guía de administración de nsx-t - vmware nsx-t data center 1 · y agentes que residen en tres...

Guía de administración de NSX-T

VMware NSX-T Data Center 1.1

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware:

https://docs.vmware.com/es/

Si tiene comentarios relacionados con esta documentación, envíelos a:

[email protected]

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Spain, S.L.Calle Rafael Boti 262.ª plantaMadrid 28023Tel.: +34 914125000www.vmware.com/es

Copyright © 2017 VMware, Inc. Todos los derechos reservados. Información sobre el copyright y la marca comercial.


VMware, Inc. 2

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Contenido

Acerca de administrar VMware NSX-T 7

1 Descripción general de NSX-T 8Plano de datos 10

Plano de control 10

Plano de administración 11

NSX Manager 11

NSX Controller 12

Conmutadores lógicos 13

Enrutadores lógicos 13

NSX Edge 14

Zonas de transporte 15

Conceptos clave 15

2 Crear conmutadores lógicos y configurar la asociación de máquinas virtuales 19Información sobre los modos de replicación del marco BUM 20

Crear un conmutador lógico 21

Puente de Capa 2 22

Crear un clúster de puente 24

Crear un conmutador lógico respaldado por puentes de Capa 2 25

Crear un conmutador lógico VLAN para el vínculo superior de NSX Edge 26

Conectar una VM a un conmutador lógico 28

Adjuntar una máquina virtual alojada en vCenter Server a un conmutador lógico NSX-T 28

Adjuntar una VM alojada en ESXi independiente a un conmutador lógico de NSX-T 30

Adjuntar una máquina virtual alojada en KMV a un conmutador lógico NSX-T 36

Probar la conectividad de Capa 2 37

3 Configurar perfiles de conmutación para conmutadores lógicos y puertos lógicos 41Información sobre el perfil de conmutación de QoS 42

Configurar un perfil de conmutación de calidad de servicio personalizado 43

Información sobre el perfil de conmutación de creación de reflejo del puerto 45

Configurar un perfil personalizado de conmutación de creación de reflejo del puerto 46

Comprobar el perfil personalizado de conmutación de creación de reflejo del puerto 47

Información sobre el perfil de conmutación de detección de direcciones IP 48

Configurar perfiles de conmutación de detección de IP 49

Información sobre SpoofGuard 50

Configurar asociaciones de direcciones de puertos 51

Configurar asociaciones de direcciones de conmutadores 51

VMware, Inc. 3

Configurar un perfil de conmutación de SpoofGuard 52

Información sobre el perfil de conmutación de seguridad del conmutador 53

Configurar un perfil de conmutación de seguridad del conmutador personalizado 53

Información sobre el perfil de conmutación de gestión de direcciones MAC 54

Asociar un perfil personalizado a un conmutador lógico 55

Asociar un perfil personalizado con un puerto de conmutador lógico 56

4 Configurar el enrutador lógico de nivel 1 58Crear un enrutador lógico de nivel 1 59

Agregar puertos de vínculo inferior para el enrutador lógico de nivel 1 60

Configurar anuncios de rutas en un enrutador lógico de nivel 1 61

Configurar una ruta estática de enrutador lógico de nivel 1 63

5 Configurar un enrutador lógico de nivel 0 66Crear un enrutador lógico de nivel 0 67

Adjuntar nivel 0 y nivel 1 68

Comprobar que un enrutador de nivel 0 aprendió las rutas de un enrutador de nivel 1 70

Conectar un enrutador lógico de nivel 0 a un conmutador lógico VLAN 71

Comprobar la conexión del enrutador lógico de nivel 0 y TOR 73

Configurar una ruta estática 75

Comprobar la ruta estática 77

Opciones de configuración de BGP 79

Configurar BGP en un enrutador lógico de nivel 0 81

Comprobar las conexiones BGP desde un enrutador de servicios de nivel 0 83

Configurar BFD en un enrutador lógico de nivel 0 84

Habilitar la redistribución de rutas en el enrutador lógico de nivel 0 85

Comprobar la conectividad en dirección norte y la redistribución de rutas 86

Información sobre el enrutamiento ECMP 88

Agregar un puerto de vínculo superior a un segundo nodo Edge 88

Agregar un segundo vecino BGP y habilitar el enrutamiento ECMP 90

Comprobar la conectividad del enrutamiento ECMP 91

Crear una lista de prefijos IP 93

Crear un mapa de rutas 94

6 Traducción de direcciones de red 96NAT de nivel 1 97

Configurar NAT de origen en un enrutador de nivel 1 97

Configurar NAT de destino en un enrutador de nivel 1 99

Anunciar rutas NAT de nivel 1 para un enrutador ascendente de nivel 0 101

Anunciar rutas NAT de nivel 1 para la arquitectura física 102

Comprobar la NAT de nivel 1 103


VMware, Inc. 4

NAT de nivel 0 103

NAT reflexiva 103

7 Secciones y reglas de firewall 107Agregar una sección de reglas de firewall 108

Eliminar una sección de reglas de firewall 109

Habilitar y deshabilitar reglas de sección 109

Habilitar y deshabilitar registros de sección 109

Acerca de las reglas de firewall 110

Agregar una regla de firewall 111

Eliminar una regla de firewall 115

Editar la regla de Distributed Firewall predeterminada 116

Cambiar el orden de una regla de firewall 117

Filtrar reglas de firewall 117

Excluir objetos de cumplimiento de reglas del firewall 118

8 Configurar grupos y servicios 120Crear un conjunto de direcciones IP 120

Crear un grupo de direcciones IP 121

Crear un conjunto de direcciones MAC 121

Crear un grupo NSGroup 122

Configurar servicios y grupos de servicios 123

Crear un servicio NSService 124

9 DHCP 126Crear un perfil de servidor DHCP 126

Crear un servidor DHCP 127

Adjuntar un servidor DHCP a un conmutador lógico 128

Desasociar un servidor DHCP de un conmutador lógico 128

Crear un perfil de retransmisión DHCP 128

Crear un servicio de retransmisión DHCP 129

Agregar un servicio DHCP a un puerto de enrutador lógico 129

10 Configurar servidores proxy de metadatos 130Agregar un servidor proxy de metadatos 130

Adjuntar un servidor proxy de metadatos a un conmutador lógico 132

Desconectar un servidor proxy de metadatos de un conmutador lógico 132

11 Operaciones y administración 134Agregar una clave de licencia 135

Administrar cuentas de usuarios 135


VMware, Inc. 5

Cambiar la contraseña de administrador 135

Bloqueo de cuentas 136

Configurar certificados 136

Crear un archivo de solicitud de firma del certificado 136

Importar un certificado de CA 138

Importar un certificado 138

Crear certificados de firma automática 139

Reemplazar un certificado 140

Importar una lista de revocación de certificados 140

Configurar dispositivos 142

Administrar etiquetas 142

Buscar objetos 143

Buscar la huella digital SSH de un servidor remoto 143

Restaurar y hacer copias de seguridad de NSX Manager 145

Realizar una copia de seguridad de la configuración de NSX Manager 146

Restaurar la configuración de NSX Manager 148

Administrar dispositivos y clústeres de dispositivos 157

Administrar NSX Manager 157

Administrar el clúster de NSX Controller 158

Administrar el clúster de NSX Edge 165

Mensajes del sistema de registro 170

Configurar registros remotos 171

Categorías de mensajes de registro 172

Configurar IPFIX 173

Rastrear la ruta de un paquete con Traceflow 175

Consultar información sobre la conexión de puertos 176

Supervisar la actividad de un puerto del conmutador lógico 177

Supervisar las sesiones de creación de reflejo del puerto 177

Supervisar nodos de tejido 180

Recopilar paquetes de soporte 180


VMware, Inc. 6

Acerca de administrar VMware NSX-T

La Guía de administración de NSX-T proporciona información sobre la configuración y la administración de redes para VMware NSX-T ®, incluida información sobre cómo crear puertos y conmutadores lógicos y sobre cómo configurar las redes para enrutadores lógicos con niveles. También describe cómo configurar firewalls NAT, SpoofGuard, agrupaciones y DHCP.

Público objetivoEsta información está dirigida a quien desee configurar NSX-T. La información está escrita para administradores de sistemas Windows o Linux con experiencia y que estén familiarizados con la tecnología de máquinas virtuales, las redes y las operaciones de seguridad.

Glosario de publicaciones técnicas de VMwarePublicaciones técnicas de VMware proporciona un glosario de términos que podrían resultarle desconocidos. Si desea ver las definiciones de los términos que se utilizan en la documentación técnica de VMware, acceda a la página http://www.vmware.com/support/pubs.

VMware, Inc. 7

http://www.vmware.com/support/pubs

Descripción general de NSX-T 1De manera muy similar al modo en que la virtualización del servidor, mediante programación, crea, elimina, restaura y crea instantáneas de máquinas virtuales basadas en software, la virtualización de redes de NSX-T, mediante programación, crea, elimina, restaura y crea instantáneas de redes virtuales basadas en software.

Con la virtualización de red, el equivalente funcional de un hipervisor de red reproduce en el software el conjunto completo de servicios de red de Capa 2 a Capa 7 (por ejemplo, conmutación, enrutamiento, control de acceso, protección de firewall, calidad de servicio [QoS]). Como consecuencia, estos servicios pueden ensamblarse mediante programación en cualquier combinación arbitraria para producir redes virtuales únicas y aisladas en cuestión de segundos.

NSX-T funciona implementando tres planos independientes pero integrados, que son los planos de administración, control y datos. Los tres planos se implementan como un conjunto de procesos, módulos y agentes que residen en tres tipos de nodos: nodos de administrador, de controladora y de transporte.

n Cada nodo aloja un agente del plano de administración.

n El nodo de NSX Manager aloja los servicios de API. Cada instalación de NSX-T admite un único nodo de NSX Manager, pero no admite ningún clúster de NSX Manager.

n Los nodos de NSX Controller alojan los demonios del clúster del plano de control central.

n Los nodos de NSX Manager y NSX Controller pueden alojarse conjuntamente en el mismo servidor físico.

n Los nodos de transporte alojan demonios del plano de control local y motores de reenvío.

VMware, Inc. 8

Plano de administración

Nodos de controladora Nodos de transporte

Nodos de administrador

Agente del MP Agente del MP

Demonios del LCP

Motor de reenvío

Agente del MP

Bus de plano de administración

Clúster del CCPPlano de control centralizado

Plano de control localizado

Plano de datos

Este capítulo incluye los siguientes temas:

n Plano de datos

n Plano de control

n Plano de administración

n NSX Manager

n NSX Controller

n Conmutadores lógicos

n Enrutadores lógicos

n NSX Edge

n Zonas de transporte

n Conceptos clave


VMware, Inc. 9

Plano de datosRealiza el envío sin estado o la transformación de paquetes basándose en tablas rellenadas por el plano de control, y transmite la información sobre la topología al plano de control. Asimismo, mantiene las estadísticas de nivel de paquete.

El plano de datos es el origen de verdad para la topología física y el estado, por ejemplo, ubicación de VIF, estado de túnel, etc. Si está tratando con paquetes que se mueven de un lugar a otro, se encuentra en el plano de datos. El plano de datos también mantiene el estado de y gestiona los errores entre varios vínculos/túneles. El rendimiento por paquete es primordial, con unos requisitos muy estrictos de latencia o vibración. El plano de datos no se contiene necesariamente en su totalidad en el kernel, en los controladores, en el espacio de usuario ni en procesos de espacio de usuario específicos. El plano de datos se restringe al reenvío totalmente sin estado basado en tablas/reglas rellenadas por el plano de control.

El plano de datos también podría tener componentes que mantengan cierta cantidad de estado para determinadas funciones, como la de terminación TCP. Esto es diferente desde el estado administrado por el plano de control, como asignaciones de túnel de IP MAC, porque el estado administrado por el plano de control consiste en cómo reenviar los paquetes, mientras que el estado administrado por el plano de datos se ve limitado a cómo manipular la carga.

Plano de controlCalcula todo el estado en tiempo de ejecución efímero basándose en la configuración del plano de administración, disemina información sobre topología notificada por los elementos del plano de datos e inserta configuración sin estado en motores de reenvío.

El plano de control se describe a veces como el sistema de señales de la red. Si está tratando con mensajes en proceso para mantener el plano de datos en presencia de una configuración de usuario estática, está en el plano de control (por ejemplo, responder a una vMotion de una máquina virtual (VM) es responsabilidad del plano de control, pero conectar la VM a la red lógica es responsabilidad del plano de administración). A menudo, el plano de control actúa como un reflector de información topológica desde los elementos del plano de datos entre sí, como, por ejemplo, asignaciones de MAC/túnel para VTEP. En otros casos, el plano de control actúa sobre los datos recibidos desde algunos elementos del plano de datos para (re)configurar algunos elementos del plano de datos, como usar localizadores VIF para calcular y establecer la malla de subconjunto de túneles adecuada.

El conjunto de objetos con los que trata el plano de control incluyen VIF, redes lógicas, puertos lógicos, enrutadores lógicos, direcciones IP, etc.

El plano de control se divide en dos partes en NSX-T, el plano de control central (CCP), que se ejecuta en los nodos de clúster de NSX Controller y el plano de control local (LCP), que se ejecuta en los nodos de transporte, adyacentes al plano de datos que controla. El plano de control central calcula algún estado en tiempo de ejecución efímero basado en la configuración del plano de administración y disemina la información notificada por los elementos del plano de datos mediante el plano de control local. El plano


VMware, Inc. 10

de control local supervisa el estado de los vínculos locales, calcula la mayoría del estado en tiempo de ejecución efímero basándose en actualizaciones del plano de datos y CCP inserta una configuración sin estado en los motores de reenvío. El LCP comparte el mismo destino que el elemento del plano de datos que lo aloja.

Plano de administraciónEl plano de administración proporciona un punto de entrada único de la API al sistema, mantiene la configuración de los usuarios, administra las solicitudes de los usuarios y realiza tareas operacionales en todos los nodos de administración, de control y de plano de datos del sistema.

Para NSX-T cualquier cosa que tenga que ver con solicitar, modificar y persistir la configuración de los usuarios es responsabilidad del plano de administración, mientras que la diseminación de dicha configuración hasta el subconjunto adecuado de elementos del plano de datos es responsabilidad del plano de control. Esto significa que algunos datos pertenecen a varios planos en función de la etapa en la que se encuentre su existencia. El plano de administración también se encarga de solicitar las estadísticas y los estados recientes al plano de control y a veces directamente al plano de datos.

El plano de administración es la única fuente de datos fidedigna para el sistema configurado (lógico), tal como lo gestiona el usuario mediante configuración. Los cambios se realizan utilizando una RESTful API o la IU de NSX-T.

En NSX también hay un agente de plano de administración (MPA) ejecutándose en todos los nodos de clúster y transporte. Algunos de los casos de uso son las configuraciones de arranque, como estados, estadísticas, paquetes y credenciales de dirección (o direcciones) de nodos de administración central. El MPA puede ejecutarse de manera relativamente independiente con respecto al plano de control y al plano de datos y se puede reiniciar independientemente de que su proceso se bloquee. No obstante, hay escenarios en los que tienen el mismo destino porque se ejecutan en el mismo host. Se puede acceder al MPA tanto de manera local como remota. El MPA se ejecuta en los nodos de transporte, en los nodos de control y en los nodos de administración para la administración de nodos. En los nodos de transporte también puede realizar tareas relacionadas con el plano de datos.

Entre las tareas que suceden en el plano de administración se incluyen:

n Persistencia de configuración (estado lógico deseado)

n Validación de entrada

n Administración de usuarios -- asignaciones de funciones

n Administración de directivas

n Seguimiento de tareas en segundo plano

NSX ManagerNSX Manager proporciona la interfaz de usuario gráfica (GUI) y las API REST para crear, configurar y supervisar los componentes de NSX-T, como controladoras, conmutadores lógicos y puertas de enlace de servicios Edge.


VMware, Inc. 11

NSX Manager es el plano de administración para el ecosistema de NSX-T. NSX Manager proporciona una vista de sistema agregada y es el componente de administración de red centralizada de NSX-T. Proporciona un método para supervisar y solucionar problemas de cargas de trabajo adjuntadas a redes virtuales creadas por NSX-T. Proporciona configuración y orquestación de:

n Componentes de redes lógicas: conmutación y enrutamiento lógicos

n Servicios Edge y de redes

n Servicios de seguridad y firewall distribuido: componentes integrados de NSX Manager o proveedores de terceros integrados pueden suministrar servicios perimetrales y de seguridad.

NSX Manager permite orquestar a la perfección tanto los servicios integrados como los externos. Todos los servicios de seguridad, tanto los integrados como los de terceros, se implementan y configuran mediante el plano de administración de NSX-T. El plano de administración proporciona una ventana única para ver la disponibilidad de los servicios. También facilita el encadenamiento de servicios basados en directivas, la compartición de contexto y la gestión de eventos entre servicios. Esto simplifica la auditoría de la postura de seguridad, optimizando la aplicación de los controles basados en identidad (como los perfiles de movilidad y AD).

NSX Manager también proporciona puntos de entrada a la API REST para automatizar el consumo. Esta arquitectura flexible permite la automatización de todos los aspectos de configuración y supervisión mediante cualquier plataforma de administración de la nube, plataforma de proveedor de seguridad o marco de trabajo de automatización.

El Agente del plano de administración (MPA) de NSX-T es un componente de NSX Manager que reside en cada uno de los nodos (hipervisor). El MPA está a cargo de persistir el estado deseado del sistema y comunicar mensajes sin control de flujo (NFC) como configuración, estadísticas, estado y datos en tiempo real entre los nodos de transporte y el plano de administración.

NSX ControllerNSX Controller es un sistema de administración de estado distribuido avanzado que controla las redes virtuales y los túneles de transporte superpuestos.

NSX Controller se implementa como un clúster de dispositivos virtuales de alta disponibilidad responsables de la implementación mediante programación de redes virtuales en toda la arquitectura de NSX-T. El Plano de control central (CCP) de NSX-T se separa lógicamente de todo el tráfico del plano de datos, lo que significa que cualquier error en el plano de control no afectará a las operaciones existentes del plano de datos. El tráfico no pasa por la controladora. En su lugar, la controladora es responsable de proporcionar la configuración a otros componentes de NSX Controller, como los conmutadores lógicos, los enrutadores lógicos y la configuración de servidores perimetrales. La estabilidad y la fiabilidad del transporte de datos son una cuestión primordial en las redes. Para mejorar aún más la alta disponibilidad y escalabilidad, NSX Controller se implementa en un clúster de tres instancias.


VMware, Inc. 12

Conmutadores lógicosLa capacidad de conmutación lógica de la plataforma NSX Edge permite girar redes de Capa 2 lógicas aisladas con la misma flexibilidad y agilidad que existe para máquinas virtuales.

Una implementación de nube para un centro de datos virtual tiene una variedad de aplicaciones en varios arrendatarios. Estas aplicaciones y arrendatarios requieren estar aislados entre sí por motivos de seguridad y de aislamiento de errores, y para evitar problemas de superposición de direccionamiento IP. Los endpoints, tanto virtuales como físicos, se pueden conectar a segmentos lógicos y establecer conectividad independientemente de su ubicación física en la red del centro de datos. Esto se permite el desacoplamiento de la infraestructura de red de la red lógica (esto es, la red subyacente desde la red superpuesta) proporcionado por la virtualización de red de NSX-T.

Un conmutador lógico proporciona una representación de la conectividad conmutada de la Capa 2 a lo largo de muchos hosts con la accesibilidad de IP de Capa 3 entre ellas. Si planea restringir algunas redes lógicas a un conjunto de hosts limitado o tiene requisitos de conectividad personalizados, puede que deba crear conmutadores lógicos adicionales.

Enrutadores lógicosLos enrutadores lógicos de NSX-T proporcionan conectividad de norte a sur, lo que permite a los arrendatarios acceder a redes públicas, y conectividad de este a oeste entre las distintas redes dentro de los mismos arrendatarios.

Un enrutador lógico es una partición configurada de un enrutador de hardware de red tradicional. Replica la funcionalidad del hardware, lo cual crea múltiples dominios de enrutamiento dentro de un único enrutador. Los enrutadores lógicos realizan un subconjunto de las tareas que puede gestionar el enrutador físico, y cada una de ellas puede contener múltiples instancias de enrutamiento y tablas de enrutamiento. El uso de enrutadores lógicos puede ser una forma eficaz de maximizar el uso del enrutador, porque un conjunto de enrutadores dentro de un único enrutador físico pueden realizar las operaciones que antiguamente realizaban varios equipos.

Con NSX-T es posible crear una topología de enrutador lógico de dos niveles: el enrutador lógico de nivel superior es el de nivel 0 y el de nivel inferior es el de nivel 1. Esta estructura concede tanto al administrador de proveedores como al administrador de arrendatarios un control completo sobre sus servicios y políticas. Los administradores controlan y configuran los servicios y el enrutamiento de nivel 0 y los administradores de arrendatarios controlan y configuran el nivel 1. El extremo norte del nivel 0 se conecta a la red física. Además, es en este extremo donde se pueden configurar los protocolos de enrutamiento dinámico para intercambiar información de enrutamiento con los enrutadores físicos. El extremo sur del nivel 0 se conecta a múltiples capas de enrutamiento de nivel 1 y recibe información de enrutamiento de ellos. Para optimizar el uso de los recursos, la capa de nivel 0 no inserta todas las rutas procedentes de la red física hacia el nivel 1, pero proporciona información predeterminada.

En dirección sur, la capa de enrutamiento de nivel 1 se conecta a los conmutadores lógicos definidos por los administradores de arrendatarios y proporciona una función de enrutamiento de un salto entre ellos. Para que se pueda acceder a las subredes adjuntas del nivel 1 desde la red física, debe estar habilitada la redistribución de rutas hacia la capa de nivel 0. Sin embargo, no hay un protocolo de enrutamiento


VMware, Inc. 13

clásico (como OSPF o BGP) ejecutándose entre la capa de nivel 1 y la de nivel 0, y todas las rutas pasan por el plano de control de NSX-T. Tenga en cuenta que la topología de enrutamiento de dos niveles no es obligatoria. Si no hay necesidad de separar a proveedores de arrendatarios, se puede crear una topología de un solo nivel y en este escenario los conmutadores lógicos se conectan directamente a la capa de nivel 0 y no hay capa de nivel 1.

Un enrutador lógico consiste en dos partes opcionales: un enrutador distribuido (DR) y uno o varios enrutadores de servicio (SR).

Un DR abarca los hipervisores cuyas VM están conectadas a este enrutador lógico, así como los nodos perimetrales a los que está asociado el enrutador lógico. En el aspecto funcional, el DR es responsable del enrutamiento distribuido de un salto entre conmutadores lógicos o enrutadores lógicos conectados a este enrutador lógico. El SR es responsable de suministrar los servicios que no estén implementados actualmente de forma distribuida, como NAT con estado.

Un enrutador lógico siempre tiene un DR, y varios SR si se cumple cualquiera de las siguientes condiciones:

n El enrutador lógico es un enrutador de nivel 0, aunque no se configuraron servicios con estado.

n El enrutador lógico es un enrutador de nivel 1 vinculado a un enrutador de nivel 0 y tiene servicios configurados que no tienen una implementación distribuida (como NAT, LB o DHCP).

El plano de administración (MP) de NSX-T es responsable de crear automáticamente la estructura que conecta el enrutador de servicios al enrutador distribuido. El MP crea un conmutador lógico de tránsito y lo asigna a una interfaz de red virtual (VNI) y, a continuación, crea un puerto en cada SR y DR, los conecta al conmutador lógico de tránsito y asigna direcciones IP al SR y DR.

NSX EdgeNSX Edge proporciona servicios de enrutamiento y conectividad a las redes externas a la implementación de NSX-T.

Con NSX Edge, las máquinas virtuales o cargas de trabajo que residen en el mismo host, en diferentes subredes, pueden comunicarse entre sí sin necesidad de atravesar una interfaz de enrutamiento tradicional.

NSX Edge es requerido para establecer conectividad externa desde el dominio de NSX-T, a través de un enrutador de nivel 0 mediante enrutamiento estático o BGP. Además, debe implementarse un NSX Edge si requiere servicios de traducción de direcciones de red (NAT) en los enrutadores lógicos de nivel 0 o de nivel 1.

La puerta de enlace de NSX Edge conecta redes aisladas de zona de rutas internas con redes compartidas (vínculo superior) proporcionando servicios de perta de enlace comunes, como enrutamiento dinámico y NAT. Entre las implementaciones comunes de NSX Edge se incluyen DMZ y los entornos de nube multiarrendatario, donde NSX Edge crea límites virtuales para cada arrendatario.


VMware, Inc. 14

Zonas de transporteUna zona de transporte controla con qué hosts puede comunicarse un conmutador lógico. Puede abarcar uno o más clústeres de host. Las zonas de transporte establecen qué hosts y, por lo tanto, qué máquinas virtuales pueden participar en el uso de una red determinada.

Una zona de transporte define una colección de hosts que se pueden comunicar entre sí a través de una infraestructura de red física. Esta comunicación tiene lugar a través de una o varias interfaces definidas como endpoints de túnel virtual (VTEP).

Si hay dos nodos de transporte en una misma zona de transporte, las VM alojadas en dichos nodos de transporte podrán "ver" y, por tanto, conectarse a conmutadores lógicos de NSX-T que también se encuentren en esa zona de transporte. Esta conexión permite a las VM comunicarse entre sí, siempre que las VM tengan disponibilidad de Capa 2/Capa 3. Si las VM están conectadas a conmutadores que estén en distintas zonas de transporte, las VM no se pueden comunicar entre sí. Las zonas de transporte no reemplazan los requisitos de disponibilidad de Capa 2/Capa 3, pero aplican un límite de disponibilidad. Dicho de otro modo, pertenecer a la misma zona de transporte es un requisito previo para poder establecer la conexión. Si se cumple dicho requisito previo, la disponibilidad es posible, pero no automática. Para que la disponibilidad sea real, las redes de Capa 2 y (para distintas subredes) Capa 3 deben estar operativas.

Un nodo puede servir como nodo de transporte si contiene al menos un conmutador de host. Cuando crea un nodo de transporte de host y a continuación agrega el nodo a una zona de transporte, NSX-T instala un conmutador de host en el host. Para cada zona de transporte a la que pertenezca el host, se instala un conmutador de host aparte. El conmutador de host se utiliza para conectar VM a conmutadores lógicos de NSX-T y para crear vínculos superiores e inferiores de enrutador lógico de NSX-T.

Conceptos claveLos conceptos comunes de NSX-T que se utilizan en la documentación y la interfaz de usuario.

Plano de control Calcula el estado de ejecución basándose en la configuración del plano de administración. El plano de control difunde la información sobre la topología notificada por los elementos del plano de datos e inserta una configuración sin estado en los motores de reenvío.

Plano de datos Realiza el reenvío sin estado o la transformación de paquetes basándose en tablas rellenadas por el plano de control. El plano de datos suministra información sobre la topología al plano de control y conserva las estadísticas relativas al nivel de los paquetes.

Red externa Una red física o VLAN no administrada por NSX-T. Puede vincular su red lógica o red superpuesta a una red externa mediante un NSX Edge. Por ejemplo, una red física en un centro de datos de cliente o una VLAN en un entorno físico.


VMware, Inc. 15

Nodo de tejido Nodo registrado con el plano de administración de NSX-T y que tiene instalados módulos de NSX-T. Para que un host de hipervisor o NSX Edge forme parte de la superposición de NSX-T, debe agregarse al tejido de NSX-T.

Perfil de tejido Representa una configuración específica que se puede asociar a un clúster de NSX Edge. Por ejemplo, el perfil de tejido puede contener las propiedades de tunelización para la detección de pares muertos.

Salida de puertos lógicos

El tráfico de red entrante que llega a la VM o red lógica se denomina tráfico de salida porque sale de la red del centro de datos y accede al espacio virtual.

Entrada de puertos lógicos

El tráfico de red saliente que va de la VM a la red del centro de datos se denomina tráfico de entrada porque es tráfico de acceso a la red física.

Enrutador lógico Entidad de enrutamiento de NSX-T.

Puerto de enrutador lógico

Puerto de red lógica al que puede adjuntar un puerto de conmutador lógico o un puerto de vínculo superior a una red física.

Conmutador lógico Entidad API que proporciona conmutación de Capa 2 virtual para interfaces de VM e interfaces de puerta de enlace. Un conmutador lógico da a los administradores de la red de arrendatarios el equivalente lógico de un conmutador de Capa 2 físico, lo que les permite conectar un conjunto de VM a un dominio de difusión común. Un conmutador lógico es una entidad lógica independiente de la infraestructura de hipervisor física y abarca a muchos hipervisores, conectando VM independientemente de su ubicación física. Esto permite a las VM migrar sin necesidad de que el administrador de la red de arrendatarios tenga que realizar la reconfiguración.

En una nube de múltiples arrendatarios, pueden existir muchos conmutadores lógicos lado a lado en el mismo hardware de hipervisor, con cada segmento de Capa 2 aislado del resto. Los conmutadores lógicos se pueden conectar mediante enrutadores lógicos y los enrutadores lógicos pueden proporcionar puertos de vínculos superiores conectados a la red física externa.

Puerto de conmutador lógico

Punto de conexión de conmutador lógico para establecer una conexión a una interfaz de red de máquina virtual o una interfaz de enrutador lógico. El puerto de conmutador lógico indica el perfil de conmutación aplicado, el estado del puerto y el estado del vínculo.

Plano de administración

Proporciona un punto de entrada único de la API al sistema, persiste la configuración de los usuarios, administra las solicitudes de los usuarios y realiza tareas operacionales en todos los nodos de administración, control y plano de datos del sistema. El plano de administración también es


VMware, Inc. 16

responsable de consultar, modificar y persistir la configuración de los usuarios.

Clúster de NSX Controller

Se implementa como un clúster de dispositivos virtuales de alta disponibilidad responsables de la implementación mediante programación de redes virtuales en toda la arquitectura de NSX-T.

Clúster de NSX Edge Colección de dispositivos de nodos de NSX Edge que tienen la misma configuración que los protocolos implicados en la supervisión de alta disponibilidad.

Nodo de NSX Edge Parte integrante del objetivo funcional es el proporcionar potencia de cálculo para suministrar las funciones de servicios IP y enrutamiento IP.

Conmutador de host de NSX-T o KVM Open vSwitch

Software que se ejecuta en el hipervisor y proporciona reenvío de tráfico físico. El conmutador de host u OVS es invisible para el administrador de la red de arrendatarios y proporciona el servicio de reenvío subyacente en el que se basa cada conmutador lógico. Para conseguir la virtualización de la red, un controlador de red debe configurar los conmutadores de host del hipervisor con tablas de flujo de red que forman los dominios de difusión lógica que definieron los administradores de arrendatarios cuando crearon y configuraron sus conmutadores lógicos.

Cada dominio de difusión lógica se implementa mediante la tunelización del tráfico de VM a VM y del tráfico de VM a enrutador lógico utilizando el mecanismo de encapsulación de túneles Geneve. El controlador de red tiene la visión global del centro de datos y garantiza que las tablas de flujo del conmutador de host del hipervisor se actualicen cuando se creen, muevan o eliminen máquinas virtuales (VM).

NSX Manager Nodo que aloja los servicios API, el plano de administración y los servicios de agente.

Open vSwitch (OVS) Conmutador de software de código abierto que actúa como un conmutador de host del hipervisor dentro de XenServer, Xen, KVM y otros hipervisores basados en Linux. Los componentes de conmutación de NSX Edge se basan en OVS.

Red lógica superpuesta Red lógica implementada mediante el uso de tunelización de Capa2 en Capa 3 de tal modo que la topología vista por las VM se desacopla de la de la red física.

Interfaz física (pNIC) Interfaz de red en un servidor físico en el que se instaló un hipervisor.

Enrutador lógico de nivel 0

El enrutador lógico proveedor también se conoce como enrutador lógico de nivel 0 y se conecta a la red física. El enrutador lógico de nivel 0 es un enrutador de nivel superior y se puede realizar como clúster activo-activo o activo-en espera del enrutador de servicios. El enrutador lógico ejecuta


VMware, Inc. 17

BGP y pares con enrutadores físicos. En el modo activo-en espera, el enrutador lógico también puede proporcionar servicios con estado.

Enrutador lógico de nivel 1

El enrutador lógico de nivel 1 es el enrutador de segundo nivel que se conecta a un enrutador lógico de nivel 0 para la conectividad en dirección norte y a una o varias redes superpuestas para la conectividad en dirección sur. El enrutador lógico de nivel 1 puede ser un clúster activo-en espera del enrutador de servicios que proporciona servicios con estado.

Zona de transporte Colección de nodos de transporte que define el alcance máximo de conmutadores lógicos. Una zona de transporte representa un conjunto de hipervisores suministrados de manera similar y los conmutadores lógicos que conectan VM en dichos hipervisores. NSX-T puede implementar los paquetes de software de soporte necesarios para los hosts porque sabe qué funciones están habilitadas en los conmutadores lógicos.

Interfaz de VM (vNIC) Interfaz de red en una máquina virtual que proporciona conectividad entre el sistema operativo del invitado virtual y el vSwitch estándar o el conmutador distribuido vSphere. La vNIC se puede adjuntar a un puerto lógico. Puede identificar una vNIC basándose en su ID exclusivo (UUID).

VTEP Endpoint de túnel virtual. Los endpoints de túnel permiten a los hosts del hipervisor participar en una superposición de NSX-T. La superposición de NSX-T implementa una red de Capa 2 sobre un tejido de redes de Capa 3 existente encapsulando tramas dentro de paquetes y transfiriendo los paquetes a través de una red de transporte subyacente. La red de transporte subyacente puede ser otra red de Capa 2 o puede cruzar los límites de la Capa 3. El VTEP es el punto de conexión en el que se produce la encapsulación y la desencapsulación.


VMware, Inc. 18

Crear conmutadores lógicos y configurar la asociación de máquinas virtuales 2Un conmutador lógico de NSX-T reproduce la funcionalidad de conmutación y el tráfico de multidifusión (BUM), unidifusión desconocida y difusión en un entorno virtual completamente independiente del hardware subyacente.

Los conmutadores lógicos son similares a las VLAN en cuanto a que proporcionan conexiones de red a las que se pueden conectar máquinas virtuales. De este modo, las máquinas virtuales pueden comunicarse entre ellas mediante túneles entre hipervisores si están conectadas al mismo conmutador lógico. Cada conmutador lógico tiene un identificador de red virtual (VNI), como un ID de VLAN. A diferencia de VLAN, los VNI se escalan bien más allá de los límites de los ID de VLAN.

Al agregar conmutadores lógicos, es importante que planifique la topología que crea.

Figura 2-1. Topología del conmutador lógico

VM VM

172.16.20.10

Máquina virtual de

aplicaciones 1

Máquina virtual de

aplicaciones 2

Conmutador lógico de aplicaciones

172.16.20.11

Por ejemplo, la topología muestra un único conmutador lógico conectado a dos máquinas virtuales. Las dos máquinas virtuales pueden estar en hosts diferentes o en el mismo host, en clústeres de hosts diferentes o en el mismo clúster de hosts. Como las máquinas virtuales del ejemplo están en la misma red virtual, las direcciones IP subyacentes configuradas en las máquinas virtuales deben estar en la misma subred.


VMware, Inc. 19

n Información sobre los modos de replicación del marco BUM

n Crear un conmutador lógico

n Puente de Capa 2

n Crear un conmutador lógico VLAN para el vínculo superior de NSX Edge

n Conectar una VM a un conmutador lógico

n Probar la conectividad de Capa 2

Información sobre los modos de replicación del marco BUMCada nodo de transporte del host es un endpoint de túnel. Cada endpoint de túnel tiene una dirección IP. Estas direcciones IP pueden encontrarse en la misma subred o en diferentes subredes en función de la configuración de los grupos de direcciones IP o de DHCP para los nodos de transporte.

Cuando dos máquinas virtuales de hosts diferentes se comunican directamente, el tráfico encapsulado de unidifusión se intercambia entre las dos direcciones IP del endpoint de túnel asociadas a los dos hipervisores sin utilizar la inundación.

Sin embargo, al igual que con cualquier red de Capa 2, a veces el tráfico que origina una máquina virtual necesita inundarse, lo que significa que necesita enviarse al resto de las máquinas virtuales que pertenecen al mismo conmutador lógico. Esto sucede con el tráfico de multidifusión, de unidifusión desconocida y de difusión de Capa 2 (tráfico BUM). Recuerde que un único conmutador lógico de NSX-T puede abarcar varios hipervisores. El tráfico BUM que origina una máquina virtual de un determinado hipervisor necesita replicarse en los hipervisores remotos que alojan otras máquinas virtuales que están conectadas al mismo conmutador lógico. Para habilitar esta inundación, NSX-T admite dos modos de replicación diferentes:

• Segundo nivel jerárquico (en ocasiones denominado MTEP)

• Encabezado (en ocasiones denominado origen)

El modo de replicación del segundo nivel jerárquico queda ilustrado en el siguiente ejemplo. Imaginemos que tiene un host A, que cuenta con dos máquinas virtuales conectadas a los identificadores de red virtual (virtual network identifier, VNI) 5.000, 5.001 y 5.002. Imagine que los VNI son similares a las VLAN, pero cada conmutador lógico tiene un único VNI asociado a él. Por esta razón, los términos VNI y el conmutador lógico se suelen utilizar indistintamente. Cuando decimos que un host se encuentra en un VNI, queremos decir que tiene máquinas virtuales que están conectadas a un conmutador lógico con ese VNI.

Una tabla de endpoints de túnel muestra las conexiones entre el VNI y el host. El host A examina la tabla de endpoints de túnel del VNI 5.000 y determina las direcciones IP de endpoints de túneles de los otros hosts del VNI 5.000.

Algunas de estas conexiones de VNI se encontrarán en la misma subred IP, también denominado segmento de IP, como el endpoint de túnel del host A. Para cada una de ellas, el host A creará una copia independiente de cada marco BUM y enviará la copia directamente a cada host.


VMware, Inc. 20

Otros endpoints de túneles de los hosts se encuentran en diferentes subredes o segmentos de IP. Para cada segmento en el que haya varios endpoints de túneles, el host A propone uno de estos endpoints para que sea el replicador.

El replicador recibe del host A una copia de cada marco BUM del VNI 5.000. Esta copia se marca como Replicar localmente en el encabezado de encapsulación. El host A no envía copias a otros hosts del mismo segmento de IP como el replicador. El replicador deberá crear una copia del marco BUM para cada host que sabe que está en el VNI 5.000 y en el mismo segmento de IP como ese host del replicador.

El proceso se replica para el VNI 5.001 y 5.002. Es posible que la lista de endpoints de túneles y los replicadores resultantes sean distintos para otros VNI.

Con la replicación de encabezado (también conocida como replicación de cabecera), no hay ningún replicador. El host A simplemente crea una copia de cada marco BUM para cada endpoint de túnel que sabe que está en el VNI 5.000 y lo envía.

Si todos los endpoints de túneles del host están en la misma subred, la opción del modo de replicación no será distinta porque el comportamiento no será diferente. Si los endpoints de túneles del host están en diferentes subredes, la replicación del segundo nivel jerárquico ayudará a distribuir la carga entre varios hosts. El segundo nivel jerárquico es el modo predeterminado.

Crear un conmutador lógicoLos conmutadores lógicos se asocian a una o varias máquinas virtuales en la red. Las máquinas virtuales conectadas a un conmutador lógico pueden comunicarse entre sí con los túneles entre los hipervisores.

Requisitos previos

n Compruebe que esté configurada una zona de transporte. Consulte la Guía de instalación de NSX-T.

n Compruebe que los nodos de tejido estén conectados correctamente al agente de plano de gestión (MPA) de NSX-T y al plano de control local (LCP) de NSX-T.

En la llamada de API GET https://<nsx-mgr>/api/v1/transport-nodes/<transport-node-id>/state, el valor de state debe ser success. Consulte la Guía de instalación de NSX-T.

n Compruebe que los nodos de transporte se agregaron a la zona de transporte. Consulte la Guía de instalación de NSX-T.

n Compruebe que los hipervisores se agregaron al tejido de NSX-T y que las máquinas virtuales estén alojadas en dichos hipervisores.

n Familiarícese con los conceptos de replicación del marco BUM y la topología del conmutador lógico. Consulte Capítulo 2 Crear conmutadores lógicos y configurar la asociación de máquinas virtuales y Información sobre los modos de replicación del marco BUM.

n Compruebe que el clúster de NSX Controller sea estable.


VMware, Inc. 21

Procedimiento

1 Desde su explorador, inicie sesión en un NSX Manager en https://nsx-manager-ip-address.

2 Seleccione Conmutación (Switching) > Conmutadores (Switches).

3 Haga clic en Agregar (Add).

4 Asigne un nombre al conmutador lógico.

5 Seleccione una zona de transporte para el conmutador lógico.

Las máquinas virtuales asociadas a los conmutadores lógicos que se encuentren en la misma zona de transporte pueden comunicarse entre sí.

6 Seleccione un modo de replicación para el conmutador lógico.

El modo de replicación (de encabezado o segundo nivel jerárquico) es necesario para los conmutadores lógicos de superposición, pero no para los conmutadores lógicos basados en VLAN.

Modo de replicación Descripción

Segundo nivel jerárquico El replicador es un host que realiza una replicación del tráfico BUM a otros hosts con el mismo VNI.

Cada host propone un endpoint de túnel de host en cada VNI para que sea el replicador. Este proceso se realiza para cada VNI.

Encabezado Los hosts crean una copia de cada marco BUM y la envían a cada endpoint de túnel que conoce de cada VNI.

7 (opcional) Haga clic en la pestaña Perfiles de conmutación (Switching Profiles) y seleccione

perfiles de conmutación.

8 Haga clic en Guardar (Save).

En la interfaz de usuario de NSX Manager, el conmutador lógico nuevo es un vínculo en el que se puede hacer clic.

Pasos siguientes

Asocie máquinas virtuales al conmutador lógico. Consulte Conectar una VM a un conmutador lógico.

Puente de Capa 2Cuando un conmutador lógico de NSX-T requiere una conexión de Capa 2 a un grupo de puertos respaldados por VLAN o necesita llegar a otro dispositivo, como una puerta de enlace situada fuera de una implementación de NSX-T, puede utilizar un puente de Capa 2 de NSX-T. Esto es especialmente útil en un escenario de migraciones, en el que necesita dividir una subred en las cargas de trabajo virtuales y físicas.


VMware, Inc. 22

Los conceptos de NSX-T que forman parte del puente de Capa 2 son clústeres de puente, endpoints de puente y nodos de puente. Un clúster de puente es un conjunto de alta disponibilidad (HA) de nodos de puente. Un nodo de puente es un nodo de transporte que realiza un puente. Cada conmutador lógico que se utiliza para realizar un puente entre la implementación física y una virtual tiene un ID de VLAN asociado. Un endpoint de puente identifica los atributos físicos del puente, como el ID de clúster de puente y el ID de VLAN asociado.

En la versión de NSX-T, el puente de Capa 2 es proporcionado por hosts ESXi que sirven de nodos de puente. Un nodo de puente es un nodo de transporte de hosts ESXi que se agregó al clúster de puente.

En el siguiente ejemplo, dos nodos de transporte de NSX-T forman parte de la misma zona de transporte de superposición. Esto permite que sus conmutadores de host de NSX-T (en ocasiones denominados vSwitches de NSX-T, tal y como se muestra en la figura) se asocien al mismo conmutador lógico respaldado por puentes.

Figura 2-2. Topología de puente

VM VM

Nodo de puente de NSX Nodo de transporte de NSX Otro nodo

máquina virtualde aplicaciones

172.16.30.10

máquina virtual de bases de datos

172.16.30.11

Conmutador lógico respaldado por puentes (VLAN 150) Grupo de puertos de la máquina virtual (VLAN 150)

conmutador host de NSX conmutador host de NSX vSwitch/VDS estándar

vmnic1 vmnic1 vmnic1

El nodo de transporte de la izquierda pertenece a un clúster de puente y, por tanto, es un nodo de puente.

Como el conmutador lógico está asociado a un clúster de puente, este se denomina conmutador lógico respaldado por puentes. Para que un conmutador lógico pueda estar respaldado por puentes, debe encontrarse en una zona de transporte de superposición y no en una zona de transporte VLAN.

El nodo de transporte del centro no forma parte del clúster de puente. No es un nodo de transporte normal. Puede ser un host ESXi o KVM. En el diagrama, una máquina virtual de este nodo denominada "máquina virtual de aplicaciones" está asociada al conmutador lógico respaldado por puentes.


VMware, Inc. 23

El nodo de la derecha no forma parte de la superposición de NSX-T. Puede ser cualquier hipervisor con una máquina virtual (tal y como se muestra en el diagrama) o un nodo de red física. Si el nodo que no es de NSX-T es un host ESXi, puede utilizar un vSwitch estándar o un conmutador distribuido vSphere para la asociación de puertos. Un requisito es que el ID de VLAN asociado a la asociación de puertos debe coincidir con el ID de VLAN del conmutador lógico respaldado por puentes. Además, la comunicación se produce mediante la Capa 2, por lo que los dos dispositivos finales deben tener direcciones IP en la misma subred.

Tal y como se indicó anteriormente, la finalidad de realizar el puente es permitir la comunicación de Capa 2 entre las dos máquinas virtuales. Cuando el tráfico se transmite entre las dos máquinas virtuales, el tráfico atraviesa el nodo de puente.

Crear un clúster de puenteUn clúster de puente es un conjunto de nodos de transporte que realizan un puente y participan en alta disponibilidad (HA). Solo hay un nodo de transporte activo a la vez. Tener un clúster de varios nodos de los nodos de puente de NSX-T garantiza que al menos un nodo de puente de NSX-T siempre esté disponible. Para crear un conmutador lógico respaldado por puentes, debe asociarlo a un clúster de puente. Por lo tanto, si solo tiene un nodo de puente, debe pertenecer a un clúster de puente para ser útil.

Después de crear el clúster de puente, puede editarlo para añadir otros nodos de puente.

Requisitos previos

n Cree al menos un nodo de transporte de NSX-T para utilizarlo como nodo de puente.

n El nodo de transporte utilizado como nodo de puente debe ser un host ESXi. KVM no es compatible con los nodos de puente.

n Le recomendamos que los nodos de puente no tengan ninguna máquina virtual alojada.

n Un nodo de transporte se puede agregar a un único clúster de puente. No puede agregar el mismo nodo de transporte a varios clústeres de puente.

Procedimiento

1 En la interfaz de usuario de NSX Manager, acceda a Tejido (Fabric) > Configuración (Configuration) > Puentes (Bridges).

2 Asigne un nombre al clúster de puente.

3 Seleccione una zona de transporte para el clúster de puente.

El tipo de la zona de transporte debe ser de superposición, no VLAN.

4 En la columna Disponibles (Available), seleccione los nodos de transporte y haga clic en la flecha derecha para moverlos a la columna Seleccionados (Selected).

Pasos siguientes

Ahora puede asociar un conmutador lógico al clúster de puente.


VMware, Inc. 24

Crear un conmutador lógico respaldado por puentes de Capa 2Cuando tenga máquinas virtuales conectadas a la superposición de NSX-T, puede configurarlas para que tengan conectividad de Capa 2 con otros dispositivos u otras máquinas virtuales que estén fuera de la implementación de NSX-T. En este caso, puede utilizar un conmutador lógico respaldado por puentes.

Para ver una topología de ejemplo, consulte Figura 2-2. Topología de puente.

Requisitos previos

n Al menos un host ESXi como nodo de puente. Un nodo de puente es un nodo de transporte ESXi que solo realiza un puente. Este nodo de transporte se debe agregar a un clúster de puente. Consulte Crear un clúster de puente.

n Al menos un host ESXi o KVM como nodo de transporte regular. Este nodo tiene máquinas virtuales alojadas que necesitan conectarse con dispositivos fuera de una implementación de NSX-T.

n Una máquina virtual u otro dispositivo final fuera de la implementación de NSX-T. Este dispositivo final se debe asociar a un puerto VLAN que coincida con el ID de VLAN del conmutador lógico respaldado por puentes.

n Un conmutador lógico en una zona de transporte de superposición como el conmutador lógico respaldado por puentes.

Procedimiento

1 Desde un explorador, inicie sesión en un NSX Manager en https://<nsx-mgr>.


3 En la lista de conmutadores, seleccione un conmutador de superposición (tipo de tráfico: de superposición).

4 En la página de configuración del conmutador, seleccione Relacionado (Related) > Clústeres de puente (Bridge Clusters).

5 Haga clic en ASOCIAR (ATTACH), seleccione un clúster de puente e introduzca un ID de VLAN.

Por ejemplo:


VMware, Inc. 25

6 Conecte las máquinas virtuales al conmutador lógico (si aún no están conectadas).

Las máquinas virtuales deben encontrarse en nodos de transporte de la misma zona de transporte que el clúster de puente.

Resultados

Puede probar la funcionalidad del puente. Para ello, envíe un ping desde la máquina virtual interna de NSX-Ta un nodo externo a NSX-T. Por ejemplo, en Figura 2-2. Topología de puente, la máquina virtual de aplicaciones del nodo de transporte de NSX-T debe poder hacer ping a la máquina virtual de bases de datos del nodo externo y viceversa.

Puede acceder a Conmutación (Switching) > Conmutadores (Switches) > Supervisar (Monitor) para supervisar el tráfico del conmutador de puente.

Puede consultar el tráfico del puente con la llamada de API GET https://192.168.110.31/api/v1/bridge-endpoints/<endpoint-id>/statistics:

{

"tx_packets": {

"total": 134416,

"dropped": 0,

"multicast_broadcast": 0

},

"rx_bytes": {

"total": 22164,


},

"tx_bytes": {

"total": 8610134,


},

"rx_packets": {

"total": 230,

"dropped": 0,


},

"last_update_timestamp": 1454979822860,

"endpoint_id": "ba5ba59d-22f1-4a02-b6a0-18ef0e37ef31"

}

Crear un conmutador lógico VLAN para el vínculo superior de NSX EdgeLos vínculos de carga de Edge pasan por los conmutadores lógicos VLAN.


VMware, Inc. 26

Al crear un conmutador lógico VLAN, es importante elegir una topología en particular para el diseño. Por ejemplo, la siguiente topología sencilla muestra un único conmutador lógico VLAN dentro de una zona de transporte VLAN. El conmutador lógico VLAN tiene el ID de VLAN 100. Esto coincide con el ID de VLAN del puerto TOR conectado al puerto de host de hipervisor que se utiliza para el vínculo superior VLAN de Edge.

Nivel 0

Nodode transportede NSX Edge

Conmutador ToR

VLAN 100

conmutadorlógico deVLAN 100

zona de transporteVLAN

vmnic1 (vínculo superiorVLAN de Edge)

Requisitos previos

n Para crear un conmutador lógico VLAN, primero debe crear una zona de transporte VLAN.

n Se debe agregar un vSwitch de NSX-T a NSX Edge. Para confirmar un Edge, ejecute el comando get host-switch. Por ejemplo:

nsx-edge1> get host-switch

Host Switch : c0a78378-1c20-432a-9e23-ddb34f1c80c9

Switch Name : hs1

Transport Zone : c46dcd72-808a-423d-b4cc-8752c33f6b2c

Transport Zone : 73def985-d122-4b7b-ab6a-a58176dfc32d

Physical Port : fp-eth0

Uplink Name : uplink-1

Transport VLAN : 4096

Default Gateway : 192.168.150.1

Subnet Mask : 255.255.255.0

Local VTEP Device : fp-eth0

Local VTEP IP : 192.168.150.102


n Compruebe que los nodos de tejido estén conectados correctamente al agente de plano de gestión (MPA) de NSX-T y al plano de control local (LCP) de NSX-T.


VMware, Inc. 27

En la llamada de API GET https://<nsx-mgr>/api/v1/transport-nodes/<transport-node-id>/state, el valor de state debe ser success. Consulte la Guía de instalación de NSX-T.

Procedimiento

1 Desde un explorador, inicie sesión en un NSX Manager en https://<nsx-mgr>.



4 Escriba un nombre para el conmutador lógico.

5 Seleccione una zona de transporte para el conmutador lógico.

Al seleccionar una zona de transporte VLAN, aparecerá el campo de ID de VLAN.

6 Escriba un ID de VLAN.

Introduzca el valor 0 en el campo de VLAN si no hay ningún ID de VLAN para el vínculo superior al TOR físico.

7 (opcional) Haga clic en la pestaña Perfiles de conmutación (Switching Profiles) y seleccione perfiles de conmutación.

Pasos siguientes

Agregue un enrutador lógico.

Conectar una VM a un conmutador lógicoDependiendo de su host, la configuración para conectar una VM a un conmutador lógico puede variar.

Los hosts compatibles que se pueden conectar a un conmutador lógico son: un host ESXi que se administra en vCenter Server, un host ESXi independiente y un host de KVM.

Adjuntar una máquina virtual alojada en vCenter Server a un conmutador lógico NSX-TSi posee un host ESXi administrado en vCenter Server, puede acceder al host de las máquinas virtuales mediante el servicio vSphere Web Client basado en web. En este caso, puede utilizar este procedimiento para adjuntar VM a conmutadores lógicos de NSX-T.

El ejemplo mostrado en este procedimiento indica cómo adjuntar una VM denominada app-vm a un conmutador lógico denominado app-switch.


VMware, Inc. 28

VM VM

172.16.20.10

Máquina virtual de

aplicaciones 1

Máquina virtual de

aplicaciones 2


172.16.20.11

La aplicación vSphere Client basada en la instalación no es compatible con la conexión de una máquina virtual a un conmutador lógico NSX-T. Si no posee vSphere Web Client (basado en web), consulte Adjuntar una VM alojada en ESXi independiente a un conmutador lógico de NSX-T.

Requisitos previos

n Las máquinas virtuales deben alojarse en hipervisores añadidos al tejido NSX-T.

n Los nodos del tejido deben tener conectividad del plano de administración (MPA) de NSX-T y del plano de control (LCP) de NSX-T.

n Los nodos de tejido deben agregarse a una zona de transporte.

n Se debe crear un conmutador lógico.

Procedimiento

1 En vSphere Web Client, edite la configuración de la máquina virtual y adjúntela al conmutador lógico NSX-T.

Por ejemplo:


VMware, Inc. 29

2 Haga clic en Aceptar.

Resultados

Tras adjuntar la máquina virtual al conmutador lógico, los puertos de conmutador lógicos se agregan al conmutador lógico. Puede ver los puertos de conmutador lógico en NSX Manager en Conmutación > Puertos.

En el API NSX-T, puede ver las máquinas virtuales adjuntas a NSX-T con la llamada API GET https://<nsx-mgr>/api/v1/fabric/virtual-machines.

En la interfaz de usuario de NSX-T Manager, en Conmutación > Puertos, el ID adjunto de la interfaz de red virtual (virtual network interface, VIF) coincide con el ID externo encontrado en la llamada API. Busque el ID adjunto del VIF que coincida con el ID externo y asegúrese de que el estado de administrador y operativo aparezcan como activo/activo.

Si hay dos VM conectadas al mismo conmutador lógico y tienen direcciones IP configuradas en la misma subred, deberían ser capaces de hacerse ping entre sí.

Pasos siguientes


Puede supervisar la actividad en el puerto del conmutador lógico para solucionar problemas. Consulte Supervisar la actividad de un puerto del conmutador lógico.

Adjuntar una VM alojada en ESXi independiente a un conmutador lógico de NSX-TSi tiene un host ESXi independiente, no puede acceder a las VM del host mediante el vSphere Web Client basado en la web. En este caso, puede utilizar este procedimiento para adjuntar VM a conmutadores lógicos de NSX-T.


VMware, Inc. 30


VM

conmutadorde aplicaciones

Máquina virtualde aplicaciones

ID externo de la máquina virtual:50066bae-0f8a-386b-e62e-b0b9c6013a51

ID de la red opaca del conmutador:22b22448-38bc-419b-bea8-b51126bec7ad

Requisitos previos

n La VM debe alojarse en hipervisores que se agregaran al tejido de NSX-T.




n Debe tener acceso a la API de NSX Manager.

n Debe tener acceso de escritura al archivo VMX de la VM.


VMware, Inc. 31

Procedimiento

1 Mediante el uso de la aplicación (basada en instalación ) vSphere Client o alguna otra herramienta de administración de VM, edite la VM y agregue un adaptador Ethernet VMXNET 3.

Seleccione cualquier red con nombre. En un paso posterior cambiará la conexión de red.

2 Utilice la API NSX-T para emitir la llamada API GET https://<nsx-mgr>/api/v1/fabric/virtual-machines/<VM-ID>.

En los resultados, localice el externalId de la VM.

Por ejemplo:

GET https://<nsx-mgr>/api/v1/fabric/virtual-machines/60a5a5d5-ea2b-407e-a806-4fdc8468f735

{

"resource_type": "VirtualMachine",

"id": "60a5a5d5-ea2b-407e-a806-4fdc8468f735",

"display_name": "app-vm",

"compute_ids": [

"instanceUuid:50066bae-0f8a-386b-e62e-b0b9c6013a51",

"moIdOnHost:5",

"externalId:50066bae-0f8a-386b-e62e-b0b9c6013a51",

"hostLocalId:5",

"locationId:564dc020-1565-e3f4-f591-ee3953eef3ff",

"biosUuid:4206f47d-fef7-08c5-5bf7-ea26a4c6b18d"

],

"external_id": "50066bae-0f8a-386b-e62e-b0b9c6013a51",

"type": "REGULAR",

"host_id": "cb82b0fa-a8f1-11e5-92a9-6b7d1f8661fa",


VMware, Inc. 32

"local_id_on_host": "5"

}

3 Apague y elimine del registro la VM del host.

Puede utilizar su herramienta de administración de VM o la CLI de ESXi, tal como se muestra aquí.

[user@host:~] vim-cmd /vmsvc/getallvms

Vmid Name File Guest OS Version Annotation

5 app-vm [ds2] app-vm/app-vm.vmx ubuntuGuest vmx-08

8 web-vm [ds2] web-vm/web-vm.vmx ubuntu64Guest vmx-08

[user@host:~] vim-cmd /vmsvc/power.off 5

Powering off VM:

[user@host:~] vim-cmd /vmsvc/unregister 5

4 Desde la IU de NSX Manager, obtenga el ID del conmutador lógico.

Por ejemplo:

5 Modifique el archivo VMX de la VM.

Elimine el campo ethernet1.networkName = "<name>" y agregue los siguientes campos:

n ethernet1.opaqueNetwork.id = "<logical switch's ID>"

n ethernet1.opaqueNetwork.type = "nsx.LogicalSwitch"


VMware, Inc. 33

n ethernet1.externalId = "<VM's externalId>"

n ethernet1.connected = "TRUE"

n ethernet1.startConnected = "TRUE"

Por ejemplo:

ANTIGUO

ethernet1.pciSlotNumber = "224"

ethernet1.virtualDev = "vmxnet3"

ethernet1.networkName = "VM Network"

ethernet1.addressType = "vpx"

ethernet1.generatedAddress = "00:50:56:86:7b:d7"

ethernet1.uptCompatibility = "true"

ethernet1.present = "TRUE"

NUEVO

ethernet1.pciSlotNumber = "224"

ethernet1.virtualDev = "vmxnet3"

ethernet1.addressType = "vpx"

ethernet1.generatedAddress = "00:50:56:86:7b:d7"

ethernet1.uptCompatibility = "true"

ethernet1.present = "TRUE"

ethernet1.opaqueNetwork.id = "22b22448-38bc-419b-bea8-b51126bec7ad"

ethernet1.opaqueNetwork.type = "nsx.LogicalSwitch"

ethernet1.externalId = "50066bae-0f8a-386b-e62e-b0b9c6013a51"

ethernet1.connected = "TRUE"

ethernet1.startConnected = "TRUE"


VMware, Inc. 34

6 En la IU de NSX Manager, agregue un puerto de conmutador lógico y utilice el externalId de la VM para la conexión de VIF.

Por ejemplo:

7 Vuelva a registrar la VM y encienda el sistema.

Puede utilizar su herramienta de administración de VM o la CLI de ESXi, tal como se muestra aquí.

[user@host:~] vim-cmd /solo/register /path/to/file.vmx

For example:

[user@host:~] vim-cmd solo/registervm /vmfs/volumes/355f2049-6c704347/app-vm/app-vm.vmx

9

[user@host:~] vim-cmd /vmsvc/power.on 9

Powering on VM:

Resultados

En la IU de NSX Manager, bajo Conmutación (Switching) > Puertos (Ports) , localice el ID de conexión de VIF que coincide con el externalId de la VM y asegúrese de que el estado Admin. (Admin) y Operacional (Operational) esté en Activo (Up)/Activo (Up).



VMware, Inc. 35

Pasos siguientes



Adjuntar una máquina virtual alojada en KMV a un conmutador lógico NSX-TSi posee un host KVM, puede utilizar este procedimiento para adjuntar máquinas virtuales a conmutadores lógicos NSX-T.


VM VM

172.16.20.10

Máquina virtual de

aplicaciones 1

Máquina virtual de

aplicaciones 2


172.16.20.11

Requisitos previos

n La VM debe alojarse en hipervisores que se agregaran al tejido de NSX-T.




Procedimiento

1 Del CLI KMV, ejecute el comando virsh dumpxml <your vm> | grep interfaceid.


VMware, Inc. 36

2 En la interfaz de usuario de NSX Manager, agregue un puerto de conmutador lógico y utilice el ID de interfaz de las máquinas virtuales para el VIF adjunto.

Por ejemplo:

Resultados

En la interfaz de usuario de NSX Manager, en Conmutación > Puertos (Switching > Ports), busque el ID adjunto de VIF y asegúrese de que el estado de administrador y operativo aparezcan como activo/activo.


Pasos siguientes



Probar la conectividad de Capa 2Después de configurar correctamente el conmutador lógico y asociar las máquinas virtuales a dicho conmutador, puede probar la conectividad de red de las máquinas virtuales asociadas.

Si el entorno de red está configurado correctamente, la máquina virtual de aplicaciones 2 puede hacer ping a la máquina virtual de aplicaciones 1 según la topología.


VMware, Inc. 37

Figura 2-3. Topología del conmutador lógico

VM VM

172.16.20.10

Máquina virtual de

aplicaciones 1

Máquina virtual de

aplicaciones 2


172.16.20.11

Procedimiento

1 Inicie sesión en una de las máquinas virtuales asociadas al conmutador lógico con la consola de la máquina virtual o SSH.

Por ejemplo, la máquina virtual de aplicaciones 2 172.16.20.11.

2 Haga ping a la segunda máquina virtual asociada al conmutador lógico para probar la conectividad.

$ ping -c 2 172.16.20.10

PING 172.16.20.10 (172.16.20.10) 56(84) bytes of data.

64 bytes from 172.16.20.10: icmp_seq=1 ttl=63 time=0.982 ms



--- 172.16.20.10 ping statistics ---

2 packets transmitted, 2 received, 0% packet loss, time 1990ms

rtt min/avg/max/mdev = 0.654/0.809/0.902/0.104 ms

3 (opcional) Identifique el problema que provoca que se produzcan errores al hacer ping.

a Compruebe que la configuración de red de la máquina virtual sea correcta.

b Compruebe que el adaptador de red de la máquina virtual esté conectado al conmutador lógico correcto.

c Compruebe que el estado Administración del conmutador lógico sea ACTIVO.

d En NSX Manager, seleccione Conmutación > Conmutadores.


VMware, Inc. 38

e Haga clic en el conmutador lógico y anote la información de VNI y UUID.

f En NSX Controller, ejecute los siguientes comandos para solucionar el problema.

Comando Descripción

get logical-switch <vni-or-

uuid> arp-table

Muestra la tabla ARP del conmutador lógico especificado.

Resultados de muestra

nsx-controller1> get logical-switch 41866 arp-tableVNI IP MAC Connection-ID 41866 172.16.20.11 00:50:56:b1:70:5e 295422


uuid> connection-table

Muestra las conexiones del conmutador lógico especificado.


nsx-controller1> get logical-switch 41866 connection-tableHost-IP Port ID192.168.110.37 36923 295420192.168.210.53 37883 295421192.168.210.54 57278 295422


uuid> mac-table

Muestra la tabla de direcciones MAC del conmutador lógico especificado.


nsx-controller1> get logical-switch 41866 mac-tableVNI MAC VTEP-IP Connection-ID41866 00:50:56:86:f2:b2 192.168.250.102 29542141866 00:50:56:b1:70:5e 192.168.250.101 295422


uuid> stats

Muestra la información estadística del conmutador lógico especificado.


nsx-controller1> get logical-switch 41866 statsupdate.member 11update.vtep 11update.mac 4update.mac.invalidate 0update.arp 7update.arp.duplicate 0query.mac 2query.mac.miss 0query.arp 9query.arp.miss 6


uuid> stats-sample

Muestra un resumen de todas las estadísticas del conmutador lógico a lo largo del tiempo.


nsx-controller1> get logical-switch 41866 stats-sample21:00:00 21:10:00 21:20:00 21:30:00 21:40:00update.member 0 0 0 0 0update.vtep 0 0 0 0 0update.mac 0 0 0 0 0update.mac.invalidate 0 0 0 0 0update.arp 0 0 0 0 0update.arp.duplicate 0 0 0 0 0


VMware, Inc. 39

Comando Descripción

query.mac 0 0 0 0 0query.mac.miss 0 0 0 0 0query.arp 0 0 0 0 0query.arp.miss 0 0 0 0 0


uuid> vtep

Muestra todos los endpoints de túneles virtuales relacionados con el conmutador lógico especificado.


nsx-controller1> get logical-switch 41866 vtepVNI IP LABEL Segment MAC Connection-ID41866 192.168.250.102 0x8801 192.168.250.0 00:50:56:65:f5:fc 29542141866 192.168.250.100 0x1F801 192.168.250.0 02:50:56:00:00:00 29542041866 192.168.250.101 0x16001 192.168.250.0 00:50:56:64:7c:28 295422

Resultados

La primera máquina virtual asociada al conmutador lógico puede enviar paquetes a la segunda máquina virtual.


VMware, Inc. 40

Configurar perfiles de conmutación para conmutadores lógicos y puertos lógicos 3Los perfiles de conmutación incluyen detalles de configuración de redes de Capa 2 para conmutadores lógicos y puertos lógicos. NSX Manager es compatible con varios tipos de perfiles de conmutación y mantiene uno o varios perfiles de conmutación predeterminados definidos por el sistema para cada tipo de perfil.

Los siguientes tipos de perfiles de conmutación están disponibles.

n QoS (Calidad del servicio) —(QoS) (Quality of Service)—

n Supervisión de puertos (Port Monitoring)

n Detección de IP (IP Discovery)

n SpoofGuard (SpoofGuard)

n Seguridad de conmutadores (Switch Security)

n Administración de MAC (MAC Management)

Nota No puede editar ni eliminar los perfiles de conmutación predeterminados en NSX Manager. En su lugar, puede crear perfiles de conmutación predeterminados.

Cada perfil de conmutación predeterminado o personalizado tiene un identificador reservado único. Este identificador se utiliza para asociar el perfil de conmutación a un conmutador lógico o a un puerto lógico. Por ejemplo, el id. de perfil de conmutación de QoS predeterminado es f313290b-eba8-4262-bd93-fab5026e9495.

Un conmutador lógico o puerto lógico puede asociarse a un perfil de conmutación de cada tipo. No puede tener, por ejemplo, dos perfiles de conmutación diferentes de QoS asociados a un conmutador lógico o puerto lógico.

Si no asocia un tipo de perfil de conmutación al crear o actualizar un conmutador lógico, NSX Manager asocia un correspondiente perfil de conmutación definido por el sistema predeterminado. Los puertos lógicos secundarios heredan el perfil de conmutación definido por el sistema predeterminado del conmutador lógico principal.

VMware, Inc. 41

Cuando crea o actualiza un conmutador lógico o puerto lógico puede elegir asociar un perfil de conmutación predeterminado o uno personalizado. Cuando el perfil de conmutación se asocia o disocia de un conmutador lógico, se aplica el perfil de conmutación para puertos lógicos secundarios basándose en los siguientes criterios.

n Si el conmutador lógico principal tiene un perfil asociado a él, el puerto lógico secundario hereda el perfil de conmutación del principal.

n Si el conmutador lógico principal no tiene un perfil de conmutación asociado a él, el perfil de conmutación predeterminado se asigna al conmutador lógico y el puerto lógico hereda dicho perfil de conmutación predeterminado.

n Si asocia explícitamente un perfil personalizado a un puerto lógico, este perfil personalizado anula el perfil de conmutación existente.

Nota Si asoció un perfil de conmutación personalizado a un conmutador lógico, pero quiere conservar el perfil de conmutación predeterminado para uno de los puertos lógicos secundarios, debe realizar una copia del perfil de conmutación predeterminado y asociarlo al puerto lógico específico.

No puede eliminar un perfil de conmutación personalizado si está asociado a un conmutador lógico o a un puerto lógico. Puede averiguar si hay asociado algún conmutador lógico o puerto lógico al perfil de conmutación personalizado accediendo a la sección Asignado a (Assigned To) de la vista Resumen (Summary) y haciendo clic en los conmutadores y puertos lógicos enumerados.


n Información sobre el perfil de conmutación de QoS

n Información sobre el perfil de conmutación de creación de reflejo del puerto

n Información sobre el perfil de conmutación de detección de direcciones IP

n Información sobre SpoofGuard

n Información sobre el perfil de conmutación de seguridad del conmutador

n Información sobre el perfil de conmutación de gestión de direcciones MAC

n Asociar un perfil personalizado a un conmutador lógico

n Asociar un perfil personalizado con un puerto de conmutador lógico

Información sobre el perfil de conmutación de QoSQoS proporciona un rendimiento de red dedicado y de gran calidad para el tráfico preferido que necesita un gran ancho de banda. Para ello, el mecanismo de QoS prioriza ancho de banda suficiente, controla la latencia y la vibración, y disminuye la pérdida de datos de los paquetes preferidos incluso cuando se produce una congestión de red. Este nivel del servicio de red se proporciona mediante los recursos de red existentes de manera eficiente.


VMware, Inc. 42

Esta versión permite moldear y marcar el tráfico específicamente, así como admite CoS y DSCP. La clase de servicio (CoS) de Capa 2 le permite especificar la prioridad de los paquetes de datos cuando el tráfico se almacena en búfer en el conmutador lógico por una congestión. El punto de código de servicios diferenciados (DSCP) de Capa 3 detecta los paquetes en función de sus valores DSCP. CoS siempre se aplica al paquete de datos independientemente del modo de confianza.

NSX-T confía en la configuración DSCP aplicada por una máquina virtual o en la modificación y configuración del valor DSCP en el nivel del conmutador lógico. En cada caso, el valor DSCP se propaga al encabezado de IP externo de los marcos encapsulados. Esto permite que la red física externa priorice el tráfico en función de la configuración DSCP del encabezado externo. Cuando DSCP está en el modo de confianza, el valor DSCP se copia del encabezado interno. En este modo, el valor DSCP no se conserva para el encabezado interno.

Nota La configuración DSCP solo funciona en el tráfico de túnel. Esta configuración no se aplica al tráfico del mismo hipervisor.

Puede utilizar el perfil de conmutación de QoS para configurar los valores del ancho de banda de entrada y de salida para establecer la frecuencia del límite de transmisión. La frecuencia del pico de ancho de banda se utiliza para soportar el tráfico de ráfaga que un conmutador lógico tiene permitido para evitar la congestión en los vínculos de red ascendente. Sin embargo, esta configuración no garantiza el ancho de banda pero ayuda a limitar el uso del ancho de banda de red.

La configuración del perfil de conmutación de QoS se aplica al conmutador lógico y el puerto de conmutador lógico secundario la hereda.

Configurar un perfil de conmutación de calidad de servicio personalizadoPuede definir el valor DSCP y configurar las opciones de entrada y salida para crear un perfil de conmutación de calidad de servicio (Quality of Service, QoS) personalizado.

Requisitos previos

n Familiarícese con el concepto de perfil de conmutación de calidad de servicio. Consulte Información sobre el perfil de conmutación de QoS.

n Identifique el tráfico de red que desea priorizar.

Procedimiento


2 Seleccione Conmutación (Switching) > Perfiles de conmutación (Switching Profiles) en el panel de navegación.



VMware, Inc. 43

4 Complete los detalles del perfil de conmutación de calidad de servicio.

Opción Descripción

Nombre y descripción (Name and Description)

Asigne un nombre al perfil de conmutación de calidad de servicio personalizado.

Opcionalmente, puede describir la opción de configuración que modificó en el perfil.

Tipo (Type) Seleccione QoS (QoS) en el menú desplegable.

DSCP Seleccione la opción de Modo (Mode) De confianza (Trusted) o De no confianza (Untrusted) en el menú desplegable.

Si selecciona el modo Confianza (Trusted), el valor DSCP del encabezado interno se aplica al encabezado de IP externa en el tráfico IP/IPv6. Para tráfico que no sea IP/IPv6, el encabezado de IP externa toma el valor predeterminado. El modo Confianza (Trusted) no es compatible con un puerto lógico basado en superposiciones. El valor predeterminado es 0.

El modo de no confianza (Untrusted) no es compatible con puertos lógicos basados en superposiciones o VLAN. Para un puerto lógico basado en superposiciones, el valor DSCP del encabezado IP saliente se establece con el valor configurado al margen del tipo de paquete interno para el puerto lógico. Para el puerto lógico basado en VLAN, el valor DSCP del paquete IP/IPv6 se establece con el valor configurado. El rango de valores DSCP para el modo de no confianza se encuentra entre 0 y 63.

Nota La configuración DSCP solo funciona en el tráfico de túnel. Esta configuración no se aplica al tráfico del mismo hipervisor.

Clase de servicio (Class of Service) Establezca el nivel de prioridad del tráfico.

La clase de servicio es compatible con puertos lógicos basados en VLAN. La clase de servicio agrupa tipos similares de tráfico en la red y cada tipo de tráfico se trata como una clase con su propio nivel de prioridad de servicio. El tráfico con menor prioridad se ralentiza o, en algunos casos, se descarta para proporcionar mejor rendimiento al tráfico con mayor prioridad. La clase de servicio también puede configurarse para el ID de VLAN con paquete cero.

El rango de valores de clase de servicio se encuentra entre 0 y 7, siendo 0 el servicio de mejor esfuerzo.

Entrada (Ingress) Establezca valores personalizados para el tráfico de red saliente de la máquina virtual a la red lógica.

Puede utilizar el ancho medio de banda para reducir la congestión de red. El valor máximo de ancho de banda se utiliza para soportar tráfico a ráfagas. La duración de ráfagas se establece en la opción de tamaño de estas. No se puede garantizar el ancho de banda. Sin embargo, puede configurar el límite de ancho de banda de la red. El valor predeterminado 0 deshabilita el tráfico de entrada.

Por ejemplo, si establece el ancho medio de banda para el conmutador lógico como 30 Mbps, la directiva limita el ancho de banda. Puede limitar el tráfico a ráfaga a 100 Mbps por un período de 20 bytes.


VMware, Inc. 44


Difusión de entrada (Ingress Broadcast)

Establezca valores personalizados para el tráfico de red saliente de la máquina virtual a la red lógica en base a la difusión.

El valor predeterminado 0 deshabilita el tráfico de difusión de entrada.

Por ejemplo, si establece el ancho medio de banda para un conmutador lógico como 50 kbps, la directiva limita el ancho de banda. Puede limitar el tráfico a ráfaga a 400 kbps por un período de 60 bytes.

Salida (Egress) Establezca valores personalizados para el tráfico de red entrante de la red lógica a la máquina virtual.

El valor predeterminado 0 deshabilita el tráfico de difusión de salida. Si no están configuradas las opciones de entrada, difusión de entrada y salida, los valores predeterminados se utilizan como búferes de protocolo.


Resultados

El perfil de conmutación de calidad de servicio personalizado aparece como un vínculo.

Pasos siguientes

Adjunte el perfil de conmutación de calidad de servicio a un conmutador lógico para que los parámetros modificados en el perfil de conmutación se apliquen al tráfico de red. Consulte Asociar un perfil personalizado a un conmutador lógico.

Información sobre el perfil de conmutación de creación de reflejo del puertoLa creación de reflejo del puerto lógico le permite replicar y redireccionar todo el tráfico entrante y saliente de un puerto de conmutador lógico asociado a un puerto VIF de la máquina virtual. El tráfico reflejado se envía encapsulado dentro de un túnel de encapsulación de enrutamiento genérico (GRE) a un recopilador para que toda la información del paquete original se conserve mientras atraviesa la red hacia un destino remoto.

Generalmente, la creación de reflejo del puerto se utiliza en los siguientes escenarios:

n Solución de problemas: permite analizar el tráfico para detectar la intrusión y realizar depuraciones, así como permite diagnosticar errores en una red.

n Comprobación y supervisión: permite reenviar todo el tráfico supervisado a un dispositivo de red para realizar un análisis y solucionar problemas.

En comparación con la creación de reflejo del puerto físico, la creación de reflejo del puerto lógico garantiza la captura de todo el tráfico de red de la máquina virtual. Si solo implementa la creación de reflejo del puerto en la red física, alguna parte del tráfico de red de la máquina virtual no podrá reflejarse. Esto sucede porque la comunicación entre la máquina virtual situada en el mismo host nunca entra a la red física y, por tanto, no se refleja. La creación de reflejo del puerto lógico le permite seguir reflejando el tráfico de la máquina virtual incluso cuando esa máquina virtual se migre a otro host.


VMware, Inc. 45

El proceso de creación de reflejo del puerto es similar para ambos puertos de la máquina virtual en los puertos y el dominio de NSX-T de las aplicaciones físicas. Puede reenviar el tráfico que captura una carga de trabajo conectada a una red lógica y reflejar ese tráfico a un recopilador. Se debe poder acceder a la dirección IP desde la dirección IP de invitado en la que esté alojada la máquina virtual. Este proceso también se debe realizar para las aplicaciones físicas conectadas a los nodos de la puerta de enlace.

Configurar un perfil personalizado de conmutación de creación de reflejo del puertoEs posible crear un perfil personalizado de conmutación de creación de reflejo del puerto con un destino y valor de clave distintos.

Requisitos previos

n Familiarícese con el concepto de perfil de conmutación de creación de reflejo del puerto. Consulte Información sobre el perfil de conmutación de creación de reflejo del puerto.

n Identifique la dirección IP del ID del puerto lógico de destino al que desea redirigir el tráfico de red.

Procedimiento




4 Complete los detalles del perfil de conmutación de creación de reflejo del puerto.


Nombre y descripción (Name and description)

Asigna un nombre al perfil personalizado de conmutación de creación de reflejo del puerto.

Opcionalmente, puede describir la opción de configuración que modificó para personalizar el perfil.

Tipo (Type) Seleccione Crear reflejo del puerto (Port Mirroring) en el menú desplegable.

Dirección (Direction) Seleccione una opción en el menú desplegable para utilizar dicho origen para tráfico de Entrada (Ingress), Egress (Salida) o Bidireccional (Bidirectional).

Entrada (Ingress) corresponde al tráfico de red saliente de la máquina virtual a la red lógica.

Salida (Egress) corresponde al tráfico de red entrante de la red lógica a la máquina virtual.

Bidirectional (Bidirectional) corresponde al tráfico bidireccional de la máquina virtual a la red lógica y viceversa. Esta es la opción predeterminada.

Truncamiento de paquetes (Packet Truncation)

Opcional. El rango es 60 - 65.535.


VMware, Inc. 46


Clave (Key) Introduzca un valor aleatorio de 32 bits para identificar los paquetes reflejados del puerto lógico.

Este valor se copia al campo de la clave en el encabezado GRE de cada paquete reflejado. Si el valor es 0, la definición predeterminada se copia al campo de la clave en el encabezado GRE.

El valor predeterminado de 32 bits está compuesto por los siguientes valores.

n El primer valor de 24 bits es un valor VNI. VNI es parte del encabezado IP de los marcos encapsulados.

n El bit número 25 indica si el primer valor de 24 bits es un valor VNI válido. Uno representa un valor válido y cero representa un valor no válido.

n El bit número 26 indica la dirección del tráfico reflejado. Uno representa una dirección de entrada y cero una dirección de salida.

n Los seis bits restantes no se utilizan.

Destinos (Destinations) Introduzca el ID de destino del recopilador de la sesión reflejada.

El ID de la dirección IP de destino solo puede ser una dirección IPv4 dentro de la red o una dirección IPv4 remota que NSX-T no administre. Puede agregar hasta tres direcciones IP de destino separadas por comas.


Resultados

Un perfil personalizado de conmutación de creación de reflejo del puerto aparece como un vínculo.

Pasos siguientes

Compruebe que el perfil personalizado de conmutación de creación de reflejo del puerto funciona. Consulte Comprobar el perfil personalizado de conmutación de creación de reflejo del puerto.

Comprobar el perfil personalizado de conmutación de creación de reflejo del puertoAntes de empezar a utilizar el perfil personalizado de conmutación de creación de reflejo del puerto, compruebe que la personalización funcione correctamente.

Requisitos previos

n Compruebe que el perfil personalizado de conmutación de creación de reflejo del puerto este configurado. Consulte Configurar un perfil personalizado de conmutación de creación de reflejo del puerto.

n Compruebe que el perfil personalizado de conmutación de creación de reflejo del puerto esté asociado a un conmutador lógico. Consulte Asociar un perfil personalizado a un conmutador lógico.


VMware, Inc. 47

Procedimiento

1 Localice las dos máquinas virtuales con una VIF adjunta al puerto lógico configurado para crear el reflejo del puerto.

Por ejemplo, la máquina virtual 1 10.70.1.1 y la máquina virtual 2 10.70.1.2 incluyen VIF adjuntas y están situadas en la misma red lógica.

2 Ejecute el comando tcpdump en una dirección IP de destino.

sudo tcpdump -n -i eth0 dst host destination_IP_addres and proto gre

Por ejemplo, la dirección IP de destino es 10.24.123.196.

3 Inicie sesión en la primera máquina virtual y haga ping a la segunda para comprobar que las respuestas y solicitudes eco correspondientes se reciban en la dirección de destino.

Por ejemplo, la primera máquina virtual 10.70.1.1 hace ping a la segunda máquina virtual 10.70.1.2 para verificar la creación de reflejo del puerto.

Pasos siguientes

Asocie este perfil personalizado de conmutación de creación de reflejo del puerto a un conmutador lógico para que los parámetros modificados del perfil de conmutación se apliquen al tráfico de red. Consulte Asociar un perfil personalizado a un conmutador lógico.

Información sobre el perfil de conmutación de detección de direcciones IPLa detección de direcciones IP utiliza la búsqueda DHCP o ARP para aprender las direcciones IP y MAC de la máquina virtual. Después de aprender estas direcciones, las entradas se comparten con NSX Controller para conseguir la supresión de ARP. La supresión de ARP disminuye la inundación del tráfico ARP dentro de las máquinas virtuales conectadas al mismo conmutador lógico.

La búsqueda DHCP inspecciona los paquetes DHCP que se intercambian entre el servidor DHCP y el cliente DHCP de la máquina virtual para aprender las direcciones IP y MAC de la máquina virtual.

La búsqueda ARP inspecciona los GARP y los ARP salientes de la máquina virtual para aprender las direcciones IP y MAC.


VMware, Inc. 48

Configurar perfiles de conmutación de detección de IPEs posible habilitar la intromisión de ARP o DHCP para crear un perfil de conmutación de detección de IP personalizado que aprenda las direcciones IP y MAC y garantice la integridad de IP de un conmutador lógico.

Requisitos previos

Familiarícese con el concepto de perfil de conmutación de detección de IP. Consulte Información sobre el perfil de conmutación de detección de direcciones IP.

Procedimiento




4 Complete los detalles del perfil de conmutación de detección de IP.



Asigne un nombre al perfil de conmutación de detección de IP personalizado.

Opcionalmente, puede describir la opción de configuración que habilitó en el perfil.

Tipo (Type) Seleccione Detección de IP (IP Discovering) en el menú desplegable.

Intromisión de ARP (ARP Snooping) Alterne el botón Intromisión de ARP (ARP Snooping) para habilitar la función.

La intromisión de ARP inspecciona el ARP y GARP saliente de la máquina virtual para aprender las direcciones IP y MAC de la máquina virtual. La intromisión de ARP se aplica si la máquina virtual utiliza una dirección IP estática en lugar de DHCP.

Intromisión de DHCP (DHCP Snooping)

Alterne el botón Intromisión de DHCP (DHCP Snooping) para habilitar la función.

La intromisión de DHCP inspecciona los paquetes DHCP que se intercambian entre el cliente DHCP de la máquina virtual y el servidor DHCP para aprender las direcciones IP y MAC de la máquina virtual.


Resultados

Un perfil de conmutación de detección de IP personalizado aparece como un vínculo.

Pasos siguientes

Conecte dicho perfil de conmutación de detección de IP personalizado a un conmutador lógico para que los parámetros modificados del perfil de conmutación se apliquen al tráfico de red. Consulte Asociar un perfil personalizado a un conmutador lógico.


VMware, Inc. 49

Información sobre SpoofGuardSpoofGuard ayuda a evitar un ataque malicioso denominado "suplantación de páginas web" o "suplantación de identidad". Una directiva SpoofGuard bloquea el tráfico que se determina que se va a suplantar.

SpoofGuard es una herramienta diseñada para evitar que las máquinas virtuales de su entorno envíen tráfico con una dirección IP desde la que no está permitido finalizar el tráfico. En el caso de que una dirección IP de la máquina virtual no coincida con la dirección IP del puerto lógico y los enlaces de direcciones del conmutador correspondientes de SpoofGuard, la vNIC de la máquina virtual no podrá acceder a la red por completo. SpoofGuard se puede configurar en el nivel del puerto o del conmutador. Hay varias razones por las que podría utilizar SpoofGuard en su entorno:

n Evitar que una máquina virtual no autorizada suplante la dirección IP de una máquina virtual existente.

n Garantizar que las direcciones IP de las máquinas virtuales no se puedan modificar sin intervención. En algunos entornos, es preferible que las máquinas virtuales no puedan modificar sus direcciones IP sin cambiar correctamente la revisión de control. Para ello, SpoofGuard garantiza que el propietario de la máquina virtual no pueda modificar la dirección IP y seguir trabajando sin impedimentos.

n Garantizar que las reglas de Distributed Firewall (DFW) no se omitan involuntariamente (o deliberadamente). En el caso de las reglas de DFW que se creen con conjuntos de direcciones IP como orígenes o destinos, siempre cabe la posibilidad de que una máquina virtual pueda tener su dirección IP falsificada en el encabezado del paquete y, por tanto, se omitan las reglas en cuestión.

La configuración de SpoofGuard de NSX-T incluye lo siguiente:

n SpoofGuard de direcciones MAC: autentica la dirección MAC del paquete.

n SpoofGuard de direcciones IP: autentica las direcciones IP y MAC del paquete.

n Inspección del protocolo de resolución de direcciones dinámicas (ARP), es decir, la validación de SpoofGuard de descubrimiento cercano (ND) y de SpoofGuard del protocolo de resolución de direcciones gratuito (GARP) y del ARP contradice la asignación del origen de direcciones IP-MAC, el origen de direcciones MAC y el origen de direcciones IP en la carga de ARP/GARP/ND.

En el nivel del puerto, la lista blanca de MAC/VLAN/IP permitidas se proporciona a través de la propiedad de enlaces de direcciones del puerto. Cuando la máquina virtual envía tráfico, se descarta si su IP/MAC/VLAN no coincide con las propiedades de IP/MAC/VLAN del puerto. SpoofGuard del nivel del puerto se ocupa de la autenticación del tráfico (por ejemplo, la consistencia del tráfico con la configuración VIF).

En el nivel del conmutador, la lista blanca de MAC/VLAN/IP permitidas se proporciona a través de la propiedad de enlaces de direcciones del conmutador. Suele ser una subred o un rango de IP permitidos del conmutador, mientras que el SpoofGuard del nivel del conmutador se ocupa de la autorización del tráfico.

SpoofGuard del nivel del conmutador Y del nivel del puerto deben permitir el tráfico antes de que se permita en el conmutador. Puede controlar si habilita o deshabilita SpoofGuard del nivel del conmutador o del puerto con el perfil de conmutador de SpoofGuard.


VMware, Inc. 50

Configurar asociaciones de direcciones de puertosLos enlaces de direcciones especifican las direcciones IP y MAC de un puerto lógico y se utilizan para especificar la lista blanca del puerto en SpoofGuard.

Los enlaces de direcciones de puertos especifican las direcciones IP y MAC, y en el caso de VLAN, del puerto lógico. Si SpoofGuard está habilitado, se garantiza que los enlaces de direcciones determinados se apliquen en la ruta de datos. Además de SpoofGuard, los enlaces de direcciones de puertos se utilizan para la traducción de reglas DFW.

Procedimiento

1 En NSX Manager, diríjase a Conmutación > Puertos (Switching > Ports).

2 Haga clic en el puerto lógico al que desea aplicar el enlace de direcciones.

Aparece el resumen del puerto lógico.

3 En la pestaña Resumen (Summary), expanda Enlaces de direcciones (Address Bindings).


El cuadro de diálogo Agregar enlace de direcciones (Add Address Binding) aparece.

5 Especifique la dirección IP y MAC del puerto lógico al que desea aplicar el enlace de direcciones. También es posible especificar la red VLAN.


Pasos siguientes

Utilice los enlaces de direcciones de puertos cuando Configurar un perfil de conmutación de SpoofGuard.

Configurar asociaciones de direcciones de conmutadoresLos enlaces de direcciones permiten que un rango de direcciones IP y MAC y redes VLAN estén vinculados para conmutar.

En SpoofGuard, los enlaces de direcciones proporcionan la lista blanca de MAC, VLAN e IP permitidas. Si el correspondiente SpoofGuard está habilitado, este garantiza que los enlaces de direcciones determinados se aplican en la ruta de datos.

Procedimiento

1 En NSX Manager, diríjase a Conmutación > Conmutadores (Switching > Switches).

2 Haga clic en el conmutador lógico al que desea aplicar el enlace de direcciones.

En la ventana a la derecha aparece el resumen del conmutador.

3 En la pestaña Resumen (Summary), expanda Enlaces de direcciones (Address Bindings).


El cuadro de diálogo Agregar enlace de direcciones (Add Address Binding) aparece.


VMware, Inc. 51

5 Introduzca las direcciones MAC y el rango IP del conmutador (y VLAN, si es el caso) en el enlace de direcciones del conmutador.

Tras especificar la subred/rango de IP, la ruta de datos aplicará los enlaces en todos los puertos del conmutador.


Pasos siguientes

A continuación, Configurar un perfil de conmutación de SpoofGuard y agregue los enlaces de direcciones a la lista blanca de SpoofGuard.

Configurar un perfil de conmutación de SpoofGuardAl configurar SpoofGuard, si la dirección IP de la máquina virtual cambia, el tráfico de la máquina virtual puede bloquearse hasta que los enlaces de direcciones de puerto/conmutador configurados se actualicen con la nueva dirección IP.

Habilite SpoofGuard para los grupos de puertos que incluyan invitados. Si se habilita en cada adaptador de red, SpoofGuard inspecciona los paquetes para la dirección MAC preestablecida y su correspondiente dirección IP.

Requisitos previos

Antes de configurar SpoofGuard, agregue enlaces de direcciones o conmutadores en cada conmutador lógico. Los enlaces de direcciones permiten enlazar la dirección IP y MAC a un puerto o conmutador. Configurar asociaciones de direcciones de puertosConfigurar asociaciones de direcciones de conmutadores

Procedimiento

1 En NSX Manager, diríjase a Conmutación > Perfiles de conmutación (Switching > Switching Profiles).


La ventana de Nuevo perfil de conmutación (New Switching Profile) aparece.

3 Escriba un nombre para el perfil y seleccione el tipo SpoofGuard. También puede agregar una descripción de perfil.

4 Para habilitar SpoofGuard a nivel de puerto, elija enlaces de puertos (port bindings). Para habilitarlo a nivel de conmutador, seleccione enlaces de conmutadores (switch bindings).

Los enlaces de direcciones son los permitidos en la lista blanca para puertos y conmutadores SpoofGuard.


Resultados

Se crea un nuevo perfil de conmutación con un perfil SpoofGuard.


VMware, Inc. 52

Pasos siguientes

Asocie el perfil SpoofGuard con un conmutador lógico.Asociar un perfil personalizado a un conmutador lógico

Información sobre el perfil de conmutación de seguridad del conmutadorLa seguridad del conmutador ofrece seguridad de Capa 2 y de Capa 3 sin estado. Para ello, comprueba el tráfico de entrada al conmutador lógico y descarta los paquetes no autorizados que se envían desde máquinas virtuales comparando la dirección IP, la dirección MAC y los protocolos con un conjunto de direcciones y protocolos permitidos. Puede utilizar la seguridad del conmutador para proteger la integridad del conmutador lógico mediante el filtrado de los ataques maliciosos de la máquina virtual de la red.

Puede configurar el filtro Unidad de datos de protocolo de puente (BDPU), la búsqueda DHCP, el bloqueo de servidores DHCP y las opciones de limitación de frecuencia para personalizar el perfil de conmutación de seguridad del conmutador en un conmutador lógico.

Configurar un perfil de conmutación de seguridad del conmutador personalizadoEs posible crear un perfil de conmutación de seguridad del conmutador personalizado con direcciones MAC de destino de la lista permitida BPDU y configurar el límite de frecuencia.

Requisitos previos

Familiarícese con el concepto de perfil de conmutación de seguridad del conmutador. Consulte Información sobre el perfil de conmutación de seguridad del conmutador.

Procedimiento




4 Complete los detalles del perfil de conmutación de seguridad del conmutador.



Asigne un nombre al perfil de seguridad del conmutador personalizado.

Opcionalmente, puede describir la opción de configuración que modificó en el perfil.

Tipo (Type) Seleccione Seguridad del conmutador (Switch Security) en el menú desplegable.


VMware, Inc. 53


Filtro BPDU Alterne el botón Filtro BPDU (BPDU filter) para habilitar el filtro BPDU.

Al habilitar el filtro BPDU, todo el tráfico a la dirección MAC de destino BPDU se bloquea. El filtro BPDU habilitado también deshabilita STP en los puertos de conmutadores lógicos, ya que dichos puertos no deberían formar parte de STP.

Lista de permitidos del filtro BPDU (BPDU Filter Allow List)

Haga clic en la dirección MAC de destino de la lista de direcciones MAC de destino BPDU para permitir el tráfico al destino seleccionado.

Filtro DHCP (DHCP Filter) Alterne el botón Bloquear servidor (Server Block) y Bloquear cliente (Client Block) para habilitar el filtro DHCP.

La opción Bloquear servidor (Server Block) bloquea el tráfico de un servidor DHCP a un cliente DHCP. Tenga en cuenta que esto no bloquea el tráfico de un servidor DHCP a un agente de retransmisión DHCP.

La opción Bloquear cliente (Client Block) de DHCP evita que una máquina virtual adquiera una dirección IP de DHCP bloqueando las solicitudes de DHCP.

Bloquear tráfico que no usa IP (Block Non-IP Traffic)

Alterne el botón Bloquear tráfico que no usa IP (Block Non-IP Traffic) para permitir solo el tráfico IPv4, IPv6, ARP, GARP y BPDU.

Se bloqueará el resto de tráfico que no use IP. El tráfico IPv4, IPv6, ARP, GARP y BPDU permitido se basa en otro conjunto de directivas de la configuración de los enlaces de dirección y SpoofGuard.

De forma predeterminada, esta opción se deshabilita para permitir que el tráfico que no usa IP se gestione como tráfico estándar.

Límites de frecuencia (Rate Limits) Establezca un límite de frecuencia para la entrada y salida de tráfico de difusión y multidifusión.

Los límites de frecuencia se configuran para proteger el conmutador lógico o la máquina virtual de, por ejemplo, tormentas de tráfico.

Para evitar problemas de conectividad, el valor mínimo de límite de frecuencia debe ser >=10 pps.


Resultados

Un perfil de seguridad del conmutador personalizado aparece como un vínculo.

Pasos siguientes

Conecte el perfil de conmutación de seguridad del conmutador personalizado a un conmutador lógico para que los parámetros modificados en el perfil de conmutación se apliquen al tráfico de red. Consulte Asociar un perfil personalizado a un conmutador lógico.

Información sobre el perfil de conmutación de gestión de direcciones MACEl perfil de conmutación de gestión de direcciones MAC admite dos funciones: el cambio de direcciones MAC y el aprendizaje de estas direcciones.


VMware, Inc. 54

El aprendizaje de direcciones MAC proporciona conectividad de red a las implementaciones en las que varias direcciones MAC están configuradas detrás de una vNIC, por ejemplo, en una implementación de hipervisor anidado en el que una máquina virtual ESXi se ejecuta en un host ESXi y varias máquinas virtuales se ejecutan dentro de la máquina virtual ESXi. Sin el aprendizaje de direcciones MAC, cuando la vNIC de la máquina virtual ESXi se conecta a un puerto del conmutador, su dirección MAC es estática. Las máquinas virtuales que se ejecutan dentro de la máquina virtual ESXi no tienen conectividad de red debido a que sus paquetes tienen distintas direcciones MAC de origen. Con el aprendizaje de direcciones MAC, el vSwitch inspecciona la dirección MAC de origen de cada paquete que provenga de la vNIC, aprende la dirección MAC y permite la trasmisión del paquete. Si una dirección MAC aprendida no se usa durante un periodo de tiempo, esta se eliminará. Esta propiedad de caducidad no se puede configurar.

El aprendizaje de direcciones MAC también admite la inundación de unidifusión desconocida. Normalmente, cuando un puerto recibe un paquete con una dirección MAC de destino desconocido, el paquete se descarta. Cuando la inundación de unidifusión desconocida está habilitada, el puerto envía el tráfico de unidifusión desconocido a cada puerto del conmutador que tenga habilitadas las opciones de inundación de unidifusión y de aprendizaje de direcciones MAC. Esta propiedad está habilitada de forma predeterminada, pero solo si el aprendizaje de direcciones MAC está habilitado.

El perfil de conmutación de gestión de direcciones MAC también permite que una máquina virtual cambie su dirección MAC. Una máquina virtual conectada a un puerto con la propiedad para cambiar la dirección MAC habilitada puede ejecutar un comando administrativo para cambiar la dirección MAC de su vNIC y seguir enviando y recibiendo el tráfico en dicha vNIC. Esta función solo es compatible con ESXi y no con KVM. Esta propiedad está deshabilitada de forma predeterminada.

Si habilita el aprendizaje de direcciones MAC o el cambio de estas direcciones, también deberá configurar SpoofGuard para mejorar la seguridad.

Para obtener más información sobre cómo crear un perfil de conmutación de gestión de direcciones MAC y asociar el perfil a un conmutador o un puerto, consulte la Guía de la API NSX-T.

Nota En esta versión, la función de perfil de conmutación de gestión de direcciones MAC solo está disponible a través de NSX API. No está disponible en la interfaz de usuario de NSX Manager.

Asociar un perfil personalizado a un conmutador lógicoPara aplicar su perfil de conmutación personalizado a su red, debe asociarlo a un conmutador lógico.

Cuando se adjuntan perfiles de conmutación personalizados a un conmutador lógico, invalidan los perfiles de conmutación predeterminados existentes. El perfil de conmutación personalizado es heredado por puertos de conmutadores lógicos secundarios.

Nota Si asoció un perfil de conmutación personalizado a un conmutador lógico, pero quiere conservar el perfil de conmutación predeterminado para uno de los puertos de conmutadores lógicos secundarios, debe realizar una copia del perfil de conmutación predeterminado y asociarlo al puerto de conmutador lógico específico.


VMware, Inc. 55

Requisitos previos

n Compruebe que se configuró un conmutador lógico. Consulte Crear un conmutador lógico.

n Compruebe que se configuró un perfil de conmutación personalizado. Consulte Capítulo 3 Configurar perfiles de conmutación para conmutadores lógicos y puertos lógicos.

Procedimiento


2 Seleccione Conmutación (Switching) > Conmutadores (Switches) en el panel de navegación.

3 Haga doble clic en el conmutador lógico para aplicar el perfil de conmutación personalizado.

4 Haga clic en la pestaña Administrar (Manage).

5 Seleccione el tipo de perfil de conmutación personalizado en el menú desplegable.

n QoS (QoS)

n Crear reflejo del puerto (Port Mirroring)

n Detección de IP (IP Discovering)

n SpoofGuard (SpoofGuard)


6 Haga clic en Cambiar (Change).

7 Seleccione el perfil de conmutación personalizado creado previamente en la lista desplegable.


El conmutador lógico queda ahora asociado al perfil de conmutación personalizado.

9 Compruebe que el nuevo perfil de conmutación personalizado con la configuración modificada aparezca bajo la pestaña Administrar (Manage).

10 (opcional) Haga clic en la pestaña Relacionado (Related) y seleccione Puertos (Ports) en el menú desplegable para comprobar que se aplique el perfil de conmutación personalizado a puertos lógicos secundarios.

Pasos siguientes

Si no quiere utilizar el perfil de conmutación heredado desde un conmutador lógico, puede aplicar un perfil de conmutación personalizado al puerto de conmutador lógico secundario. Consulte Asociar un perfil personalizado con un puerto de conmutador lógico.

Asociar un perfil personalizado con un puerto de conmutador lógicoUn puerto de conmutador lógico proporciona un punto de conectividad lógica a un VIF, una conexión de revisión a un enrutador, o una conexión de puerta de enlace de Capa 2 a una red externa. Los puertos


VMware, Inc. 56

de conmutador lógicos también exponen los perfiles de conmutación, contadores de estadísticas de puertos y un estado de vínculo lógico.

Puede cambiar el perfil de conmutación heredado del conmutador lógico a otro perfil de conmutación personalizado para el puerto de conmutador lógico secundario.

Requisitos previos

n Compruebe que haya un puerto de conmutador lógico configurado. Consulte Conectar una VM a un conmutador lógico.

n Compruebe que se configuró un perfil de conmutación personalizado. Consulte Capítulo 3 Configurar perfiles de conmutación para conmutadores lógicos y puertos lógicos.

Procedimiento


2 Seleccione Conmutación (Switching) > Puerto (Port) en el panel de navegación.

3 Haga doble clic en el puerto de conmutador lógico para aplicar el perfil de conmutación de cliente.

4 Haga clic en la pestaña Administrar (Manage).

5 Seleccione el tipo de perfil de conmutación personalizado en el menú desplegable.

n QoS (QoS)

n Crear reflejo del puerto (Port Mirroring)

n Detección de IP (IP Discovering)

n SpoofGuard


6 Haga clic en Cambiar (Change).

7 Seleccione el perfil de conmutación personalizado creado previamente en la lista desplegable.


El puerto de conmutador lógico está asociado ahora al perfil de conmutación personalizado.

9 Compruebe que el nuevo perfil de conmutación personalizado con la configuración modificada aparezca bajo la pestaña Administrar (Manage).

Pasos siguientes



VMware, Inc. 57

Configurar el enrutador lógico de nivel 1 4Un enrutador lógico de NSX-T reproduce la función de enrutamiento en un entorno virtual completamente independiente del hardware subyacente. Los enrutadores lógicos de nivel 1 tienen puertos de vínculo superior para conectarse a conmutadores lógicos de NSX-T y puertos de vínculo de descarga para conectarse a los enrutadores lógicos de nivel 0 de NSX-T.

Al agregar un enrutador lógico, es importante que planifique la topología de red que crea.

Figura 4-1. Topología del enrutador lógico de nivel 1

VM VM

172.16.20.10 172.16.10.10


Máquina virtualweb

nivel 1

Host

Conmutadorlógico de

aplicaciones

Conmutadorlógico web

Por ejemplo, esta topología sencilla muestra dos conmutadores lógicos conectados a un enrutador lógico de nivel 1. Cada conmutador lógico tiene una única máquina virtual conectada. Las dos máquinas virtuales pueden estar en hosts diferentes o en el mismo host, en clústeres de hosts diferentes o en el mismo clúster de hosts. Si un enrutador lógico no separa las máquinas virtuales, las direcciones IP subyacentes configuradas en las máquinas virtuales deben estar en la misma subred. Si un enrutador lógico las separa, las direcciones IP de las máquinas virtuales deben estar en subredes diferentes.


n Crear un enrutador lógico de nivel 1

VMware, Inc. 58

n Agregar puertos de vínculo inferior para el enrutador lógico de nivel 1

n Configurar anuncios de rutas en un enrutador lógico de nivel 1

n Configurar una ruta estática de enrutador lógico de nivel 1

Crear un enrutador lógico de nivel 1El enrutador lógico de nivel 1 debe estar conectado al enrutador lógico de nivel 0 para obtener el acceso al enrutador físico en dirección norte.

Requisitos previos

n Compruebe que se configuraron los conmutadores lógicos. Consulte Crear un conmutador lógico.

n Compruebe que se implementó un clúster de NSX Edge para realizar la configuración de traducción de direcciones de red (NAT). Consulte la Guía de instalación de NSX-T.

n Familiarícese con la topología del enrutador lógico de nivel 1. Consulte Capítulo 4 Configurar el enrutador lógico de nivel 1.

Procedimiento


2 Seleccione Enrutamiento (Routing) en el panel de navegación.

3 Haga clic en Agregar (Add) y seleccione Enrutador de nivel 1 (Tier-1 Router).

4 Asigne un nombre al enrutador lógico.

5 (opcional) Seleccione un enrutador lógico de nivel 0 para conectarlo a este enrutador lógico de nivel 1.

Si aún no tiene configurado ningún enrutador lógico de nivel 0, puede dejar este campo en blanco de momento y editar la configuración del enrutador más adelante.

6 (opcional) Seleccione un clúster de edge para conectarlo a este enrutador lógico de nivel 1.

Si se va a utilizar el enrutador lógico de nivel 1 para la configuración NAT, debe conectarse a un clúster de NSX Edge. Si aún no tiene configurado ningún clúster de servidores perimetrales, puede dejar este campo en blanco de momento y editar la configuración del enrutador más adelante.


En la IU NSX Manager, el nuevo enrutador lógico es un vínculo en el que se puede hacer clic.

Pasos siguientes

Cree puertos de vínculo inferior para su enrutador lógico de nivel 1. Consulte Agregar puertos de vínculo inferior para el enrutador lógico de nivel 1.


VMware, Inc. 59

Agregar puertos de vínculo inferior para el enrutador lógico de nivel 1Si crea un puerto de vínculo inferior en un enrutador lógico de nivel 1, el puerto funciona como una puerta de enlace predeterminada para las máquinas virtuales que se encuentren en la misma subred.

Requisitos previos

Compruebe que el enrutador lógico de nivel 1 esté configurado. Consulte Crear un enrutador lógico de nivel 1 .

Procedimiento

1 Haga clic en el vínculo del enrutador lógico de nivel 1 para crear puertos.

2 Haga clic en la pestaña Configuración (Configuration).

3 Haga clic en Agregar (Add) en la sección Puertos del enrutador lógico (Logical Router Ports).

4 Asigne un nombre al puerto del enrutador lógico.

5 Seleccione si desea que esta conexión cree un puerto de conmutador o actualice un puerto de conmutador existente.

Si la conexión es para un puerto de conmutador existente, seleccione el puerto en el menú desplegable.

6 Introduzca la dirección IP del puerto del enrutador en notación CIDR.

Por ejemplo, la dirección IP puede ser 172.16.10.1/24.

También es posible introducir una dirección IP de servicio DHCP preconfigurada.


8 (opcional) Repita los pasos del 1 al 7 para crear puertos de enrutador lógico de nivel 1 adicionales.

9 Compruebe que el enrutador lógico de nivel 1 pueda redirigir el tráfico de la máquina virtual de Este a Oeste.

En este ejemplo, el enrutador lógico de nivel 1 cuenta con dos puertos de vínculo inferior que enlazan con dos conmutadores lógicos. Cada conmutador lógico está conectado a una máquina virtual. Las máquinas virtuales pueden hacer ping entre sí.

web-virtual-machine$ ping 172.16.20.10

PING 172.16.20.10 (172.16.20.10): 56(84) data bytes

64 bytes from 172.16.20.10: icmp_req=0 ttl=64 time=178 ms

^C

--- 172.16.20.10 ping statistics ---

1 packets transmitted, 1 packets received, 0.0% packet loss

round-trip min/avg/max/stddev = 178 ms/178 ms/178 ms/0.000 ms

app-virtual-machine$ ping 172.16.10.10

PING 172.16.10.10 (172.16.10.10): 56(84) data bytes



VMware, Inc. 60

^C

--- 172.16.10.10 ping statistics ---


round-trip min/avg/max/stddev = 178 ms/178 ms/178 ms/0.000 ms

Pasos siguientes

Habilite el anuncio de enrutadores para facilitar la conectividad de Norte a Sur entre las máquinas virtuales y las redes físicas externas o entre diferentes enrutadores lógicos de nivel 1 que estén conectados al mismo enrutador lógico de nivel 0. Consulte Configurar anuncios de rutas en un enrutador lógico de nivel 1.

Configurar anuncios de rutas en un enrutador lógico de nivel 1Para proporcionar conectividad de Capa 3 entre máquinas virtuales conectadas a conmutadores lógicos adjuntos a otros enrutadores lógicos de nivel 1, es necesario habilitar el anuncio de rutas de nivel 1 a nivel 0. No es necesario configurar un protocolo de enrutamiento o rutas estáticas entre enrutadores lógicos de nivel 1 y 0. NSX-T crea rutas estáticas NSX-T de manera automática al habilitar el anuncio de rutas.

Por ejemplo, para proporcionar conectividad desde y hacia las máquinas virtuales a través de enrutadores emparejados, el enrutador de nivel 1 debe estar configurado con anuncios de rutas para aquellas conectadas. Si no dese anunciar todas las rutas conectadas, puede especificar cuáles desea anunciar.


VMware, Inc. 61

VM VM

172.16.20.1 172.16.10.1

172.16.20.10 172.16.10.10

conmutadorlógico de

aplicaciones


Máquina virtualweb

nivel 1conmutadorlógico web

Anunciar rutas conectadas

Host

Rutas conectadas:172.16.10.0/24172.16.20.0/24

Requisitos previos

n Compruebe que las máquinas virtuales estén conectadas a conmutadores lógicos. Consulte Capítulo 2 Crear conmutadores lógicos y configurar la asociación de máquinas virtuales.

n Compruebe que los puertos de vínculos inferiores para el enrutamiento lógico de nivel 1 estén configurados. Consulte Agregar puertos de vínculo inferior para el enrutador lógico de nivel 1.

Procedimiento


2 Seleccione Enrutamiento (Routing).

3 Haga clic en un enrutador lógico de nivel 1.

4 Seleccione Anuncio de rutas (Route Advertisement) en el menú desplegable Enrutamiento (Routing).

5 Para habilitar el anuncio de rutas, haga clic en Editar (Edit) y asegúrese de que el botón de Estado (Status) está Habilitado (Enabled).

6 Especifique cuáles rutas desea anunciar, ya sean todas o solo algunas.

n Haga clic en Editar (Edit) y seleccione Anunciar todas las rutas conectadas NSX (Advertise All NSX Connected Routes).

n Haga clic en Agregar (Add) e introduzca la información acerca de las rutas que desea anunciar. Introduzca un nombre y un prefijo de ruta en formato CIDR para cada ruta.


VMware, Inc. 62

7 Haga clic en el botón de alternancia Estado (Status) para habilitar el Anuncio de rutas (Route Advertisement).

Por ejemplo:


Pasos siguientes

Familiarícese con la topología de enrutadores lógicos de nivel 0 y cree uno. Consulte Capítulo 5 Configurar un enrutador lógico de nivel 0.

Si el enrutador lógico de nivel 0 ya está conectado al de nivel 1, compruebe que el enrutador de nivel 0 está aprendiendo las rutas conectadas del enrutador de nivel 1. Consulte Comprobar que un enrutador de nivel 0 aprendió las rutas de un enrutador de nivel 1.

Configurar una ruta estática de enrutador lógico de nivel 1Puede configurar una ruta estática en un enrutador lógico de nivel 1 para proporcionar conectividad desde NSX-T hasta un conjunto de redes a las que se puede acceder a través de un enrutador virtual.

Por ejemplo, en el siguiente diagrama, el enrutador lógico de nivel 1 A tiene un puerto de vínculo inferior a un conmutador lógico de NSX-T. Este puerto de vínculo inferior (172.16.40.1) sirve la puerta de enlace predeterminada para la VM del enrutador virtual. El enrutador virtual VM y el nivel 1 A están conectados a través del mismo conmutador lógico de NSX-T. El enrutador lógico de nivel 1 tiene una ruta estática 10.10.0.0/16 que resume las redes disponibles mediante el enrutador virtual. El nivel 1 A entonces tiene el anuncio de ruta configurado para anunciar la ruta estática al nivel 1 B.


VMware, Inc. 63

Figura 4-2. Topología de ruta estática de enrutador lógico de nivel 1

VMVM VM

172.16.40.1

172.16.40.10

172.16.10.11

conmutadorlógico 1

nivel 0

Ruta estática a10.10.0.0/16

nivel 1B

nivel 1A

172.16.10.1

conmutadorlógico 2

Máquina virtualde enrutadorvirtual

10.10.20.0/2410.10.10.0/24

Requisitos previos

Compruebe que se configuró un puerto de vínculo inferior. Consulte Agregar puertos de vínculo inferior para el enrutador lógico de nivel 1.

Procedimiento



3 Seleccione el enrutador lógico de nivel 1.

4 Haga clic en la pestaña Enrutamiento (Routing) y seleccione Ruta estática (Static Route) del menú desplegable.

5 Seleccione Agregar (Add).

6 Introduzca una dirección de red en formato CIDR.

Por ejemplo, 10.10.10.0/16.

7 Haga clic en Insertar fila (Insert Row) para agregar una dirección IP de próximo salto.

Por ejemplo, 172.16.40.10.


VMware, Inc. 64


La dirección de red de la ruta estática recién creada aparece en la fila.

9 Desde el enrutador lógico de nivel 1, seleccione Enrutamiento (Routing) > Anuncio de ruta (Route Advertisement).

10 Haga clic en Editar (Edit) y seleccione Anunciar rutas estáticas (Advertise Static Routes).


La ruta estática se propaga por toda la superposición de NSX-T.


VMware, Inc. 65

Configurar un enrutador lógico de nivel 0 5Un enrutador lógico de NSX-T reproduce la función de enrutamiento en un entorno virtual completamente independiente del hardware subyacente. El enrutador lógico de nivel 0 proporciona un servicio de puerta de enlace activada y desactivada entre la red física y lógica.

Un clúster de NSX Edge puede admitir varios enrutadores lógicos de nivel 0. Los enrutadores de nivel 0 admiten el protocolo de enrutamiento dinámico BGP y ECMP.

Al agregar un enrutador lógico de nivel 0, es importante que planifique la topología de red que crea.

Figura 5-1. Topología del enrutador lógico de nivel 0

VM VM

192.168.100.1

172.16.20.1 172.16.10.1

172.16.20.10 172.16.10.10


aplicaciones


Máquina virtualweb

nivel 0

Arquitecturafísica

nivel 1

conmutadorlógico web

NSX Edge

Host

192.168.100.3

subred predeterminada100.64.1.0/31

conmutador generado por el sistema

conmutador lógicobasado en VLAN

VMware, Inc. 66

Para simplificar el ejemplo de topología, en él se muestra un único enrutador lógico de nivel 1 conectado a un único enrutador lógico de nivel 0 alojado en un único nodo de NSX Edge. Tenga en cuenta que esta no es una topología recomendada. Lo ideal es tener un mínimo de dos nodos de NSX Edge para aprovechar al máximo el diseño del enrutador lógico.

El enrutador lógico de nivel 1 tiene un conmutador lógico web y un conmutador lógico de aplicaciones con sus respectivas máquinas virtuales asociadas. El conmutador enrutador-vínculo entre el enrutador de nivel 1 y el de nivel 0 se crea automáticamente al asociar el enrutador de nivel 1 al de nivel 0. Por lo tanto, este conmutador se califica como generado por el sistema.


n Crear un enrutador lógico de nivel 0

n Adjuntar nivel 0 y nivel 1

n Conectar un enrutador lógico de nivel 0 a un conmutador lógico VLAN

n Configurar una ruta estática

n Opciones de configuración de BGP

n Configurar BFD en un enrutador lógico de nivel 0

n Habilitar la redistribución de rutas en el enrutador lógico de nivel 0

n Información sobre el enrutamiento ECMP

n Crear una lista de prefijos IP

n Crear un mapa de rutas

Crear un enrutador lógico de nivel 0Los enrutadores lógicos de nivel 0 tienen puertos de vínculo de descarga para conectarse a enrutadores lógicos de nivel 1 de NSX-T y puertos de vínculo superior para conectarse a redes externas.

Requisitos previos

n Compruebe que al menos un NSX Edge esté instalado. Consulte la Guía de instalación de NSX-T.


n Compruebe que esté configurado un clúster de Edge. Consulte la Guía de instalación de NSX-T.

n Familiarícese con la topología de red del enrutador lógico de nivel 0. Consulte Capítulo 5 Configurar un enrutador lógico de nivel 0.

Procedimiento



3 Haga clic en Agregar para crear un enrutador lógico de nivel 0.

4 Seleccione Enrutador de nivel 0 en el menú desplegable.


VMware, Inc. 67

5 Asigne un nombre al enrutador lógico de nivel 0.

6 Seleccione un clúster de Edge ya creado en el menú desplegable para respaldar este enrutador lógico de nivel 0.

7 (opcional) Seleccione un modo de alta disponibilidad.

El modo activo/activo se utiliza de forma predeterminada. En el modo activo/activo, la carga del tráfico se equilibra en todos los miembros. En el modo activo/espera, un miembro activo elegido procesa todo el tráfico. Si el miembro activo no realiza este proceso, se elige otro nuevo miembro para que sea activo.

8 (opcional) Haga clic en la pestaña Avanzado para introducir una subred para la subred de tránsito de internivel 0.

Esta es la subred que conecta el enrutador de los servicios de nivel 0 a su enrutador distribuido. Si deja este campo en blanco, se utilizará la subred predeterminada 169.0.0.0/28.

9 (opcional) Haga clic en la pestaña Avanzado para introducir una subred para la subred de tránsito entre el nivel 0 y nivel 1.

Esta es la subred que conecta el enrutador de nivel 0 a cualquier enrutador de nivel 1 conectado a este enrutador de nivel 0. Si deja este campo en blanco, el espacio de dirección para estas conexiones entre el nivel 0 y nivel 1 es 100.64.0.0/10. A cada conexión del mismo nivel de nivel 0 a nivel 1 se le proporciona una subred /31 dentro del espacio de direcciones 100.64.0.0/10.

10 Haga clic en Guardar.

El nuevo enrutador lógico de nivel 0 aparecerá en forma de vínculo.

11 (opcional) Haga clic en este vínculo para consultar el resumen.

Pasos siguientes

Asocie los enrutadores lógicos de nivel 1 a este enrutador lógico de nivel 0.

Configure el enrutador lógico de nivel 0 para conectarlo a un conmutador lógico VLAN y crear un vínculo superior a una red externa. Consulte Conectar un enrutador lógico de nivel 0 a un conmutador lógico VLAN.

Adjuntar nivel 0 y nivel 1Es posible adjuntar el enrutador lógico de nivel 0 al de nivel 1, de tal modo que este último obtenga conectividad de red de Norte a Sur y Este a Oeste.

Al conectar un enrutador lógico de nivel 1 a uno de nivel 0, se crea un conmutador de vínculo de enrutador entre los dos. Este conmutador se etiqueta como generado por el sistema en la topología. El espacio de dirección predeterminado asignado para dichas conexiones nivel-0-a-nivel-1 es 100.64.0.0/10. A cada conexión del mismo nivel de nivel 0 a nivel 1 se le proporciona una subred /31 dentro del espacio de direcciones 100.64.0.0/10. De manera opcional, puede configurar el espacio de dirección en la configuración del nivel 0 Resumen > Avanzado.

La siguiente cifra muestra una topología como ejemplo.


VMware, Inc. 68

nivel 1

nivel 0

conmutadorgenerado porel sistema

NSX Edge

subred predeterminada 100.64.1.0/31

Procedimiento




4 De la pestaña Resumen, haga clic en Editar.

5 Seleccione el enrutador lógico de nivel 0 en el menú desplegable.

6 (opcional) Seleccione un clúster perimetral en el menú desplegable.

Debe realizarse una copia de seguridad del enrutador de nivel 1 en un dispositivo Edge si el enrutador se utilizará para servicios, como NAT. Si no selecciona un clúster Edge, el enrutador de nivel 1 no puede realizar el servicio NAT.

7 Especifique los miembros y el miembro preferido.

Si selecciona un clúster perimetral y deja los campos de miembros y el miembro preferido en blanco, NSX-T establece el dispositivo de copia de seguridad del clúster especificado.


9 Haga clic en la pestaña Configuración del enrutador de nivel 1 para comprobar que se creó la dirección IP del puerto con vinculación punto a punto.

Por ejemplo, la dirección IP del puerto vinculado puede ser 100.64.1.1/31.

10 Seleccione el enrutador lógico de nivel 0 en el panel de navegación.

11 Haga clic en la pestaña Configuración del enrutador de nivel 0 para comprobar que se creó la dirección IP del puerto con vinculación punto a punto.

Por ejemplo, la dirección IP del puerto vinculado puede ser 100.64.1.1/31.


VMware, Inc. 69

Pasos siguientes

Compruebe que el enrutador de nivel 0 aprenda acerca de rutas anunciadas por enrutadores de nivel 1.

Comprobar que un enrutador de nivel 0 aprendió las rutas de un enrutador de nivel 1Cuando un enrutador lógico de nivel 1 anuncia las rutas a un enrutador lógico de nivel 0, las rutas se incluyen en la tabla de enrutamiento del enrutador de nivel 0 como rutas estáticas de NSX-T.

Procedimiento

1 En NSX Edge, ejecute el comando get logical-routers para encontrar el número de VRF del enrutador de servicio de nivel 0.

nsx-edge-1> get logical-routers

Logical Router

UUID : 736a80e3-23f6-5a2d-81d6-bbefb2786666

vrf : 0

type : TUNNEL

Logical Router

UUID : 421a2d0d-f423-46f1-93a1-2f9e366176c8

vrf : 5

type : SERVICE_ROUTER_TIER0

Logical Router

UUID : f3ce9d7d-7123-47d6-aba6-45cf1388ca7b

vrf : 6

type : DISTRIBUTED_ROUTER

Logical Router

UUID : c8e64eff-02b2-4462-94ff-89f3788f1a61

vrf : 7


Logical Router

UUID : fb6c3f1f-599f-4421-af8a-99692dff3dd4

vrf : 8


2 Ejecute el comando vrf <number> para introducir el contexto del enrutador de servicios de nivel 0.

nsx-edge-1> vrf 5

nsx-edge1(tier0_sr)>


VMware, Inc. 70

3 En el enrutador de servicios de nivel 0, ejecute el comando get route y compruebe que las rutas esperadas aparezcan en la tabla de enrutamiento.

Tenga en cuenta que el enrutador de nivel 0 aprende las rutas estáticas (ns) de NSX-T porque el enrutador de nivel 1 anuncia las rutas.

nsx-edge1(tier0_sr)> get route

Flags: c - connected, s - static, b - BGP, ns - nsx_static

nc - nsx_connected, rl - router_link, t0n: Tier0-NAT, t1n: Tier1-NAT

Total number of routes: 7

b 10.10.10.0/24 [20/0] via 192.168.100.254

rl 100.91.176.0/31 [0/0] via 169.254.0.1

c 169.254.0.0/28 [0/0] via 169.254.0.2

ns 172.16.10.0/24 [3/3] via 169.254.0.1 ns 172.16.20.0/24 [3/3] via 169.254.0.1

c 192.168.100.0/24 [0/0] via 192.168.100.2

Conectar un enrutador lógico de nivel 0 a un conmutador lógico VLANPara crear el vínculo superior de Edge, debe conectar un enrutador de nivel 0 al conmutador VLAN.

La siguiente topología sencilla muestra un conmutador lógico VLAN dentro de una zona de transporte VLAN. El conmutador lógico VLAN tiene un ID de VLAN que coincide con el del puerto TOR para el vínculo superior de la VLAN de Edge.

Nivel 0

Nodode transportede NSX Edge

Conmutador ToR

VLAN 100

conmutadorlógico deVLAN 100

zona de transporteVLAN

vmnic1 (vínculo superiorVLAN de Edge)


VMware, Inc. 71

Requisitos previos

Cree un conmutador lógico VLAN. Consulte Crear un conmutador lógico VLAN para el vínculo superior de NSX Edge.

Cree un enrutador de nivel 0.

Procedimiento




4 En la pestaña Configuración (Configuration), agregue un puerto nuevo para el enrutador lógico.

5 Escriba un nombre para el puerto, por ejemplo "vínculo superior".

6 Seleccione el tipo Vínculo superior (Uplink).

7 Seleccione un nodo de transporte de Edge.

8 Seleccione un conmutador lógico VLAN.

9 Escriba una dirección IP con el formato CIDR en la misma subred que el puerto conectado en el conmutador TOR.

Por ejemplo:


VMware, Inc. 72

Resultados

Se agrega un vínculo superior nuevo para el enrutador de nivel 0.

Pasos siguientes

Configure BGP o una ruta estática.

Comprobar la conexión del enrutador lógico de nivel 0 y TORPara que el enrutamiento funcione en el vínculo superior desde el enrutador de nivel 0, se debe disponer de conectividad con el dispositivo para parte superior de bastidor.

Requisitos previos

n Compruebe que el enrutador lógico de nivel 0 esté conectado a un conmutador lógico de VLAN. Consulte Conectar un enrutador lógico de nivel 0 a un conmutador lógico VLAN.

Procedimiento

1 Inicie sesión en la CLI de NSX Manager.


VMware, Inc. 73



Logical Router


vrf : 0

type : TUNNEL

Logical Router

UUID : 421a2d0d-f423-46f1-93a1-2f9e366176c8

vrf : 5


Logical Router


vrf : 6


Logical Router


vrf : 7


Logical Router


vrf : 8



nsx-edge-1> vrf 5


4 En el enrutador de servicio de nivel 0, ejecute el comando get route y asegúrese de que la ruta prevista se muestra en la tabla de enrutamiento.

Tenga en cuenta que la ruta al TOR aparece como conectado (c).

nsx-edge1(tier0_sr)> get route




b 10.10.10.0/24 [20/0] via 192.168.100.254

rl 100.91.176.0/31 [0/0] via 169.254.0.1


VMware, Inc. 74

c 169.254.0.0/28 [0/0] via 169.254.0.2

ns 172.16.10.0/24 [3/3] via 169.254.0.1

ns 172.16.20.0/24 [3/3] via 169.254.0.1

c 192.168.100.0/24 [0/0] via 192.168.100.2

5 Haga ping al TOR.

nsx-edge1(tier0_sr)> ping 192.168.100.254

PING 192.168.100.254 (192.168.100.254): 56 data bytes



^C

nsx-edge1>

--- 192.168.100.254 ping statistics ---


round-trip min/avg/max/stddev = 1.393/2.107/2.822/0.715 ms

Resultados

Los paquetes se envían entre el enrutador lógico de nivel 0 y el enrutador físico para verificar una conexión.

Pasos siguientes

Dependiendo de sus requisitos de red, puede configurar una ruta estática o BGP. Consulte Configurar una ruta estática o Configurar BGP en un enrutador lógico de nivel 0.

Configurar una ruta estáticaPuede configurar una ruta estática en el enrutador de nivel 0 para redes externas. Tras configurar la ruta estática, no es necesario anunciar la ruta de nivel 0 a nivel 1, ya que los enrutadores de nivel 1 poseen de forma automática una ruta estática predeterminada hacia el enrutador de nivel 0 al que están conectados.

La topología de la ruta estática muestra un enrutador lógico de nivel 0 con una ruta estática al prefijo 10.10.10.0/24 en la arquitectura física. A modo de prueba, la dirección 10.10.10.10/32 se configura en la interfaz de bucle invertido del enrutador externo. El enrutador externo posee una ruta estática al prefijo 172.16.0.0/16 para alcanzar la aplicación y web de las máquinas virtuales.


VMware, Inc. 75

Figura 5-2. Topología de la ruta estática

VM VM

100.64.10.0

172.16.20.10 172.16.10.10


Máquina virtualweb

nivel 0 Arquitecturafísica

nivel 1

Host

192.168.100.3

ruta estática 10.10.10.0/24

100.64.10.1

ruta estática 172.16.0.0/16

192.168.100.254lo0:

10.10.10.10

Requisitos previos

n Compruebe que el enrutador físico y el enrutador lógico de nivel 0 están conectados. Consulte Comprobar la conexión del enrutador lógico de nivel 0 y TOR.

n Compruebe que el enrutador de nivel 1 está configurado para anunciar las rutas conectadas. Consulte Crear un enrutador lógico de nivel 1 .

Procedimiento




4 Haga clic en la pestaña Enrutamiento (Routing) y seleccione Ruta estática (Static Route) del menú desplegable.

5 Seleccione Agregar (Add).

6 Introduzca una dirección de red en formato CIDR.

Por ejemplo, 10.10.10.0/24.


VMware, Inc. 76

7 Haga clic en Insertar fila (Insert Row) para agregar una dirección IP de próximo salto.

Por ejemplo, 192.168.100.254.


La dirección de red de la ruta estática recién creada aparece en la fila.

Pasos siguientes

Compruebe que la ruta estática está configurada correctamente. Consulte Comprobar la ruta estática.

Comprobar la ruta estáticaUtilice la CLI para comprobar que la ruta estática esté conectada. También debe comprobar que el enrutador externo pueda hacer ping a las máquinas virtuales internas y viceversa.

Requisitos previos

Compruebe que una ruta estática esté configurada. Consulte Configurar una ruta estática.

Procedimiento



VMware, Inc. 77

2 Confirme la ruta estática.

a Obtenga la información de UUID del enrutador de servicios.

get logical-routers

nsx-edge1> get logical-routers

Logical Router


vrf : 2

type : TUNNEL

Logical Router

UUID : d40bbfa4-3e3d-4178-8615-6f42ea335037

vrf : 4


Logical Router

UUID : d0289ba4-250e-41b4-8ffc-7cab4a46c3e4

vrf : 5


Logical Router

UUID : a6ee6316-2212-4171-99cc-930c98bcad7f

vrf : 6


b Localice la información de UUID de la salida.

Logical Router

UUID : d40bbfa4-3e3d-4178-8615-6f42ea335037

vrf : 4


c Compruebe que la ruta estática funcione.

get logical-router d40bbfa4-3e3d-4178-8615-6f42ea335037 static



s 10.10.10.0/24 [1/1] via 192.168.100.254

rl 100.64.1.0/31 [0/0] via 169.0.0.1

ns 172.16.10.0/24 [3/3] via 169.0.0.1

ns 172.16.20.0/24 [3/3] via 169.0.0.1


VMware, Inc. 78

3 En el enrutador externo, haga ping a las máquinas virtuales internas para confirmar que se puede acceder a ellas a través de la superposición de NSX-T.

a Conéctese al enrutador externo.

ping 172.16.10.10



64 bytes from 172.16.10.10: icmp_req=2 ttl=62 time=1.96 ms

^C

--- 172.16.10.10 ping statistics ---



b Pruebe la conectividad de red.

traceroute 172.16.10.10

traceroute to 172.16.10.10 (172.16.10.10), 30 hops max, 60 byte packets

1 192.168.100.3 (192.168.100.3) 0.640 ms 0.575 ms 0.696 ms

2 100.64.1.1 (100.64.1.1) 0.656 ms 0.604 ms 0.578 ms

3 172.16.10.10 (172.16.10.10) 3.397 ms 3.703 ms 3.790 ms

4 En las máquinas virtuales, haga ping a la dirección IP externa.

ping 10.10.10.10




^C

--- 10.10.10.10 ping statistics ---



Opciones de configuración de BGPPara sacar pleno provecho del enrutador lógico de nivel 0, se debe configurar la topología con redundancia y simetría con BGP entre los enrutadores de nivel 0 y los elementos del mismo nivel externos de la parte superior del rack. Este diseño ayuda a garantizar la conectividad en caso de que el vínculo o el nodo fallen.


VMware, Inc. 79

Existen dos modos de configuración: activo-activo y activo-espera. El siguiente diagrama muestra dos opciones de configuración simétrica. Hay dos nodos NSX Edge en cada topología. En el caso de una configuración activo-activo, al crear puertos de vínculo superior de nivel 0, puede asociar cada uno de ellos con hasta ocho nodos de transporte NSX Edge. Cada nodo NSX Edge puede poseer dos puertos de vínculo superior.

Opción 1

Edge Edge

Opción 2

Columna

Hoja

Columna

Hoja

Edge Edge

Columna

Hoja

Columna

Hoja

Para la opción 1, cuando se configuran los enrutadores físicos de nodo hoja, deben poseer vecinos BGP con NSX Edge. La redistribución de rutas debe incluir los mismos prefijos de red con métricas BGP similares para todos los vecinos BGP. En la configuración de enrutadores lógicos de nivel 0, todos los enrutadores deben configurarse como vecinos BGP.

Cuando esté configurando los vecinos BGP del enrutador de nivel 0, si no especifica una dirección local (la dirección IP de origen), la configuración de vecino BGP se envía a todos los nodos NSX Edge asociados con los vínculos superiores de enrutadores lógicos de nivel 0. Si configura una dirección local, la configuración pasa al nodo NSX Edge con el vínculo superior que posea dicha dirección IP.

En el caso de la opción 1, si los vínculos superiores se encuentran en la misma subred de los nodos NSX Edge, resulta lógico omitir la dirección local. Si los vínculos superiores en los nodos NSX Edge se encuentran en distintas subredes, la dirección local debe especificarse en la configuración del vecino BGP del enrutador de nivel 0 para evitar que la configuración se aplique a todos los nodos NSX Edge asociados.

Para la opción 2, compruebe que la configuración del enrutador lógico de nivel 0 incluya la dirección IP local del enrutador de servicios con nivel 0. Los enrutadores de nodo hoja están solo configurados con las instancias de NSX Edge que estén directamente conectadas, como el vecino BGP.


VMware, Inc. 80

Configurar BGP en un enrutador lógico de nivel 0Para habilitar el acceso entre las máquinas virtuales y el mundo exterior, puede configurar una conexión BGP externa (eBGP) entre el enrutador lógico de nivel 0 y el enrutador en la infraestructura física.

Al configurar BGP, debe configurar un número local de sistema autónomo (Autonomous System, AS) para el enrutador lógico de nivel 0. Por ejemplo, la siguiente topología muestra que el número local del AS es 64510. Debe configurar también el número remoto del AS del enrutador físico. En este ejemplo, el número del sistema autónomo remoto es 64511. La dirección IP del vecino remoto es 192.168.100.254. El vecino debe residir en la misma subred IP que el vínculo superior en el enrutador lógico de nivel 0. Los saltos entre redes BGP no son compatibles.

A modo de prueba, la dirección 10.10.10.10/32 se configura en la interfaz de bucle invertido del enrutador externo.

Nota El ID del enrutador utilizado para crear sesiones BGP en un nodo Edge se selecciona automáticamente a partir de las direcciones IP configuradas en los vínculos superiores de un enrutador lógico de nivel 0. Las sesiones BGP en un nodo Edge pueden oscilar cuando la ID del enrutador cambia. Esto puede suceder cuando se eliminan la dirección IP autoseleccionada para un ID del enrutador o el puerto del enrutador lógico al que esta IP está asignada.

Figura 5-3. Topología de conectividad BGP

VM VM

100.64.10.0

172.16.20.10 172.16.10.10

Máquinavirtual de

aplicaciones

Máquina virtualweb

nivel 0

Arquitecturafísica

nivel 1

Host

192.168.100.3

AS 64510

100.64.10.1

AS 64511192.168.100.254

lo0:10.10.10.10


VMware, Inc. 81

Requisitos previos

n Compruebe que el enrutador de nivel 1 está configurado para anunciar las rutas conectadas. Consulte Configurar anuncios de rutas en un enrutador lógico de nivel 1. Esto no es un requisito obligatorio de la configuración BGP, pero si posee una topología de dos niveles y planea volver a distribuir las redes de nivel 1 en BGP, si es necesario.

n Compruebe que el enrutador de nivel 0 esté configurado. Consulte Crear un enrutador lógico de nivel 0.

n Compruebe que el enrutador de nivel 0 aprendió las rutas del enrutador lógico de nivel 1. Consulte Comprobar que un enrutador de nivel 0 aprendió las rutas de un enrutador de nivel 1.

Procedimiento




4 Haga clic en la pestaña Enrutamiento (Routing) y seleccione BGP del menú desplegable.

5 Haga clic en Editar (Edit) para configurar el número local del AS y haga clic en Guardar (Save).

Por ejemplo, 64510.

6 Haga clic en el botón de alternancia Estado (Status) para habilitar BGP.

El botón de Estado (Status) debe aparecer como Habilitado (Enabled).

7 (opcional) Configure la agregación de rutas, habilite el reinicio estable y ECMP.

El reinicio estable solo es compatible con el clúster Edge asociado con el enrutador de nivel 0 que posea solo un nodo Edge.


9 Haga clic en Agregar (Add) en la sección Vecinos (Neighbors) para agregar un vecino BGP.

10 Introduzca la dirección IP de vecino.

Por ejemplo, 192.168.100.254.

11 (opcional) Seleccione una dirección local en el menú desplegable.

12 Introduzca el número del AS remoto.

Por ejemplo, 64511.

13 (opcional) Configure los temporizadores (mantenimiento y supresión) y una contraseña.

14 (opcional) Agregue una familia de direcciones y configure el filtro de rutas y los mapas de rutas.

Pasos siguientes

Compruebe que BGP esté funcionando correctamente. Consulte Comprobar las conexiones BGP desde un enrutador de servicios de nivel 0 .


VMware, Inc. 82

Comprobar las conexiones BGP desde un enrutador de servicios de nivel 0Utilice la CLI para comprobar desde el enrutador de servicios de nivel 0 que se estableció una conexión BGP a un vecino.

Requisitos previos

Compruebe que BGP esté configurado. Consulte Configurar BGP en un enrutador lógico de nivel 0.

Procedimiento




Logical Router


vrf : 0

type : TUNNEL

Logical Router

UUID : 421a2d0d-f423-46f1-93a1-2f9e366176c8

vrf : 5


Logical Router


vrf : 6


Logical Router


vrf : 7


Logical Router


vrf : 8



nsx-edge-1> vrf 5



VMware, Inc. 83

4 Compruebe que el estado de BGP sea Established, up (Establecido, activo).

get bgp neighbor

BGP neighbor: 192.168.100.254 Remote AS: 64511

BGP state: Established, up

Hold Time: 180s Keepalive Interval: 60s

Capabilities:

Route Refresh: advertised and received

Address Family: IPv4 Unicast:advertised and received

Graceful Restart: none

Restart Remaining Time: 0

Messages: 28 received, 31 sent

Minimum time between advertisements: 30s (default)

For Address Family IPv4 Unicast:advertised and received

Route Refresh: 0 received, 0 sent

Prefixes: 2 received, 2 sent, 2 advertised

1 Connections established, 2 dropped

Local host: 192.168.100.3, Local port: 179

Remote host: 192.168.100.254, Remote port: 33044

Pasos siguientes

Compruebe la conexión BGP desde el enrutador externo. Consulte Comprobar la conectividad en dirección norte y la redistribución de rutas.

Configurar BFD en un enrutador lógico de nivel 0El protocolo de detección de envío bidireccional (Bidirectional Forwarding Detection, BFD) puede detectar los errores de envío de rutas.

Procedimiento




4 Haga clic en la pestaña Enrutamiento y seleccione BFD del menú desplegable.

5 Haga clic en Editar para configurar BFD.

6 Haga clic en el botón de alternancia Estado para habilitar BFD.

De forma opcional, es posible cambiar las propiedades BFD globales Recibir intervalo, Transmitir intervalo y Declarar intervalo inactivo.


VMware, Inc. 84

7 (opcional) Haga clic en Agregar en Elementos BFD del mismo nivel para próximos saltos de rutas estáticas para agregar un elemento BFD del mismo nivel.

Especifique la dirección IP del elemento y establezca el estado de administrador como Habilitado. De forma opcional, es posible sobrescribir las propiedades BFD globales Recibir intervalo, Transmitir intervalo y Declarar intervalo inactivo.

Habilitar la redistribución de rutas en el enrutador lógico de nivel 0Cuando habilita la redistribución de rutas, el enrutador lógico de nivel 0 comienza a compartir rutas especificadas con su enrutador en dirección norte.

Requisitos previos

n Compruebe que los enrutadores lógicos de nivel 0 y 1 estén conectados para que pueda anunciar las redes del enrutador lógico de nivel 1 para redistribuirlas en el enrutador lógico de nivel 0. Consulte Adjuntar nivel 0 y nivel 1.

n Si quiere filtrar direcciones IP específicas de la redistribución de rutas, compruebe que estén configurados los mapas de rutas. Consulte Crear un mapa de rutas.

Procedimiento




4 Haga clic en la pestaña Enrutamiento y seleccione Redistribución de rutas en el menú desplegable.

5 Haga clic en Agregar para completar los criterios de redistribución de rutas.


Nombre y descripción Asigne un nombre a la redistribución de rutas. Puede proporcionar una descripción de forma opcional.

Un nombre de ejemplo sería advertise-to-bgp-neighbor.

Orígenes Seleccione las casillas de las rutas de origen que quiera redistribuir.

Estático: rutas estáticas de nivel 0.

NSX conectado: rutas conectadas al nivel 1.

NSX estático: rutas estáticas de nivel 1. Estas rutas estáticas se crean automáticamente.

NAT de nivel 0: rutas generadas si NAT se configura en el enrutador lógico de nivel 0.

NAT de nivel 1: rutas generadas si NAT se configura en el enrutador lógico de nivel 1.

Mapa de ruta (Opcional) Asigne un mapa de rutas para filtrar una secuencia de direcciones IP de la redistribución de rutas.


VMware, Inc. 85


7 Haga clic en el botón de alternancia Estado para habilitar la redistribución de rutas.

El botón Estado aparece como Habilitado.

Comprobar la conectividad en dirección norte y la redistribución de rutasUse la CLI para comprobar que se aprendieron las rutas de BGP. También puede comprobar desde el enrutador externo que se pueda acceder a las VM conectadas a NSX-T.

Requisitos previos

n Compruebe que BGP esté configurado. Consulte Configurar BGP en un enrutador lógico de nivel 0.

n Compruebe que las rutas estáticas de NSX-T estén configuradas para ser redistribuidas. Consulte Habilitar la redistribución de rutas en el enrutador lógico de nivel 0.

Procedimiento


2 Vea las rutas aprendidas desde el vecino BGP externo.

nsx-edge1(tier0_sr)> get route bgp



b 10.10.10.0/24 [20/0] via 192.168.100.254


VMware, Inc. 86

3 Desde el enrutador externo, compruebe que las rutas BGP se aprendieron y que se pueda acceder a las VM a través de la superposición de NSX-T.

a Enumere las rutas BGP.

user@router# run show ip route bgp

Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF,

I - ISIS, B - BGP, > - selected route, * - FIB route

B>* 172.16.10.0/24 [20/0] via 192.168.100.2, eth2, 00:00:48

B>* 172.16.20.0/24 [20/0] via 192.168.100.2, eth2, 00:00:48

B>* 172.16.30.0/24 [20/0] via 192.168.100.2, eth2, 00:00:48

b Desde el enrutador externo, haga ping en las VM conectadas a NSX-T.

ping 172.16.10.10




^C

--- 172.16.10.10 ping statistics ---



c Compruebe la ruta a través de la superposición de NSX-T.

traceroute 172.16.10.10

traceroute to 172.16.10.10 (172.16.10.10), 30 hops max, 60 byte packets

1 192.168.100.3 (192.168.100.3) 0.640 ms 0.575 ms 0.696 ms

2 100.91.176.1 (100.91.176.1) 0.656 ms 0.604 ms 0.578 ms

3 172.16.10.10 (172.16.10.10) 3.397 ms 3.703 ms 3.790 ms

4 Desde las VM internas, haga ping en la dirección IP externa.

ping 10.10.10.10




^C

--- 10.10.10.10 ping statistics ---



Pasos siguientes

Configure funcionalidades de enrutamiento adicional, como ECMP.


VMware, Inc. 87

Información sobre el enrutamiento ECMPEl protocolo de enrutamiento Multipath de igual coste (ECMP) aumenta el ancho de banda de la comunicación norte y sur agregando un vínculo superior al enrutador lógico de nivel 0 y lo configura para cada nodo de Edge de un clúster de Edge. Las rutas de enrutamiento ECMP se utilizan para equilibrar la carga del tráfico y para ofrecer una tolerancia a errores para las rutas con errores.

Las rutas ECMP se crean automáticamente en las máquinas virtuales asociadas a los conmutadores lógicos y a los nodos de Edge en los que se creó una instancia del enrutador lógico de nivel 0. Se admite un máximo de ocho rutas ECMP.

Figura 5-4. Topología del enrutamiento ECMP

Arquitecturafísica

Nivel 0

192.168.100.3

Nodo de Edge 1

Nivel 0

Nodo de Edge 2

192.168.200.3

Clúster de Edge

192.168.100.1 192.168.200.1

ConmutadorVLAN

Vínculosuperior 2

Vínculosuperior 1

Por ejemplo, la topología muestra dos enrutadores lógicos de nivel 0 de un clúster de Edge. Cada enrutador lógico de nivel 0 se encuentra en un nodo de Edge y estos nodos forman parte del clúster. Los puertos de vínculo de superior 192.168.100.3 y 198.168.200.3 definen cómo se conecta el nodo de transporte al conmutador lógico para obtener acceso a la red física. Cuando las rutas del enrutamiento ECMP se habilitan, estas rutas conectan las máquinas virtuales asociadas a los conmutadores lógicos y los dos nodos de Edge del clúster de Edge. Las rutas de enrutamiento ECMP múltiple aumentan la resistencia y el rendimiento de la red.

Agregar un puerto de vínculo superior a un segundo nodo EdgeAntes de habilitar ECMP, debe configurar un vínculo superior para conectar el enrutador lógico de nivel 0 al conmutador lógico VLAN.


VMware, Inc. 88

Requisitos previos

n Compruebe que la zona de transporte y los dos nodos de transporte estén configurados. Consulte la Guía de instalación de NSX-T.

n Compruebe que los dos nodos Edge y el clúster Edge estén configurados. Consulte la Guía de instalación de NSX-T.

n Compruebe que el conmutador lógico VLAN para el vínculo superior esté disponible. Consulte Crear un conmutador lógico VLAN para el vínculo superior de NSX Edge.

n Compruebe que el enrutador lógico de nivel 0 esté configurado. Consulte Crear un enrutador lógico de nivel 0.

Procedimiento




4 Haga clic en la pestaña Configuración (Configuration) para agregar un puerto de enrutador.


6 Complete los detalles del puerto de enrutador.


Nombre (Name) Asigne un nombre al puerto de enrutador.

Descripción (Description) Proporcione una descripción adicional que muestre que el puerto es para la configuración ECMP.

Tipo (Type) Acepte el tipo predeterminado Vínculo superior (Uplink).

Nodo de transporte (Transport Node) Asigne el nodo de transporte del host en el menú desplegable.

Conmutador lógico (Logical Switch) Asigne el conmutador lógico del host en el menú desplegable.

Puerto de conmutador lógico (Logical Switch Port)

Asigne un nuevo nombre al puerto del conmutador.

También puede utilizar un puerto del conmutador existente.

Dirección/máscara IP (IP Address/Mask)

Introduzca una dirección IP que se encuentre en la misma subred que el puerto conectado al conmutador ToR.

Configuración del puerto de enrutador de ejemplo.


VMware, Inc. 89


Resultados

Se agrega un nuevo puerto de vínculo superior al enrutador de nivel 0 y al conmutador lógico VLAN. El enrutador lógico de nivel 0 se configura en ambos nodos Edge.

Pasos siguientes

Cree una conexión BGP para el segundo vecino y habilite el enrutamiento ECMP. Consulte Agregar un segundo vecino BGP y habilitar el enrutamiento ECMP.

Agregar un segundo vecino BGP y habilitar el enrutamiento ECMPAntes de habilitar el enrutamiento ECMP, debe agregar un vecino BGP y configurarlo con la información del vínculo superior recién agregado.

Requisitos previos

Compruebe que un puerto de vínculo superior esté configurado en el segundo nodo Edge. Consulte Agregar un puerto de vínculo superior a un segundo nodo Edge .

Procedimiento




4 Haga clic en la pestaña Enrutamiento (Routing) y seleccione BGP del menú desplegable.

5 Haga clic en Agregar (Add) en la sección Vecinos (Neighbors) para agregar un vecino BGP.


VMware, Inc. 90

6 Introduzca la dirección IP de vecino.

Por ejemplo, 192.168.200.254.

7 Seleccione la dirección local en el menú desplegable.

Por ejemplo, uplink2 192.168.200.1.

8 Introduzca el número del AS remoto.

Por ejemplo, 64511.


Aparece el vecino BGP recién agregado.

10 Haga clic en Edit (Editar) junto a la sección Configuración BGP (BGP Configuration).

11 Haga clic en el botón de alternancia ECMP para habilitar ECMP.

El botón de Estado (Status) debe aparecer como Habilitado (Enabled).


Resultados

Varias rutas de enrutamiento ECMP se conectan a las máquinas virtuales asociadas a los conmutadores lógicos y los dos nodos Edge en el clúster Edge.

Pasos siguientes

Verifique que las conexiones de enrutamiento ECMP funcionen de manera correcta. Consulte Comprobar la conectividad del enrutamiento ECMP.

Comprobar la conectividad del enrutamiento ECMPUtilice la CLI para comprobar si se estableció la conexión del enrutamiento ECMP al vecino.

Requisitos previos

Compruebe que el enrutamiento ECMP esté configurado. Consulte Agregar un puerto de vínculo superior a un segundo nodo Edge y Agregar un segundo vecino BGP y habilitar el enrutamiento ECMP.

Procedimiento


2 Obtenga la información de UUID del enrutador distribuido.

get logical-routers

Logical Router


vrf : 2

type : TUNNEL

Logical Router


VMware, Inc. 91

UUID : d40bbfa4-3e3d-4178-8615-6f42ea335037

vrf : 4


Logical Router


vrf : 5


Logical Router

UUID : a6ee6316-2212-4171-99cc-930c98bcad7f

vrf : 6


3 Localice la información de UUID de la salida.

Logical Router


vrf : 5


4 Escriba el VRF del enrutador distribuido de nivel 0.

vrf 5

5 Compruebe que el enrutador distribuido de nivel 0 esté conectado a los nodos de Edge.

get forwarding

Por ejemplo, edge-node-1 y edge-node-2.

6 Introduzca exit para dejar el contexto vrf.

7 Abra el controlador activo del enrutador lógico de nivel 0.

8 Compruebe que el enrutador distribuido de nivel 0 del nodo del controlador esté conectado.

get logical-router <UUID> route

El tipo de ruta del UUID debe aparecer como NSX_CONNECTED.

9 Inicie una sesión SSH en los dos nodos de Edge.

10 Inicie una sesión para capturar paquetes.

set capture session 0 interface fp-eth1 dir tx

set capture session 0 expression src net <IP_Address>

11 Acceda al centro de control y haga doble clic en los scripts httpdata11.bat y httpdata12.bat.

Se enviará un gran número de solicitudes HTTP a ambas máquinas virtuales web y podrá ver el tráfico con hash a ambas rutas utilizando los nodos de Edge, que muestra que ECMP funciona.

12 Detenga la sesión de captura.

del capture session 0


VMware, Inc. 92

13 Quite los scripts bat.

Crear una lista de prefijos IPUna lista de prefijos IP contiene una o varias direcciones IP que tienen asignados permisos de acceso para anunciar rutas. Las direcciones IP de esta lista se procesan de forma secuencial. Las listas de prefijos IP se incluyen a través de los filtros de vecino BGP o los mapas de rutas con dirección entrante o saliente.

Por ejemplo, puede agregar la dirección IP 192.168.100.3/27 a la lista de prefijos IP y no permitir que la ruta se redistribuya al enrutador ascendente. Esto significa que, excepto la dirección IP 192.168.100.3/24, el resto de las direcciones IP se compartirán con el enrutador.

También puede agregar una dirección IP con los modificadores "igual o inferior a" (le) y "igual o superior a" (ge) para permitir o limitar la redistribución de rutas. Por ejemplo, los modificadores le 30 y ge 24 de 192.168.100.3/27 coinciden con las máscaras de subred iguales o superiores a 24 bits, e iguales o inferiores a 30 bits de largo.

Nota La acción predeterminada de una ruta es Denegar. Cuando cree una lista de prefijos para denegar o permitir rutas específicas, asegúrese de crear un prefijo de IP con una dirección de red en blanco y la acción Permitir si desea permitir el resto de las rutas.

Requisitos previos

Compruebe que tenga un enrutador lógico de nivel 0 configurado. Consulte Crear un enrutador lógico de nivel 0.

Procedimiento




4 Haga clic en la pestaña Enrutamiento y seleccione Listas de prefijos de IP del menú desplegable.

5 Seleccione Agregar.

6 Asigne un nombre a la lista de prefijos IP.

7 Haga clic en Insertar fila para añadir una dirección de red con el formato CIDR.

Por ejemplo, 192.168.100.3/27.

8 Seleccione Denegar o Permitir en el menú desplegable.

Puede permitir o no que cada dirección IP se anuncie en función de sus requisitos.

9 (opcional) Establezca un rango de números de dirección IP en los modificadores le o ge.

Por ejemplo, establezca el valor 30 para el modificador le y el valor 24 para el modificador ge.



VMware, Inc. 93

Resultados

La lista de prefijos IP que acaba de crear aparecerá en la fila.

Crear un mapa de rutasUn mapa de rutas es una secuencia de listas de prefijos IP, atributos de rutas BGP y una acción asociada. El enrutador analiza la secuencia para buscar una coincidencia de direcciones IP. Si hay alguna coincidencia, el enrutador realiza la acción y deja de analizar la secuencia.

Los mapas de rutas se pueden incluir en la redistribución de rutas y en el nivel de vecino BGP. Cuando las listas de prefijos IP se incluyen en mapas de rutas y la acción de los mapas de rutas para permitir o denegar direcciones IP se aplica, la acción especificada en la secuencia de los mapas de rutas anula la especificación de la lista de prefijos IP.

Requisitos previos

Compruebe que una lista de prefijos IP esté configurada. Consulte Crear una lista de prefijos IP.

Procedimiento




4 Seleccione Enrutamiento (Routing) > Mapas de rutas (Route Maps).


6 Introduzca un nombre y una descripción opcional para el mapa de rutas.

7 Haga clic en Agregar (Add) para agregar una entrada al mapa de rutas.

8 Seleccione una o varias listas de prefijos IP.

9 (opcional) Establezca atributos BGP.

Atributo BGP Descripción

AS-path Prepend Anteponga una ruta con uno o varios números de sistemas autónomos (autonomous system, AS) para que la ruta sea más larga y, por tanto, tenga menor preferencia.

MED El atributo Discriminador de salida múltiple (Multi-Exit Discriminator, MED) indica a un par externo la ruta de preferencia a un AS.

Weight Establece una ponderación que influye en la selección de las rutas. El rango es 0-65.535.

Community Especifique una comunidad con el formato aa:nn, por ejemplo, 300:500. O utilice el menú desplegable para seleccionar uno de los siguientes atributos:

n NO_EXPORT_SUBCONFED: no anuncia a pares EBGP.

n NO_ADVERTISE: no anuncia a ningún par.

n NO_EXPORT: no anuncia fuera de la confederación BGP.


VMware, Inc. 94

10 En la columna Acción (Action), seleccione Permitir (Permit) o Denegar (Deny).

Puede permitir o no que las direcciones IP de las listas de prefijos IP anuncien sus direcciones.



VMware, Inc. 95

Traducción de direcciones de red 6La traducción de direcciones de red (NAT) de NSX-T se puede configurar en los enrutadores lógicos de nivel 0 y nivel 1.

Por ejemplo, el siguiente diagrama muestra dos enrutadores lógicos de nivel 1 con NAT configurada en Tenant2NAT. La máquina virtual web se configura para utilizar 172.16.10.10 como dirección IP y 172.16.10.1 como puerta de enlace predeterminada.

NAT se aplica al vínculo superior del enrutador lógico de Tenant2NAT en su conexión al enrutador lógico de nivel 0.

Para habilitar la configuración de NAT, Tenant2NAT debe tener un componente de servicio en un clúster de NSX Edge. Por tanto, Tenant2NAT se muestra dentro de NSX Edge. Para realizar comparativas, Tenant1 puede estar fuera de NSX Edge porque no utiliza ningún servicio de Edge.

VMware, Inc. 96

Figura 6-1. Topología de NAT

VM VM

172.16.20.10Dentro: 172.16.10.10Fuera: 80.80.80.1


Máquina virtualweb

nivel 1de Tenant2NAT

Host

172.16.10.1


nivel 0

NSX Edge


aplicaciones

nivel 1de Tenant1

172.16.20.1

Arquitecturafísica

192.168.100.3


192.168.100.1


n NAT de nivel 1

n NAT de nivel 0

NAT de nivel 1Los enrutadores lógicos de nivel 1 son compatibles con la NAT de origen y de destino.

Configurar NAT de origen en un enrutador de nivel 1Las reglas de NAT de origen (SNAT) cambian la dirección de origen en el encabezado IP del paquete. También puede cambiar el puerto de origen en los encabezados TCP/UDP. El uso general es cambiar una dirección o puerto privado (rfc1918) en uno público para los paquetes que abandonan la red.


VMware, Inc. 97

En este ejemplo, cuando los paquetes se reciben de la máquina virtual web, el enrutador de nivel 1 de Tenant2NAT cambia el puerto de origen de los paquetes de 172.16.10.10 a 80.80.80.1. Si tiene una dirección de origen pública, se habilitarán los destinos fuera de la red privada para regresar al origen inicial.

Requisitos previos

n El enrutador de nivel 0 debe tener un vínculo superior conectado a un conmutador lógico basado en VLAN. Consulte Conectar un enrutador lógico de nivel 0 a un conmutador lógico VLAN.

n El enrutador de nivel 0 debe tener enrutamiento (estático o BGP) y la redistribución de rutas configurados en su vínculo superior a la arquitectura física. Consulte Configurar una ruta estática, Configurar BGP en un enrutador lógico de nivel 0 y Habilitar la redistribución de rutas en el enrutador lógico de nivel 0.

n Cada uno de los enrutadores de nivel 1 debe tener configurado un vínculo superior a un enrutador de nivel 0. Un clúster perimetral debe realizar una copia de seguridad de Tenant2NAT. Consulte Adjuntar nivel 0 y nivel 1.

n Los enrutadores de nivel 1 deben tener configurados puertos de vínculo inferior y anuncio de ruta. Consulte Agregar puertos de vínculo inferior para el enrutador lógico de nivel 1 y Configurar anuncios de rutas en un enrutador lógico de nivel 1.

n Las VM deben conectarse a los conmutadores lógicos pertinentes.

Procedimiento



3 Haga clic en el enrutador lógico de nivel 1 sobre el que quiera configurar NAT.

4 Bajo NAT, haga clic en Agregar (Add).

5 En cuanto a la Acción (Action), seleccione SNAT.

6 Seleccione el tipo de protocolo.

De manera predeterminada, se encuentra seleccionada la opción Cualquier protocolo (Any Protocol).

7 Para la dirección IP de origen, introduzca la dirección IP interna de la máquina virtual.

Si deja en blanco el campo para la IP de origen, todos los orígenes de los puertos de vínculo inferior del enrutador se traducen. En este ejemplo, el IP de origen es 172.16.10.10.

8 Para la dirección IP traducida, introduzca la dirección IP externa de la máquina virtual.

Observe que la dirección IP externa/traducida no está configurada en la máquina virtual. Solo el enrutador NAT necesita saber acerca de la dirección IP traducida.

En este ejemplo, la dirección IP traducida es 80.80.80.1.


VMware, Inc. 98

9 Para la dirección IP de destino, puede dejarlo en blanco o introducir una dirección IP.

Si deja en blanco el campo para la IP de destino, NAT se aplica a todos los destinos fuera de la subred local.

10 Habilite la regla.

11 (opcional) Habilite los registros.

Resultados

La nueva regla se muestra bajo NAT. Por ejemplo:

Pasos siguientes

Configure el enrutador de nivel 1 para anunciar las rutas NAT.

Para anunciar las rutas NAT en sentido ascendente desde el enrutador de nivel 0 hasta la arquitectura física, configure el enrutador de nivel 0 para que anuncie las rutas NAT de nivel 1.

Configurar NAT de destino en un enrutador de nivel 1El NAT de destino cambia la dirección de destino en el encabezado IP de un paquete. También puede cambiar el puerto de destino en los encabezados TCP/UDP. Su uso típico es el de redirigir los paquetes entrantes con un destino de una dirección/puerto público a una dirección IP/puerto privado dentro de su red.

En este ejemplo, a medida que se reciben paquetes desde la VM de aplicaciones, el enrutador de nivel 1 Tenant2NAT cambia el puerto de destino de los paquetes de 172.16.10.10 a 80.80.80.1. Tener una dirección de destino pública permite establecer contacto con destino dentro de una red privada desde fuera de dicha red.

Requisitos previos

n El enrutador de nivel 0 debe tener un vínculo superior conectado a un conmutador lógico basado en VLAN. Consulte Conectar un enrutador lógico de nivel 0 a un conmutador lógico VLAN.

n El enrutador de nivel 0 debe tener enrutamiento (estático o BGP) y la redistribución de rutas configurados en su vínculo superior a la arquitectura física. Consulte Configurar una ruta estática, Configurar BGP en un enrutador lógico de nivel 0 y Habilitar la redistribución de rutas en el enrutador lógico de nivel 0.


VMware, Inc. 99




Procedimiento



3 Haga clic en el enrutador lógico de nivel 1 sobre el que quiera configurar NAT.


5 Para la acción, seleccione DNAT.

6 Seleccione el tipo de protocolo.

De manera predeterminada, se encuentra seleccionada la opción Cualquier protocolo (Any Protocol).

7 Para la dirección IP de destino, introduzca la dirección IP de la VM.

En este ejemplo, la dirección IP de destino es 80.80.80.1. Tenga en cuenta que no es necesario configurar en la VM la dirección IP externa. Solo el enrutador NAT necesita conocer la dirección IP externa.

8 Para la dirección IP traducida, introduzca la dirección IP de la VM.

La dirección IP interna debe configurarse en la VM.

En este ejemplo, la dirección IP interna/traducida es 172.16.10.10.

9 Para la dirección IP de origen, puede dejarla en blanco o introducir una dirección IP.

Si deja en blanco el campo IP de origen, NAT lo aplica a todos los orígenes externos a la subred local.



Resultados



VMware, Inc. 100

Pasos siguientes



Anunciar rutas NAT de nivel 1 para un enrutador ascendente de nivel 0Anunciar rutas NAT de nivel 1 permite que el enrutador ascendente de nivel 0 aprenda acerca de dichas rutas.

Procedimiento



3 Haga clic en un enrutador lógico de nivel 1 donde esté NAT configurado.

4 En el enrutador de nivel 1, seleccione Enrutamiento > Anuncio de rutas (Routing > Route Advertisement).

5 Edite las reglas de anuncio de rutas para habilitar el anuncio de rutas NAT.

Resultados


VMware, Inc. 101

Pasos siguientes

Anuncie rutas NAT de nivel 1 del enrutador de nivel 0 para la arquitectura física ascendente.

Anunciar rutas NAT de nivel 1 para la arquitectura físicaAnunciar rutas NAT de nivel 1 del enrutador de nivel 0 permite que la arquitectura física ascendente aprenda acerca de dichas rutas.

Procedimiento


2 Seleccione Enrutamiento.

3 Haga clic en un enrutador lógico de nivel 0 conectado a un enrutador de nivel 1 donde NAT esté configurado.

4 En el enrutador de nivel 0, seleccione Enrutamiento > Redistribución de rutas.

5 Edite las reglas de anuncio de rutas para habilitar el anuncio de rutas NAT de nivel 1.

Resultados

Pasos siguientes

Compruebe que NAT funcione según lo previsto.


VMware, Inc. 102

Comprobar la NAT de nivel 1Compruebe que las reglas SNAT y DNAT funcionen correctamente.

Procedimiento

1 Inicie sesión en NSX Edge.

2 Ejecute el comando get logical-routers para determinar el número VRF del enrutador de servicios de nivel 0.


4 Ejecute el comando para mostrar rutas y compruebe que la dirección de NAT de nivel 1 aparezca.

nsx-edge(tier0_sr)> get route




t1n 80.80.80.1/32 [3/3] via 169.0.0.1

...

5 Si la máquina virtual web está configurada para mostrar páginas web, compruebe que pueda abrir una página web en http://80.80.80.1.

6 Compruebe que el vecino en dirección ascendente del enrutador de nivel 0 de la arquitectura física pueda hacer ping a 80.80.80.1.

7 Mientras se esté ejecutando el ping, compruebe la columna de estadísticas de la regla DNAT.

Debe haber una sesión activa.

NAT de nivel 0Los enrutadores lógicos de nivel 0 admiten las NAT reflexivas.

NAT reflexivaCuando un enrutador lógico de nivel 0 se ejecuta en modo ECMP activo-activo, no puede configurar la traducción de direcciones de red (Network Address Translation, NAT) con estado, ya que las rutas asimétricas podrían causar problemas. En el caso de los enrutadores con ECMP activo/activo, puede utilizar la NAT reflexiva (en ocasiones denominada NAT sin estado).

En este ejemplo, cuando los paquetes se reciben de la máquina virtual web, el enrutador de nivel 1 de Tenant2NAT cambia el puerto de origen de los paquetes de 172.16.10.10 a 80.80.80.1. Si tiene una dirección de origen pública, se habilitarán los destinos fuera de la red privada para regresar al origen inicial.


VMware, Inc. 103

VM VM

172.16.20.10Dentro: 172.16.10.10Fuera: 80.80.80.1


Máquina virtualweb

nivel 1de Tenant2NAT

Host

172.16.10.1


nivel 0

NSX Edge


aplicaciones

nivel 1de Tenant1

172.16.20.1

Arquitecturafísica

192.168.100.3


192.168.100.1

Sin embargo, cuando se utilizan dos enrutadores de nivel 0 activo/activo, como se muestra en el ejemplo, se debe configurar la NAT reflexiva.


VMware, Inc. 104

Arquitecturafísica

Nivel 0

192.168.100.3

Nodo de Edge 1

Nivel 0

Nodo de Edge 2

192.168.200.3

Clúster de Edge

192.168.100.1 192.168.200.1

ConmutadorVLAN

Vínculosuperior 2

Vínculosuperior 1

Configurar NAT reflexiva en un enrutador lógico de nivel 0Cuando un enrutador lógico de nivel 0 se ejecuta en modo ECMP activo-activo, no puede configurar la traducción de direcciones de red (Network Address Translation, NAT) con estado, ya que las rutas asimétricas podrían causar problemas. En el caso de los enrutadores con ECMP activo/activo, puede utilizar la NAT reflexiva (en ocasiones denominada NAT sin estado).

Requisitos previos

n El enrutador de nivel 0 debe poseer dos vínculos superiores conectados a un conmutador lógico basado en VLAN. Consulte Conectar un enrutador lógico de nivel 0 a un conmutador lógico VLAN.

n El enrutador de nivel 0 debe poseer un enrutamiento (estático o BGP) y la redistribución de las rutas debe configurarse en sus vínculos superiores para la arquitectura física. Consulte Configurar una ruta estática, Configurar BGP en un enrutador lógico de nivel 0 y Habilitar la redistribución de rutas en el enrutador lógico de nivel 0.





VMware, Inc. 105

Procedimiento



3 Haga clic en el enrutador lógico de nivel 0 donde desee configurar NAT reflexiva.


5 En cuanto a la Acción (Action), seleccione Reflexiva (Reflexive).

6 Para la dirección IP de origen, introduzca la dirección IP externa de la máquina virtual.

En este ejemplo, el IP de origen es 80.80.80.1.

7 Para la dirección IP traducida, introduzca la dirección IP de la VM.

En este ejemplo, la dirección IP traducida es 172.16.10.10.

8 Para la dirección IP de destino, puede dejarlo en blanco o introducir una dirección IP.

Si deja en blanco el campo para la IP de destino, NAT se aplica a todos los destinos fuera de la subred local.



Resultados


Pasos siguientes




VMware, Inc. 106

Secciones y reglas de firewall 7Las secciones de firewall se utilizan para agrupar un conjunto de reglas de firewall.

Una sección de firewall está constituida por una o varias reglas de firewall individuales. Cada regla de firewall individual contiene instrucciones que determinan si un paquete se debe permitir o bloquear, qué protocolos y puertos puede utilizar, etc. Las secciones se utilizan para varios arrendamientos, como reglas específicas de departamentos de ventas e ingeniería de secciones independientes.

Una sección se puede definir como reglas sin estado o con estado impositivo. Las reglas sin estado se consideran ACL sin estado tradicionales. Las ACL reflexivas no son compatibles con las secciones sin estado. No le recomendamos que utilice una combinación de reglas con estado y sin estado en un puerto de conmutador lógico único, ya que se podría producir un comportamiento no definido.

Las reglas se pueden subir o bajar en una sección. En el caso del tráfico que intenta atravesar el firewall, la información del paquete está sujeta a las reglas en el orden que se muestra en la sección, empezando por el principio y siguiendo por la regla predeterminada en la parte inferior. La primera regla que coincide con el paquete tiene su acción configurada aplicada. Además, los procesos especificados en las opciones configuradas de la regla se realizan y todas las reglas posteriores se ignoran (incluso si una regla posterior es una coincidencia mejor). Por lo tanto, debe colocar las reglas específicas por encima de las reglas más generales para garantizar que no se ignoren dichas reglas. La regla predeterminada situada en la parte inferior de la tabla de reglas es una regla "catchall", por lo que la regla predeterminada aplicará los paquetes que no coincidan con ninguna otra regla.


n Agregar una sección de reglas de firewall

n Eliminar una sección de reglas de firewall

n Habilitar y deshabilitar reglas de sección

n Habilitar y deshabilitar registros de sección

n Acerca de las reglas de firewall

n Agregar una regla de firewall

n Eliminar una regla de firewall

n Editar la regla de Distributed Firewall predeterminada

VMware, Inc. 107

n Cambiar el orden de una regla de firewall

n Filtrar reglas de firewall

n Excluir objetos de cumplimiento de reglas del firewall

Agregar una sección de reglas de firewall

Una sección de regla de firewall se edita y guarda de manera independiente; se utiliza para aplicar diferentes configuraciones de firewall en los arrendatarios.

Procedimiento

1 Seleccione Firewall (Firewall) en el panel de navegación.

Asegúrese de estar en la pestaña General para agregar una regla de Capa 3. Haga clic en la pestaña Ethernet para agregar una regla de Capa 2.

2 Para agregar una sección, en la primera columna, haga clic en la rueda ( ) o en una regla y seleccione Agregar sección de arriba (Add Section Above) o Agregar sección de abajo (Add Section Below).

Nota En el caso de tráfico que intente acceder a través del firewall, la información del paquete está sujeta a reglas en el orden que aparece en la Tabla de reglas (Rules table), comenzando por el principio hasta las reglas predeterminadas situadas al final. En algunos casos, el orden de prioridad de dos o más reglas puede ser importante a la hora de determinar la disposición del paquete.

3 Introduzca el nombre de la sección y una descripción opcional.

4 Seleccione Con estado (Stateful), Falso (False) o Verdadero (True). Esta opción se aplica solo a la Capa 3.

Los firewalls sin estado inspeccionan el tráfico de red y restringen o bloquean paquetes en base a las direcciones de origen y destino u otros valores de estado. Los firewalls con estado pueden inspeccionar los flujos de tráfico de un extremo a otro. Los firewalls sin estado son generalmente más rápidos y logran un mejor rendimiento durante cargas de tráfico más altas. Los firewalls con estado son mejores a la hora de identificar comunicaciones no autorizadas y falsificadas. No es posible alternar entre con o sin estado una vez definido.

5 Seleccione dónde desea aplicar la sección.

Nota Si ha utilizado Se aplica a (Applied to) en una sección, se sobrescribirán las opciones de configuración Se aplica a (Applied to) en las reglas de esa sección.

Puerto lógico: muestra todos los puertos lógicos.

Conmutador lógico: muestra todos los conmutadores lógicos.

Grupo NS: muestra todos los grupos NS.


VMware, Inc. 108

6 Haga clic en la casilla de verificación junto al puerto, conmutador o grupo disponible y, a continuación, haga clic en la flecha.

El artículo se mueve a la columna seleccionada.

7 Haga clic en Guardar (Save) para guardar la sección.

La sección recién agregada aparece en la ventana Firewall.

Pasos siguientes

Agregue reglas de firewall a la sección.

Eliminar una sección de reglas de firewallUna sección de reglas de firewall se puede eliminar cuando ya no se utiliza.

Al quitar una sección de reglas de firewall, todas las reglas de la sección se eliminan. No puede eliminar una sección y volver a agregarla en otro lugar de la tabla de firewall. Para hacerlo, debe eliminar la sección y publicar la configuración. A continuación, agregue la sección eliminada en la tabla de firewall y vuelva a publicar la configuración.

Procedimiento


2 Asegúrese de estar en la pestaña General para agregar una regla de Capa 3.

3 Haga clic en la pestaña Ethernet para agregar una regla de Capa 2.

4 Para quitar una sección, haga clic con el botón secundario en el icono de rueda situado junto a la sección que quiera eliminar en la primera columna.

5 Haga clic en Eliminar (Delete) para quitar la sección. La sección y todas sus reglas se eliminarán.

Habilitar y deshabilitar reglas de secciónPuede habilitar o deshabilitar todas las reglas de una sección de reglas de firewall.

Procedimiento


2 En la primera columna, haga clic en el icono de rueda y seleccione Deshabilitar reglas de sección (Disable Section Rules) o Habilitar reglas de sección (Enable Section Rules).


Habilitar y deshabilitar registros de secciónSi habilita registros de reglas de sección, se registrará información sobre los paquetes de todas las reglas de una sección. En función del número de reglas de una sección, una sección de firewall común generará grandes cantidades de información de registro y puede afectar al rendimiento.


VMware, Inc. 109

Los registros se almacenan en el archivo /var/log/dfwpktlogs.log de los hosts KVM y vSphere ESXi.

Procedimiento


2 En la primera columna, haga clic en el icono de rueda . Seleccione Deshabilitar registros de reglas de sección (Disable Logs for Section Rules) o Habilitar registros de reglas de sección (Enable Logs for Section Rules).


Acerca de las reglas de firewallNSX-T utiliza reglas de firewall para especificar el control de tráfico dentro y fuera de la red.

Firewall presenta varios conjuntos de reglas de configuración: reglas de Capa 3 (pestaña General) y reglas de Capa 2 (pestaña Ethernet). Las reglas de firewall de Capa 2 se procesan antes que las reglas de Capa 3. La pestaña Configuración (Configuration) incluye la lista de exclusión, que contiene los conmutadores lógicos, puertos lógicos y grupos que deben excluirse de la aplicación de firewall.

Las reglas de firewall se aplican de la siguiente manera:

n Las reglas se procesan siguiendo un orden de arriba a abajo.

n Cada paquete se compara con la regla principal de la tabla antes de bajar a las reglas subsiguientes de esa tabla.

n Se aplica la primera regla de la tabla que coincide con los parámetros de tráfico.

No se pueden aplicar las reglas subsiguientes, ya que la búsqueda en ese paquete finaliza. Debido a este comportamiento, se recomienda siempre colocar las directivas más pormenorizadas al principio de la tabla. Esto garantizará que se apliquen antes que otras reglas más específicas.

La regla predeterminada, situada al final de la tabla, es una regla catch-all que aplicará los paquetes que no coincidan con ninguna otra regla. Tras la operación de preparación del host, la acción de la regla predeterminada se establece como Permitir (Allow). Esto asegura que la comunicación de máquina virtual a máquina virtual no se interrumpa durante las fases de almacenamiento o migración. Se recomienda cambiar la acción de la regla predeterminada a Bloquear (Block) y aplicar el control de acceso mediante un modelo de control positivo (por ejemplo, que solo el tráfico especificado en la regla de firewall se permita en la red).

Para acceder a las opciones de las reglas de firewall, haga clic en la flecha desplegable junto a las Columnas (Columns) y seleccione las columnas que desee incluir en la ventana de reglas de firewall. Las siguientes opciones están disponibles.


VMware, Inc. 110

Tabla 7-1. Columnas en la pantalla de las reglas de firewall

Nombre de la columna Definición

Nombre (Name) Nombre de la regla de firewall.

Orígenes (Sources) El origen de la regla puede ser tanto una dirección IP o MAC como un objeto diferente. El origen coincidirá con cualquiera si no está definido. IPv6 no es compatible con el rango de origen o destino.

ID Identificador único generado por el sistema para cada regla.

Dirección (Direction) El elemento de dirección de la regla coincide con la dirección a la que se dirige el paquete mientras recorre la interfaz. Una dirección de entrada corresponde con la entrada de tráfico a través del firewall. Una dirección de salida corresponde con la salida de tráfico a través del firewall. De forma predeterminada, la dirección será de entrada y salida (ambas direcciones).

Protocolo IP (IP Protocol)

Se aplica solo a las reglas de Capa 3. Son compatibles los formatos IPv4 e IPv6. Ambos son el valor predeterminado.

Destinos (Destinations)

La dirección/máscara de red IP o MAC de destino de la conexión afectada por la regla. El destino coincidirá con cualquiera si no está definido. IPv6 no es compatible con el rango de origen o destino.

Servicios (Services) El servicio puede ser una combinación de protocolos de puertos predeterminados para la Capa 3. Para la Capa 2 puede ser EtherType. Para las Capas 2 y 3, es posible definir de forma manual un nuevo servicio o grupo de servicio. El servicio coincidirá con cualquiera si no se especificó.

Acción (necesaria) (Action required)

La acción que aplica la regla puede ser Permitir, Bloquear o Rechazar (Allow, Block, or Reject).

Se aplica a (Applied To)

Define el ámbito de aplicación de la regla. Si no está definido el ámbito incluirá todos los puertos lógicos. Si agregó "Se aplica a" a una sección, se sobrescribirá la regla.

Registrar (Log) Se puede activar o desactivar el registro. Los registros se almacenan en el archivo /var/log/dfwpktlogs.log en los hosts ESX y KVM.

Estadísticas (Stats) El campo de lectura muestra el byte, el recuento de paquetes y las sesiones.

Notas (Notes) Comentarios de la regla.

A continuación se encuentra la regla de firewall predeterminada con una parte que muestra la opción de columnas.

Figura 7-1. Ventana de reglas de firewall (Firewall Rules Window)

Agregar una regla de firewallUn firewall es un sistema de seguridad de red que supervisa y controla el tráfico de red entrante y saliente en función de las reglas de firewall predeterminadas.


VMware, Inc. 111

Las reglas de firewall se agregan al ámbito de NSX Manager. Mediante el campo Se aplica a (Applied To), se puede delimitar el ámbito en el que se desea aplicar la regla. Es posible agregar varios objetos en los niveles de origen y destino para cada regla, lo que permite reducir la cantidad total de reglas de firewall que se deben agregar.

Nota De forma predeterminada, una regla coincide con los elementos predeterminados de las reglas de origen, destino y servicio, coincidiendo con todas las interfaces y direcciones de tráfico. Si desea restringir el efecto de la regla en interfaces o direcciones de tráfico determinadas, debe especificar la restricción en la regla.

Requisitos previos

Para utilizar un grupo de direcciones, primero asocie de forma manual la dirección IP y MAC de cada máquina virtual con su conmutador lógico.

Procedimiento



2 Para agregar una regla, en la primera columna, haga clic en el icono de la rueda ( ) y, al final de la lista, seleccione Agregar regla (Add Rule).

Aparece una nueva fila para definir la regla de firewall.

Nota Si el tráfico intenta acceder a través del firewalll, la información del paquete está sujeta a las reglas en el orden que aparece en la Tabla de reglas (Rules table), comenzando por el principio hasta las reglas predeterminadas situadas al final. En algunos casos, el orden de prioridad de dos o más reglas puede ser importante a la hora de determinar la disposición del paquete.

3 Se agregará una nueva regla en la parte superior de la sección. Si desea agregar una regla en un lugar específico de la sección, seleccione una regla. En la primera columna, haga clic en el icono de la rueda ( ) y seleccione Insertar regla arriba (Insert Rule Above) o Insertar regla abajo (Insert Rule Below).

Aparece una nueva fila para definir la regla de firewall.

4 En la esquina superior derecha de la columna Nombre (Name), haga clic en el icono del lápiz. Introduzca el nombre de la regla en el cuadro de diálogo Editar nombre (Edit Name).

Aparece una regla con el nombre especificado.


VMware, Inc. 112

5 Coloque el puntero sobre la celda Origen (Source) de la nueva regla, haga clic en el icono del lápiz y seleccione el origen de la regla. El origen coincidirá con cualquiera si no está definido. Aparece el cuadro de diálogo Editar orígenes (Edit Sources).

Nota Al crear una nueva regla de firewall, puede arrastrar y soltar los objetos que desee utilizar para los campos Origen (Source), Destino (Destination), Servicio (Service) y Se aplica a (Applied To), en lugar de seleccionarlos cada vez. Esto puede ayudar a acelerar el proceso de creación de reglas, especialmente cuando se vuelven a utilizar los mismos objetos.

Para realizar este procedimiento, haga clic en Objetos (Objects) en la esquina izquierda de la ventana de reglas de firewall, seleccione el tipo de objeto de la lista y arrastre y suelte el objeto requerido en el campo adecuado, por ejemplo, Orígenes (Sources) en la regla de firewall.

Tabla 7-2. Ventana Editar orígenes (Edit Sources)


Dirección IP o MAC (IP Address or MAC Address)

Introduzca varias direcciones IP o MAC en una lista separada por comas. La lista puede contener hasta 255 caracteres. Son compatibles los formatos IPv4 y IPv6.

Objetos (Objects)

Haga clic en la flecha y seleccione el objeto.

1 Seleccione el conjunto de direcciones IP, el puerto lógico, el conmutador lógico y el grupo NS.

Aparecen los objetos disponibles del contenedor seleccionado.

2 Seleccione uno o varios objetos y haga clic en la flecha. Para seleccionar todos los objetos disponibles, haga clic en la casilla de verificación junto a Disponible (Available) y, a continuación, haga clic en la flecha.

3 Los objetos se mueven a la columna seleccionada.

4 Haga clic en Aceptar (OK).


VMware, Inc. 113

6 Coloque el puntero sobre la celda Destinos (Destinations) de la nueva regla. El destino coincidirá con cualquiera si no está definido. Aparece el cuadro de diálogo Editar destinos (Edit Destinations).

Tabla 7-3. Ventana Editar destinos (Edit Destinations)


Dirección IP o MAC (IP Address or MAC address)

Puede introducir varias direcciones IP o MAC en una lista separada por comas. La lista puede contener hasta 255 caracteres. Son compatibles los formatos IPv4 y IPv6.

Objetos (Objects)

Haga clic en la flecha y seleccione el objeto.

1 Seleccione el conjunto de direcciones IP, el puerto lógico, el conmutador lógico y el grupo NS.

Aparecen los objetos disponibles del contenedor seleccionado.

2 Seleccione uno o varios objetos y haga clic en la flecha. Para seleccionar todos los objetos disponibles, haga clic en la casilla de verificación junto a Disponible (Available) y, a continuación, haga clic en la flecha.

3 Los objetos se mueven a la columna seleccionada.

4 Haga clic en Aceptar (OK).

7 Coloque el puntero sobre la celda Servicio (Service) de la nueva regla. El servicio coincidirá con cualquiera si no está definido.

Aparece el cuadro de diálogo Editar servicios (Edit Services). La lista ya muestra varios servicios predefinidos, pero no se limita a esas opciones.

8 Para seleccionar un servicio predefinido, seleccione uno o varios objetos disponibles y haga clic en la flecha. Haga clic en Aceptar (OK).

9 Para definir un nuevo servicio, haga clic en Nuevo (New). Aparece el cuadro de diálogo NSService.


Nombre (Name) Nombre del nuevo servicio.

Descripción (Description) Descripción del nuevo servicio.

Tipo de servicio (Type of Service) n ALG

n ICMP

n IP

n Conjunto de puertos de Capa 4

n IGMP

Protocolo (Protocolo) Seleccione uno de los protocolos disponibles.

Puertos de origen (Source Ports) Introduzca el puerto de origen.

Puertos de destino (Destination Ports)

Seleccione el puerto de destino.

Agrupar los servicios existentes (Group existing services)

Haga clic en el botón de opción para agregar un servicio de grupo existente.


VMware, Inc. 114

10 Coloque el puntero sobre la celdaAcción (Action) y haga clic en el icono del lápiz. Este parámetro es obligatorio. Aparece el cuadro de diálogo Editar acción (Edit Action).


Permitir (Allow) Permite el acceso directo de todo el tráfico de Capa 3 y Capa 2 con el origen, destino y protocolo especificados a través del contexto de firewall presente. Los paquetes que coincidan con la regla, y que se acepten, atravesarán el sistema como si el firewall no estuviera presente.

Descartar (Drop) Descarta paquetes con el origen, destino y protocolo especificados. Descartar un paquete es una acción silenciosa que no envía ninguna notificación a los sistemas de origen y de destino. Al descartar el paquete, se intentará recuperar la conexión hasta que se alcance el umbral de reintentos.

Rechazar (Reject) Rechaza paquetes con el origen, destino y protocolo especificados. Rechazar un paquete es una manera más estable para denegarlo, ya que envía un mensaje de destino no alcanzable al remitente. Si el protocolo es TCP, se envía un mensaje TCP RST. Se envían mensajes ICMP con código prohibido de forma administrativa para conexiones UDP, ICMP y otras conexiones IP. Una ventaja de utilizar la opción Rechazar (Reject) es que la aplicación que envía el mensaje recibe una notificación después de que se produzca un único intento de establecer conexión sin éxito.

11 Coloque el puntero sobre la celda Se aplica a (Applied To) y haga clic en el icono del lápiz. Aparece

el cuadro de diálogo Editar se aplica a (Edit Applied To).

Seleccione el tipo de objeto en la lista desplegable. Haga clic en Aceptar (OK).

12 Coloque el puntero sobre la celda Registrar (Log) y haga clic en el icono del lápiz. El registro se desactiva de forma predeterminada. Seleccione Sí (Yes) para habilitar el registro o No para deshabilitarlo. Los registros se almacenan en el archivo /var/log/dfwpktlogs.log en los hosts ESX y KVM. También puede escribir notas aquí. Tenga en cuenta que, si selecciona Sí (Yes), se registrarán todas las sesiones que coincidan con esta regla. Si el registro se habilita, el rendimiento puede verse afectado.

13 Para que se apliquen la regla o las reglas, haga clic en Guardar (Save).

Es posible agregar varias reglas antes de hacer clic en Guardar (Save).

Eliminar una regla de firewallUn firewall es un sistema de seguridad de red que supervisa y controla el tráfico de red entrante y saliente en función de las reglas de firewall predeterminadas. Las reglas personalizadas definidas se pueden agregar y eliminar.

Procedimiento




VMware, Inc. 115

2 Haga clic con el botón secundario en el número de la regla que desea mover.

Aparecerá una lista desplegable.

3 Seleccione Eliminar (Delete).

La regla del firewall se eliminará.

4 Haga clic en Guardar (Save) para aplicar los cambios.

Resultados

La regla se eliminará.

Editar la regla de Distributed Firewall predeterminadaPuede editar la configuración de firewall predeterminada que se aplica al tráfico que no coincide con ninguna de las reglas de firewall definidas por el usuario.

La configuración de firewall predeterminada aplica al tráfico que no coincide con ninguna de las reglas de firewall definidas por el usuario. La regla de Distributed Firewall predeterminada se muestra en la interfaz de usuario del firewall centralizado. La regla de Capa 3 predeterminada se muestra en la pestaña General y la regla de Capa 2 se muestra en la pestaña Ethernet.

Las reglas de Distributed Firewall predeterminadas permiten el acceso de todo el tráfico de Capa 3 y Capa 2 a los clústeres preparados en la infraestructura. La regla predeterminada se encuentra siempre al final de la tabla de reglas y no se puede eliminar ni es posible agregarle elementos. Sin embargo, puede cambiar el elemento Acción (Action) de la regla desde Permitir descartar o rechazar (Allow to Drop or Reject) e indicar si el tráfico de esa regla se debe registrar.

Procedimiento

1 Haga clic en Firewall.

Aparecerá la pantalla Firewall general (General Firewall).

2 Asegúrese de estar en la pestaña General para editar la regla de Capa 3 predeterminada. Haga clic en la pestaña Ethernet para editar una regla de Capa 2.

3 En la columna Acción (Action), expanda la sección y seleccione una de las siguientes opciones:

n Permitir (Allow): permite que todo el tráfico de Capa 3 y Capa 2 con el origen, el destino y el protocolo especificados atraviese el contexto de firewall actual. Los paquetes que coincidan con la regla y se acepten atraviesan el sistema como si el firewall no estuviese presente.

n Descartar (Drop): descarta los paquetes con el origen, el destino y el protocolo especificados. Descartar un paquete es una acción silenciosa que no envía ninguna notificación a los sistemas de origen y de destino. Al descartar el paquete, se intentará recuperar la conexión hasta que se alcance el umbral de reintentos.


VMware, Inc. 116

n Rechazar (Reject): rechaza los paquetes con el origen, el destino y el protocolo especificados. Rechazar un paquete es una manera más estable para denegarlo, ya que envía un mensaje de destino no alcanzable al remitente. Si el protocolo es TCP, se envía un mensaje TCP RST. Se envían mensajes ICMP con código prohibido de forma administrativa para conexiones UDP, ICMP y otras conexiones IP. Una ventaja de utilizar la opción Rechazar (Reject) es que la aplicación que envía el mensaje recibe una notificación después de que se produzca un único intento de establecer conexión sin éxito.

Nota No le recomendamos que seleccione Rechazar (Reject) como la acción para la regla predeterminada.

4 En la columna Registro (Log), expanda la sección y seleccione Sí (Yes) para habilitar el registro o No, para deshabilitarlo. También puede escribir notas aquí. Tenga en cuenta que si selecciona Sí (Yes), se registrarán todas las sesiones que coincidan con esta regla. Si el registro se habilita, el rendimiento puede verse afectado.

5 Haga clic en Guardar (Save) y confirme los cambios.

Cambiar el orden de una regla de firewallLas reglas se procesan siguiendo un orden de arriba a abajo. Se puede cambiar el orden de las reglas en la lista.

En el caso de tráfico que intente acceder a través del firewall, la información del paquete está sujeta a reglas en el orden que aparece en la Tabla de reglas (Rules table), comenzando por el principio hasta las reglas predeterminadas situadas al final. En algunos casos, el orden de prioridad de dos o más reglas puede ser importante a la hora de determinar el flujo de tráfico.

Es posible mover una regla personalizada hacia arriba o abajo en la tabla. La regla predeterminada siempre se coloca en la parte inferior de la tabla y no se puede mover.

Procedimiento



2 Haga clic con el botón secundario en el número de la regla que desea mover.

3 Seleccione Mover arriba (Move Up) o Mover abajo (Move Down).

La regla subirá o bajará una posición.

Filtrar reglas de firewallPuede utilizar un número de criterios para filtrar su conjunto de reglas, lo que permite modificar las reglas con facilidad.


VMware, Inc. 117

Procedimiento

1 En la esquina superior izquierda de la ventana Firewall, haga clic en Filtrar (Filter) .

Aparecerá el cuadro de diálogo Filtrar (Filter).

2 Para realizar el filtrado, puede buscar en:

n Orígenes (Sources): busca reglas de firewall entrantes.

n Destinos (Destinations): busca reglas de firewall salientes.

n Aplicado a (Applied To): busca reglas en el criterio Aplicado a (Applied to).

n Servicios (Services): en esta lista, seleccione la aplicación o el servicio que se va a permitir o bloquear. La lista ya muestra muchos servicios comunes, pero no está limitado a estas opciones. Utilice la celda Servicios (Services) para agregar otros servicios u otras aplicaciones que no aparezcan.

3 Haga clic en el criterio en el que quiera buscar y aparecerá en la parte superior del cuadro.

4 Seleccione el tipo de búsqueda:

n Conjunto de direcciones IP (IP Set): esta opción incluye todas las direcciones IP del destino o del origen de las reglas.

n Puerto lógico (Logical Port): filtra reglas por puertos lógicos.

n Conmutador lógico (Logical Switch): filtra reglas por conmutadores lógicos.

n Grupo NSGroup (NSGroup): filtra reglas por grupos NSGroup.

El resultado del filtrado aparecerá en el cuadro.

Excluir objetos de cumplimiento de reglas del firewallUn puerto lógico, un conmutador lógico o NSGroup pueden excluirse de una regla del firewall.

Después de haber creado una sección con reglas de firewall, puede que quiera excluir un puerto de dispositivo de NSX-Tde las reglas del firewall.

Procedimiento

1 Seleccione Firewall (Firewall) en el panel de navegación. Seleccione la pestaña Configuración (Configuration).

Se muestra la lista de exclusiones.

2 Seleccione Objetos (Objects) en la esquina derecha de la ventana.

3 En la lista desplegable, seleccione Puertos lógicos (Logical Ports), Conmutador lógico (Logical Switch) o NSGroup (NSGroup).

4 Haga doble clic en el puerto, conmutador o grupo específico que quiera excluir de la regla del firewall. Para cerrar el cuadro de diálogo Objeto (Object), vuelva a hacer clic en Objetos (Objects).

La lista de exclusiones se rellena con el nombre y tipo de objeto que esté excluyendo.


VMware, Inc. 118

5 Para eliminar un objeto de la lista de exclusión, haga clic en la x.



VMware, Inc. 119

Configurar grupos y servicios 8Puede configurar grupos para organizar objetos.

Puede utilizar los siguientes grupos en reglas de firewall:

n Conjuntos de direcciones IP

n Conjuntos de direcciones MAC

n Grupos de servicio

n Grupos NSGroup, que pueden incluir conjuntos de direcciones IP y MAC, puertos y conmutadores lógicos, así como otros grupos NSGroup

Además, puede crear grupos de direcciones IP para asignar direcciones IP al crear nodos de transporte.


n Crear un conjunto de direcciones IP

n Crear un grupo de direcciones IP

n Crear un conjunto de direcciones MAC

n Crear un grupo NSGroup

n Configurar servicios y grupos de servicios

Crear un conjunto de direcciones IPUn conjunto de direcciones IP es un grupo de direcciones IP que puede utilizar como origen y destino en reglas de firewall.

Un conjunto de direcciones IP puede contener una combinación de direcciones IP individuales, rangos de IP y subredes. Puede especificar direcciones IPv4 o IPv6, o ambas. Un conjunto de direcciones IP puede ser miembro de grupos NSGroup.

Nota IPv6 no es compatible para los rangos de origen o destino de reglas de firewall.

Procedimiento


VMware, Inc. 120

2 Seleccione Inventario (Inventory) > Grupos (Groups) en el panel de navegación.

3 Seleccione la opción Conjuntos de direcciones IP situada en la parte superior del panel principal.

4 Haga clic en Agregar.

5 Introduzca un nombre.

6 (opcional) Escriba una descripción.

7 Introduzca direcciones individuales o un rango de direcciones.


Crear un grupo de direcciones IPPuede utilizar un grupo de direcciones IP para asignar subredes o direcciones IP al crear subredes de Capa 3.

Procedimiento



3 Seleccione la opción Grupos de direcciones IP situada en la parte superior del panel principal.





8 Introduzca rangos de IP.

Coloque el cursor del mouse sobre la esquina superior derecha de cualquier celda y haga clic en el icono de lápiz para editarla.

9 (opcional) Introduzca una puerta de enlace.

10 Introduzca una dirección IP de CIDR con sufijo.

11 (opcional) Introduzca servidores DNS.

12 (opcional) Introduzca un sufijo DNS.


Crear un conjunto de direcciones MACUn conjunto de direcciones MAC es un grupo de direcciones MAC que puede utilizar como origen y destino en reglas de firewall de Capa 2 y como miembro de un grupo NSGroup.


VMware, Inc. 121

Procedimiento



3 Seleccione la opción Conjuntos de direcciones MAC situada en la parte superior del panel principal.




7 Introduzca las direcciones MAC.


Crear un grupo NSGroupPuede configurar un grupo NSGroup para que incluya una combinación de conjuntos de direcciones IP y MAC, puertos y conmutadores lógicos y otros grupos NSGroup. Puede especificar grupos NSGroup como orígenes y destinos, así como en el campo Applied To, en las reglas de firewall.

Un grupo NSGroup tiene las siguientes características:

n Puede especificar miembros directos, que pueden ser conjuntos de direcciones IP y MAC, puertos y conmutadores lógicos y grupos NSGroups.

n Puede especificar hasta cinco criterios de pertenencia para puertos y conmutadores lógicos. Para cada criterio, debe especificar una etiqueta y, de forma opcional, un alcance.

n Un grupo NSGroup tiene miembros directos y efectivos. Entre los miembros efectivos, se incluyen los miembros que especifica con los criterios de pertenencia, así como todos los miembros efectivos y directos que pertenecen a los miembros de este grupo NSGroup. Por ejemplo, imaginemos que el grupo NSGroup-1 tiene el miembro directo LogicalSwitch-1. Agrega el grupo NSGroup-2 y especifica NSGroup-1 y LogicalSwitch-2 como miembros. Ahora NSGroup-2 tiene los miembros directos NSGroup-1 y LogicalSwitch-2, así como un miembro efectivos, LogicalSwitch-1. A continuación, agrega NSGroup-3 y especifica NSGroup-2 como miembro. NSGroup-3 ahora tiene el miembro directo NSGroup-2 y los miembros efectivos LogicalSwitch-1 y LogicalSwitch-2.

n Un grupo NSGroup puede tener un máximo de 500 miembros directos.

n El límite recomendado para el número de miembros efectivos de un grupo NSGroup es 5.000. Si supera este límite, ninguna funcionalidad se verá afectada pero es posible que exista un impacto negativo en el rendimiento. En NSX Manager, cuando el número de miembros efectivos de un grupo NSGroup supera el 80% de 5.000, se muestra el mensaje de advertencia El grupo NSGroup xyz está a punto de superar el límite máximo de miembros. El número total en el grupo

NSGroup es ... (NSGroup xyz is about to exceed the maximum member limit. Total number in NSGroup is ...) en el archivo de registro. Cuando el número supera el límite de 5.000, aparece el mensaje de advertencia El grupo NSGroup xyz alcanzó el límite máximo de miembros.


VMware, Inc. 122

Número total en el grupo NSGroup = ... (NSGroup xyz has reached the maximum numbers limit. appears. Total number in NSGroup = ...). En NSX Controller, cuando el número de direcciones MAC o IP, o de archivos VIF traducidos, supera el límite de 5.000, se mostrará el mensaje de advertencia El contenedor xyz alcanzó el límite máximo de traducciones de IP/MAC/VIF. Las traducciones actuales se incluyen en Contenedor: Direcciones IP:...,

Direcciones MAC:..., Archivos VIF:... (Container xyz has reached the maximum IP/MAC/VIF translations limit. appears in the log file. Current translations count in Container - IPs:..., MACs:..., VIFs:...) en el archivo de registro. NSX Manager y NSX Controller comprueban el límite de los grupos NSGroup dos veces al día, a las 7 de la mañana y a las 7 de la tarde.

Para todos los objetos que puede agregar a un grupo NSGroup como miembros, es decir, puertos y conmutadores lógicos, conjuntos de direcciones IP y MAC y grupos NSGroup, puede desplazarse a la pantalla de cualquiera de los objetos y seleccionar Relacionado (Related) > Grupos NSGroup (NSGroups) para ver todos los grupos NSGroup que tienen este objeto como miembros de forma directa o indirecta. Por ejemplo, en el caso anterior, después de desplazarse a la pantalla de LogicalSwitch-1, se muestra NSGroup-1, NSGroup-2 y NSGroup-3 porque los tres tienen LogicalSwitch-1 como miembro, ya sea de forma directa o indirecta, si selecciona Relacionado (Related) > Grupos NSGroup (NSGroups).

Procedimiento



3 Seleccione la opción Grupos NSGroup (NSGroups) situada en la parte superior del panel principal.


5 Introduzca un nombre para el grupo NSGroup.


7 (opcional) Haga clic en Criterios de pertenencia (Membership Criteria) para especificar hasta cinco criterios.

Un criterio se puede aplicar a puertos y conmutadores lógicos.

Un criterio puede especificar un valor de etiqueta, de alcance o ambos.

8 (opcional) Haga clic en Miembros (Members) para seleccionar miembros.

Los tipos disponibles son Conjunto de direcciones IP (IP Set), Conjunto de direcciones MAC (MAC Set), Conmutador lógico (Logical Switch), Puerto lógico (Logical Port) y Grupo NSGroup (NSGroup).


Configurar servicios y grupos de serviciosPuede configurar un servicio NSService para especificar parámetros del tráfico de red coincidente, como una vinculación de protocolos y puertos. También puede utilizar un servicio NSService para permitir o bloquear determinados tipos de tráfico en las reglas de firewall.


VMware, Inc. 123

Un servicio NSService puede ser de los siguientes tipos:

n Ethernet

n IP

n IGMP

n ICMP

n ALG

n Conjunto de puertos de Capa 4

Un conjunto de puertos de Capa 4 admite la identificación de puertos de origen y de destino. Puede especificar puertos individuales o un rango de puertos con un máximo de 15 puertos.

Un servicio NSService también puede ser un grupo de otros servicios NSService. Un servicio NSService que sea un grupo puede ser de los siguientes tipos:

n Capa 2

n Capa 3 y superior

No puede cambiar el tipo después de crear un servicio NSService. Algunos servicios NSService están predefinidos. No puede modificarlos ni eliminarlos.

Crear un servicio NSServicePuede crear un servicio NSService para especificar las características que utiliza la búsqueda de coincidencias de red, o bien para definir el tipo de tráfico que se debe bloquear o permitir en las reglas de firewall.

Procedimiento


2 Seleccione Inventario (Inventory) > Servicios (Services) en el panel de navegación.




6 Seleccione Especificar un protocolo (Specify a protocol) para configurar un servicio individual, o bien haga clic en Servicios existentes de grupo (Group existing services) para configurar un grupo de servicios NSService.

7 En el caso de un servicio individual, seleccione un tipo y un protocolo.

Los tipos disponibles son Ethernet (Ether), IP, IGMP, ICMP, ALG y Conjunto de puertos de Capa 4 (L4 Port Set).

8 En el caso de un grupo de servicios, seleccione un tipo y los miembros del grupo.

Los tipos disponibles son Capa 2 (Layer 2) y Capa 3 y superior (Layer 3 and above).


VMware, Inc. 124



VMware, Inc. 125

DHCP 9El Protocolo de configuración dinámica de host (DHCP) permite a los clientes obtener de forma automática la configuración de la red, como direcciones IP, máscara de subred, puerta de enlace predeterminada y configuración de DNS desde un servidor DHCP.

Puede crear servidores DHCP para gestionar solicitudes DHCP o crear servicios de retransmisión DHCP para retransmitir el tráfico DHCP a servidores DHCP externos.

Si configura los servidores DHCP, para mejorar la seguridad, configure una regla DFW para permitir el tráfico en los puertos UDP 67 y 68 solo para direcciones IP de servidor DHCP.

Nota Una regla DFW que tenga Logical Switch/Logical Port/NSGroup como el origen, Any como el destino y se configura para colocar paquetes DHCP para los puertos 67 y 68, no podrá bloquear el tráfico DHCP. Para bloquear el tráfico DHCP, configure Any como origen y destino.


n Crear un perfil de servidor DHCP

n Crear un servidor DHCP

n Adjuntar un servidor DHCP a un conmutador lógico

n Desasociar un servidor DHCP de un conmutador lógico

n Crear un perfil de retransmisión DHCP

n Crear un servicio de retransmisión DHCP

n Agregar un servicio DHCP a un puerto de enrutador lógico

Crear un perfil de servidor DHCPUn perfil de servidor DHCP especifica un clúster de NSX Edge o miembros de un clúster de NSX Edge. Un servidor DHCP con este perfil atiende las solicitudes DHCP de las VM en conmutadores lógicos conectados a los nodos de NSX Edge que se especifican en el perfil.

Procedimiento


VMware, Inc. 126

2 Seleccione DHCP (DHCP) en el panel de navegación.

3 Haga clic en Perfiles de servidor y haga clic en Agregar.

4 Escriba un nombre y una descripción opcional.

5 Seleccione un clúster de NSX Edge del menú desplegable.

6 (opcional) Seleccione miembros del clúster de NSX Edge.

Puede especificar hasta 2 miembros.

Pasos siguientes

Cree un servidor DHCP. Consulte Crear un servidor DHCP.

Crear un servidor DHCPPuede crear servidores DHCP para atender a las solicitudes DHCP de VM conectadas a conmutadores lógicos.

Procedimiento



3 Haga clic en Servidores y haga clic en Agregar.


5 Introduzca la dirección IP del servidor DHCP y su máscara de subred en formato CIDR.

Por ejemplo, escriba 192.168.1.2/24.

6 (Requerido) Seleccione un perfil DHCP en el menú desplegable.

7 (opcional) Introduzca las opciones comunes, como nombre de dominio, puerta de enlace predeterminada, servidores DNS y máscara de subred.

8 (opcional) Introduzca las opciones de ruta estática sin clase.

9 (opcional) Introduzca otras opciones.


11 Seleccione el servidor DHCP que se acaba de crear.

12 Expanda la sección Grupos de direcciones IP.

13 Haga clic en Agregar para agregar rangos de direcciones IP, puerta de enlace predeterminada, duración de la concesión, umbral de error, opción de ruta estática sin clase y otras opciones.

14 Expanda la sección Enlaces estáticos.

15 Haga clic en Agregar para agregar enlaces estáticos entre direcciones MAC y direcciones IP, puerta de enlace predeterminada, nombre de host, duración de la concesión, opción de ruta estática sin clase y otras opciones.


VMware, Inc. 127

Pasos siguientes

Adjunte un servidor DHCP a un conmutador lógico. Consulte Adjuntar un servidor DHCP a un conmutador lógico.

Adjuntar un servidor DHCP a un conmutador lógicoDebe adjuntar un servidor DHCP a un conmutador lógico antes que el servidor DHCP pueda procesar las solicitudes DHCP de las máquinas virtuales conectadas al conmutador.

Procedimiento



3 Haga clic en el conmutador lógico que desee adjuntar al servidor DHCP.

4 Haga clic en Acciones (Actions) > Adjuntar un servidor DHCP (Attach DHCP Server).

Desasociar un servidor DHCP de un conmutador lógicoPuede desasociar un servidor DHCP de un conmutador lógico para volver a configurar el entorno.

Procedimiento



3 Haga clic en el conmutador lógico del que quiera desasociar un servidor DHCP.

4 Haga clic en Acciones > Desasociar servidor DHCP.

Crear un perfil de retransmisión DHCPUn perfil de retransmisión DHCP especifica uno o varios servidores DHCP externos. Al crear un servicio de retransmisión DHCP, debe especificar un perfil de retransmisión DHCP.

Procedimiento



3 Haga clic en Perfiles de retransmisión y seleccione Agregar.


5 Introduzca una o varias direcciones de servidores DHCP externos.

Pasos siguientes

Cree un servicio de retransmisión DHCP. Consulte Crear un servicio de retransmisión DHCP.


VMware, Inc. 128

Crear un servicio de retransmisión DHCPPuede crear un servicio de retransmisión DHCP para retransmitir el tráfico entre clientes y servidores DHCP que no se crearon en NSX-T.

Procedimiento



3 Haga clic en Servicios de retransmisión y seleccione Agregar.


5 Seleccione un perfil de retransmisión DHCP en el menú desplegable.

Pasos siguientes

Agregue un servicio DHCP a un puerto del enrutador lógico. Consulte Agregar un servicio DHCP a un puerto de enrutador lógico.

Agregar un servicio DHCP a un puerto de enrutador lógicoAl agregar un servicio relé DHCP a un puerto de enrutador lógico, las máquinas virtuales en el conmutador lógico conectadas a dicho puerto pueden comunicarse con los servidores DHCP que estén configurados en el servicio relé.

Requisitos previos

n Compruebe que el servicio relé DHCP esté configurado. Consulte Crear un servicio de retransmisión DHCP.

Procedimiento



3 Seleccione el enrutador que esté conectado al conmutador lógico deseado y haga clic en la pestaña Configuración.

4 Seleccione el puerto de enrutador que esté conectado al conmutador lógico deseado y haga clic en Editar.

5 Seleccione un servicio relé DHCP en la lista desplegable Servicio DHCP y haga clic en Guardar.

El puerto de enrutador lógico muestra el servicio relé DHCP en la columna Servicio DHCP.

También es posible seleccionar un servicio relé DHCP al agregar un puerto de enrutador lógico nuevo.


VMware, Inc. 129

Configurar servidores proxy de metadatos 10Un servidor proxy de metadatos permite a las instancias de la máquina virtual recuperar metadatos de instancias específicas de un servidor de la API OpenStack Nova.

Los siguientes pasos indican el funcionamiento de un servidor proxy de metadatos:

1 Una máquina virtual envía una solicitud HTTP GET a http://169.254.169.254:80 para solicitar algunos metadatos.

2 El servidor proxy de metadatos conectado al mismo conmutador lógico que la máquina virtual lee la solicitud, realiza los cambios necesarios en los encabezados y reenvía la solicitud al servidor de la API Nova.

3 El servidor de la API Nova solicita y recibe información sobre la máquina virtual del servidor Neutron.

4 El servidor de la API Nova busca los metadatos y los envía al servidor proxy de metadatos.

5 El servidor proxy de metadatos reenvía los metadatos a la máquina virtual.

Un servidor proxy de metadatos se ejecuta en un nodo de NSX Edge. Para obtener una alta disponibilidad, puede configurar el servidor proxy de metadatos para que se ejecute en dos o más nodos de NSX Edge de un clúster de NSX Edge.


n Agregar un servidor proxy de metadatos

n Adjuntar un servidor proxy de metadatos a un conmutador lógico

n Desconectar un servidor proxy de metadatos de un conmutador lógico

Agregar un servidor proxy de metadatosUn servidor proxy de metadatos permite a las máquinas virtuales recuperar metadatos de un servidor API OpenStack Nova.

Requisitos previos

Compruebe que creó un clúster de servidores perimetrales. Para obtener más información, consulte Guía de instalación de NSX-T.

VMware, Inc. 130

Procedimiento


2 Seleccione DHCP > Servidores proxy de metadatos (Metadata Proxies).


4 Escriba un nombre para el servidor proxy de metadatos.


6 Escriba una URL para el servidor Nova.

7 Escriba el parámetro secret.

8 Seleccione un clúster de servidores perimetrales de la lista desplegable.

9 (opcional) Seleccione miembros del clúster de servidores perimetrales.

Ejemplo

Por ejemplo:


VMware, Inc. 131

Pasos siguientes

Adjunte el servidor proxy de metadatos a un conmutador lógico.

Adjuntar un servidor proxy de metadatos a un conmutador lógicoPara proporcionar servicios proxy de metadatos en máquinas virtuales conectadas a un conmutador lógico, debe adjuntar un servidor proxy de metadatos al conmutador.

Requisitos previos

Compruebe que creó un conmutador lógico. Para obtener más información, consulte Crear un conmutador lógico.

Procedimiento



3 Seleccione un servidor proxy de metadatos.

4 Seleccione la opción en el menú Acciones (Actions) > Adjuntar a un conmutador lógico (Attach to Logical Switch).

5 Seleccione un conmutador lógico de la lista desplegable.

Resultados

También es posible conectar un servidor proxy de metadatos a un conmutador lógico si se dirige a Conmutación > Conmutadores (Switching > Switches), seleccione un conmutador y la opción de menú Acciones (Acciones) > Adjuntar proxy de metadatos (Attach Metadata Proxy).

Desconectar un servidor proxy de metadatos de un conmutador lógicoPara dejar de suministrar servicios de proxy de metadatos a máquinas virtuales conectadas a un conmutador lógico o utilizar un servidor proxy de metadatos diferente, puede desconectar un servidor proxy de metadatos desde un conmutador lógico.

Procedimiento



3 Seleccione un servidor proxy de metadatos.

4 Seleccione la opción de menú Acciones (Actions) > Desconectar de conmutador lógico (Detach from Logical Switch)

5 Seleccione un conmutador lógico de la lista desplegable.


VMware, Inc. 132

Resultados

También puede desconectar un servidor proxy de metadatos de un conmutador lógico accediendo a Conmutación (Switching) > Conmutadores (Switches), seleccionando un conmutador y a continuación seleccionando la opción de menú Acciones (Actions) > Desconectar servidor proxy de metadatos (Detach Metadata Proxy).


VMware, Inc. 133

Operaciones y administración 11Es posible que necesite cambiar la configuración de los dispositivos instalados (por ejemplo, añadir licencias y certificados, así como cambiar contraseñas). También hay tareas de mantenimiento rutinarias que debe llevar a cabo, como realizar copias de seguridad. Además, hay herramientas que le ayudarán a encontrar información sobre los dispositivos que forman parte de la infraestructura de NSX-T y las redes lógicas que crea NSX-T, como el registro del sistema remoto, Traceflow y las conexiones de puertos.


n Agregar una clave de licencia

n Administrar cuentas de usuarios

n Configurar certificados

n Configurar dispositivos

n Administrar etiquetas

n Buscar objetos

n Buscar la huella digital SSH de un servidor remoto

n Restaurar y hacer copias de seguridad de NSX Manager

n Administrar dispositivos y clústeres de dispositivos

n Mensajes del sistema de registro

n Configurar IPFIX

n Rastrear la ruta de un paquete con Traceflow

n Consultar información sobre la conexión de puertos

n Supervisar la actividad de un puerto del conmutador lógico

n Supervisar las sesiones de creación de reflejo del puerto

n Supervisar nodos de tejido

n Recopilar paquetes de soporte

VMware, Inc. 134

Agregar una clave de licenciaPuede utilizar la interfaz de usuario de NSX Manager para agregar una o varias claves de licencia.

Los siguientes tipos de licencias de no evaluación están disponibles:

n Estándar

n Avanzado

n Enterprise

Al instalar NSX Manager, se activa una licencia de evaluación preinstalada. Esta licencia será válida durante 60 días. La licencia de evaluación proporciona todas las funciones de una licencia Enterprise. No puede instalar una licencia de evaluación ni quitar su asignación.

Puede instalar una o varias licencias de no evaluación, pero solo puede instalar una clave por cada tipo. Al instalar una licencia Standard, Advanced o Enterprise, la licencia de evaluación dejará de estar disponible. También puede quitar la asignación de licencias de no evaluación. Si quita la asignación de todas las licencias de no evaluación, la licencia de evaluación se restaurará.

Si tiene varias claves del mismo tipo de licencia y desea combinarlas, debe acceder a la página https://my.vmware.com y utilizar la función Combinar claves. La interfaz de usuario de NSX Manager no ofrece esta función.

Procedimiento


2 Seleccione Sistema (System) > Configuración (Configuration) > Licencia (License) en el panel de navegación.

3 Haga clic en Agregar para introducir la clave de licencia.


Administrar cuentas de usuariosLos dispositivos de NSX-T tienen un administrador y un usuario administrador local. No puede crear ni eliminar usuarios.

Cambiar la contraseña de administradorPuede cambiar la contraseña para el usuario administrador en cualquier dispositivo NSX-T.

Procedimiento



VMware, Inc. 135

https://my.vmware.com

https://my.vmware.com

2 Ejecute el comando set user.

nsx> set user admin

Current password:

New password:

Confirm new password:

nsx>

La contraseña debe cumplir los siguientes requisitos de complejidad:

n Al menos ocho caracteres

n Al menos un carácter en mayúscula

n Al menos un carácter en minúscula

n Al menos un carácter numérico

n Al menos un carácter especial

Bloqueo de cuentasTras el quinto intento fallido consecutivo de inicio de sesión, la cuenta de administrador se bloquea durante 15 minutos.

Para los nodos de NSX Manager, NSX Controller y NSX Edge, la cuenta de administrador se bloquea durante 15 minutos tras el quinto intento fallido consecutivo de inicio de sesión. Para restablecer la cuenta bloqueada, espere 15 minutos y vuelva a intentarlo. La finalidad de este comportamiento es evitar que un atacante sepa de la existencia de una cuenta, por lo que se cambia el mensaje de fallo de inicio de sesión de "contraseña incorrecta" a "cuenta bloqueada".

Nota Se aplica a los inicios de sesión de administrador a través de SSH o la consola.

Configurar certificadosPuede generar una solicitud de firma del certificado (CSR) en NSX Manager y enviarla a una entidad de certificación (CA) para obtener un certificado de servidor.

Esta solicitud también se puede utilizar para generar certificados autofirmados. Si tiene un certificado o un certificado de CA, puede importarlos para utilizarlos. También puede importar una lista de revocación de certificados (CRL) que incluya certificados revocados.

Crear un archivo de solicitud de firma del certificadoUna solicitud de firma del certificado (CSR) es un texto cifrado que contiene información específica, como el nombre de organización, el nombre común, la localidad y el país. El archivo CSR se envía a una entidad de certificación (CA) para solicitar un certificado de identidad digital.

Requisitos previos

n Recopile la información necesaria para rellenar el archivo CSR. Debe conocer el FQDN del servidor y la unidad de organización, la organización, la ciudad, el estado y el país.


VMware, Inc. 136

n Compruebe que los pares de claves públicas y privadas están disponibles.

Procedimiento


2 Seleccione Sistema (System) > Configuración (Settings) en el panel de navegación.

3 Haga clic en la pestaña Certificados (Certificates).

4 Seleccione CSR (CSRs) en el menú desplegable.

5 Haga clic en Generar CSR (Generate CSR).

6 Complete la información del archivo CSR.


Nombre (Name) Asigne un nombre al certificado.

Nombre común (Common Name) Introduzca el nombre de dominio completo (FQDN) del servidor.

Por ejemplo, test.vmware.com.

Nombre de organización (Organization Name)

Introduzca el nombre de organización con los sufijos correspondientes.

Por ejemplo, VMware Inc.

Unidad de organización (Organization Unit)

Introduzca el departamento de la organización que gestiona este certificado.

Por ejemplo, el departamento de TI.

Localidad (Locality) Agregue la ciudad en la que se encuentra la organización.

Por ejemplo, Palo Alto.

Estado (State) Agregue el estado en el que se encuentra la organización.

Por ejemplo, California.

País (Country) Agregue el país en el que se encuentra la organización.

Por ejemplo, Estados Unidos (EE. UU.).

Algoritmo de mensaje (Message Algorithm)

Establezca el algoritmo de cifrado para el certificado.

El cifrado RSA se utiliza para firmas digitales y para cifrar el mensaje. Por lo tanto, es más lento que DSA a la hora de crear un token cifrado pero es más rápido a la hora de analizar y validar este token. Este cifrado es más lento a la hora de descifrar archivos y más rápido a la hora de cifrarlos.

El cifrado DSA se utiliza para firmas digitales. Por lo tanto, es más rápido que RSA a la hora de crear un token cifrado pero es más lento a la hora de analizar y validar este token. Este cifrado es más rápido a la hora de descifrar archivos y más lento a la hora de cifrarlos.

Tamaño de clave (Key Size) Establezca el tamaño de clave en bits del algoritmo de cifrado.

El valor predeterminado (2.048) es adecuado a menos que necesite específicamente un tamaño de clave diferente. Muchas entidades de certificación necesitan un valor mínimo de 2.048. Los tamaños de claves mayores son más seguros pero tienen un mayor impacto en el rendimiento.

Descripción (Description) Introduzca información específica que le ayude a identificar este certificado más adelante.


VMware, Inc. 137


Aparecerá una CSR personalizada en forma de vínculo.

8 Seleccione la CSR y haga clic en Acciones (Actions).

9 Seleccione Descargar PEM de CSR (Download CSR PEM).

Puede guardar el archivo PEM de CSR para los registros y el envío de CA.

10 Utilice el contenido del archivo CSR para enviar una solicitud de certificado a la CA de acuerdo con el proceso de inscripción de CA.

Resultados

La CA crea un certificado de servidor según la información del archivo CSR, lo firma con su clave privada y le envía el certificado. La CA también le envía un certificado de CA raíz.

Importar un certificado de CAPuede importar un certificado de CA firmado para que sea una CA provisional para su empresa. Después de importar el certificado, podrá firmar sus propios certificados.

Requisitos previos

Compruebe que haya un certificado de CA disponible.

Procedimiento



3 Haga clic en la opción Importar (Import) de la pestaña Certificados (Certificates).

4 Seleccione Importar certificado de CA (Import CA Certificate) en el menú despegable y agregue la información del certificado.


Nombre (Name) Asigne un nombre al certificado de CA.

Contenido de certificados (Certificate Contents)

Acceda al archivo de certificado de CA de su ordenador y agregue el archivo.

Descripción (Description) Introduzca un resumen del contenido incluido en este certificado de CA.


Resultados

Ahora puede firmar sus propios certificados.

Importar un certificadoPuede importar un certificado con la clave privada para crear certificados autofirmados.


VMware, Inc. 138

Requisitos previos

Compruebe que haya un certificado disponible.

Procedimiento



3 Haga clic en la opción Importar (Import) de la pestaña Certificados (Certificates).

4 Seleccione Importar certificado (Import Certificate) en el menú despegable y agregue la información del certificado.


Nombre (Name) Asigne un nombre al certificado de CA.

Contenido de certificados (Certificate Contents)

Acceda al archivo de certificado de su ordenador y agregue el archivo.

Clave privada (Private Key) Acceda al archivo de clave privada de su ordenador y agregue el archivo.

Contraseña (Password) Agregue una contraseña para este certificado.

Descripción (Description) Introduzca un resumen del contenido incluido en este certificado.


Resultados

Ahora puede crear sus propios certificados autofirmados.

Crear certificados de firma automáticaUtilizar certificados de firma automática puede ser menos seguro que usar certificados de confianza.

Al utilizar un certificado de firma automática, el usuario cliente recibe un mensaje de advertencia como, Certificado de seguridad no válido (Invalid Security Certificate). El usuario cliente debe aceptar el certificado de firma automático cuando se conecte por primera vez al servidor para poder continuar. Permitir que los usuarios cliente seleccionen esta opción es menos seguro que otros métodos de autenticación.

Requisitos previos

Compruebe que una CSR esté disponible. Consulte Crear un archivo de solicitud de firma del certificado.

Procedimiento




4 Seleccione CSR (CSRs) en el menú desplegable.


VMware, Inc. 139

5 Seleccione el CSR existente.

6 Haga clic en Acciones (Actions) y seleccione Certificado de firma automática para CSR (Self Sign Certificate for CSR) en el menú desplegable.

7 Introduzca el número de días de validez del certificado de firma automática.

El periodo de tiempo predeterminado es de 10 años.


Resultados

El certificado de firma automática aparece en la lista de Certificado (Certificate). El tipo de certificado se designa como de firma automática.

Reemplazar un certificadoSi necesita reemplazar un certificado (por ejemplo, si su certificado va a caducar), puede utilizar una solicitud de API para sustituirlo.

Requisitos previos

Compruebe que haya un certificado disponible en NSX Manager. Consulte Crear certificados de firma automática y Importar un certificado.

Procedimiento


2 Haga clic en la pestaña Certificados (Certificates) y seleccione Certificados (Certificates) en el menú desplegable.

3 Haga clic en el ID del certificado que desee utilizar y cópielo de la ventana emergente.

4 Envíe una solicitud de API POST /api/v1/node/services/http?action=apply_certificate&certificate_id=<CertificateID> para reemplazar el certificado.

POST https://192.168.110.201/api/v1/node/services/http?

action=apply_certificate&certificate_id=e61c7537-3090-4149-b2b6-19915c20504f

Resultados

La solicitud de API reinicia el servicio HTTP para que el servicio pueda empezar a utilizar el nuevo certificado. Cuando la solicitud POST se realiza correctamente, el código de respuesta es 200 Accepted.

Importar una lista de revocación de certificadosUna lista de revocación de certificados (CRL) es una lista de suscriptores y del estado de sus certificados. Cuando un usuario potencial intenta acceder a un servidor, el servidor deniega el acceso según la entrada en la lista CRL para ese usuario en particular.


VMware, Inc. 140

La lista contiene los siguientes elementos:

n Certificados revocados y motivos de las revocaciones.

n Fechas de emisión de los certificados.

n Entidades que emitieron los certificados.

n Fecha propuesta para la próxima versión.

Requisitos previos

Compruebe que haya disponible un CRL.

Procedimiento




4 Seleccione CRL (CRLs) en el menú desplegable.

5 Haga clic en Importar (Import) y agregue los detalles de la CRL.


Nombre Asigne un nombre a la CRL.

Contenido del certificado Copie todos los elementos de la CRL y péguelos en esta sección.

Una CRL de muestra.

-----BEGIN X509 CRL-----MIIBODCB4zANBgkqhkiG9w0BAQQFADBgMQswCQYDVQQGEwJBVTEMMAoGA1UECBMDUUxEMRkwFwYDVQQKExBNaW5jb20gUHR5LiBMdGQuMQswCQYDVQQLEwJDUzEbMBkGA1UEAxMSU1NMZWF5IGRlbW8gc2VydmVyFw0wMTAxMTUxNjI2NTdaFw0wMTAyMTQxNjI2NTdaMFIwEgIBARcNOTUxMDA5MjMzMjA1WjASAgEDFw05NTEyMDEwMTAwMDBaMBMCAhI0Fw0wMTAxMTUxNjE5NDdaMBMCAhI1Fw0wMTAxMTUxNjIzNDZaMA0GCSqGSIb3DQEBBAUAA0EAHPjQ3M93QOj8Ufi+jZM7Y78TfAzG4jJn/E6MYBPFVQFYo/GpUZexfjSVo5CIyySOtYscz8oO7avwBxTiMpDEQg==-----END X509 CRL--

Descripción Escriba un resumen de lo que se incluye en esta CRL.


Resultados

La CRL importada aparece como un vínculo.


VMware, Inc. 141

Configurar dispositivosSe deben realizar algunas tareas de configuración del sistema con la API o la línea de comandos.

Para obtener información completa sobre la interfaz de línea de comandos, consulte la referencia de la interfaz de línea de comandos de NSX-T. Para obtener información completa sobre la API, consulte la guía de la API de NSX-T.

Tabla 11-1. Solicitudes de la API y comandos de configuración del sistema

TareaLínea de comandos(NSX Manager, NSX Controller, NSX Edge)

Solicitud de la API(solo NSX Manager)

Establecer zona horaria del sistema

set timezone <timezone> PUT https://<nsx-mgr>/api/v1/node

Establecer servidor NTP set ntp-server <ntp-server> PUT https://<nsx-mgr>/api/v1/node/

services/ntp

Establecer un servidor DNS set name-servers <dns-server> PUT https://<nsx-mgr>/api/v1/node/

network/name-servers

Establecer dominio de búsqueda de DNS

set search-domains <domain> PUT https://<nsx-mgr>/api/v1/node/

network/search-domains

Administrar etiquetasPuede agregar etiquetas a objetos para facilitar la búsqueda de objetos. Al especificar una etiqueta de un objeto, también puede especificar un ámbito.

Procedimiento


2 Vaya a una categoría de objetos.

Por ejemplo, vaya a Conmutación (Switching) > Conmutadores (Switches).

3 Seleccione un objeto.

4 Seleccione la opción de menú Acciones (Actions) > Administrar etiquetas (Manage Tags).

5 Agregue o elimine etiquetas.

Opción Acción

Agregar una etiqueta Haga clic en Agregar (Add) para especificar una etiqueta y opcionalmente un ámbito.

Eliminar una etiqueta Seleccione una etiqueta existente y haga clic en Eliminar (Delete).

Un puerto lógico puede tener un máximo de 15 etiquetas. El resto de objetos puede tener un máximo de 10 etiquetas.



VMware, Inc. 142

Buscar objetosPuede buscar objetos utilizando varios criterios.

Se dispone de los siguientes criterios de búsqueda:

n Tipo de recurso

n Nombre (Name)

n Descripción

n Hora de creación

n Hora de modificación

n Creado por

n Modificado por

n Etiquetas

Procedimiento


2 Haga clic en el icono de la lupa en la esquina superior derecha del panel de la ventana principal.

3 Introduzca un patrón de búsqueda de expresión regular para un objeto o tipo de objeto.

El patrón de búsqueda está anclado de forma predeterminada, lo que significa que se asumen tanto el inicio del anclaje de cadena ^, como el final del anclaje de cadena $. No utilice estos anclajes en el patrón de búsqueda. Por ejemplo, si desea buscar recursos que comiencen por "Logical", el patrón de búsqueda puede ser Logical.*. Si desea buscar recursos que acaben por "Switch", el patrón de búsqueda puede ser .*Switch.

4 En la ventana que muestra los resultados, haga clic en el vínculo Ver ... resultados (View ... results) en la parte inferior de la ventana para abrir el panel de búsqueda donde restringir la búsqueda.

5 Especifique uno o varios criterios para restringir la búsqueda.

Buscar la huella digital SSH de un servidor remotoAlgunas solicitudes de API que implican copiar archivos de un servidor remoto o copiarlos en él necesitan que proporcione la huella digital SSH del servidor remoto en el cuerpo de la solicitud. La huella digital SSH se obtiene de una clave de host del servidor remoto.

Para conectarse a través de SSH, NSX Manager y el servidor remoto deben tener un tipo de clave de host en común. Si hay varios tipos de claves de host en común, se utilizará la preferida según la configuración HostKeyAlgorithm de NSX Manager.


VMware, Inc. 143

La huella digital de un servidor remoto le ayudará a confirmar que está conectado al servidor correcto y le protegerá frente a ataques de tipo "man-in-the-middle". Puede pedir al administrador de un servidor remoto si puede proporcionar la huella digital SSH del servidor, o bien puede conectarse al servidor remoto para buscar la huella digital. Conectarse al servidor mediante una consola es más seguro que mediante la red.

El dispositivo de NSX Manager se basa en Ubuntu 14.04 y utiliza el orden predeterminado HostKeyAlgorithm. Esta tabla incluye las claves incluidas en NSX Manager de forma predeterminada ordenadas de mayor a menor preferencia.

Tabla 11-2. Claves de host de NSX Manager ordenadas por preferencia

Tipos de claves de host incluidas en NSX Manager Ubicación predeterminada para ese tipo de clave de host

ECDSA (256 bits) /etc/ssh/ssh_host_ecdsa_key.pub

ED25519 /etc/ssh/ssh_host_ed25519_key.pub

RSA /etc/ssh/ssh_host_rsa_key.pub

DSA /etc/ssh/ssh_host_dsa_key.pub

Procedimiento

1 Inicie sesión en la CLI del servidor remoto.

Iniciar sesión con una consola es más seguro que mediante la red.

2 Incluya los archivos de claves públicas en el directorio /etc/ssh.

$ ls -al /etc/ssh/*pub

-rw-r--r-- 1 root root 601 Apr 8 18:10 ssh_host_dsa_key.pub

-rw-r--r-- 1 root root 93 Apr 8 18:10 ssh_host_ed25519_key.pub

-rw-r--r-- 1 root root 393 Apr 8 18:10 ssh_host_rsa_key.pub

3 Compare las claves disponibles con el orden HostKeyAlgorithm.

En este ejemplo hay tres claves SSH: DSA, RSA y ED25519. ED25519 es la clave con mayor preferencia y, por tanto, es la que utilizará NSX Manager al conectarse al servidor remoto.

4 Obtenga la huella digital de la clave preferida.

$ ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pub

256 d0:21:3e:ec:52:ff:19:a9:e7:71:b5:7f:63:23:57:f7 root@ubuntu (ED25519)

La huella digital de la clave es d0:21:3e:ec:52:ff:19:a9:e7:71:b5:7f:63:23:57:f7.

Resultados

Nota Debe quitar los signos de dos puntos de la huella digital SSH en la copia de seguridad y restaurar las solicitudes de API.


VMware, Inc. 144

Restaurar y hacer copias de seguridad de NSX ManagerSi el dispositivo virtual de NSX Manager no funciona, se puede restaurar desde una copia de seguridad. NSX Manager almacena el estado necesario para la red virtual. Si el dispositivo de NSX Manager no funciona, esto no afecta al plano de datos, pero no se pueden realizar cambios en la configuración.

Existen tres tipos de copias de seguridad que se crean a partir de dos métodos de copia de seguridad:

Copia de seguridad de los clústeres

Esta copia de seguridad incluye el estado deseado de la red virtual.

Copia de seguridad del nodo

Esta copia de seguridad incluye la configuración del dispositivo de NSX Manager.

Copia de seguridad del inventario

Esta copia de seguridad incluye el grupo de Edges y hosts de KVM y de ESX. Esta información se usa durante una operación de restauración para detectar y solucionar las diferencias entre el estado necesario del Plano de administración (Management Plane) y esos hosts.

Existen dos métodos de copia de seguridad:

Copia de seguridad manual de NSX Manager y de los clústeres

Las copias de seguridad manuales de los clústeres y del nodo se pueden ejecutar en cualquier momento, según sea necesario.

Copias de seguridad automáticas del nodo de NSX Manager, de los clústeres y del inventario

Las copias de seguridad automáticas se ejecutan según la programación que estableció. Se recomienda realizar copias de seguridad automáticas. Consulte Programar copias de seguridad automáticas.

Para comprobar que tiene una copia de seguridad reciente, debe configurar las copias de seguridad automáticas. Es importante ejecutar las copias de seguridad del inventario y de los clústeres de forma regular.

Puede volver a restaurar una configuración de NSX-T al estado en el que se realizó las copias de seguridad de los clústeres. Al restaurar una copia de seguridad, debe restaurar a un nuevo dispositivo de NSX Manager que ejecute la misma versión de NSX Manager que el dispositivo del que se realizó la copia de seguridad.

Las copias de seguridad y la restauración requieren que los hipervisores, los dispositivos de NSX Manager y los dispositivos de NSX Controller tengan direcciones IP estáticas de administración. No se permite cambiar las direcciones IP de administración. No se admite el uso de DHCP para asignar las direcciones IP de administración a los dispositivos NSX Manager y NSX Controller. Se admite el uso de DHCP para asignar direcciones IP de administración a los hipervisores, solo si el servidor DHCP está configurado para proporcionar siempre la misma IP a un hipervisor proporcionado.


VMware, Inc. 145

Realizar una copia de seguridad de la configuración de NSX ManagerLa copia de seguridad de la configuración de NSX Manager consiste en realizar una copia de seguridad del nodo de NSX Manager, del clúster y del inventario.

Procedimiento

1 Configurar la ubicación de la copia de seguridad

Las copias de seguridad se guardan en una ubicación SFTP remota a la que NSX Manager puede acceder. La ubicación de la copia de seguridad se debe configurar antes de realizarla.

2 Programar copias de seguridad automáticas

Programe copias de seguridad frecuentes, de forma que pueda restaurar un NSX Manager que no funciona y sus datos de configuración. Las copias de seguridad automáticas están deshabilitadas de forma predeterminada. Puede programar copias de seguridad automáticas para que se realicen en días específicos de la semana o durante un intervalo especificado. Se recomienda realizar copias de seguridad programadas.

Configurar la ubicación de la copia de seguridadLas copias de seguridad se guardan en una ubicación SFTP remota a la que NSX Manager puede acceder. La ubicación de la copia de seguridad se debe configurar antes de realizarla.

Procedimiento

1 Inicie sesión en el dispositivo virtual de NSX Manager.

2 Haga clic en Sistema (System) > Utilidades (Utilities) > Copia de seguridad (Backup).

3 Para proporcionar credenciales de acceso a la ubicación de la copia de seguridad, haga clic en Editar (Edit) que se encuentra en la parte superior derecha de la página.

4 Haga clic en el botón de alternancia Copia de seguridad automática (Automatic Backup) para habilitar las copias de seguridad automáticas.

5 Introduzca la dirección IP o el nombre del host del servidor SFTP.

6 Si es necesario, edite el puerto predeterminado.

7 Introduzca la contraseña y el nombre de usuario necesarios para iniciar sesión en el servidor SFTP.

8 En el campo Directorio de destino (Destination Directory), escriba la ruta de acceso absoluta donde se almacenarán las copias de seguridad.

9 Introduzca la frase de contraseña que se usó para cifrar los datos de la copia de seguridad.

Necesitará esta frase de contraseña para restaurar una copia de seguridad. Si olvida la frase de contraseña de la copia de seguridad, no podrá restaurar ninguna copia de seguridad.

10 Introduzca la huella digital SSH del servidor en el que se almacenan las copias de seguridad. Consulte Buscar la huella digital SSH de un servidor remoto.



VMware, Inc. 146

12 Haga clic en Realizar copia de seguridad ahora (Backup Now) que se encuentra en la parte inferior de la página para confirmar que los archivos se puedan escribir en el servidor SFTP.

Pasos siguientes

Programe copias de seguridad automáticas.

Programar copias de seguridad automáticasPrograme copias de seguridad frecuentes, de forma que pueda restaurar un NSX Manager que no funciona y sus datos de configuración. Las copias de seguridad automáticas están deshabilitadas de forma predeterminada. Puede programar copias de seguridad automáticas para que se realicen en días específicos de la semana o durante un intervalo especificado. Se recomienda realizar copias de seguridad programadas.

Requisitos previos

n Determine una ubicación adecuada para las copias de seguridad. Seleccione una ubicación que proporcione protección frente a puntos de error individuales. Por ejemplo, no coloque las copias de seguridad en el mismo almacén de archivos que los dispositivos. Un error en ese almacén de archivos podría afectar tanto a los dispositivos como a sus copias de seguridad.

n Encuentre la huella digital SSH del servidor en el que se almacenan las copias de seguridad. Consulte Buscar la huella digital SSH de un servidor remoto. Las solicitudes API de copia de seguridad y restauración requieren que la huella digital SSH no contenga caracteres de dos puntos.

Procedimiento

1 Inicie sesión en el dispositivo virtual de NSX Manager.

2 Haga clic en Sistema (System) > Utilidades (Utilities) > Copia de seguridad (Backup).

3 Haga clic en Editar (Edit) en la esquina superior derecha de la página.

4 Haga clic en Servidor de archivos (File Server) y, a continuación, verifique que la opción Copia de seguridad automática (Automatic Backup) esté habilitada.

5 Haga clic en Programar (Schedule) que aparece en la parte superior de la página.

6 En Copia de seguridad del clúster/nodo (Node/Cluster Backup), haga clic en Semanalmente (Weekly) y, a continuación, establezca la hora y los días de la copia de seguridad del servidor SFTP, o haga clic en Intervalo (Interval) y establezca una hora para la copia de seguridad.

7 Las copias de seguridad del inventario se establecen para que se produzcan cada 30 segundos de forma predeterminada y deben realizarse con frecuencia. Acepte o cambie la opción predeterminada según sea necesario.



VMware, Inc. 147

Resultados

Nota La primera copia de seguridad con programación semanal se realiza durante la hora y el día de la semana especificados. La primera copia de seguridad programada con un intervalo se realiza inmediatamente después de guardar la configuración con las copias de seguridad habilitadas automáticamente.

NSX Manager almacena tres archivos de copias de seguridad independientes: en el nivel de los nodos, en el nivel de los clústeres y en el inventario. Los archivos de copia de seguridad se guardan en el servidor SFTP del directorio especificado en la configuración de la copia de seguridad. Dentro de ese directorio, los archivos se guardan en los siguientes directorios:

n /<directorio especificado por el usuario>/cluster-node-backups (copias de seguridad de los nodos y de los clústeres)

n /<directorio especificado por el usuario>/inventory-summary (copias de seguridad del inventario)

Restaurar la configuración de NSX ManagerSi el dispositivo de NSX Manager no funciona y realizó las copias de seguridad recomendadas, puede restaurar el dispositivo de NSX Manager. Necesitará la frase de contraseña que se especificó al crear la copia de seguridad para restaurar una copia.

Procedimiento

1 Prepararse para restaurar las copias de seguridad de NSX Manager

Antes de restaurar las copias de seguridad de NSX Manager, debe instalar un nuevo dispositivo de NSX Manager. El nuevo dispositivo de NSX Manager debe implementarse con la misma dirección IP de gestión que el anterior dispositivo de NSX Manager.

2 Restaurar la copia de seguridad de los clústeres

La copia de seguridad del clúster se usa para restaurar el estado de red deseado. Debe restaurar una copia de seguridad del clúster para restaurar una copia de seguridad del nodo.

3 Restaurar la copia de seguridad de los nodos de NSX Manager

La copia de seguridad del nodo restaura la configuración de los dispositivos, lo que permite que el clúster de NSX Controller se conecte a él. Debe restaurar una copia de seguridad del clúster para restaurar una copia de seguridad del nodo. El archivo de la copia de seguridad del nodo que seleccionó debe tener la misma marca de tiempo que el archivo de copia de seguridad del clúster.

4 Descargar el script de aplicación auxiliar de copia de seguridad y de restauración

Debe descargar el script de aplicación auxiliar de copia de seguridad y de restauración de NSX Manager.


VMware, Inc. 148

5 Revertir los cambios que se realizaron en el tejido desde la última copia de seguridad del clúster

El script de aplicación auxiliar de copia de seguridad y de restauración compara el estado deseado después de que se restauren las copias de seguridad con el estado de tejido más reciente que el script capturó; asimismo, proporciona instrucciones para que el estado del tejido coincida con el estado deseado después de restaurar la copia de seguridad.

6 Restaurar un clúster de NSX Controller

Si un clúster de NSX Controller no se puede recuperar, o si necesita reemplazar uno o varios controladores debido a cambios en la pertenencia del clúster, debe restaurar el clúster completo de los controladores.

Prepararse para restaurar las copias de seguridad de NSX ManagerAntes de restaurar las copias de seguridad de NSX Manager, debe instalar un nuevo dispositivo de NSX Manager. El nuevo dispositivo de NSX Manager debe implementarse con la misma dirección IP de gestión que el anterior dispositivo de NSX Manager.

Requisitos previos

n Compruebe que tenga disponibles los archivos de copia de seguridad de los nodos y los clústeres, y los últimos archivos de copia de seguridad del inventario para realizar la restauración.

n Compruebe que tenga la frase de contraseña de los archivos de copia de seguridad de los nodos y los clústeres.

n Asegúrese de conocer la versión de NSX Manager que se utiliza para crear las copias de seguridad, así como de tener el archivo de instalación adecuado (OVA, OVF o QCOW2) de la misma versión disponible.

n Asegúrese de conocer la dirección IP asignada al dispositivo de NSX Manager que se utiliza para crear la copia de seguridad de los nodos.

n Asegúrese de que ningún usuario intente realizar cambios en la configuración de NSX Manager hasta que el proceso de restauración se complete.

Procedimiento

1 Si el antiguo dispositivo de NSX Manager sigue en funcionamiento (por ejemplo, si realiza una restauración para revertir un intento de actualización), desconéctelo.

2 Instale un nuevo dispositivo de NSX Manager.

n La versión del nuevo dispositivo de NSX Manager debe ser la misma que la del dispositivo que se utiliza para crear las copias de seguridad.

n Debe configurar este dispositivo con la dirección IP del dispositivo de NSX Manager que se utiliza para crear la copia de seguridad de los nodos.

Consulte la Guía de instalación de NSX-T para obtener información e instrucciones sobre estos pasos.


VMware, Inc. 149

Pasos siguientes

Restaure la copia de seguridad de los clústeres.

Restaurar la copia de seguridad de los clústeresLa copia de seguridad del clúster se usa para restaurar el estado de red deseado. Debe restaurar una copia de seguridad del clúster para restaurar una copia de seguridad del nodo.

Requisitos previos


Procedimiento

1 Compruebe que el estado de NSX Manager sea ESTABLE (STABLE ) antes de restaurar la copia de seguridad.

GET https://192.168.110.201/api/v1/cluster/status

{

"control_cluster_status" : {

"status" : "NO_CONTROLLERS"

},

"mgmt_cluster_status" : {

"online_nodes" : [ {

"mgmt_cluster_listen_ip_address" : "192.168.110.201",

"uuid" : "422E901F-B167-DA0A-951F-C0278CA8A4BA"

} ],

"status" : "STABLE"

}

}

Nota El estado del clúster de control es NO_CONTROLLERS porque el clúster de control no se conecta a NSX Manager hasta que se restaure la copia de seguridad del nodo.

2 Envíe una solicitud de API de restauración de la copia de seguridad del clúster, POST /api/v1/cluster/backups?action=restore, que copia el archivo de la copia de seguridad de una ubicación remota y la restaura en el dispositivo de NSX Manager. Especifique la información de la ubicación y del archivo de copia de seguridad en la solicitud de API.

Campos de solicitud de restauración:

frase de contraseña La frase de contraseña especificada en el momento en que se creó la copia de seguridad. Si no sabe cuál es esta contraseña, no podrá restaurar esta copia de seguridad.

servidor El servidor remoto en el que se almacenan los archivos de copias de seguridad.


VMware, Inc. 150


uri La ruta de acceso al archivo de copia de seguridad en el servidor remoto.

ssh_fingerprint La huella digital SSH del servidor remoto en el que se almacenan los archivos de copias de seguridad. Consulte Buscar la huella digital SSH de un servidor remoto.

nombre de usuario (username)

El nombre de usuario que se utiliza para iniciar sesión en el servidor remoto para copiar los archivos de copia de seguridad.

contraseña (password) La contraseña que se utiliza para iniciar sesión en el servidor remoto para copiar los archivos de copia de seguridad.

Ejemplo de solicitud de restauración de la copia de seguridad de un clúster:

POST https://192.168.110.201/api/v1/cluster/backups?action=restore

{

"restore_file": {

"passphrase" : "7Taspa5anecR",

"file_store" : "remote",

"server" : "192.168.120.151",

"uri" : "/vol0/backups/backup-cluster-20160314.zip",

"protocol" : {

"name" : "scp",

"ssh_fingerprint" : "b508dfc65562e46e95707c25baf246f1",

"authentication_scheme" : {

"scheme_name" : "password",

"username" : "admin" ,

"password" : "4uhasWak"

}

}

}

}

3 Espere a que el sistema vuelva a estar estable.

4 Deshabilite las copias de seguridad automáticas.

a Inicie sesión en el dispositivo virtual de NSX Manager.

b Haga clic en Sistema (System) > Utilidades (Utilities) > Copia de seguridad (Backup).

c Haga clic en Editar (Edit) en la parte superior derecha de la página.

d Haga clic en el botón de alternancia Copia de seguridad automática (Automatic Backup) para deshabilitar las copias de seguridad automáticas.


VMware, Inc. 151

Resultados

Puede volver a habilitar las copias de seguridad automáticas después de completar el script de aplicación auxiliar de copia de seguridad y de restauración.

Pasos siguientes

Restaure todos los NSX Controller para eliminar los datos en caché antes de que la copia de seguridad del nodo se restaure y después de que NSX Manager y NSX Controller se sincronicen. Consulte Reiniciar los miembros del clúster de NSX Controller.

Restaurar la copia de seguridad de los nodos de NSX ManagerLa copia de seguridad del nodo restaura la configuración de los dispositivos, lo que permite que el clúster de NSX Controller se conecte a él. Debe restaurar una copia de seguridad del clúster para restaurar una copia de seguridad del nodo. El archivo de la copia de seguridad del nodo que seleccionó debe tener la misma marca de tiempo que el archivo de copia de seguridad del clúster.

Precaución Debe restaurar una copia de seguridad del clúster para restaurar una copia de seguridad del nodo. Cuando la copia de seguridad del nodo se restaura, los controladores pueden comunicarse con NSX Manager y actualizarán el estado de red realizado para que coincida con el estado de red deseado que se configuró en NSX Manager. Si la copia de seguridad no se restauró, no se habrá configurado ningún estado de red deseado y el estado de red realizado se destruirá.

Requisitos previos

n Complete la restauración de la copia de seguridad del clúster en el NSX Manager. Consulte Restaurar la copia de seguridad de los clústeres.

n Compruebe que dispone de una copia de seguridad de NSX Manager. Consulte Realizar una copia de seguridad de la configuración de NSX Manager.


Procedimiento

1 Compruebe que el estado de NSX Manager sea ESTABLE (STABLE ) antes de restaurar la copia de seguridad.

GET https://192.168.110.201/api/v1/cluster/status

{

"control_cluster_status" : {

"status" : "NO_CONTROLLERS"

},

"mgmt_cluster_status" : {

"online_nodes" : [ {

"mgmt_cluster_listen_ip_address" : "192.168.110.201",

"uuid" : "422E901F-B167-DA0A-951F-C0278CA8A4BA"


VMware, Inc. 152

} ],

"status" : "STABLE"

}

}

Nota El estado del clúster de control es NO_CONTROLLERS porque el clúster de control no se conecta a NSX Manager hasta que se restaure la copia de seguridad del nodo.

2 Envíe una solicitud de API de restauración de la copia de seguridad del nodo, POST /api/v1/node/backups?action=restore, que copia el archivo de la copia de seguridad de una ubicación remota y la restaura en el dispositivo de NSX Manager. Especifique la información de la ubicación y del archivo de copia de seguridad en la solicitud de API.


frase de contraseña La frase de contraseña especificada en el momento en que se creó la copia de seguridad. Si no sabe cuál es esta contraseña, no podrá restaurar esta copia de seguridad.

servidor El servidor remoto en el que se almacenan los archivos de copias de seguridad.

uri La ruta de acceso al archivo de copia de seguridad en el servidor remoto.

ssh_fingerprint La huella digital SSH del servidor remoto en el que se almacenan los archivos de copias de seguridad. Consulte Buscar la huella digital SSH de un servidor remoto.

nombre de usuario (username)

El nombre de usuario que se utiliza para iniciar sesión en el servidor remoto para copiar los archivos de copia de seguridad.

contraseña (password) La contraseña que se utiliza para iniciar sesión en el servidor remoto para copiar los archivos de copia de seguridad.

Ejemplo de solicitud de restauración de la copia de seguridad de un nodo:

POST https://192.168.110.201/api/v1/node/backups?action=restore

{

"restore_file": {

"passphrase" : "7Taspa5anecR",

"file_store" : "remote",

"server" : "192.168.120.151",

"uri" : "/vol0/backups/backup-node-192.168.110.201-20160314.bak",

"protocol" : {

"name" : "scp",

"ssh_fingerprint" : "b508dfc65562e46e95707c25baf246f1",

"authentication_scheme" : {

"scheme_name" : "password",

"username" : "admin" ,


VMware, Inc. 153

"password" : "4uhasWak"

}

}

}

}

Pasos siguientes

Descargue el script de aplicación auxiliar de copia de seguridad y de restauración.

Descargar el script de aplicación auxiliar de copia de seguridad y de restauraciónDebe descargar el script de aplicación auxiliar de copia de seguridad y de restauración de NSX Manager.

Requisitos previos

n Compruebe que la máquina utilizada para ejecutar el script de aplicación auxiliar cumple los requisitos del sistema. El script de la aplicación auxiliar requiere python 2 y TLS 1.2, y se verificó en Ubuntu 14.04.

Procedimiento

u Descargue el script de aplicación auxiliar de copia de seguridad y de restauración. Puede hacerlo desde la línea de comando o la API.

n Desde la línea de comando:

Ejecute el comando copy file para copiar el script en el servidor remoto. El argumento url especifica el destino del script, usando la sintaxis estándar de las URL, por ejemplo, scp://user@server/home/path/to/destination.

nsx-manager-1> copy file backup_restore_helper.py url scp://[email protected]/vol0/

backups/scripts/

n Desde la API:

Envíe esta solicitud de API y guarde la salida en un archivo denominado backup_restore_helper.py.

GET https://nsx-manager-1/api/v1/node/file-store/backup_restore_helper.py/data

Pasos siguientes

Revierta los cambios que se realizaran en el tejido desde la última copia de seguridad del clúster.

Revertir los cambios que se realizaron en el tejido desde la última copia de seguridad del clústerEl script de aplicación auxiliar de copia de seguridad y de restauración compara el estado deseado después de que se restauren las copias de seguridad con el estado de tejido más reciente que el script


VMware, Inc. 154

capturó; asimismo, proporciona instrucciones para que el estado del tejido coincida con el estado deseado después de restaurar la copia de seguridad.

Requisitos previos

n Verifique que descargó el script de aplicación auxiliar de copia de seguridad y de restauración.

n Verifique que descargó la última copia de seguridad del inventario desde el servidor SFTP.

Procedimiento

1 Inicie sesión en el equipo en el que se descargó o se copió el script de aplicación auxiliar de copia de seguridad y de restauración.

2 Ejecute el script de aplicación auxiliar de copia de seguridad y de restauración, usando la opción -d para especificar el archivo de punto de control (inventario) que debe usar.

Proporcione la siguiente información:

-m Dirección IP de NSX Manager

-u nombre de usuario de NSX Manager

-p contraseña de NSX Manager

-d nombre del archivo de punto de control (copia de seguridad del inventario más reciente)

$ python backup_restore_helper.py -m 192.168.110.201 -u admin -p <password> -d backups/

backup_restore_checkpoint_20160318_013354.json

3 Siga las instrucciones de la salida del script de backup_restore_helper.py para actualizar el estado del tejido de forma que coincida con el estado deseado.

Restaurar un clúster de NSX ControllerSi un clúster de NSX Controller no se puede recuperar, o si necesita reemplazar uno o varios controladores debido a cambios en la pertenencia del clúster, debe restaurar el clúster completo de los controladores.

Antes de restaurar un clúster de controladores, primero debe determinar si cambió la pertenencia del clúster de control entre la conocida por el plano de administración y la pertenencia actual, tal y como la conocen los propios controladores. La pertenencia puede ser diferente si se realizan cambios después de una copia de seguridad.

n Si no se puede recuperar todo el clúster, consulte cómo Volver a implementar el clúster de NSX Controller.

n Siga los pasos que aparecen a continuación para determinar si cambió la pertenencia de un clúster y, si es así, restaure el clúster.

Requisitos previos

n Verifique que tenga una copia de seguridad reciente en el nivel de clústeres.


VMware, Inc. 155

n Realice una restauración en el nivel de clústeres. Consulte Restaurar la copia de seguridad de los clústeres.

Procedimiento

1 Inicie sesión en la CLI de un NSX Manager y ejecute a continuación el comando get management-cluster status.

2 Inicie sesión en la CLI de un NSX Controller y ejecute a continuación el comando get managers para asegurar que el controlador esté registrado en Manager.

3 Ejecute el comando get control-cluster status.

4 Para determinar si se produjeron cambios en la pertenencia, compare las direcciones IP de la salida del comando get management-cluster status con las de la salida del comando get control-cluster status.

No es necesaria ninguna acción si el grupo de direcciones IP es el mismo. Si alguna dirección IP es diferente, siga los pasos restantes para restaurar todo el clúster del controlador.

5 Inicie sesión en la CLI de NSX Controller para determinar cuál es el controlador principal al ejecutar el comando get control-cluster status.

La salida del controlador principal mostrará is master: true.

6 Ejecute el comando stop service <controller> en un controlador que no sea el principal.

7 Inicie sesión en el controlador principal y luego ejecute el comando detach control-cluster <ip-address[:port]> para desconectar el controlador del paso anterior que no es el principal.

8 (Opcional) Ejecute el comando detach controller <uuid> en NSX Manager para desconectar el controlador únicamente si el comando get management-cluster status muestra este controlador en NSX Manager.

9 Inicie sesión en la CLI del NSX Controller y ejecute a continuación el comando deactivate control-cluster.

10 Elimine el archivo de arranque y el archivo uuid con los siguientes comandos: rm -r /opt/vmware/etc/bootstrap-config y rm -r /config/vmware/node-uuid.

11 Complete del paso 6 al 10 en el resto de controladores que no son el principal.

12 Inicie sesión en la CLI del controlador principal y ejecute a continuación el comando stop service <controller>.

13 Ejecute el comando detach controller <uuid> en NSX Manager para desconectar este controlador.

14 Inicie sesión en la CLI del controlador principal y ejecute a continuación el comando deactivate control-cluster.

15 Elimine el archivo de arranque y el archivo uuid con los siguientes comandos: rm -r /opt/vmware/etc/bootstrap-config y rm -r /config/vmware/node-uuid.


VMware, Inc. 156

16 Ejecute el comando get management-cluster status desde NSX Manager. Si aún aparecen controladores en la salida, ejecute el comando detach controller <uuid> para desconectar los restantes.

Pasos siguientes

Complete las siguientes tareas en el orden que aparece.

1 Complete una restauración en el nivel de nodo. Consulte Restaurar la copia de seguridad de los nodos de NSX Manager.

2 Conecte los NSX Controller con el Plano de administración (Management Plane), tal y como aparece en la Guía de instalación de NSX-T.

3 Vuelva a implementar el clúster de NSX Controller, tal y como aparece en la Guía de instalación de NSX-T.

Administrar dispositivos y clústeres de dispositivosCada instalación de NSX-T solo necesita y admite una instancia de NSX Manager. Los clústeres de NSX Controller deben tener tres miembros. Los clústeres de NSX Edge deben tener dos miembros como mínimo.

Si un dispositivo de un clúster de Edge o Controller deja de funcionar o si necesita quitarlo por cualquier motivo, puede reemplazarlo por un nuevo dispositivo.

Importante Si realiza algún cambio en la pertenencia de los clústeres de NSX Controller o NSX Edge, deberá realizar una copia de seguridad de los clústeres posteriormente para guardar la nueva configuración. Consulte Restaurar y hacer copias de seguridad de NSX Manager.

Administrar NSX ManagerPuede consultar el estado de NSX Manager con un comando de CLI. Si NSX Manager no funciona ni se puede recuperar, puede reiniciar el dispositivo de NSX Manager.

Obtener el estado de NSX ManagerPuede utilizar un comando de CLI para obtener el estado de NSX Manager.

Procedimiento


2 Ejecute el comando get management-cluster status. Por ejemplo,

nsx-manager> get management-cluster status

Number of nodes in management cluster: 1

-192.168.110.105

Management cluster status: STABLE

Number of nodes in control cluster: 3


VMware, Inc. 157

- 192.168.110.52

- 192.168.110.53

- 192.168.110.51

Control cluster status: STABLE.

Nota Aunque el resultado indique "management cluster", solo puede haber una instancia de NSX Manager.

Reiniciar NSX ManagerPuede reiniciar NSX Manager con un comando de CLI para solucionar los problemas graves.

Procedimiento


2 Ejecute el comando reboot. Por ejemplo,

nsx-manager> reboot

Are you sure you want to reboot (yes/no): y

Administrar el clúster de NSX ControllerEl clúster de NSX Controller debe tener tres miembros. Si después de realizar el procedimiento para solucionar problemas determina que uno de sus dispositivos de NSX Controller no se puede recuperar, puede agregar un dispositivo al clúster para reemplazarlo o, si es necesario, volver a implementar el clúster de NSX Controller.

Un clúster de NSX Controller debe tener mayoría para funcionar con normalidad. Si dos de los tres miembros están conectados, el clúster seguirá teniendo mayoría. Debe restaurar el clúster de tres miembros. Para ello, agregue NSX Controller sin conexión. Si no puede agregarlo, puede agregar otro dispositivo de NSX Controller para sustituirlo y recuperar la mayoría. Consulte Reemplazar un miembro del clúster de NSX Controller.

Si uno de los tres miembros está conectado, el clúster no tendrá mayoría y no funcionará con normalidad. Si agrega los miembros sin conexión, el clúster recuperará la mayoría. Si no puede agregar ninguno de los miembros sin conexión, puede volver a implementar el clúster de NSX Controller. Consulte Volver a implementar el clúster de NSX Controller.

Requisitos previos

Compruebe mediante la solución de problemas que no se pueden recuperar los dispositivos. Por ejemplo, mediante estos pasos se pueden recuperar los dispositivos sin tener que reemplazarlos.

n Compruebe que los dispositivos tengan conectividad de red. Si no disponen de ella, soluciónelo.

n Reinicie los dispositivos.

Pasos siguientes

Obtenga el estado del clúster de NSX Controller. Consulte Obtener el estado del clúster de NSX Controller.


VMware, Inc. 158

Obtener el estado del clúster de NSX ControllerPuede averiguar el estado del clúster de NSX Controller en NSX Manager. También puede consultar el estado de cada NSX Controller en su interfaz de línea de comandos.

Si obtiene el estado del clúster de NSX Controller y los miembros del clúster, podrá determinar el origen de un problema con el clúster de NSX Controller.

Tabla 11-3. Estado del clúster de NSX Controller

¿Hay al menos un controlador registrado con NSX Manager?

¿El clúster de NSX Controller tiene mayoría?

¿Hay algún miembro del clúster de NSX Controller no disponible?

NO_CONTROLLERS No N/C N/C

UNAVAILABLE Desconocido Desconocido Desconocido

STABLE Sí Sí No

DEGRADED Sí Sí Sí

UNSTABLE Sí No No

Procedimiento


2 Ejecute el comando get management-cluster status.

nsx-manager-1> get management-cluster status


- 192.168.110.203 (UUID 564DDA9E-8E84-E374-1F12-C69FAAE6A698) Online

- 192.168.110.201 (UUID 564D2E9C-A521-6C27-104F-76BBB5FCAC7F) Online

- 192.168.110.202 (UUID 564DC1B0-259A-9D6C-AF1F-12AEB6951882) Online



- 192.168.110.52 (UUID 1228c336-3932-4b5b-b87e-9f66259cebcd)

- 192.168.110.53 (UUID f5348a2e-2d59-4edc-9618-2c05ac073fd8)

- 192.168.110.51 (UUID 03fad907-612f-4068-8109-efdf73002038)

Control cluster status: STABLE

3 Inicie sesión en la CLI de NSX Controller.

4 Ejecute el comando get control-cluster status.

nsx-controller-1> get control-cluster status

uuid: 03fad907-612f-4068-8109-efdf73002038

is master: true

in majority: true


VMware, Inc. 159

uuid address status

03fad907-612f-4068-8109-efdf73002038 192.168.110.51 active

1228c336-3932-4b5b-b87e-9f66259cebcd 192.168.110.52 active

f5348a2e-2d59-4edc-9618-2c05ac073fd8 192.168.110.53 active

Reiniciar los miembros del clúster de NSX ControllerSi necesita reiniciar varios miembros del clúster de NSX Controller, debe hacerlo de uno a uno. Un clúster con tres miembros puede tener mayoría si uno de ellos no tiene conexión. Si dos miembros no tienen conexión, el clúster perderá la mayoría y no funcionará con normalidad.

Procedimiento


2 Obtenga el estado de los clústeres de control y gestión.




- 192.168.110.202 (UUID 564D0B9E-DEBD-A19E-233C-C13432CB23FB) Online

- 192.168.110.203 (UUID 564D666C-EB23-CDC1-8101-95155E9EB916) Online




- 192.168.110.51 (UUID 03fad907-612f-4068-8109-efdf73002038)



3 Inicie sesión en la CLI de un NSX Controller que necesite reiniciar y reinícielo.

nsx-controller-2> reboot

Are you sure you want to reboot (yes/no): y

4 Vuelva a obtener el estado del clúster de control y gestión. Espere hasta que el estado del clúster de control sea STABLE para poder reiniciar otros miembros.

En este ejemplo, NSX Controller 192.168.110.53 se está reiniciando y el estado del clúster de control es DEGRADED. Esto significa que el clúster tiene mayoría, pero uno de los miembros no está disponible. Consulte Obtener el estado del clúster de NSX Controller para obtener más información sobre el estado del clúster de NSX Controller.








VMware, Inc. 160




- 192.168.110.51 (UUID 03fad907-612f-4068-8109-efdf73002038)

Control cluster status: DEGRADED

Cuando el estado del clúster de NSX Controller sea STABLE, podrá reiniciar otros miembros sin riesgos.









- 192.168.110.51 (UUID 03fad907-612f-4068-8109-efdf73002038)



5 Si necesita información sobre estados de dispositivos de NSX Controller individuales, puede iniciar sesión en NSX Controller y ejecutar el comando get control-cluster status.


uuid: 03fad907-612f-4068-8109-efdf73002038

is master: true

in majority: true

uuid address status

03fad907-612f-4068-8109-efdf73002038 192.168.110.51 active

1228c336-3932-4b5b-b87e-9f66259cebcd 192.168.110.52 active

f5348a2e-2d59-4edc-9618-2c05ac073fd8 192.168.110.53 not active

6 Si es necesario, repita los pasos para reiniciar otros dispositivos de NSX Controller.

Reemplazar un miembro del clúster de NSX ControllerUn clúster de NSX Controller debe tener tres miembros como mínimo. Si un dispositivo de NSX Controller deja de funcionar y necesita quitarlo del clúster, primero debe agregar un nuevo NSX Controller para crear un clúster de cuatro miembros. Cuando agregue el cuarto miembro, podrá quitar un NSX Controller del clúster.

Requisitos previos

n Compruebe mediante la solución de problemas que no se pueden recuperar los dispositivos. Por ejemplo, mediante estos pasos se pueden recuperar los dispositivos sin tener que reemplazarlos.



VMware, Inc. 161


n Asegúrese de conocer la versión de NSX Controller que reemplaza, así como de tener un archivo de instalación adecuado (OVA, OVF o QCOW2) de la misma versión disponible.

Procedimiento

1 Instale y configure un nuevo NSX Controller.


a Instale un nuevo dispositivo de NSX Controller.

La versión del nuevo NSX Controller debe ser la misma que la del NSX Controller que reemplaza.

b Una el nuevo NSX Controller con el plano de gestión.

c Una el nuevo NSX Controller con el clúster de control.

2 Desconecte el NSX Controller que quiera quitar del clúster.

3 Inicie sesión en otro NSX Controller y compruebe que el NSX Controller que desea quitar tenga el estado not active (no activo).


uuid: e075cf44-0d49-4eb2-9e4f-d8b10ca97a3b

is master: true

in majority: true

uuid address status

06996547-f50c-43c0-95c1-8bb644dea498 192.168.110.53 active

471e5ac0-194b-437c-9359-564cea845333 192.168.110.54 active

e075cf44-0d49-4eb2-9e4f-d8b10ca97a3b 192.168.110.51 active

863f9669-509f-4eba-b0ac-61a9702a242b 192.168.110.52 not active

4 Desasocie el controlador del clúster.

nsx-controller-1> detach control-cluster 192.168.110.52

Successfully detached node from the control cluster.

5 Desasocie el controlador del plano de gestión.

nsx-manager-1> detach controller 863f9669-509f-4eba-b0ac-61a9702a242b

The detach operation completed successfully

6 Compruebe que los controladores estén activos y que el clúster de control sea estable.

En NSX Controller:


uuid: e075cf44-0d49-4eb2-9e4f-d8b10ca97a3b

is master: true

in majority: true


VMware, Inc. 162

uuid address status

06996547-f50c-43c0-95c1-8bb644dea498 192.168.110.53 active

471e5ac0-194b-437c-9359-564cea845333 192.168.110.54 active

e075cf44-0d49-4eb2-9e4f-d8b10ca97a3b 192.168.110.51 active

En NSX Manager:



- 192.168.110.201 (UUID 4213216E-F93A-71B2-DA20-AFE5E714644F) Online

- 192.168.110.202 (UUID 4227F3D2-B7FE-8925-EA45-95ECD829C3E2) Online

- 192.168.110.203 (UUID 4227824A-1BDD-3A72-3EB3-8D306FEAE42D) Online



- 192.168.110.51 (UUID e075cf44-0d49-4eb2-9e4f-d8b10ca97a3b)

- 192.168.110.53 (UUID 06996547-f50c-43c0-95c1-8bb644dea498)

- 192.168.110.54 (UUID 471e5ac0-194b-437c-9359-564cea845333)


Volver a implementar el clúster de NSX ControllerSi después de reemplazar un controlador, los problemas relacionados con el clúster de NSX Controller no se resolvieron o si varios dispositivos de NSX Controller no se pueden recuperar, puede volver a implementar todo el clúster. NSX Manager contiene todos los estados de configuración deseados y se puede utilizar para volver a crear el clúster de NSX Controller.

Las conexiones de las rutas de datos no se interrumpirán durante la restauración del clúster de NSX Controller.

Requisitos previos

n Compruebe mediante la solución de problemas que no se pueden recuperar los dispositivos. Por ejemplo, mediante estos pasos se pueden recuperar los dispositivos sin tener que reemplazarlos.



n Asegúrese de conocer la versión de NSX Controller que reemplaza, así como de tener un archivo de instalación adecuado (OVA, OVF o QCOW2) de la misma versión disponible.

n Asegúrese de conocer las direcciones IP asignadas a los dispositivos de NSX Controller.

Procedimiento

1 Desconecte todos los controladores del clúster de NSX Controller.


VMware, Inc. 163

2 Desasocie los controladores de NSX Manager.

a Inicie sesión en la CLI de NSX Manager.

b Obtenga una lista de los controladores con el comando get management-cluster status.



- 192.168.110.201 (UUID 422EC8D8-B43F-D206-5048-781A5AECDCC6) Online



- 192.168.110.53 (UUID c28d0ac7-3107-4548-817a-50d76db007ab)

- 192.168.110.51 (UUID 4a0916c7-2f4d-48c2-81b6-29b7b3758ef4)

- 192.168.110.52 (UUID 1a409f24-9b9a-431e-a03a-1929db74bf00)

Control cluster status: UNSTABLE

c Desasocie los controladores con el comando detach controller.

nsx-manager-1> detach controller 1a409f24-9b9a-431e-a03a-1929db74bf00


nsx-manager-1> detach controller 4a0916c7-2f4d-48c2-81b6-29b7b3758ef4


nsx-manager-1> detach controller c28d0ac7-3107-4548-817a-50d76db007ab


3 Instale tres dispositivos de NSX Controller y cree un clúster de NSX Controller.


a Instale tres dispositivos NSX Controller.

n La versión de los nuevos dispositivos de NSX Controller debe ser la misma que la de los dispositivos de NSX Controller que reemplazan.

n Asigne a los nuevos controladores las mismas direcciones IP que se utilizaron en los antiguos controladores.

b Una los dispositivos de NSX Controller con el plano de gestión.

c En uno de los dispositivos de NSX Controller, inicie el clúster de control.

d Una los otros dos controladores con el clúster de control.


VMware, Inc. 164

Administrar el clúster de NSX EdgePuede reemplazar NSX Edge si, por ejemplo, no funciona o si necesita cambiar el hardware. Después de instalar un nuevo NSX Edge y crear un nodo de transporte, puede modificar el clúster de Edge para reemplazar el nodo de transporte antiguo por el nuevo.

Nota Si quita un clúster de Edge de nivel 1, la instancia del enrutador distribuido (DR) de nivel 1 estará fuera de servicio momentáneamente.

Procedimiento

1 Si el NSX Edge que desea reemplazar sigue en funcionamiento, puede activar el modo de mantenimiento para reducir el tiempo de inactividad. Si se habilita la alta disponibilidad en los enrutadores lógicos asociados y activa el modo de mantenimiento, los enrutadores lógicos utilizarán un miembro del clúster de Edge diferente. No necesita realizar esta acción si NSX Edge no funciona.

a Obtenga el ID de nodo de tejido del nodo de tejido con errores.

https://192.168.110.201/api/v1/fabric/nodes

...

"resource_type": "EdgeNode",

"id": "a0f4fa74-e77c-11e5-8701-005056aeed61",

"display_name": "edgenode-02a",

...

b Active el modo de mantenimiento para el nodo de NSX Edge con errores.

POST https://192.168.110.201/api/v1/fabric/nodes/a0f4fa74-e77c-11e5-8701-005056aeed61?

action=enter_maintenance_mode

2 Instale un nuevo NSX Edge.


3 Una el nuevo NSX Edge con el plano de gestión con el comando join management-plane.


4 Configure NSX Edge como un nodo de transporte.



VMware, Inc. 165

Puede obtener la configuración del nodo de transporte del dispositivo de NSX Edge con errores en la API y utilizar esta información para crear el nodo de transporte.

a Obtenga el ID de nodo de tejido del nodo de tejido nuevo.

https://192.168.110.201/api/v1/fabric/nodes

...

"resource_type": "EdgeNode",

"id": "d61c8d86-f4b8-11e5-b1b2-005056ae3c10",

"display_name": "edgenode-03a",

...

b Obtenga el ID de nodo de transporte del nodo de transporte con errores.

GET https://192.168.110.201/api/v1/transport-nodes

...

{

"resource_type": "TransportNode",

"description": "",

"id": "73cb00c9-70d0-4808-abfe-a12a43251133",

"display_name": "TN-edgenode-01a",

...


VMware, Inc. 166

c Obtenga la configuración de nodo de transporte del nodo de transporte con errores.

GET https://192.168.110.201/api/v1/transport-nodes/73cb00c9-70d0-4808-abfe-a12a43251133

{


"description": "",

"id": "73cb00c9-70d0-4808-abfe-a12a43251133",


"tags": [],

"transport_zone_endpoints": [

...

],

"host_switches": [

...

],

"node_id": "a0f4fa74-e77c-11e5-8701-005056aeed61",

"_create_time": 1457696199196,

"_last_modified_user": "admin",

"_last_modified_time": 1457696225606,

"_create_user": "admin",

"_revision": 2

}

d Cree el nodo de transporte con POST /api/v1/transport-nodes.

En el cuerpo de la solicitud, proporcione la siguiente información para el nodo de transporte nuevo:

n description para el nodo de transporte nuevo (opcional)

n display_name para el nodo de transporte nuevo

n node_id del nodo de tejido que se utiliza para crear el nodo de transporte

En el cuerpo de la solicitud, copie la siguiente información del nodo de transporte con errores:

n transport_zone_endpoints

n host_switches

n tags (opcional)

POST https://192.168.110.201/api/v1/transport-nodes

{

"description": "",


"tags": [

...

],

"transport_zone_endpoints": [

...

],

"host_switches": [


VMware, Inc. 167

...

],

"node_id": "d61c8d86-f4b8-11e5-b1b2-005056ae3c10"

}


VMware, Inc. 168

5 Edite el clúster de Edge para sustituir el nodo de transporte con errores por el nuevo.

a Obtenga el ID del nodo de transporte nuevo y del nodo de transporte con errores. El campo id contiene el ID del nodo de transporte.

GET https://192.168.110.201/api/v1/transport-nodes

...

{


"description": "",

"id": "73cb00c9-70d0-4808-abfe-a12a43251133",


...

{


"description": "",

"id": "890f0e3c-aa81-46aa-843b-8ac25fe30bd3",


b Obtenga el ID del clúster de Edge. El campo id contiene el ID del clúster de Edge. Obtenga los miembros del clúster de Edge en la matriz de members.

GET https://192.168.110.201/api/v1/edge-clusters

....

{

"resource_type": "EdgeCluster",

"description": "",

"id": "9a302df7-0833-4237-af1f-4d826c25ad78",

"display_name": "Edge-Cluster-1",

...

"members": [

{

"member_index": 0,

"transport_node_id": "73cb00c9-70d0-4808-abfe-a12a43251133"

},

{

"member_index": 1,

"transport_node_id": "e5d17b14-cdeb-4e63-b798-b23a0757463b"

}

],

c Edite el clúster de Edge para sustituir el nodo de transporte con errores por el nuevo. member_index debe coincidir con el índice del nodo de transporte con errores.

Precaución Si NSX Edge sigue en funcionamiento, esta acción lo interrumpirá. Esto desplazará todos los puertos del enrutador lógico del nodo de transporte con errores al nuevo.


VMware, Inc. 169

En este ejemplo, se produjo un error en el nodo de transporte TN-edgenode-01a (73cb00c9-70d0-4808-abfe-a12a43251133) y se sustituyó por el nodo de transporte TN-edgenode-03a (890f0e3c-aa81-46aa-843b-8ac25fe30bd3) en el clúster de edge Edge-Cluster-1 (9a302df7-0833-4237-af1f-4d826c25ad78).

POST http://192.168.110.201/api/v1/edge-clusters/9a302df7-0833-4237-af1f-4d826c25ad78?

action=replace_transport_node

{

"member_index": 0,

"transport_node_id" : "890f0e3c-aa81-46aa-843b-8ac25fe30bd3"

}

6 (opcional) Elimine el nodo de transporte con errores y el nodo de NSX Edge.

Mensajes del sistema de registroLos mensajes de registro de todos los componentes de NSX-T (excepto aquellos que se ejecutan en ESXi) utilizan el formato RFC 5424. Puede configurar un servidor de registro remoto para recibir mensajes de registro.

Para obtener más información sobre RFC 5424, consulte https://tools.ietf.org/html/rfc5424.

RFC 5424 define el siguiente formato para los mensajes de registro:

<facility * 8 + severity> version UTC-TZ hostname APP-NAME procid MSGID [structured-data] msg

Un mensaje de registro de ejemplo de NSX Manager:

<187>1 2016-03-15T22:53:00.114Z nsx-manager NSX - SYSTEM [nsx@6876 comp="nsx-manager"

errorCode="MP4039" subcomp="manager"] Connection verification failed for broker '10.160.108.196'.

Marking broker unhealthy.

NSX-T genera registros regulares (instalaciones local6, que tienen un valor numérico de 22) y registros de auditoría (instalaciones local7, que tienen un valor numérico de 23). Todas las llamadas de API activan un registro de auditoría.

El formato RFC 5424 define los siguientes niveles de gravedad:

Valor de gravedad Descripción

0 Emergencia: el sistema no se puede utilizar

1 Alerta: se debe realizar una acción inmediatamente

2 Gravedad: condiciones graves

3 Error: condiciones de error

4 Advertencia: condiciones de advertencia

5 Notificación: indica una condición normal, pero importante

6 Informativo: mensajes informativos

7 Depuración: mensajes de nivel de depuración


VMware, Inc. 170

https://tools.ietf.org/html/rfc5424

Todos los registros con un nivel de gravedad de emergencia, alerta, gravedad o error contienen un código de error único en la parte de datos estructurados del mensaje de registro. El código de error está compuesto por una cadena y un número decimal. La cadena representa un módulo específico.

El campo MSGID indica una categoría para el mensaje de registro. Para ver una lista de las categorías, consulte Categorías de mensajes de registro.

Configurar registros remotosPuede configurar dispositivos e hipervisores NSX-T para enviar mensajes de registro a un servidor de registro remoto.

El registro remoto es compatible con dispositivos NSX Manager, NSX Controller y NSX Edge e hipervisores.

Puede filtrar cuáles mensajes de registro se enviarán al servidor de registro en base a los siguientes criterios:

n nivel: emerg, alert, crit, err, warning, notice, info, debug

n recurso: los códigos están definidos en RFC 5424. El recurso local7 se utiliza para mensajes de auditoría y local6 para mensajes no auditados.

n ID de mensaje o categoría: las categorías y los ejemplos aparecen aquí, Categorías de mensajes de registro

Consulte la Referencia de la línea de comandos de NSX-T y la Guía de la API NSX-T para obtener información sobre los comandos y las solicitudes relacionados.

Requisitos previos

n Configure un servidor de registro remoto para recibir los registros de dispositivos NSX-T.

n Determine cuáles mensajes de registro desea enviar al servidor de registro.

Procedimiento

1 Inicie sesión en el dispositivo NSX-T que desee configurar con el registro remoto.

2 Configure un servidor de registro con el comando set logging-server y la siguiente sintaxis. Varios recursos o ID de mensajes pueden especificarse en una lista separada por comas, sin espacios.

set logging-server <hostname-or-ip-address[:port]> proto <proto> level <level> [facility

<facility>] [messageid <messageid>] [certificate <filename>]

Puede ejecutar el comando varias veces para agregar varias configuraciones de servidores de registro.

nsx> set logging-server 192.168.110.60 proto udp level info facility syslog messageid

SYSTEM,FABRIC

nsx> set logging-server 192.168.110.60 proto udp level info facility auth,user


VMware, Inc. 171

3 (opcional) Consulte la configuración de registro con el comando get logging-server.

nsx> get logging-servers

192.168.110.60 proto udp level info facility syslog messageid SYSTEM,FABRIC

192.168.110.60 proto udp level info facility auth,user

Categorías de mensajes de registroLos mensajes de registro pertenecen a una categoría. Estas categorías se pueden utilizar en el comando set logging-server para filtrar qué mensajes de registro se envían a un servidor de registro.

Tabla 11-4. Categorías de mensajes de registro

Categoría de mensaje de registro Ejemplos

FABRIC Nodo de host

Preparación del host

Nodo de Edge

Zona de transporte

Nodo de transporte

Perfiles de vínculo de carga

Perfiles de clúster

Clúster de Edge

Endpoints y clústeres de puente

SWITCHING Conmutador lógico

Puertos del conmutador lógico

Perfiles de conmutación

Funciones de seguridad del conmutador

ROUTING Enrutador lógico

Puertos del enrutador lógico

Enrutamiento estático

Enrutamiento dinámico

NAT

FIREWALL Reglas de firewall

Secciones de reglas de firewall

FIREWALL_PKTLOG Registros de conexión de firewall

Registros de paquete de firewall

GROUPING Conjuntos de direcciones IP

Conjuntos de direcciones MAC

grupos NSGroup

servicios NSService

Grupos de NSService

Grupo de VNI

Grupo de direcciones IP

DHCP Retransmisión DHCP


VMware, Inc. 172

Tabla 11-4. Categorías de mensajes de registro (continuación)

Categoría de mensaje de registro Ejemplos

SYSTEM Administración de dispositivos (syslog remoto, ntp, etc.)

Administración de clústeres

Administración de confianza

Licencias

Usuarios y funciones

Administración de tareas

Instalar (NSX Manager, NSX Controller)

Actualizar (actualizaciones de paquetes de hosts, NSX Manager, NSX Controller y NSX Edge)

Realización

Etiquetas

MONITORING SNMP

Conexión de puertos

Traceflow

- El resto de los mensajes de registro

Configurar IPFIXIPFIX (Exportación de información de flujo de protocolo de Internet) es un estándar para el formato y la exportación de información de flujo de red. Al habilitar IPFIX, todos los nodos de transporte host enviarán mensajes IPFIX a los recopiladores IPFIX mediante el puerto 4739.

En el caso de ESXi, NSX-T abre el puerto 4739 de forma automática. En el caso de KVM, si no está habilitado el firewall, se abre el puerto 4739, pero, si está habilitado, debe asegurarse de que el puerto esté abierto, porque NSX-T no lo abre de forma automática.

Requisitos previos

n Instale al menos un recopilador de IPFIX.

n Compruebe que los recopiladores de IPFIX tengan conectividad de red con los hipervisores.

n Compruebe que todos los firewalls relevantes, incluyendo el de ESXi, permitan el tráfico en los puertos de los recopiladores de IPFIX.

Procedimiento


2 Seleccione Herramientas (Tools) > IPFIX (IPFIX) en el panel de navegación.

3 Haga clic en la pestaña Recopiladores (Collectors) si aún no está seleccionada.

4 Haga clic en Configurar recopiladores (Configure Collectors).

5 Haga clic en Agregar (Add) e introduzca la dirección IP y el puerto del recopilador.

Puede agregar hasta 8 recopiladores.


VMware, Inc. 173

6 (opcional) En la sección Opciones de recopilación (Collection Options), haga clic en Editar (Edit) para especificar el ID del dominio de observación.

El ID del dominio de observación identifica desde qué dominio de observación se originaron los flujos de red. El valor predeterminado es 0, que indica que no hay ningún dominio de observación específico.

7 Haga clic en la pestaña Cambiar perfiles de IPFIX (Switch IPFIX Profiles).

8 Haga clic en Agregar (Add) para agregar un perfil.


Tiempo de espera activo (segundos) —Active Timeout (seconds)—

El tiempo tras el que se agotará el tiempo de espera de un flujo aunque se reciban más paquetes asociados al flujo. El valor predeterminado es 300.

Tiempo de espera inactivo (segundos) —Idle Timeout (seconds)—

El tiempo tras el que se agotará el tiempo de espera de un flujo si no se reciben más paquetes asociados al flujo (solo en ESXi, KVM agota el tiempo de todos los flujos basándose en el tiempo de espera activo). El valor predeterminado es 300.

Flujos máximos (Max Flows) Los flujos máximos que se almacenan en caché en un puente (solo en KVM, no se puede configurar en ESXi). El valor predeterminado es 16384.

Probabilidad de muestreo (%) —Sampling Probability (%)—

El porcentaje de paquetes que se van a muestrear (aproximadamente). Aumentar este valor podría afectar negativamente al rendimiento de hipervisores y recopiladores. Si todos los hipervisores envían más paquetes IPFIX al recopilador, este podría no ser capaz de recopilarlos todos. Establecer la probabilidad en el valor predeterminado, que es del 0,1%, mantiene bajo el impacto que se tiene sobre el rendimiento.

9 Haga clic en Aplicado a (Applied To) para aplicar el perfil a uno o varios objetos.

Los tipos de objeto son puertos lógicos y conmutadores lógicos.

Resultados

IPFIX en ESXi y KVM realiza el muestreo de paquetes de túnel siguiendo diferentes procedimientos. En ESXi, se realiza el muestreo del paquete de túnel según dos registros:

n Registro de paquetes externo con alguna información del paquete interno

n SrcAddr, DstAddr, SrcPort, DstPort y Protocol se refieren al paquete externo.

n Contiene entradas empresariales para describir el paquete interno.

n Registro de paquete interno

n SrcAddr, DstAddr, SrcPort, DstPort y Protocol se refieren al paquete interno.

En KVM, se realiza el muestreo del paquete de túnel según un registro:

n El registro del paquete interno con alguna información del túnel externo

n SrcAddr, DstAddr, SrcPort, DstPort y Protocol se refieren al paquete interno.

n Contiene entradas empresariales para describir el paquete externo.


VMware, Inc. 174

Rastrear la ruta de un paquete con TraceflowUtilice Traceflow para inspeccionar la ruta de un paquete mientras se traslada de un puerto lógico de la red lógica a otro puerto lógico de la misma red. Traceflow rastrea la ruta del nivel del nodo de transporte de un paquete insertado en un puerto lógico. El paquete de rastreo atraviesa la superposición del conmutador lógico, pero no es visible para las interfaces asociadas al conmutador lógico. En otras palabras, no se envía ningún paquete a los destinatarios objetivo del paquete de prueba.

Procedimiento


2 Desplácese hasta la pantalla Traceflow. Tiene dos opciones.

n Seleccionar Herramientas (Tools) > Traceflow (Traceflow) en el panel de navegación.

n Seleccionar Conmutación (Switching) en el panel de navegación, hacer clic en el pestaña Puertos (Ports), seleccionar un puerto asociado a VIF y hacer clic en Acciones (Actions) > Traceflow (Traceflow).

3 Seleccione un tipo de tráfico.

Las opciones son Unidifusión (Unicast), Multidifusión (Multicast) y Difusión (Broadcast).

4 Especifique la información de origen y de destino según el tipo de tráfico.

Tipo de tráfico Especificar información de origen Especificar información de destino

Unidifusión (Unicast)

Seleccione una máquina y una interfaz virtuales.

La dirección MAC y la dirección IP se muestran si VMtools está instalado en la máquina virtual o si esta se implementa con el complemento de OpenStack (se utilizarán enlaces de direcciones en este caso). Si la máquina virtual tiene varias direcciones IP, seleccione una en el menú desplegable.

Si la dirección IP y la dirección MAC no se muestran, introdúzcalas en los cuadros de texto.

Esto también se aplicará a los tipos Unidifusión (Unicast) y Difusión (Broadcast).

Seleccione Nombre de máquina virtual (VM Name) o IP-MAC en el menú desplegable "Tipo" (Type).

n Si la opción Nombre de máquina virtual (VM Name) está seleccionada, seleccione una máquina y una interfaz virtuales. Seleccione o introduzca una dirección IP y una dirección MAC.

n Si la opción IP-MAC está seleccionada, seleccione el tipo de rastreo: Capa 2 (Layer 2) o Capa 3 (Layer 3). Si el tipo de rastreo es de Capa 2 (Layer 2), introduzca una dirección IP y una dirección MAC. Si el tipo de rastreo es de Capa 3 (Layer 3), introduzca una dirección IP.

Multidifusión (Multicast)

Se aplican las instrucciones anteriores. Introduzca una dirección IP. Debe ser una dirección de multidifusión desde 224.0.0.0 hasta 239.255.255.255.

Difusión (Broadcast) Se aplican las instrucciones anteriores. Introduzca una longitud de prefijo de subred.

5 (opcional) Haga clic en Avanzado (Advanced) para ver las opciones avanzadas.


VMware, Inc. 175

6 (opcional) En la columna de la izquierda, escriba los valores que desee o introduzca datos en los siguientes campos:


Tamaño de marco (Frame Size) por ejemplo, 128

TTL por ejemplo, 64

Tiempo de espera (ms) (Timeout [ms]) por ejemplo, 10.000

Tipo de Ethernet (Ethertype) por ejemplo, 2.048

Tipo de carga (Payload Type) Seleccione una opción en el menú desplegable.

Datos de carga (Payload Data) Carga con formato según el tipo de carga seleccionado: Base64, Hexadecimal (Hex), Texto sin formato (Plaintext), Binario (Binary) o Decimal.

7 (opcional) En la sección "Protocolo" (Protocol) de la columna de la izquierda, seleccione un protocolo

en el menú desplegable "Tipo" (Type).

8 (opcional) En función del protocolo seleccionado, complete los pasos asociados de la siguiente tabla.

Protocolo Paso 1 Paso 2 Paso 3

TCP Introduzca un puerto de origen.

Introduzca un puerto de destino. Seleccione las marcas TCP que desee en el menú desplegable.

UDP Introduzca un puerto de origen.

Introduzca un puerto de destino. N/C

ICMP Introduzca un ID de ICMP. Introduzca un valor de secuencia.

N/C

9 Haga clic en Rastrear (Trace).

Se mostrará información sobre las conexiones, los componentes y las capas. El resultado incluye una tabla con el Tipo de observación (Observation Type), ya sea Entregado (Delivered), Descartado (Dropped), Recibido (Received) o Reenviado (Forwarded), el Nodo de transporte (Transport Node) y el Componente (Component), así como un mapa gráfico de la topología si la difusión y el conmutador lógico como destino están seleccionados. Puede aplicar un filtro, ya sea Todo (All), Enviado (Delivered) o Descartado (Dropped), en las observaciones que se muestran. Si hay observaciones descartadas, el filtro Descartado (Dropped) se aplica de forma predeterminada. De lo contrario, se aplica el filtro Todo (All).

Consultar información sobre la conexión de puertosPuede utilizar la herramienta de conexión de puertos para ver rápidamente la conexión entre dos máquinas virtuales, así como para solucionar los problemas relacionados con dicha conexión.

Procedimiento


2 Seleccione Herramientas > Conexión de puertos en el panel de navegación.


VMware, Inc. 176

3 Seleccione una máquina virtual en el menú desplegable Máquina virtual de origen.

4 Seleccione una máquina virtual en el menú desplegable Máquina virtual de destino.

5 Haga clic en Ir.

Se mostrará un mapa visual de la topología de la conexión de puertos. Puede hacer clic en cualquiera de los componentes de este mapa para obtener más información sobre ese componente.

Supervisar la actividad de un puerto del conmutador lógicoPuede supervisar la actividad del puerto lógico para, por ejemplo, solucionar los problemas relacionados con la congestión de la red y los paquetes que se descartan.

Requisitos previos

Compruebe que haya un puerto de conmutador lógico configurado. Consulte Conectar una VM a un conmutador lógico.

Procedimiento


2 Seleccione Conmutación (Switching) > Puerto (Port) en el panel de navegación.

3 Haga doble clic en el puerto de conmutador lógico que desea supervisar.

4 Haga clic en la pestaña Supervisar (Monitor).

5 Seleccione Iniciar el seguimiento (Begin Tracking).

Se abrirá una página de seguimiento de puertos.

6 Empiece a supervisar la actividad del puerto de conmutador lógico.

Puede consultar el tráfico bidireccional del puerto e identificar los paquetes descartados. La página de seguimiento de los puertos también incluye los perfiles de conmutación asociados al puerto de conmutador lógico.

Ejemplo

Por ejemplo, si observa paquetes descartados debido a la congestión de la red, puede configurar un perfil de conmutación de QoS para el puerto de conmutador lógico para evitar que se pierdan datos en los paquetes preferidos. Consulte Información sobre el perfil de conmutación de QoS.

Supervisar las sesiones de creación de reflejo del puertoPuede supervisar las sesiones de creación de reflejo del puerto para solucionar problemas y para otros fines.

Esta función tiene las siguientes restricciones:

n Un puerto de reflejo de origen no puede encontrarse en más de una sesión de reflejo.


VMware, Inc. 177

n Un puerto de destino solo puede recibir tráfico de reflejo.

n Con KVM, se pueden asociar varias NIC al mismo puerto OVS. La creación del reflejo se produce en el puerto de vínculo superior OVS, lo que significa que el tráfico de todas las pNIC asociadas al puerto OVS se refleja.

n Los puertos de origen y de destino de la sesión de reflejo deben encontrarse en el mismo vSwitch del host. Por lo tanto, si ejecuta vMotion en la máquina virtual que tiene el puerto de origen o de destino en otro host, el tráfico de ese puerto no podrá reflejarse.

n En ESXi, cuando la creación de reflejo está habilitada en el vínculo superior, VDL2 encapsula en paquetes UDP los paquetes TCP de producción sin procesar usando el protocolo Geneve. Una NIC física que admite TSO (descarga de segmentación TCP) puede cambiar los paquetes y asignarles la marca MUST_TSO. En una máquina virtual de supervisión con vNIC VMXNET3 o E1000, el controlador trata el paquete como los paquetes UDP normales, no puede permitir la marca MUST_TSO y descartará los paquetes.

Si una gran cantidad de tráfico se refleja en una máquina virtual de supervisión, existe la posibilidad de que el anillo del búfer de la unidad se llene y los paquetes se descarten. Para mitigar el problema, puede llevar a cabo una o varias de las siguientes acciones:

n Aumentar el tamaño del anillo del búfer rx.

n Asignar más recursos de CPU a la máquina virtual.


VMware, Inc. 178

n Utilizar el kit de desarrollo de plano de datos (DPDK) para mejorar el rendimiento del procesamiento de paquetes.

Nota Compruebe que la configuración de MTU de la máquina virtual de supervisión (en el caso de KVM, también la configuración de MTU del dispositivo de la NIC virtual del hipervisor) sea lo suficientemente grande para gestionar los paquetes. Esto es especialmente importante para los paquetes encapsulados, ya que la encapsulación aumenta el tamaño de los paquetes. De lo contrario, es posible que los paquetes se descarten. Esto no supone un problema con las máquinas virtuales ESXi con las NIC VMXNET3, pero sí puede serlo con otros tipos de NIC tanto en máquinas virtuales ESXi como en KVM.

Nota En una sesión de creación de reflejo del puerto L3 que incluye las máquinas virtuales que se encuentran en los hosts KVM, debe configurar el tamaño de MTU para que sea lo suficientemente grande para admitir los bits adicionales que requiere la encapsulación. El tráfico de creación de reflejo se dirige a través de una interfaz OVS y un vínculo superior OVS. Debe establecer la MTU de la interfaz de OVS para que sea, al menos, 100 bits superior al tamaño del paquete original (antes de la encapsulación y de la creación de reflejo). Si observa que se descartan paquetes, aumente la opción de la MTU para la interfaz OVS y la NIC virtual del host. Use el siguiente comando para establecer la MTU de una interfaz OVS:

ovs-vsctl -- set interface <ovs_Interface> mtu_request=<MTU>

Nota Cuando supervisa el puerto lógico de una máquina virtual y el puerto del vínculo superior de un host donde se encuentra la máquina virtual, observará diferentes comportamientos dependiendo de si el host es ESXi o KVM. Para ESXi, los paquetes de creación de reflejo del puerto lógico y los paquetes de creación de reflejo del vínculo superior se etiquetan con el mismo ID de VLAN y aparecen igual en la máquina virtual de supervisión. Para KVM, los paquetes de creación de reflejo del puerto lógico no se etiquetan con una ID de VLAN, pero los paquetes de creación de reflejo del vínculo superior se etiquetan y aparecen de forma diferente en la máquina virtual de supervisión.

Procedimiento


2 Seleccione Herramientas (Tools) > Sesión de creación de reflejo de puerto (Port Mirroring Session en el panel de navegación.

3 Introduzca un nombre de sesión.

4 Seleccione un nodo de transporte en el menú desplegable.

Una sesión de creación de reflejo del puerto se debe encontrar entre las NIC en el mismo nodo de transporte.

5 Seleccione una dirección en el menú desplegable.

Las opciones son Bidireccional (Bidirectional), Entrada (Ingress) y Salida (Egress).

6 (opcional) Seleccione un valor de truncamiento de paquetes.


VMware, Inc. 179

7 Haga clic en Siguiente (Next).

8 Seleccione las PNIC de origen.

9 (opcional) Seleccione el interruptor Paquete encapsulado (Encapsulated Packet) para deshabilitar la captura del tráfico encapsulado.

Este interruptor está activado de forma predeterminada.

10 Seleccione las VNIC de origen.

11 Seleccione un destino.

Puede seleccionar hasta tres máquinas virtuales y hasta tres VNIC.


No puede cambiar el origen ni el destino después de guardar la sesión de creación de reflejo del puerto.

Supervisar nodos de tejidoPuede supervisar nodos de tejido como nodos de transporte, hosts, instancias de Edge, clústeres de Edge y puentes en la interfaz de usuario de NSX Manager.

Procedimiento


2 Seleccione Tejido (Fabric) > Nodos (Nodes) en el panel de navegación.

3 Seleccione una de las siguientes pestañas.

n Hosts

n Instancias de Edge

n Clústeres de Edge

n Puentes

n Nodos de transporte

Resultados

Nota En la pantalla Hosts, si el estado Conectividad de MPA de un host es No disponible o Desconocido, ignore el estado Conectividad de LCP, ya que es posible que no sea preciso.

Recopilar paquetes de soporteEs posible recopilar paquetes de soporte de los clústeres y nodos de tejido y descargarlos en la máquina o cargarlos a un servidor de archivos.


VMware, Inc. 180

Si decide descargar los paquetes en la máquina, obtendrá un único archivo de almacenamiento compuesto por un archivo de manifiesto y paquetes de soporte para cada nodo. Si opta por cargar los paquetes a un servidor de archivos, el archivo manifiesto y los paquetes individuales se cargan al servidor de archivos de forma independiente.

Procedimiento


2 Seleccione Sistema (System) > Utilidades (Utilities) en el panel de navegación.

3 Haga clic en la pestaña Paquete de apoyo (Support Bundle).

4 Seleccione los nodos de destino.

Los tipos de nodos disponibles son los nodos de administración, nodos de controladores, instancias de Edge y hosts.

5 (opcional) Especifique el número de días de antigüedad del registro para excluir aquellos que sean más antiguos que el número especificado.

6 (opcional) Alterne el conmutador que indica si incluir o excluir archivos básicos y registros de auditoría.

Los archivos básicos y registros de auditoría incluyen información confidencial, como contraseñas o claves cifradas.

7 (opcional) Seleccione una casilla de verificación para cargar los paquetes a un servidor de archivos.

8 Haga clic en Iniciar recopilación de paquetes (Start Bundle Collection) para comenzar a recopilar paquetes de soporte.

En función del número de registros, cada nodo puede tardar varios minutos.

9 Supervise el estado del procedimiento de recopilación.

El campo del estado muestra el porcentaje de nodos que completaron la recopilación de paquetes de soporte.

10 Haga clic en Descargar (Download) para descargar el paquete si la opción para enviarlo a un servidor de archivos no está configurada.


VMware, Inc. 181

guía de administración de nsx-t - vmware nsx-t data center 1 · y agentes que residen en tres...

Documents