Índice - vmware · el tiempo. si se encuentra en un evento de vmware, puede prolongar el tiempo...

ÍndiceDescripción general del laboratorio HOL-1829-01-NET: introducción avRealize Network Insight................................................................................................... 2

Orientación sobre el laboratorio.............................................................................. 3Módulo 1: microsegmentación y seguridad (30 minutos) ................................................. 9

Introducción .......................................................................................................... 10Introducción a la microsegmentación ................................................................... 12Conclusión............................................................................................................. 46

Módulo 2: visibilidad completa en redes físicas y virtuales (45 minutos) .......................47Introducción .......................................................................................................... 48Visibilidad integral y solución de problemas de la red ..........................................49Conclusión............................................................................................................. 83

Módulo 3: administración y operaciones de NSX avanzadas (45 minutos) .....................85Introducción .......................................................................................................... 86Operaciones de administración avanzadas de NSX .............................................. 87Simulación interactiva de Hands-on Labs: administración y operaciones de NSXavanzadas ............................................................................................................ 97Conclusión............................................................................................................. 98

Módulo 4: introducción a la administración de la seguridad de las nubes públicas(30 minutos) ................................................................................................................. 100

Introducción ........................................................................................................ 101Simulación interactiva del Hands-on Labs: administración de la seguridad de lasnubes públicas (AWS).......................................................................................... 103Conclusión........................................................................................................... 104

Módulo 5: seguridad con NSX-T (30 minutos) ............................................................... 105Introducción ........................................................................................................ 106Operaciones de NSX-T......................................................................................... 107Conclusión........................................................................................................... 118

HOL-1829-01-NET

Page 1HOL-1829-01-NET

Descripción general dellaboratorio

HOL-1829-01-NET:introducción a

vRealize Network Insight

HOL-1829-01-NET


Orientación sobre el laboratorioNota: Le llevará aproximadamente 90 minutos completar este laboratorio. Sirecién comienza con vRealize Network Insight, su expectativa debe ser lafinalización de solo dos de los módulos durante el tiempo disponible. Losmódulos son independientes unos de otros, por lo que puede empezar por elcomienzo de cualquiera de los módulos y continuar desde allí. Puede utilizarel Índice para acceder a cualquier módulo que desee.

Se puede acceder al Índice en la esquina superior derecha del Manual delaboratorio.

En este laboratorio, se les presentará a los estudiantes una descripción general y unademostración del uso de vRealize Network Insight. Este laboratorio se centrará encuatro capacidades particulares y dos escenarios de casos de uso. En el primer módulo,se presenta la microsegmentación y la seguridad dentro de las redes. A continuación,en el módulo dos se proporcionará una revisión detallada del mapeo de un flujo entiempo real, gracias a lo cual se obtendrá una vista completa de las redes underlay yoverlay entre plataformas. En el módulo tres, nos centraremos en NSX Manager yproporcionaremos un análisis fácil y profundo sobre cómo administramos lasoperaciones de NSX avanzadas dentro de vRealize Network Insight. En el módulo cuatro,nos enfocaremos en la administración de la seguridad de las nubes públicas (AWS).

Lista de los módulos del laboratorio:

• (30 minutos)• (45 minutos)• (45 minutos)• (30 minutos)• (30 minutos)

Director del laboratorio:

• Módulos 1 a 5: Atif Qadeer, Senior Systems Engineer, NSX, Reino Unido

Este manual práctico se puede descargar desde el sitio de documentos de Hands-on Labs que se encuentra en la siguiente página:

[http://docs.hol.pub/HOL-2017]

Este laboratorio puede estar disponible en otros idiomas. Para configurar la preferenciade idioma y obtener un manual localizado con el laboratorio, puede usar estedocumento como ayuda para orientarse en el proceso:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf

HOL-1829-01-NET


public/cme-export/hol-1829-01-net_pdf_es/[http:/docs.hol.pub/HOL-2017]http://docs.hol.vmware.com/announcements/nee-default-language.pdf

Ubicación de la consola principal

1. El área en el recuadro ROJO contiene la consola principal. El Manual delaboratorio se encuentra en la pestaña ubicada a la derecha de la consolaprincipal.

2. En algunos laboratorios en particular, puede haber consolas adicionales endiferentes pestañas en la esquina superior izquierda. Se le indicará que abra otraconsola específica si es necesario.

3. El laboratorio comienza con 90 minutos en el temporizador. El laboratorio no sepuede guardar. Todo el trabajo debe llevarse a cabo durante la sesión dellaboratorio. Sin embargo, puede hacer clic en el botón EXTEND para prolongarel tiempo. Si se encuentra en un evento de VMware, puede prolongar el tiempodel laboratorio dos veces, hasta 30 minutos. Con cada clic obtiene 15 minutosadicionales. Fuera de los eventos de VMware, puede prolongar el tiempo dellaboratorio hasta 9 horas y 30 minutos. Con cada clic obtiene una hora adicional.

Métodos alternativos para introducir datos con el teclado

Durante este módulo, introducirá texto en la consola principal. Además de escribirdirectamente en la consola, hay dos métodos muy útiles para introducir datos quefacilitan la introducción de datos complejos.

HOL-1829-01-NET


Hacer clic y arrastrar el contenido del Manual dellaboratorio hacia la ventana activa de la consola

También puede hacer clic y arrastrar el texto y los comandos de la interfaz de línea decomando (Command Line Interface, CLI) directamente desde el Manual del laboratoriohasta la ventana activa de la consola principal.

Acceder al teclado internacional en línea

También puede utilizar el teclado internacional en línea que se encuentra en la consolaprincipal.

1. Haga clic en el ícono de teclado que se encuentra en la barra de tareas del iniciorápido de Windows.

Hacer clic una vez en la ventana activa de la consola

HOL-1829-01-NET


En este ejemplo, usará el teclado en línea para introducir el símbolo "@" que se utilizaen las direcciones de correo electrónico. Según la disposición de los teclados de EE. UU.,el símbolo "@" se introduce mediante Shift-2.

1. Haga clic una vez en la ventana activa de la consola.2. Haga clic en la tecla Shift.

Hacer clic en la tecla @

1. Haga clic en la tecla "@".

Observe que se ha introducido el símbolo @ en la ventana activa de la consola.

vRealize Network Insight: navegación

• 1: "INICIO": utilice esto si necesita regresar a la pantalla de navegación ybúsqueda original

• 2: Panel de navegación• 3: Barra de búsqueda, incluida la línea de tiempo• 4: Panel de detalles e información• 5: Alertas/tableros/configuración

HOL-1829-01-NET


Marca de agua o solicitud de activación

Cuando inicie el laboratorio por primera vez, es probable que aparezca una marca deagua en el escritorio para indicarle que Windows no se activó.

Una de las ventajas más importantes de la virtualización es que las máquinas virtualespueden migrarse y ejecutarse en cualquier plataforma. Los Hands-on Labs utilizan estaventaja, por lo que podemos ejecutar los laboratorios en múltiples centros de datos. Sinembargo, estos centros de datos pueden no tener procesadores idénticos, lo que generauna verificación de activación de Microsoft mediante Internet.

Tenga la seguridad de que VMware y los Hands-on Labs están en cumplimientonormativo absoluto en lo que respecta a los requisitos de asignación de licencias deMicrosoft. El laboratorio que utiliza es un pod autónomo y no posee acceso total aInternet, que es lo que Windows requiere a fin de verificar la activación. Sin accesototal a Internet, este proceso automatizado falla, y se muestra esta marca de agua.

Este problema superficial no afecta el laboratorio.

Observar el sector inferior derecho de la pantalla

HOL-1829-01-NET


Asegúrese de que se hayan completado todas las rutinas de inicio del laboratorio y ellaboratorio esté listo para comenzar. Si ve otro mensaje que no sea "Ready", aguardeunos minutos. Si el laboratorio no ha cambiado a "Ready" luego de 5 minutos, soliciteasistencia.

HOL-1829-01-NET


Módulo 1:microsegmentación y

seguridad (30 minutos)

HOL-1829-01-NET


IntroducciónCuando medianas y grandes empresas implementan NSX, con frecuencia luchan paradefinir el nivel de microsegmentación que se necesita entre las aplicaciones en lasredes. El mayor desafío es saber qué información se necesita para comenzar, cómoubicar la información y el flujo de tráfico, y cómo capturar los resultados.

vRealize Network Insight le permite resolver este problema mediante el análisis y lacategorización de máquinas virtuales (Virtual Machine, VM) en grupos lógicos segúncaracterísticas específicas de procesamiento y red. Mediante este proceso, se generaautomáticamente un modelo recomendado para grupos de seguridad y reglas defirewall específicas para cada grupo. Esto facilita el trabajo de los arquitectos eingenieros de seguridad.

vRealize Network Insight (vRNI) depende del uso de un colector de exportación deinformación de flujo IP (IP Flow Information Export, IPFIX) en la capa del switch virtualdistribuido para capturar los flujos de datos. Habilitamos la IPFIX en la capa del switchvirtual distribuido para que los hosts de ESXi envíen paquetes de protocolo dedatagramas de usuario (User Datagram Protocol, UDP) de IPFIX al dispositivo devRealize Network Insight. Gracias a la captura de datos, se logrará el flujo de datos entiempo real para el tráfico de todos los puertos y se proporcionarán más capacidadesde filtrado para explorar el tráfico horizontal.

Tenemos dos escenarios que permiten explicar cómo vRealize Network Insight se puedeutilizar para asegurar una completa visibilidad y un control detallado en laimplementación de las reglas de firewall para completar la microsegmentación sinespeculaciones.

Escenario 1: (implementación sobre una estructura existente) el cliente ABC compróESXi y NSX, y no tiene una comprensión clara de cómo implementar desde el punto devista operacional cargas de trabajo actuales con protección de firewall horizontal ocómo segmentar la carga de trabajo. Ahora el cliente usará vRealize Network Insightpara observar el flujo de datos en tiempo real entre los puertos a fin de crear reglas defirewall horizontales. Con el proceso de vRealize Network Insight, se observarán lospatrones de tráfico de acuerdo con el flujo de datos capturado. Luego, se haránrecomendaciones para asegurar las cargas de trabajo para la comunicación horizontal.El firewall y la microsegmentación actuales también pueden verificarse.

Escenario 2: (implementación sobre estructura nueva) el cliente ABC tiene un nuevoproyecto de implementación para DevOps y no sabe cuáles serían las recomendacioneso reglas de firewall inmediatas. Con el uso de vRealize Network Insight, inmediatamentepodemos comenzar a monitorear el flujo de datos en tiempo real a medida que progresacada implementación y desarrollo. De acuerdo con la información de DevOps, ahorapodemos aplicar las reglas de firewall en la etapa de preguntas y respuestas, ypodemos prepararnos para las pruebas a fin de asegurar que, cuando migremos las

HOL-1829-01-NET


cargas de trabajo a la etapa de producción, tengamos seguridad operacional desde eldía cero para el tráfico horizontal dentro del centro de datos.

NOTA: No es necesario contar con NSX en ninguna etapa para capturar, observar oimplementar reglas de firewall horizontales exitosas. El proceso de planificación de laseguridad solo depende de IPFIX en la capa de vDS para capturar y observar el flujo dedatos entre los puertos.

En este módulo, se incluyen las siguientes lecciones:

• Identificación de reglas de firewall para la microsegmentación• Topología de grupos de seguridad• Seguimiento de una regla de firewall• Exportación de reglas de firewall a NSX Manager• Conclusión

HOL-1829-01-NET


Introducción a la microsegmentaciónEn esta sección, se incluyen las siguientes lecciones:

• Identificación de reglas de firewall para la microsegmentación• Topología de grupos de seguridad• Seguimiento de una regla de firewall

Verificación del estado del laboratorio

1. Asegúrese de que, en Lab Status, se muestre Ready antes de continuar.

Cierre las sesiones del navegador de los módulos anteriores.

Cómo abrir Google Chrome

1. Abra Chrome desde el entorno de escritorio del centro de control.

Nota: Internet Explorer no funcionará y no estaba certificado para usarse convRealize Network Insight al momento de esta liberación de versión.

HOL-1829-01-NET


Selección del favorito vRealize Network Insight

1. Seleccione el acceso directo de vRNI en la barra de favoritos (sivRealize Network Insight no se cargó automáticamente).

vRealize Network Insight: pantalla de inicio de sesión

Inicio de sesión en el portal

1. Nombre de usuario: [email protected]. Contraseña: VMware1!.3. Haga clic en Login para continuar.

HOL-1829-01-NET


mailto:[email protected]

Planificación de la seguridad

Cuando el inicio de sesión al portal de vRealize Network Insight esté completo,aparecerá una barra de búsqueda en la parte superior de la primera pantalla.

1. Escriba plan security (la barra de búsqueda presenta la función de "llenadoautomático" y el texto predictivo aparecerá a medida que escribe).

2. Seleccione el ícono del reloj.

Planificación de la seguridad: especificar un preajuste

1. Seleccione Presets.2. Seleccione Last Week.3. Haga clic en el ícono de búsqueda para continuar.

HOL-1829-01-NET


Descripción general: distribución del tráfico (panelizquierdo)

Se muestra la representación visual del tráfico para comprender la relación lógica entrecada componente, físico o virtual, a fin de hacer un seguimiento de los flujos y lassesiones dentro de una red:

• Flujos internos/flujos externos• Flujos protegidos/flujos desprotegidos• Por VLAN o VXLAN

La opción predeterminada para esta vista es "Last 1 day". No cambie estaconfiguración porque ya especificamos el filtro de tiempo.

HOL-1829-01-NET


Distribución del tráfico: descripción general (panelderecho)

La sección de la distribución del tráfico se explica en un formato de números acontinuación. Use estos como referencia y no haga clic en los enlaces en esta etapa.

• A: esta es la suma de todos los flujos de tráfico. El porcentaje aparece como solotráfico horizontal.

• B: se indica el porcentaje de tráfico que se conmutó.• C: el porcentaje de tráfico que se enruta entre los puertos horizontales.• D: se indica el tráfico de máquina virtual a máquina virtual como un porcentaje

de la suma del punto 1.• E: tráfico que se observa entre máquinas virtuales en el mismo host.• F: tráfico que requiere acceso a Internet.

Tráfico horizontal

Para ver detalles específicos sobre los flujos de datos, haga clic en cualquiera de los6 bloques y obtenga información detallada de los flujos y las sesiones (use la [x] que se

HOL-1829-01-NET


encuentra en la esquina derecha para cerrar la observación una vez que haya finalizadoa fin de continuar con el paso siguiente de este laboratorio). Es importante comprendertoda la distribución de los flujos y las sesiones para elaborar una estrategia informada afin de lograr la microsegmentación.

Una sesión es una tupla 5 (el puerto de origen es una de las cinco tuplas, lo quesignifica que cada vez que se establece y termina una nueva conexión del protocolo decontrol de transmisiones [Transmission Control Protocol, TCP], se graba una nuevasesión).

Un flujo es una agregación de sesiones de tupla 4. Permite combinar muchas sesionesde tupla 5 en una. Se ignora el puerto de origen, ya que este es muy dinámico y deamplio alcance y está en constante cambio. Siempre que muchas sesiones tengan elmismo IP de origen, el mismo IP de destino, el mismo puerto de destino y el mismoprotocolo, se combinarán en una sola grabación conocida como flujo.

Así que, en un día, miles de sesiones entre dos máquinas en un puerto de destinoespecífico (ssh, dns, etc.) se combinarían en un flujo con un agregado de paquetes,bytes y sesiones entre ellas grabadas como información de flujo adicional.

En cualquier empresa, la cantidad de sesiones en 1 día varía mucho. Los flujosson unidades más administrables e importan más para las definiciones de políticas y lamicrosegmentación.

Si uno desea ver estadísticas de estos flujos, como bytes transferidos y cantidad desesiones (o incluso usar estos contadores junto con otras operaciones de consultas paraotros análisis de nivel superior, como determinar la distribución de un flujo saliente demáquinas virtuales por IP de destino), se pueden usar los siguientes contadores demétricas:

Nombres de contadores

sesiones permitidas: conteo de sesiones (o tupla 5) correspondientes a un flujo (tupla 4)bytes: volumen de tráfico total intercambiado en el flujo (suma de los dos contadoresdescritos a continuación)src bytes: total de bytes enviados por src_ip del flujo a dst_ip:port:protocoldst bytes: total de bytes recibidos por src_ip del flujo desde dst_ip:port:protocol

1. Haga clic en el bloque del tráfico horizontal

Se abrirá una nueva ventana con un análisis detallado del tráfico.

HOL-1829-01-NET


Tráfico horizontal: vista detallada

Estos son solo algunos de los 1.653 flujos, pero las vistas detalladas y los filtros sepueden usar para obtener información más específica.

A: coloque el cursor sobre la línea de tiempo (sin hacer clic) para ver la velocidad delflujo para ese período que se indica mediante la línea verde.

1. Haga clic en el ícono de cierre (x) para continuar.

Servicios/puertos

HOL-1829-01-NET


Ubicación de la pantalla de servicios para el paso siguiente

Servicios/puertos: vista de la línea de tiempo

En la planificación de la seguridad, se utiliza la descripción general de servicios ypuertos que aparece en la parte lateral derecha de la pantalla. La pantalla devisualización del servicio se usa para observar el flujo de cada servicio y permiteanalizar la velocidad de un flujo específico en un determinado momento. Las líneas detiempo se pueden ajustar para comprender mejor lo que proporciona la "planificación dela seguridad". En este módulo, se seguirá cada paso necesario para observar y rastrearlos flujos del puerto 5443.

1. Haga clic en Show Data.

HOL-1829-01-NET


Servicios/puertos: servicio de tiempo permitido

En la sección Services, se proporciona una descripción general de los flujos de un puertoespecífico en un determinado momento, ya sea por bytes (by bytes) o por sesionespermitidas (by allowed sessions). Desplazándose sobre una sección en particular,observe el área marcada en rojo para comprender cómo se ve el flujo en un formatogiratorio a fin de asegurarse de que se puede suministrar un flujo de velocidad.

1. Para obtener enfoque, desplácese sobre el bloque azul por encima delpuerto 5443 y observe que presenta, según demanda, la suma total delos flujos para las últimas 24 horas en gigabytes (GB) que se transmitenpor el puerto 5443.

2. Haga clic en el bloque donde se cruzan las opciones "Last 24 hours" y"PORTS 5443" para obtener una vista detallada de la información.

HOL-1829-01-NET


Flujos del puerto 5443

Transmisión del puerto 5443 durante las últimas 24 horas. Ahora comprendemos mejorcómo se distribuyen 20 flujos siguiendo la lista de entidades. Puede desplazarse haciaabajo y examinar el tráfico en detalle. Se pueden usar más filtros en el lado izquierdo dela pantalla para filtrar la vista y obtener un tipo de resultado más específico.

1. Haga clic en la entrada para examinar el flujo detallado entre Prod-DB-3 yProd-DB-2 en el puerto 5443 (el orden de los flujos puede diferir de la pantallaque se muestra arriba. Prod-DB-3 y Prod-DB-2 pueden ser la entrada para elséptimo flujo).

Propiedades clave del flujo: vista de la línea de tiempo

HOL-1829-01-NET


Las propiedades y las métricas clave del flujo, con la ayuda de la línea de tiempo,proporcionan una mejor comprensión del tráfico entre estas dos VM específicas en elpuerto 5443. (A): Desplácese sobre cualquier parte del gráfico de las métricas clave delflujo para ver estadísticas del flujo en un momento específico.

1. Haga clic en 1M (último mes). Ahora mantenga el mouse sobre las líneasverdes/azules para ver un flujo específico en un determinado momento.

Propiedades clave del flujo: vista de la línea de tiempo

1. Haga clic en el botón para volver del navegador (una vez) a fin de regresara la pantalla de planificación de la seguridad (una vez que haya terminado dever las líneas de tiempo de los flujos específicos).

HOL-1829-01-NET


Microsegmentos

La pantalla debe volver a aparecer y centrarse en la vista de planificación de laseguridad. Enfoquémonos en la parte lateral izquierda de la pantalla de laplanificación de la seguridad que se denomina Micro Segments. En esta sección,nos centraremos en la vista de la subred y en cómo podemos usar esto para hacer unseguimiento de los flujos entre dos o múltiples puntos.

Nota: La segmentación de los flujos se puede alcanzar mediante el uso de vistas que secentrarán en VLAN/VXLAN, subred, carpeta, clústeres, VM, puertos, etiqueta deseguridad o grupos de seguridad.

1. Seleccione Last 1 Day (para borrar el rango de fechas anterior).2. Seleccione la casilla desplegable y, luego, by Subnet.3. Podemos seguir analizando los microsegmentos por grupos secundarios (este

paso solo tiene fines informativos).4. Haga clic en Analyze para completar los datos.

HOL-1829-01-NET


Enfoque: red 10.17.8.0

A: desplácese sobre la red 10.17.8.0 (no haga clic en ella) y vea cómoinmediatamente se resaltan todos los flujos y las sesiones desde y hacia este segmentode red. Otros tipos de tráfico perderán enfoque en este momento y se tornarán de colorceleste.

En la vista "Keep Focus", se crea un diagrama visual único de terminales donde semuestra la comunicación con recursos físicos compartidos, Internet y otras subredes.Con los paréntesis después de la red, se indicará la cantidad de máquinas virtuales. Conlas líneas de color, se indicará si un flujo conectado es SALIENTE/ENTRANTE/BIDIRECCIONAL.

HOL-1829-01-NET


Enfoque: VLAN/VXLAN

Si cambiamos la vista para hacer un seguimiento de los flujos entre Prod-Web y Prod-Midtier, cambiaremos de la vista de subred a la vista de VLAN/VXLAN. De esta manera,se expondrá el flujo del tráfico y, finalmente, obtendremos las reglas de firewallrecomendadas.

1. Seleccione la opción VLAN/VXLAN del filtro desplegable (la vista seactualizará automáticamente).

HOL-1829-01-NET


Enfoque: Prod-Web (25)

1. Desplácese sobre Prod-Web.2. Haga clic en Keep Focus, ya que seguiremos el tráfico de este grupo para ver

qué puertos están en uso y por qué.3. Haga clic en la línea que une Prod-Web y Prod-Midtier.

Flujos: Prod-Web a Prod-Midtier

HOL-1829-01-NET


(A): en este momento identificamos 14 terminales o flujos únicos que se comunican poro con posibles grupos de seguridad. Estos grupos de seguridad se basan en VLAN,carpetas, subredes o una construcción que se puede definir.

1. Haga clic en las reglas de firewall recomendadas.

Flujos: reglas de firewall recomendadas

Según el análisis observado del flujo de tráfico entre Prod-Web y Prod-Midtier, se generóuna regla de firewall recomendada para asegurar y segmentar el tráfico del resto de laVLAN/VXLAN.

Debido a las métricas de observación del flujo, la recomendación es ALLOW en elpuerto 8080 entre SG Prod-Web y SG-Prod-Midtier.


HOL-1829-01-NET


Múltiples puertos y reglas de firewall para Prod-web

1. Haga clic en el grupo Prod-Web.

Servicios y flujos para Prod-Web

Siguiendo el mismo enfoque, el usuario puede ver todos los servicios, los flujos y lasreglas de firewall para Prod-Web en un único panel.

HOL-1829-01-NET


1. Haga clic en Services In this group: 50 terminales o flujos únicos que secomunican por o con posibles grupos de seguridad se mapean con velocidadesde tráfico incluidas.

2. Haga clic en External Services Accessed: este es un desglose de 16 terminalesde servicio externos que se comunican con Prod-Web e incluyen información delpuerto (DNS, HTTPS, etc.).

3. Haga clic en Recommended Firewall Rules: según los 50 terminales deservicio únicos que tienen 17 servicios externos con 425 flujos, podemos usaresta métrica de observación para determinar que se requieren 6 reglas defirewall. Esta sería la mínima estrategia de segmentación recomendada para elgrupo Prod-Web.


Microsegmentación centrada en la aplicación

HOL-1829-01-NET


Una aplicación es una colección de niveles. Cada nivel de una aplicación es unacolección de VM basada en los criterios de filtros que define el usuario. Las aplicacionesle permiten crear un grupo jerárquico de VM y visualizar el tráfico o los flujos entre losniveles de la misma aplicación. El tráfico o los flujos se pueden visualizar entre lasaplicaciones.

1. En Micro-Segments, haga clic en el menú desplegable que dice by VLAN/VXLAN.2. Haga clic en by Application.

1. Desplácese sobre Prod-App (47) (no haga clic en esta etapa).2. Haga clic en Keep Focus.

Como puede ver, de acuerdo con el ejercicio anterior de planificación de lamicrosegmentación, puede visualizar flujos Outgoing, Incoming y Bidirectional a la

HOL-1829-01-NET


medida de Prod-App. Si hace clic en el microsegmento Prod-App, se mostrarán losservicios.

Ahora, exploraremos cómo podemos definir una aplicación.

Definición de una aplicación

1. En la barra de búsqueda, ingrese Application.2. Haga clic en el botón Search.

HOL-1829-01-NET


1. En la búsqueda de aplicaciones, obtendrá 4 entities, es decir, aplicaciones yacreadas en el sistema para usted.

2. En esta página, también puede crear una nueva aplicación: haga clic en AddApplication.

1. En el campo Application Name , escriba HOL-Pre-Prod.2. Debajo de Tier , escriba el nombre en Name como HOL-Pre-Prod.3. Nuestros criterios de búsqueda se basarán en los VM Names en el campo

Virtual Machines/IP Addresses. Escriba 'Admin-VM1', 'Admin-VM2' (secompletarán los nombres automáticamente).

4. No guarde los cambios. Haga clic en Cancel para ir a la pantalla anterior.

HOL-1829-01-NET


1. Aquí puede ver que la cantidad de entidades aumentó, y hay 1 más; es decir,5 entities.

2. También tiene la opción Hol-Pre-Prod en la lista.

Ahora, HOL-Pre-Prod aparecerá en la sección de aplicaciones, debajo del área destinadaa la planificación de la seguridad (tema que no se analiza en este laboratorio).

Grupo de seguridad "Prod_MidTier"

Los arquitectos y administradores de red se enfrentan diariamente a desafíos en laidentificación de los parámetros o grupos de seguridad que están implementados, por loque necesitan más información sobre la topología de contenedor antes de continuar conla ejecución o planificación de la microsegmentación. Analicemos cómo sería posibleesto en una vista única que tenga integración detallada con redes overlay y underlay.

1. En la barra de búsqueda, escriba Nsx Security Group 'Prod_MidTier' (la barrade búsqueda usa la función de "llenado automático" y aparecerá el textopredictivo a medida que escribe).

2. Haga clic en search para continuar.

Es posible que aparezca una pantalla de ayuda (en esta configuración de laboratorio)para asegurarse de que el usuario tenga una guía inmediata. Dicha pantalla se conocecomo tablero del grupo de seguridad. El propósito de esta guía es señalar la vistadetallada y el diseño de topología. Lea toda la guía de ayuda y, una vez que hayafinalizado, haga lo siguiente:


Resultados: PROD_MIDTIER

En los resultados de búsqueda de la consulta, se mostrará Prod_Web en la partesuperior de la pantalla. El resultado también se mostrará para incluir el conteo traducidode VM y cualquier regla asociada.

1. Haga clic en Prod_MidTier para continuar.

HOL-1829-01-NET


Grupo de seguridad Prod_MidTier: línea de tiempo

Explicación de la vista del grupo de seguridad

En esta vista, se proporciona una vista detallada del grupo de seguridad seleccionado yuna lista exhaustiva de los eventos y las propiedades clave. La topología del grupo deseguridad ofrece una descripción general visual de cómo el grupo de seguridad seasocia con otros contenedores. La barra deslizante de la línea de tiempo en la partesuperior de la vista actual permitirá mostrar el estado del tiempo permitido del grupo deseguridad y los filtros se podrán usar para seguir centrándose en un aspecto particulardel objeto.

HOL-1829-01-NET


Topología de firewall del grupo de seguridad

(A) En la topología de firewall del grupo de seguridad a la izquierda, se muestra latopología del grupo de seguridad "Prod_MidTier".

HOL-1829-01-NET


(B) En la topología de contenedor del grupo de seguridad a la derecha, semuestra cualquier/todos los grupos primarios y secundarios relacionados conProd_Web. Esto permitirá identificar el anidamiento y la jerarquía de los grupos deseguridad.

HOL-1829-01-NET


1. Haga clic y seleccione Prod_Web to Prod_Midtier Rule (aparecerá unapantalla emergente; esto está descrito en el paso siguiente).

1. En la pantalla emergente, podemos observar inmediatamente cómo se ve elflujo de servicio de origen y destino en este ejemplo. Esto se puede hacer entodos y cada uno de los segmentos conectados a Prod_Web y, así, obtendrá todala información actual de la topología de firewall del grupo de seguridad. Si así lodesea, puede hacer clic en todos los segmentos para entender completamentecada grupo de seguridad relacionado.

2. Haga clic en el ícono de cierre (x) de cualquier menú emergente que hayavisto durante su análisis para continuar con el siguiente ejercicio.

HOL-1829-01-NET


Seguimiento de Prod_MidTier

1. En la misma vista, cuando se desplaza hacia abajo (debajo de la topologíade firewall del grupo de seguridad), puede ver la siguiente información del eventode seguridad para Prod_Web:

A: eventos. Se muestran los cambios para Prod_MidTier (directos o indirectos) y elimpacto que estos cambios tienen en este grupo de seguridad.

B: con la configuración actual del grupo de seguridad y el conteo de las reglasde firewall, obtendrá más ayuda para la administración de terminales.

C: la visibilidad de máquinas virtuales en grupos de seguridad garantiza queadministremos nuestras cargas de trabajo y la segmentación con el nivel correcto deeficiencia.

D: con el uso de las reglas indirectas de firewall, nos aseguraremos de que entiendael impacto heredado y la relación en relación con Prod_Web.

E: reglas directas de firewall. NOTA: Con los enlaces de color azul, obtendrá másdetalles sobre cada segmento de firewall.

HOL-1829-01-NET


En este módulo, explicamos e hicimos un seguimiento del flujo de tráfico entre subredeso VLAN/VXLAN para Prod_MidTier y comprendemos el análisis que conforma las reglasde firewall. La información para la segmentación específica de una máquina virtual enProd_MidTier se puede ver mediante la información del switch lógico de Prod_MidTier.

2. Haga clic en Lab-Midtier (VM en Security Group>Logical Switches>Lab-Midtier); se abrirá una nueva PESTAÑA en la parte superior de la pantalla.

Lab-Midtier

1. Desplácese sobre (1) Lab-Midtier-1 (no haga clic aquí) para obtenerenfoque y generar la ruta.

No haga clic en ninguna burbuja, ya que solo se utilizan como referencia. Este es el flujocompleto de Prod-Web-9 (ejemplo) para ver cómo se hace un seguimiento de un flujo deoverlay a underlay en Prod-Web.

HOL-1829-01-NET


• A: detalles del host para Lab-Midtier-1(ddc1-pod2esx035.dm.democompany.net)

• B: el nombre de la máquina dentro de Lab-Midtier (Lab-Midtier-1)• C: switch del DVS• D: VXLAN: Lab-Midtier• E: primera VMKNIC para DDC-1 host• F: puerto de switch del DVS• G: por último, se muestra el switch de capa 3 (Arista)

2. Cuando haya finalizado con la vista actual, cierre esta pestaña en Chrome yregrese a la vista original.

Regla de firewall: seguimiento

Con la barra de búsqueda, mostraremos cómo puede hacer un seguimiento de cualquierregla de firewall en su entorno. Este es solo un ejemplo de cómo podemos buscarobjetos relacionados con la seguridad con una afirmación fácil y, además, exportar losresultados.

Búsqueda de puertos

1. Escriba lo siguiente en la barra de búsqueda:

Firewall rule where action ='ALLOW' and Port=443 (la barra de búsqueda usa la función de"llenado automático" y aparecerá el texto predictivo a medida que escribe).

2. Haga clic en search para continuar.

Mientras escribe, vea las distintas variantes de consultas que se pueden armar.

HOL-1829-01-NET


Exportación de reglas de firewall

Tómese el tiempo necesario para comprender y familiarizarse con las posibilidades debúsqueda de reglas de firewall y la información que esto puede proporcionar.

1. No haga clic aquí: el resultado se agrupa para mayor comodidad y le permite alusuario consultar cada regla por separado. Este es un enlace directo con el cualobtendrá más información.

2. No haga clic aquí: podrá exportar el informe completo mediante la opción Saveas CSV en la esquina superior derecha de la pantalla, pero no exportaremosninguna información en este momento.

3. Para el paso siguiente, regresaremos a la barra de búsqueda superior.

Cambios en la membresía de la regla de firewall

Por medio de la barra de búsqueda de vRealize Network Insight en la parte superior dela pantalla, nos centraremos en una búsqueda basada en el tiempo para ver quécambios en la membresía del firewall se produjeron durante un período seleccionado.

HOL-1829-01-NET


De este modo, señalaremos cualquier cambio realizado de forma directa o indirectacomo consecuencia de cambios en la membresía. Esto es extremadamente útil para larealización de auditorías y la solución de problemas.

1. Escriba lo siguiente:

Firewall Rule Membership Change

2. Seleccione la ventana Date/Time.3. Haga clic en Between. Seleccione el rango de fechas del 30 de junio al 31 de

julio (el uso de datos estáticos le asegurará una vista de todos los cambios).4. Haga clic en search.

Regla de auditoría: cambios en la membresía de la reglade firewall

En la búsqueda, ahora se muestra el resultado de todos los cambios realizados a lamembresía de la regla de firewall durante el rango de fechas preestablecido. Esto escentral para el proceso de seguimiento de cambios de la auditoría, a fin de comprenderexactamente por qué, cuándo y cómo cambiaron las reglas de firewall.

Ahora se puede hacer un seguimiento de los cambios, auditarlos y exportarlos mediantecualquiera de estos enlaces directos de color azul.

HOL-1829-01-NET


Evento definido por el usuario

Dentro de la misma pantalla, los usuarios pueden crear alertas para notificar aentidades internas y externas acerca de cualquier cambio. Esta función está disponiblea través de cualquier vista en la que se muestre el ícono de alerta. Aunque la alerta sepuede configurar para este laboratorio, los resultados no se accionarán, ya que se tratasolo de datos estáticos. En esta sección, se mostrará lo fácil que es generar informessobre cualquier cambio en las membresías de la regla de firewall. La opción de alerta sepodrá configurar de forma inmediata, dentro de 1 hora o como un resumen diario.

1. Haga clic en el ícono de notificaciones para crear un evento. Aparecerá lapantalla de notificaciones.

2. La notificación y los parámetros se pueden ajustar según sea necesario.Complételos de acuerdo con sus preferencias, ya que necesitaremos tenerinformación para guardar la alerta y verla en pasos posteriores.

3. Cuando haya finalizado, haga clic en save.

HOL-1829-01-NET


Configuración

Desde la página de configuración, puede ver cualquiera de los eventos definidos por elusuario configurados previamente a fin de editar o activar los parámetros del evento.Los cambios se pueden configurar para notificar a los miembros del grupo del eventosegún las preferencias del usuario. Ahora puede hacer un seguimiento del eventoanterior que creó mediante la barra de búsqueda en la parte superior de la pantalla.

1. Haga clic en la barra de búsqueda y escriba Settings.2. Haga clic en User-defined Events (su alerta se registra en esta sección, ya que

se basó en la búsqueda original y la notificación de alerta "Cambio en lamembresía de la regla de firewall").

3. Solo información (no haga clic aquí): ver, editar o activar cualquiernotificación.

Tenga en cuenta que tenemos 2 tipos de notificaciones: User-defined y System Events.

4. Haga clic en System Events.

HOL-1829-01-NET


Notificaciones del sistema

Esta opción consta de 103 alertas predeterminadas que están preconfiguradas.Desplácese hacia abajo en la lista para ver todas las opciones y lo que se considera unanotificación estándar de eventos del sistema.

Cada notificación se puede usar para alertar a los administradores o a los usuarios deese grupo. De manera predeterminada, las notificaciones del sistema estánconfiguradas para no notificar nunca (esto se puede cambiar según las siguientesopciones: inmediatamente, dentro de 1 hora o como un resumen diario).

De este modo, se concluye el módulo. Continúe con el siguiente.

HOL-1829-01-NET


ConclusiónFelicitaciones por completar el módulo 1.

En este módulo, presentamos los pasos mínimos requeridos para facilitar lamicrosegmentación. En este módulo, también se mostró cómo alcanzar la preparacióndesde el día cero, hacer un seguimiento, generar informes y alertar sobre cada objetoindividual o grupo de objetos en tiempo real. Mediante el uso del tráfico horizontal eneste módulo, vRealize Network Insight resaltó la facilidad de adquirir un análisis de red yusarlo para generar automáticamente reglas de firewall para implementaciones sobreuna "estructura nueva" o sobre una "estructura existente".

Factores clave para recordar según se mostró en este módulo:

• Persistencia: la seguridad debe ser coherente ante el cambio constante.• Ubicuidad: la seguridad debe estar disponible en todos lados.• Extensibilidad: la seguridad se debe adaptar a nuevas situaciones.

Si desea obtener información adicional sobre la funcionalidad que se exhibe en estemódulo, visite www.vmware.com/latam.

Cierre el navegador web Chrome.


Para obtener más información

Cómo finalizar el laboratorio

Para finalizar el laboratorio, haga clic en el botón END; además, haga clic en un módulode la lista para continuar.

HOL-1829-01-NET


http://tinyurl.com/hdtaz6m

Módulo 2: visibilidadcompleta en redes físicasy virtuales (45 minutos)

HOL-1829-01-NET


IntroducciónvRealize Network Insight incluye técnicas de análisis avanzadas que permiten recopilary mostrar datos de configuración de todos los componentes implicados en las redesoverlay y underlay. Los datos se recopilan en tiempo real.

vRealize Network Insight presenta esto mediante una interfaz de usuario inteligente ypermite simplificar la determinación de problemas, así como también la visibilidad delas configuraciones de red y de firewall.

vRealize Network Insight presenta esto en una interfaz de usuario inteligente y facilitatanto la determinación de problemas como la visibilidad de las configuraciones de red yde firewall.


• Visibilidad integral y solución de problemas de la red• Búsqueda de lenguaje natural

HOL-1829-01-NET


Visibilidad integral y solución deproblemas de la redEn esta sección, se incluyen las siguientes lecciones:

• Visibilidad integral del flujo de datos entre dos objetos de VM• Búsqueda de lenguaje natural






HOL-1829-01-NET



Inicie sesión en el portal.

1. Nombre de usuario: [email protected]. En el campo Password, escriba VMware1!.3. Haga clic en Login para continuar.

Ruta y topología

En este módulo, se utilizará la función "Path and Topology" en vRealize Network Insightpara obtener una visibilidad integral de nuestro escenario de red. La vista "Path and

HOL-1829-01-NET


Topology" también se puede extender al host, las redes de capa 3, los grupos deseguridad, etc. Sin embargo, en este módulo, solo nos centraremos en la ruta.

En la consola principal, haga lo siguiente:

1. Haga clic en "Path and Topology".2. Haga clic en "Path".

Ruta: seleccione el origen y destino

En la casilla emergente, haga lo siguiente:

1. Haga clic en el campo gris debajo de "Source".2. Escriba "dba" en el campo de origen, y aparecerá el texto "DBAdmin-

VM1".3. Haga clic en "DBAdmin-VM1" para seleccionarlo.

HOL-1829-01-NET


Ruta: origen y destino (continuación)

Luego de seleccionar la máquina de origen, la casilla de destino apareceráautomáticamente.

1. Escriba "prod" en el campo de destino, y aparecerá la lista de opcionesdisponibles.

2. Seleccione "Prod-Db-2".

Nota: El destino podría ser una dirección IP o Internet, pero en este laboratoriousaremos una VM.

HOL-1829-01-NET


Ruta: origen y destino (continuación)

1. Haga clic en Submit.

Búsqueda de la ruta

De acuerdo con las VM que seleccionamos en el asistente en los pasos anteriores, elcampo de búsqueda ya se encuentra completo con una cadena de búsqueda. En lugarde utilizar el asistente, también podemos hacer búsquedas manuales.

No cambie ningún parámetro en el campo de búsqueda y continúe con el pasosiguiente.

HOL-1829-01-NET


Topología de la ruta de la VM y underlay de la VM

La topología implica componentes de capa 3 y capa 2, y consta de dos vistasdetalladas.

HOL-1829-01-NET


1. Topología de la ruta de la VM: en esta vista, se detallan los enrutadores, losperímetros o los enrutadores lógicos distribuidos (Logical Distributed Routers,LDR) que están implicados en la ruta de red de VM a VM, y se proporciona lainformación completa sobre traducción de direcciones de red(Network Address Translation, NAT) y enrutamiento.

2. Underlay de la VM: en la sección de underlay de la VM que se encuentra a laderecha de la topología de la ruta de la VM, se muestra la información deunderlay de las VM implicadas y su conectividad hacia los switches de la partesuperior del rack y los puertos implicados.

En el campo llamado "VM Path Topology", haga lo siguiente:

1. Haga clic en los tres puntos en la esquina superior derecha del campo.2. Haga clic en Maximize.

La vista cambiará y se dibujará la ruta en el mapa.

HOL-1829-01-NET


Topología de la ruta de la VM: detalles de la ruta

Aquí obtendremos una vista integral de la red física y virtual. Veremos la ruta del tráficoentre dos máquinas virtuales. La flecha negra en la parte superior del mapa indicará ladirección del flujo del tráfico. En este caso de uso, de "DBAdmin-VM1" a "Prod-Db-2".

Los detalles de la ruta que se encuentran a la derecha de la página representan lospasos que atravesamos en cada salto de la ruta. El flujo lógico incluye elementos físicosy virtuales, y muestra tanto componentes overlay como underlay.

1. Desplácese por los detalles de la ruta en la parte derecha de la páginapara revisar los diferentes saltos de la ruta. Podrá ver que, en esta lista, tenemoselementos tales como VM, switches físicos, switches virtuales, enrutadores ytarjetas de interfaz de red (Network Interface Card, NIC).

HOL-1829-01-NET


Descripción general de los componentes

En el mapa de la topología de la VM, haga lo siguiente:

1. Haga clic en el ícono superior izquierdo que presenta un cuadrado decolor rojo: la máquina virtual "DBAdmin-VM1".

Máquina virtual: detalles

HOL-1829-01-NET


Aparecerá una casilla emergente con los detalles de la máquina virtual. En estainformación, se incluyen muchos detalles que están disponibles mediante VMware Tools.Por ejemplo, en estos detalles podemos ver información relacionada con la red y el hostfísico.

A: dedique tiempo a obtener una descripción general de la información que seencuentra disponible en esta vista.

B: tenga en cuenta que Firewall Status indica "Unknown". En este escenario, no seutiliza el firewall de NSX en la VM, así que vRealize Network Insight muestra "Unknown"como estado. Si los componentes de NSX se utilizaron, pero hubo una falla en sufuncionamiento, aparecerá un mensaje de error.

1. Cuando finalice la revisión, cierre las ventanas emergentes; para ello, haga clicen la (X) en la esquina superior derecha.

Hosts ESXi físicos

Ahora, analizaremos el host físico en el que se ejecuta ESXi. Los bloques verdes grandesrepresentan los hosts ESXi (A) y (B).

1. Haga clic en el campo verde grande a la izquierda del mapa, marcado enla imagen con un cuadrado de color rojo. De este modo, seleccionará el hostdonde se está ejecutando "DBAdmin-VM1".

HOL-1829-01-NET


Host: detalles

Aparecerá una casilla emergente con los detalles del host ESXi físico.

A : dedique tiempo a revisar qué información está disponible acerca del host. No hagaclic en ninguno de estos enlaces.

B: tenga en cuenta que recibimos información tanto del chasis como del módulo en losque se está ejecutando este host ESXi. En un entorno de la vida real, podríamos hacerclic en los enlaces para obtener información detallada sobre el entorno físico.

C: tenga en cuenta que no hay componentes de NSX en el host. Por ejemplo, podemosver que el "Control Plane Sync Status" es desconocido y "Number of VTEP's" es 0.

1. Cuando finalice la revisión, haga clic en la (X) en la esquina superior derecha.

HOL-1829-01-NET


DVPG en el mapa

Ahora analizaremos el grupo de puerto virtual distribuido (Distributed Virtual Port Group,DVPG) que usa la VM para conectarse a la red.

1. En el mapa, haga clic en la pequeña casilla azul marcada con un cuadradode color rojo en vlan-629.

DVPG

Aparecerá una casilla emergente con los detalles del DVPG.

A: dedique tiempo a revisar qué información está disponible acerca del objeto. No hagaclic en ninguno de estos enlaces.

HOL-1829-01-NET


B: tenga en cuenta que se habilitó la IPFIX.


VLAN-629 en el mapa

Esta es una red existente, tal como lo señalan los componentes de la red física que semuestran actualmente en el mapa.

1. En el mapa, haga clic en la línea gris marcada con un cuadrado de colorrojo en vlan-629.

Red VLAN

HOL-1829-01-NET


Aparecerá una casilla emergente con los detalles de la VLAN física.


B: observe el ID de VLAN. Esta es la VLAN real en uso.

C: en VM Count podemos ver que hay 12. Esta es la cantidad de VM ubicadas en estaVLAN en todo el entorno.

D: en Hosts podemos ver que son 28 (27+1). Esta es la cantidad de hosts que tienenuna conexión con esta VLAN en todo el entorno.


Puertos de switch en el mapa

1. En el mapa, haga clic en el ícono marcado con un cuadrado de color rojopara seleccionar el puerto de switch de la VM.

HOL-1829-01-NET


Puerto de switch

Aparecerá una casilla emergente con los detalles del puerto de switch.

En esta vista, analizaremos exclusivamente la capa 3 y la conectividad con aquellosdispositivos de capa 3. Más adelante en el módulo, revisaremos algunos de losdispositivos de capa 2.


B: en esta vista, podemos ver la NIC física desde la que se transmite y en la que serecibe el tráfico. En este escenario, se trata de una NIC en una estructura de conexiónde Sistema de Procesamiento Unificado (Unified Computing System, UCS). Tambiénpodemos ver las VLAN, la velocidad de la interfaz, el puerto y otros detalles sobre laNIC.

1. Cuando finalice la revisión, haga clic en la (X) en la esquina superior derecha dela casilla emergente.

HOL-1829-01-NET


VRF físicos en el mapa

1. En el mapa, haga clic en el ícono marcado con un cuadrado de color rojopara acceder a los detalles del switch físico de enrutamiento y reenvío virtual(Virtual Routing and Forwarding, VRF).

HOL-1829-01-NET


VRF: switch físico

Aparecerá una casilla emergente con los detalles del switch físico de VRF.


B: en este escenario, el primer salto en la perspectiva de la red física es unCisco Nexus 7000. Estamos recopilando todos los datos de configuración, tablas deenrutamiento e información de la interfaz de enrutamiento de este dispositivo.


HOL-1829-01-NET


VRF (continuación)

1. En el mapa, haga clic en el ícono marcado con un cuadrado de color rojopara acceder al siguiente switch físico de VRF de la ruta.

HOL-1829-01-NET


VRF: enrutador físico

Aparecerá una casilla emergente con los detalles del enrutador físico de VRF.

En este escenario, el segundo salto en la perspectiva de la red física es un enrutador dePalo Alto. En esta vista, veremos la tabla de enrutamiento, así como también las reglasde firewall. La plataforma de vRealize Network Insight es tan potente que estas reglasde firewall son aplicables entre los dos objetos que buscamos. Probablemente hayamiles de reglas de firewall en una red normal, pero estos son firewalls que afectan lacomunicación entre las dos VM seleccionadas.

HOL-1829-01-NET




Nota: La integración de Palo Alto demostró que está en las pruebas beta.

VRF (continuación)

1. En el mapa, haga clic en el ícono marcado con un cuadrado de color rojopara acceder al siguiente enrutador físico de VRF de la ruta.

HOL-1829-01-NET


VRF: switch físico



B: en este escenario, el tercer salto en la perspectiva de la red física es un dispositivo deArista. Hay información disponible sobre enrutamiento, puertas de enlace, interfaces,etc. Con estos detalles, mostramos que podemos monitorear dispositivos de una grancantidad de proveedores en caso de que cambiemos de un proveedor a otro.


HOL-1829-01-NET


Acceso a la infraestructura virtual

Los dos pasos siguientes de la ruta (como muestran las flechas) son los mismos queanalizamos anteriormente en este módulo. No examinaremos los detalles de esos pasosen este escenario, ya que son similares a aquellos que debatimos previamente.

A: desplácese o mueva el mouse sobre los íconos marcados con la flecha roja A, sinhacer clic en ellos. Observe el nombre descriptivo.

B: desplácese o mueva el mouse sobre los íconos marcados con la flecha roja B, sinhacer clic en ellos. Observe el nombre descriptivo.

1. En el mapa, haga clic en el ícono marcado con un cuadrado de color rojopara acceder al siguiente VRF de la ruta.

HOL-1829-01-NET


VRF: perímetro del proveedor de NSX 1



B: los componentes que analizaremos luego del dispositivo de Arista (descrito en pasosanteriores) son un clúster de NSX Edge o un host asociado con un clúster de Edge. Elcomponente que seleccionamos es la VM de NSX Edge llamada Provider-Edge 1. Tieneun enlace ascendente en VLAN 10 de la red física (como se muestra en el mapa).

C: en los detalles, podemos ver la tabla de enrutamiento y la información de la interfazde enrutamiento para este VRF en particular.


HOL-1829-01-NET


VXLAN en el mapa

1. En el mapa, haga clic en la línea azul marcada con un cuadrado de colorrojo para acceder a los detalles de la VXLAN.

Red VXLAN

Aparecerá una casilla emergente con los detalles de la VXLAN.

HOL-1829-01-NET



B: podemos ver el número de VXLAN (Segment ID), Underlay VLAN ID, subred yUnderlay Subnet.

C: también tenemos visibilidad de qué Primary Controller está utilizando, Hosts y VTEPs.

D: desplácese o mueva el cursor del mouse sobre el texto [38 more] para ver los hostsasociados con esta VXLAN. No haga clic en el texto azul.

D: desplácese o mueva el cursor del mouse sobre el texto [82 more] para ver losterminales de túnel virtual (Virtual Tunnel Endpoint, VTEP) asociados con esta VXLAN.No haga clic en el texto azul.

1. Cuando finalice la revisión, haga clic en la X en la esquina superior derecha dela casilla emergente.

VRF: LDR

1. En el mapa, haga clic en el ícono marcado con un cuadrado de color rojopara acceder a los detalles del VRF.

HOL-1829-01-NET


VRF: LDR corporativo

Aparecerá una casilla emergente con los detalles del VRF. Desde aquí, seleccionamosnuestra red incorporada en el kernel.


B: observe el nombre del enrutador distribuido. Usaremos este dispositivo para accedera nuestra red corporativa.

C: este dispositivo nos enrutará a una interfaz diferente. La interfaz enrutará a lainterfaz de la red Prod-DB como el próximo paso de la ruta (esto se ilustrará en el pasosiguiente).

HOL-1829-01-NET


1. Cuando finalice la revisión, haga clic en la (X) en la esquina superior derechade la casilla emergente.

Enrutamiento: firewall de NSX

El tráfico se enruta mediante el VRF en la red Prod-DB a través del siguiente host físico(como se muestra con las flechas).

El primer dispositivo que seleccionará en la red virtual del host físico es el firewall.Tenga en cuenta que hay dos firewalls junto a la VM. Un firewall de Palo Alto y uno deNSX.

1. En el mapa, haga clic en el ícono marcado con un cuadrado de color rojopara acceder a los detalles del firewall de NSX (el primero de los dos).

HOL-1829-01-NET


Firewall: NSX

Aparecerá una casilla emergente con los detalles del firewall.



HOL-1829-01-NET


Redireccionamiento en el mapa: firewall de PAN

Tenga en cuenta que hay dos firewalls junto a la VM. Un firewall de Palo Alto y uno deNSX. Ahora analizaremos los detalles del firewall inferior.

1. En el mapa, haga clic en el ícono marcado con un cuadrado de color rojopara acceder a los detalles del firewall de Palo Alto (el último de los dos).

Firewall: PAN

HOL-1829-01-NET


En este escenario, también tenemos un firewall de descarga basado en una VM dePalo Alto. Con la función de redireccionamiento, las reglas de firewall se puedentransferir entre el firewall de NSX y el firewall de Palo Alto Networks (PAN).


Reversión del análisis

1. En la sección marcada con un cuadrado rojo en la imagen, haga clic en laflecha que apunta hacia la izquierda.

La ruta del mapa cambiará.

HOL-1829-01-NET


Reversión del análisis (continuación)

A: ahora, el análisis se hará en la dirección opuesta. Tenga en cuenta que ahora la rutacambia. En lugar de pasar por Provider-Edge 3, ahora el tráfico se enruta porProvider-Edge 2. Esto refleja exactamente cómo funcionará el tráfico en la vida real.

Continúe con el paso siguiente para finalizar este módulo.

HOL-1829-01-NET


Underlay de la VM

Ahora concentrémonos en el underlay de la VM.

1. En la sección VMUnderlay que se encuentra a la derecha de VM Path topology,se muestra la información de underlay de las VM implicadas y su conectividadcon respecto a los switches de la parte superior del rack y los puertos implicados.

2. La topología de la ruta de underlay de la VM se muestra aquí.3. Los componentes se incluyen en Path Details.

HOL-1829-01-NET


HOL-1829-01-NET


1. En esta sección, en la lista desplegable de la parte superior, se muestran las VMde terminales y las VM activas en los perímetros.

2. Para cada VM de Edge, en la lista desplegable próxima, se muestran lasdirecciones IP de la interfaz de entrada y salida.

1. Seleccionamos la máquina virtual Prod-DB-2 del paso anterior.2. De esta manera, se cambia el enfoque a la dirección IP de la interfaz (VNIC)

correspondiente.3. Se muestra el mapa visual (Path topology) de todos los objetos de la ruta.4. En Path details, se muestran las etiquetas y se detallan los componentes.


HOL-1829-01-NET



En este módulo, mostramos que, con vRealize Network Insight, se puede hacer unseguimiento del flujo de datos entre dos objetos a lo largo de la red.vRealize Network Insight nos proporciona una vista integral de los componentesvirtuales y físicos de la ruta. Con la función del mapa y los detalles del mapa, es muyfácil obtener una descripción general rápida de los componentes utilizados en lacomunicación de la red.

Todos los componentes del mapa se basan en una snapshot de los datos de la vida real.No dude en hacer clic en otros íconos del mapa en este módulo antes de continuar alsiguiente para analizar otros componentes.


Si desea obtener información adicional sobre la funcionalidad que se exhibe en estemódulo, visite http://www.vmware.com/latam/vrealizenetworkinsight.


Si desea obtener más información, pruebe una de estas opciones:

• Haga clic en este enlace.

HOL-1829-01-NET


http://www.vmware.com/vrealizenetworkinsighthttps://www.vmware.com/support/pubs/vrealize-network-insight-pubs.html

• O utilice su dispositivo inteligente para escanear el código QR.

Continúe con cualquiera de los siguientes módulos que sea de su interés.

• (30 minutos)• (45 minutos)• (45 minutos)• (30 minutos)• Módulo 5: seguridad con NSX-T (30 minutos)



HOL-1829-01-NET


Módulo 3: administracióny operaciones de NSX

avanzadas (45 minutos)

HOL-1829-01-NET


IntroducciónIntroducción

Mediante vRealize Network Insight nos aseguramos de tener visibilidad integral desdeuna perspectiva overlay y underlay y, en este módulo, centrarnos en las operacionesavanzadas de NSX. Es importante saber que vRealize Network Insight proporciona unavista en tiempo real y una vista histórica. La integración no es una sencilla consultadel protocolo simple de administración de redes (Simple Network Management Protocol,SNMP), sino información avanzada sobre metadatos y la interfaz de línea de comando(Command Line Interface, CLI) recopilada en tiempo real para NSX.


• Guía operacional para NSX Manager• Simulación interactiva para administración y operaciones de NSX avanzadas

HOL-1829-01-NET


Operaciones de administraciónavanzadas de NSXVerificación del estado del laboratorio








HOL-1829-01-NET



Inicie sesión en el portal


Barra de búsqueda: NSX Manager

Uso de la barra de búsqueda en la pantalla de entrada

1. Escriba NSX Manager (se enumerarán tres instancias de NSX Manager).2. Haga clic en Search.

HOL-1829-01-NET



Información sobre NSX Manager

En el resultado, ahora se muestra NSX Manager (10.16.128.170) e inmediatamentepodemos ver que tenemos 50 problemas asociados con este terminal.

1. Haga clic en la dirección de NSX Manager para exponer el diseño y lainformación detallada.

Línea de tiempo: diseño visual

Solo explore la información. No haga clic.

HOL-1829-01-NET


• A: comenzando con Timeline, podemos manipular los resultados con tan soloarrastrar la barra deslizante, pero, de manera predeterminada, los resultados deltiempo actual se mostrarán en la entrada. La barra deslizante y el menúdesplegable (junto a 1 day) facilitan el filtrado según demanda.

• B: mediante Properties, obtenemos una comprensión clara de la configuraciónactual de las instancias de NSX Manager (vRealize Network Insight se adapta amúltiples instancias de NSX Manager).

• C: al analizar las reglas de NSX Checklist Rules - ALL, podemos desplazarnoshacia arriba y hacia abajo para ver cada punto de la lista de verificación que seusa para monitorear o validar NSX Manager.

• D: debido a que vRealize Network Insight es compatible con múltiples instanciasde NSX Manager y múltiples instancias de NSX Controller, esta es unacomprensión visual importante de la Topology. Cada objeto se puede consultarpor separado dentro de la misma pantalla.

• E: los problemas de NSX serán clave para comprender cuestiones acerca deNSX.

Topología: enfoque en NSX Controller

La vista lógica de la topología de NSX proporciona enlaces directos a cada componentede la estructura para realizar consultas en tiempo real. El diseño de la topologíamuestra todos los servicios relacionados con NSX que dependen de NSX Manager,

HOL-1829-01-NET


incluidos los clústeres y hosts. El triángulo rojo en las tres instancias de NSX Controllerindica posibles problemas que pueden tener un impacto en el entorno de NSX, ya seacomo punto de partida o como consecuencia de ello. Ahora podemos consultar cadaobjeto para obtener información detallada.

1. Haga clic en NSX Controller (observe cada controlador hasta que encuentre elque empieza con NSX_Controller_5b6c6c8d-4d71..., ya que cambian deorden).

NSX Controller: detalles

A: en la consulta sobre el controlador, se muestra información detallada sobrecontroller-1 y la configuración relevante. Con esta pantalla, podremos identificarrápidamente estado, versión, disponibilidad de actualización y muchos otrosidentificadores fundamentales de NSX Controller, incluido cualquier problema.

B: el problema inmediato de este NSX Controller también se señala con un triángulo rojopara indicar que tenemos un problema de sincronización en el plano de control. Parainvestigar aún más el problema, expanda el área (haciendo clic en el triángulo rojo) yobtenga información detallada. No seguiremos analizando este problema en esteejercicio.


HOL-1829-01-NET


Topología: explicación

Nota: La topología del entorno de NSX no mostrará ningún tipo de información delestado del dispositivo del balanceo de carga en esta liberación de versión.

1. Haga clic en el ícono Edge VM's para obtener información detallada sobre losservicios perimetrales.

HOL-1829-01-NET


Perímetro del proveedor

Al acceder a una vista completa de los servicios perimetrales del proveedor y lasasociaciones, podemos investigar todas las actividades relacionadas con el perímetro.

1. Haga clic en el enlace azul Provider Edge 4. El ícono de problema se puedeusar para obtener información adicional sobre Provider-Edge 4. De esta manera,se resaltará una condición crítica debido a una posible interrupción de la red deeste dispositivo perimetral, que ya no se encuentra en un estado de suministro.

HOL-1829-01-NET


Routers Provider Edge 4

En esta sección, se presenta un análisis detallado de la causa principal de RoutersProvider Edge 4.

Retorno a la vista de búsqueda: NSX Manager

1. Ahora, use el botón para volver a la página anterior en Chrome y haga clicuna vez para regresar al paso de la pantalla de información de NSX Manager.

HOL-1829-01-NET


Problemas de infraestructura: de advertencia omoderados

• Desplácese hasta la sección "Infrastructure Problems".

1. Haga clic y seleccione Warning/Moderate para ver las áreas problemáticas.

Problemas en Warning/Moderate

1. Utilice el ícono azul + para expandir la vista detallada de "Logical networking outof sync between host and NSX Controller".

HOL-1829-01-NET


Problemas en Warning/Moderate (continuación)

Al expandir los detalles también puede analizar toda la información de la advertencia.

En esta vista, mediante vRealize Network Insight también le mostramosrecomendaciones sobre cómo resolvería este problema, lo que facilita la solución deproblemas y el análisis de la causa principal.


HOL-1829-01-NET


Simulación interactiva de Hands-on Labs: administración y operacionesde NSX avanzadasEsta parte del laboratorio se presenta como una simulación interactiva de unHands-on Lab. De esta manera, podrá experimentar pasos que consumen demasiadotiempo o recursos como para realizarlos en el entorno de laboratorio. En estasimulación, puede usar la interfaz del software como si estuviera interactuando con unentorno activo.

1. Haga clic aquí para abrir la simulación interactiva. Se abrirá en una nuevaventana o pestaña del navegador.

2. Cuando haya terminado, haga clic en el enlace "Return to the lab" para continuaren este laboratorio.

HOL-1829-01-NET


http://docs.hol.vmware.com/hol-isim/HOL-2018/hol-1829-01-vrni.htmhttp://docs.hol.vmware.com/hol-isim/HOL-2018/hol-1829-01-vrni.htm


En este módulo, se muestra la capacidad de las operaciones de administraciónavanzadas de vRealize Network Insight. Mediante vRealize Network Insight, obtenemosun análisis detallado de los componentes virtuales y físicos asociados con NSX (underlayy overlay).

HOL-1829-01-NET



Si desea obtener más información, pruebe una de estas opciones:

• Haga clic en este enlace.• O utilice su dispositivo inteligente para escanear el código QR.

Continúe con cualquiera de los siguientes módulos que sea de su interés.

• (30 minutos)• (45 minutos)• (45 minutos)• (30 minutos)• (30 minutos)



HOL-1829-01-NET


https://www.vmware.com/support/pubs/vrealize-network-insight-pubs.html

Módulo 4: introducción ala administración de laseguridad de las nubespúblicas (30 minutos)

HOL-1829-01-NET


IntroducciónLas organizaciones de TI empresarial necesitan visibilidad del estado de las redes y laseguridad de sus cargas de trabajo, ya sea que estén alojadas en las instalaciones odentro de AWS. Mientras que muchas cargas de trabajo de AWS son sandboxes paraequipos de desarrollo de aplicaciones (DevOps), es importante analizar estas cargas detrabajo. Cada vez más, las cargas de trabajo de la nube pública están satisfaciendonecesidades de producción de misión crítica para muchas organizaciones. ElDepartamento de TI de la empresa debe estar listo para determinar la mejor ubicación,postura de seguridad y asignación de ancho de banda al implementar cargas de trabajo.El hecho de tener detalles de los patrones de tráfico, así como también análisis yrecomendaciones de seguridad fácilmente disponibles, ayuda a las organizaciones atomar las decisiones correctas en materia de hosts para cumplir con las necesidades delnegocio.

vRealize Network Insight (vRNI) es compatible con la nube pública deAmazon Web Services (AWS). Las funciones de monitoreo del tráfico de vRNIproporcionan visibilidad de las estructuras nativas de AWS, como Virtual Private Cloud,VM, grupos de seguridad, reglas de firewall y etiquetas. Además, vRNI analiza los flujosde tráfico de AWS a fin de proporcionar vistas de seguridad y microsegmentación decargas de trabajo de la nube. Esto significa que podrá planificar la microsegmentación ycomprender los patrones de tráfico mediante los datos recopilados de sus instancias deAWS.


• Introducción a la administración de la seguridad de las nubes públicas (AWS)Simulación interactiva. A continuación, se detalla la configuración de AWS.

HOL-1829-01-NET


public/cme-export/hol-1829-01-net_pdf_es/&lpos=apps_scodevmw : 17

Configuración de AWS

Revisemos la configuración de la Virtual Private Cloud (VPC) de AWS a los fines de estelaboratorio.

• Tenemos una instancia en las instalaciones de vRealize Network Insight en laadministración de AWS.

• Hay dos VPC; es decir, CRM y Common Services.• VPC CRM consta de la CRM Application, la cual tiene 3 niveles: Web, APP y DB.• Los usuarios internos de la empresa pueden acceder al nivel Web de CRM en el

puerto 80 de forma interna mediante Jump-box.• El nivel Web se comunica con el nivel App en el puerto 8080.• El nivel App se comunica con el nivel DB en el puerto 3306.• El nivel Web está abierto para VM de centros de datos internos en el puerto 80.• Desde Jump-box en VPC: CRM, todas las máquinas virtuales tienen acceso del

shell seguro (Secure Shell, SSH) en el puerto 22.• Todos los niveles de VPC:CRM se comunican con DNS server en el puerto 53 y

LogServer en el puerto 514 en VPC:Common Services.• Esto significa que debe existir una conexión de la DB al Log Server (usada para

servicios de respaldo) según lo configurado por el administrador; pero, de hecho,esta es el área problemática en la que nos centraremos.

HOL-1829-01-NET


Simulación interactiva del Hands-on Labs: administración de laseguridad de las nubes públicas (AWS)Esta parte del laboratorio se presenta como una simulación interactiva de unHands-on Lab. De esta manera, podrá experimentar pasos que consumen demasiadotiempo o recursos como para realizarlos en el entorno de laboratorio. En estasimulación, puede usar la interfaz del software como si estuviera interactuando con unentorno activo.

1. Haga clic aquí para abrir la simulación interactiva. Se abrirá en una nuevaventana o pestaña del navegador.

2. Cuando haya terminado, haga clic en el enlace "Return to the lab" para continuaren este laboratorio.

HOL-1829-01-NET


http://docs.hol.vmware.com/hol-isim/HOL-2018/hol-1829-01-vrni-security.htmhttp://docs.hol.vmware.com/hol-isim/HOL-2018/hol-1829-01-vrni-security.htm


En este módulo, se demostró la capacidad de vRealize Network Insight de comprenderlos patrones de tráfico y la planificación de la microsegmentación en entornos de nubespúblicas y privadas. Con esta capacidad, se ofrece una visibilidad inigualable de nubespúblicas y privadas para la planificación de la microsegmentación, la administración y lavisibilidad de redes.




HOL-1829-01-NET


Módulo 5: seguridad conNSX-T (30 minutos)

HOL-1829-01-NET


IntroducciónVMware NSX es una plataforma de virtualización y seguridad de redes para la empresaque permite a los clientes realizar la transición hacia la era digital. A medida que losdesarrolladores adoptan nuevas tecnologías, como contenedores, y que aumenta elporcentaje de las cargas de trabajo que se ejecutan en nubes públicas, es necesarioexpandir la virtualización de redes para ofrecer una amplia gama de servicios de redesy seguridad de forma nativa en estos entornos.

Con NSX-T, es posible proporcionar virtualización de redes para un entorno de nubes ehipervisores múltiples. La tecnología de NSX que usted ya conoce y usa hace muchosaños se encuentra disponible ahora para entornos de nubes y contenedores.

Como plataforma, NSX-T se diseñó específicamente para que los proveedores deinfraestructura como servicio (Infrastructure as a Service, IAAS) puedan ofrecer lafuncionalidad de autoservicio a sus usuarios. Además, implementarlo para unainfraestructura en las instalaciones puede permitirle ofrecer un modelo de autoservicio.NSX-T también está diseñado para infraestructuras listas para desarrolladores. Se puedeintegrar automáticamente con el modelo de plataforma como servicio (Platform as aService, PAAS) de Kubernetes y Redhat Openshift, ya que proporciona la política deredes necesaria.

vRealize Network Insight incorpora la compatibilidad con NSX-T, lo que ofrece la vista deun panel de visualización único para ambas plataformas.


• Topología de grupos de seguridad• Visualización de información sobre puertos lógicos, switches lógicos, NSGroups,

reglas de firewall y conjuntos de IP• Diferencias entre NSX-T y entidades de NSX obsoletas• Conclusión

HOL-1829-01-NET


Operaciones de NSX-TEn esta sección, se incluyen las siguientes lecciones:

• Identificación de reglas de firewall para la microsegmentación• Topología de grupos de seguridad• Seguimiento de una regla de firewall

Verificación del estado del laboratorio






HOL-1829-01-NET




2. Haga clic en New tab.

1. Haga clic en el atajo del dispositivo vRNI-02a.


Inicie sesión en el portal


HOL-1829-01-NET



Diferencias entre distintas instancias de NSX Manager

Inicio de sesión en la interfaz de usuario de vRealize Network Insight

1. Haga clic en Entities.2. Haga clic en VMware NSX Manager.

HOL-1829-01-NET


En esta vista, podemos ver dos instancias de NSX Manager con sus respectivos detalles,que ofrecen un panel de visualización único para implementaciones de NSX múltiples omixtas.

1. VMware NSX Manager (NSX-V)2. VMware NSX-T Manager

En la barra de búsqueda natural que se encuentra en la parte superior:

1. Escriba NSX-T Logical Ports.2. Presione Search.

En esta vista, podemos ver la configuración del switch lógico NSX-T Logical Switch. Porejemplo:

HOL-1829-01-NET


1. Podemos ver App-Switch.2. Las VM asociadas vinculadas al switch.

En la barra de búsqueda natural:

1. Escriba NSX-T Logical Switch.2. Presione Search.

Los resultados arrojan cinco switches lógicos.

También podemos buscar estructuras de NSX-T mediante la búsqueda natural. Porejemplo:

HOL-1829-01-NET


1. En la barra de búsqueda natural, escriba NSX-T Logical port where NSX-TLogical Switch = 'App-Switch'.

2. Presione Search.

Esta búsqueda arroja todos los puertos lógicos de NSX-T con App-Switch, como NSXLogical Switch.

De manera similar a NSX-V, NSGroup forma una estructura de grupo de seguridad enNSX-T. Podemos buscar NSX-T NSGroup en la barra de búsqueda natural devRealize Network Insight.

HOL-1829-01-NET


1. Escriba NSGroup.2. Presione Search.

Esta búsqueda arroja todos los NSGroups que existen en relación con el entorno de NSX-T.

HOL-1829-01-NET


1. Haga clic en NSGroup-App-Logial-Switch.

Al expandir, vemos también los componentes de NSGroup-App-Logial-Switch :

HOL-1829-01-NET


1. Topología de firewall del grupo de seguridad2. Jerarquía del grupo de seguridad

En la página de la descripción general de NSGroup-App-Logical-Switch, desplácesehacia abajo para explorar más atributos como los siguientes:

1. VM en el grupo de seguridad (NSSgroup)2. Cambios de configuración (Eventos)

HOL-1829-01-NET


1. En la barra de búsqueda natural, escriba NSX-T Firewall Rule.2. Presione Search.

1. Se mostrarán todas las reglas de firewall de NSX-T.

Con la búsqueda natural, también podemos desarrollar consultas dinámicas. Porejemplo (similar al módulo anterior):

HOL-1829-01-NET


1. En la barra de búsqueda natural, escriba NSX-T Firewall Rule, dondeDestination Security Group = "CRM-Group".

2. Presione Search.

1. Esta consulta arroja todas las reglas de firewall en las que CRM-Group es eldestino para reglas de firewall directas e indirectas.

De este modo, se concluye el módulo.

HOL-1829-01-NET


ConclusiónFelicitaciones por completar el Módulo 5.

En este módulo, presentamos la operacionalización de NSX-T y demostramos quevRealize Network Insight puede administrar sin problemas varias instancias de NSX enla misma interfaz de usuario, lo que ofrece un panel de visualización único. Analizamosfunciones operacionales únicas de NSX-T, como las siguientes:

• Switch y puertos lógicos• NSGroup• Visualización única para varias instancias de NSX Manager

Si desea obtener información adicional sobre la funcionalidad que se exhibe en estemódulo, visite www.vmware.com/latam.

Cierre el navegador web Chrome.





HOL-1829-01-NET


http://tinyurl.com/hdtaz6m

FinalizaciónGracias por participar en los Hands-on Labs de VMware. No deje de visitarhttp://hol.vmware.com/ para continuar con su experiencia de labora

Índice - vmware · el tiempo. si se encuentra en un evento de vmware, puede prolongar el tiempo...

Documents