:55:55 weiqing-desktop ipsec[3855]: "s1-c1" #1: Dead Peer

Detection (RFC 3706): enabled


initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP+SAREFTRACK

{using isakmp#1 msgid:e8add10e proposal=3DES(3)_192-SHA1(2)_160

pfsgroup=OAKLEY_GROUP_MODP1024}


ignoring informational payload, type INVALID_ID_INFORMATION

msgid=00000000

Cisco

Aug 26 15:27:07 [IKEv1]: IP = 10.115.199.191,

IKE_DECODE SENDING Message (msgid=0) with payloads : HDR

+ KE (4) + NONCE (10) + VENDOR (13) + VENDOR (13)

+ VENDOR (13) + VENDOR (13) + NAT-D (130) + NAT-D (130)


Aug 26 15:27:07 [IKEv1]: Group = 10.115.199.191,

IP = 10.115.199.191, Received encrypted Oakley Main Mode

packet with invalid payloads, MessID = 0


Message (msgid=0) with payloads : HDR + NOTIFY (11)


Aug 26 15:27:07 [IKEv1]: Group = 10.115.199.191,

IP = 10.115.199.191, ERROR, had problems decrypting

packet, probably due to mismatched pre-shared key.

Aborting


VMware, Inc. 441

Captura de paquetes para una negociación correctaA continuación se incluye una sesión de captura de paquetes para lograr una negociación correcta entreNSX Edge y un dispositivo Cisco.

No. Time Source Destination Protocol Info

9203 768.394800 10.20.129.80 10.20.131.62 ISAKMP Identity Protection

(Main Mode)

Frame 9203 (190 bytes on wire, 190 bytes captured)

Ethernet II, Src: Vmware_9d:2c:dd (00:50:56:9d:2c:dd),

Dst: Cisco_80:70:f5 (00:13:c4:80:70:f5)

Internet Protocol, Src: 10.20.129.80 (10.20.129.80),

Dst: 10.20.131.62 (10.20.131.62)

User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500)

Internet Security Association and Key Management Protocol

Initiator cookie: 92585D2D797E9C52

Responder cookie: 0000000000000000

Next payload: Security Association (1)

Version: 1.0

Exchange type: Identity Protection (Main Mode) (2)

Flags: 0x00

Message ID: 0x00000000

Length: 148

Security Association payload

Next payload: Vendor ID (13)

Payload length: 84

Domain of interpretation: IPSEC (1)

Situation: IDENTITY (1)

Proposal payload # 0

Next payload: NONE (0)

Payload length: 72

Proposal number: 0

Protocol ID: ISAKMP (1)

SPI Size: 0

Proposal transforms: 2

Transform payload # 0

Next payload: Transform (3)

Payload length: 32

Transform number: 0

Transform ID: KEY_IKE (1)

Life-Type (11): Seconds (1)

Life-Duration (12): Duration-Value (28800)

Encryption-Algorithm (1): 3DES-CBC (5)

Hash-Algorithm (2): SHA (2)

Authentication-Method (3): PSK (1)

Group-Description (4): 1536 bit MODP group (5)



Payload length: 32

Transform number: 1





VMware, Inc. 442




Group-Description (4): Alternate 1024-bit MODP group (2)

Vendor ID: 4F456C6A405D72544D42754D


Payload length: 16

Vendor ID: 4F456C6A405D72544D42754D

Vendor ID: RFC 3706 Detecting Dead IKE Peers (DPD)


Payload length: 20

Vendor ID: RFC 3706 Detecting Dead IKE Peers (DPD)



(Main Mode)


Ethernet II, Src: Cisco_80:70:f5 (00:13:c4:80:70:f5),

Dst: Vmware_9d:2c:dd (00:50:56:9d:2c:dd)


Dst: 10.20.129.80 (10.20.129.80)




Responder cookie: 34704CFC8C8DBD09

Next payload: Security Association (1)

Version: 1.0


Flags: 0x00


Length: 104

Security Association payload


Payload length: 52

Domain of interpretation: IPSEC (1)

Situation: IDENTITY (1)

Proposal payload # 1


Payload length: 40

Proposal number: 1

Protocol ID: ISAKMP (1)

SPI Size: 0

Proposal transforms: 1



Payload length: 32

Transform number: 1




Group-Description (4): Alternate 1024-bit MODP group (2)





VMware, Inc. 443

Vendor ID: Microsoft L2TP/IPSec VPN Client


Payload length: 24

Vendor ID: Microsoft L2TP/IPSec VPN Client



(Main Mode)



Dst: Cisco_80:70:f5 (00:13:c4:80:70:f5)


Dst: 10.20.131.62 (10.20.131.62)





Next payload: Key Exchange (4)

Version: 1.0


Flags: 0x00


Length: 180

Key Exchange payload

Next payload: Nonce (10)

Payload length: 132

Key Exchange Data (128 bytes / 1024 bits)

Nonce payload


Payload length: 20

Nonce Data



(Main Mode)





Dst: 10.20.129.80 (10.20.129.80)





Next payload: Key Exchange (4)

Version: 1.0


Flags: 0x00


Length: 256

Key Exchange payload

Next payload: Nonce (10)

Payload length: 132


VMware, Inc. 444

Key Exchange Data (128 bytes / 1024 bits)

Nonce payload


Payload length: 24

Nonce Data

Vendor ID: CISCO-UNITY-1.0


Payload length: 20

Vendor ID: CISCO-UNITY-1.0

Vendor ID: draft-beaulieu-ike-xauth-02.txt


Payload length: 12

Vendor ID: draft-beaulieu-ike-xauth-02.txt

Vendor ID: C1B7EBE18C8CBD099E89695E2CB16A4A


Payload length: 20

Vendor ID: C1B7EBE18C8CBD099E89695E2CB16A4A

Vendor ID: CISCO-CONCENTRATOR


Payload length: 20

Vendor ID: CISCO-CONCENTRATOR



(Main Mode)



Dst: Cisco_80:70:f5 (00:13:c4:80:70:f5)


Dst: 10.20.131.62 (10.20.131.62)





Next payload: Identification (5)

Version: 1.0


Flags: 0x01


Length: 68

Encrypted payload (40 bytes)



(Main Mode)





Dst: 10.20.129.80 (10.20.129.80)






VMware, Inc. 445

Next payload: Identification (5)

Version: 1.0


Flags: 0x01


Length: 84



9209 768.409799 10.20.129.80 10.20.131.62 ISAKMP Quick Mode



Dst: Cisco_80:70:f5 (00:13:c4:80:70:f5)


Dst: 10.20.131.62 (10.20.131.62)





Next payload: Hash (8)

Version: 1.0

Exchange type: Quick Mode (32)

Flags: 0x01

Message ID: 0x79a63fb1

Length: 292








Dst: 10.20.129.80 (10.20.129.80)






Version: 1.0


Flags: 0x01


Length: 292






Dst: Cisco_80:70:f5 (00:13:c4:80:70:f5)



VMware, Inc. 446

Dst: 10.20.131.62 (10.20.131.62)






Version: 1.0


Flags: 0x01


Length: 52



VMware, Inc. 447

Documents

docs.vmware.com€¦ · Contenido Guía de administración de NSX 8 1 Requisitos del sistema para NSX 9 2 Puertos y protocolos requeridos por NSX 11 3 Descripción general de NSX