Académique Documents
Professionnel Documents
Culture Documents
Table of Contents
Descripción general del laboratorio: HOL-1703-SDC-1: Recorrido por las funciones de
VMware NSX ..................................................................................................................... 3
Orientación sobre el laboratorio.............................................................................. 4
Módulo 1: Descripción técnica de la instalación (15 minutos) ........................................ 10
Introducción a la implementación de NSX............................................................. 11
Simulación Interactiva de Hands-on Labs: Instalación y configuración de NSX .... 13
Conclusión del módulo 1 ....................................................................................... 14
Módulo 2: Conmutación lógica (30 minutos)................................................................... 16
Descripción general del módulo Conmutación lógica............................................ 17
Conmutación lógica .............................................................................................. 18
Escalabilidad y disponibilidad ............................................................................... 48
Conclusión del módulo 2 ....................................................................................... 53
Módulo 3: Enrutamiento lógico (60 minutos) .................................................................. 55
Descripción general del enrutamiento .................................................................. 56
Enrutamiento dinámico y distribuido ................................................................... 58
Enrutamiento centralizado .................................................................................... 94
Alta disponibilidad y ECMP .................................................................................. 114
Antes de pasar al módulo 3, realice los siguientes pasos de limpieza. ............... 164
Conclusión del módulo 3 ..................................................................................... 169
Módulo 4: Gateway de servicios de NSX Edge (60 minutos) ......................................... 171
Introducción al gateway de servicios de NSX Edge ............................................. 172
Implementación del gateway de servicios NSX Edge para Balanceo de cargas.. 173
Configuración del gateway de servicios de NSX Edge para el balanceador de
carga ................................................................................................................... 192
Verificación de la configuración del balanceador de carga del gateway de servicios
NSX Edge ............................................................................................................ 203
Firewall del gateway de servicios de NSX Edge ................................................. 216
Retransmisión de DHCP ...................................................................................... 226
Configuración de L2VPN...................................................................................... 255
Conclusión del módulo 4 ..................................................................................... 319
Módulo 5: Conexión de una red física a una red virtual (60 minutos) ........................... 321
Conexión nativa .................................................................................................. 322
Introducción a VTEP de hardware con Arista....................................................... 366
Simulación interactiva del laboratorio: VTEP de hardware con Arista ................. 373
Consideraciones de diseño de la conexión.......................................................... 374
Conclusión del módulo 5 ..................................................................................... 386
Módulo 6: Firewall distribuido (45 minutos) .................................................................. 388
Introducción al firewall distribuido ...................................................................... 389
Confirmación de la habilitación del firewall distribuido (DFW) ............................ 390
Configuración de reglas para el acceso a aplicaciones web................................ 394
Creación de grupos de seguridad ....................................................................... 404
Creación de reglas de acceso.............................................................................. 408
HOL-1703-SDC-1-ES Page 1
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 2
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 3
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 4
HOL-1703-SDC-1-ES
[http://docs.hol.vmware.com]
Este laboratorio puede estar disponible en otros idiomas. Para configurar la preferencia
de idioma y obtener un manual localizado con el laboratorio, puede usar este
documento como ayuda para orientarse en el proceso:
http://docs.hol.vmware.com/announcements/nee-default-language.pdf
HOL-1703-SDC-1-ES Page 5
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 6
HOL-1703-SDC-1-ES
También puede hacer clic y arrastrar el texto y los comandos de la interfaz de línea de
comando (Command Line Interface, CLI) directamente desde el manual práctico hacia la
ventana activa de la consola principal.
1. Haga clic en el ícono del teclado que se encuentra en la barra de tareas del inicio
rápido de Windows.
En este ejemplo, usará el teclado en línea para ingresar el símbolo "@" que se utiliza en
las direcciones de correo electrónico. En los diseños de teclados de EE. UU., el símbolo
"@" se ingresa mediante Shift-2.
HOL-1703-SDC-1-ES Page 7
HOL-1703-SDC-1-ES
Asegúrese de que se hayan completado todas las rutinas de inicio del laboratorio y esté
listo para comenzar. Si ve otro mensaje que no sea "Ready", aguarde unos minutos. Si
el laboratorio no ha cambiado a "Ready" luego de 5 minutos, solicite asistencia.
Cuando inicie el laboratorio por primera vez, es probable que aparezca una marca de
agua en el escritorio que indique que Windows no se activó.
HOL-1703-SDC-1-ES Page 8
HOL-1703-SDC-1-ES
Una de las ventajas más importantes de la virtualización es que las máquinas virtuales
pueden moverse y ejecutarse en cualquier plataforma. Los laboratorios prácticos
utilizan esta ventaja, por lo que podemos ejecutar los laboratorios en múltiples centros
de datos. Sin embargo, estos centros de datos pueden no tener procesadores idénticos,
lo que genera una verificación de activación de Microsoft mediante Internet.
HOL-1703-SDC-1-ES Page 9
HOL-1703-SDC-1-ES
Módulo 1: Descripción
técnica de la instalación
(15 minutos)
HOL-1703-SDC-1-ES Page 10
HOL-1703-SDC-1-ES
Introducción a la implementación de
NSX
VMware NSX es la plataforma de virtualización de redes líder que suministra el modelo
operacional de una máquina virtual para la red. De la misma manera que la
virtualización de servidores permite el control extensible de las máquinas virtuales que
se ejecutan en un depósito de hardware de servidor, la virtualización de redes con NSX
proporciona una interfaz de programación de aplicaciones (Application Programming
Interface, API) centralizada para aprovisionar y configurar redes lógicas aisladas que se
ejecutan en una única red física.
Las redes lógicas separan los servicios de redes y la conectividad de las máquinas
virtuales de la red física, lo que les brinda a las empresas y los proveedores de nube
flexibilidad para colocar máquinas virtuales en cualquier parte del centro de datos, o
para migrarlas allí, mientras siguen siendo compatibles con los servicios de red de capa
4 a 7 y conectividad de capa 2 y 3.
HOL-1703-SDC-1-ES Page 11
HOL-1703-SDC-1-ES
Componentes de NSX
Durante este laboratorio, realizará el proceso indicado para instalar los distintos
componentes, entre los que se incluyen NSX Manager, controladores de NSX y, luego, la
instalación de módulos del kernel dentro del hipervisor.
HOL-1703-SDC-1-ES Page 12
HOL-1703-SDC-1-ES
1. Hacer clic aquí para abri la simulación interactiva. Abrirá un nuevo navegador o
pestaña.
2. Al finalizar, hacer click en el link "Return to the lab" en la esquina derecha
superior de la ventana del navegador o cerrar la ventana para continuar con este
laboratorio.
HOL-1703-SDC-1-ES Page 13
HOL-1703-SDC-1-ES
Ha finalizado el módulo 1.
• Diríjase a http://tinyurl.com/hkexfcl
HOL-1703-SDC-1-ES Page 14
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 15
HOL-1703-SDC-1-ES
Módulo 2: Conmutación
lógica (30 minutos)
HOL-1703-SDC-1-ES Page 16
HOL-1703-SDC-1-ES
2) Podrá crear un switch lógico y, luego, añadir dos VM al switch lógico que creó.
HOL-1703-SDC-1-ES Page 17
HOL-1703-SDC-1-ES
Conmutación lógica
En esta sección, realizará los siguientes procedimientos:
Abra un navegador con doble clic en el ícono Google Chrome del escritorio.
(La página de inicio debe ser el vSphere Web Client. De lo contrario, haga clic en el
ícono de la barra de tareas de vSphere Web Client para Google Chrome).
HOL-1703-SDC-1-ES Page 18
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 19
HOL-1703-SDC-1-ES
Aquí podrá ver que los componentes del plano de datos, también denominados
componentes de virtualización de redes, se instalaron en los hosts de nuestros
clústeres. Entre estos componentes, se incluyen los siguientes:
Módulos de kernel en el nivel del hipervisor para seguridad de puertos, VXLAN, firewall
distribuido y enrutamiento distribuido. Las funciones de firewall y VXLAN se configuran y
habilitan en cada clúster una vez que se han instalado los componentes de
virtualización de redes. El módulo de seguridad de puerto asiste a la función de VXLAN,
mientras que el módulo de enrutamiento distribuido se habilita una vez que se
configura la VM de control del enrutador lógico de NSX Edge.
HOL-1703-SDC-1-ES Page 20
HOL-1703-SDC-1-ES
Uno de los principales desafíos a los que los clientes se han enfrentado anteriormente
con la implementación de VXLAN es que los dispositivos de red física requieren soporte
para el protocolo de multicast. Este desafío se soluciona en la plataforma de NSX
mediante el suministro de una implementación de VXLAN basada en el controlador y la
eliminación de cualquier necesidad de configurar el modo de multicast en la red física.
Este modo (Unicast) es el predeterminado, y los clientes no deben configurar ninguna
dirección multicast cuando definen el depósito de red lógica.
HOL-1703-SDC-1-ES Page 21
HOL-1703-SDC-1-ES
Además, se debría configurar IGMP snooping en los switches físicos para optimizar la
entrega del tráfico de multicast de L2.
Mediante el modo híbrido, se ofrece una simpleza operacional similar a la del modo de
unicast (es decir, no se requiere la configuración del enrutamiento de multicast de IP en
la red física) a la vez que es posible aprovechar la capacidad de multicast de L2 de los
switches físicos.
Los tres modos de configuración del plano de control son los siguientes:
HOL-1703-SDC-1-ES Page 22
HOL-1703-SDC-1-ES
1. Haga clic en Segment ID. Tenga en cuenta que la sección Multicast addresses
de arriba está en blanco. Como se mencionó anteriormente, utilizamos el modo
predeterminado Unicast con una implementación de VXLAN basada en
controladores.
HOL-1703-SDC-1-ES Page 23
HOL-1703-SDC-1-ES
1. Haga clic en la pestaña Manage para que se muestren los clústeres que
pertenecen a esta zona de transporte.
HOL-1703-SDC-1-ES Page 24
HOL-1703-SDC-1-ES
1. Haga clic enel botón de reloj para regresar a la última ventana que abrió, que,
en su caso, es el menú Networking & Security.
Si por alguna razón hizo clic en alguna otra opción después de ver la zona de
transporte, vuelva a la sección Networking & Security de Web Client mediante el menú
Home, como se realizó en pasos anteriores.
HOL-1703-SDC-1-ES Page 25
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 26
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 27
HOL-1703-SDC-1-ES
En este ejemplo, usted conectará el switch lógico al gateway de servicios de NSX Edge
(Perimeter-Gateway).
HOL-1703-SDC-1-ES Page 28
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 29
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 30
HOL-1703-SDC-1-ES
Asignación de IP a la interfaz
HOL-1703-SDC-1-ES Page 31
HOL-1703-SDC-1-ES
1. Haga clic en Finish. (Verá que el switch lógico nuevo aparecerá en la lista de
switches lógicos).
HOL-1703-SDC-1-ES Page 32
HOL-1703-SDC-1-ES
Una vez que se configuró el switch lógico y que se proporcionó el acceso a la red
externa, es momento de conectar las máquinas virtuales de aplicación web a esta red.
HOL-1703-SDC-1-ES Page 33
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 34
HOL-1703-SDC-1-ES
Conexión de VM a vDS
Para agregar las VM al switch lógico que creamos recientemente, debemos asegurarnos
de que el adaptador de red de las VM esté habilitado y se conecte con el vDS que
corresponda.
HOL-1703-SDC-1-ES Page 35
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 36
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 37
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 38
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 39
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 40
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 41
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 42
HOL-1703-SDC-1-ES
• Expanda las flechas para ver las VM que acaba de agregar al switch lógico.
Tenga en cuenta que las dos VM agregadas están en clústeres de procesamiento
diferentes.
HOL-1703-SDC-1-ES Page 43
HOL-1703-SDC-1-ES
Apertura de Putty
HOL-1703-SDC-1-ES Page 44
HOL-1703-SDC-1-ES
1. Seleccione web-03a.corp.local.
2. Haga clic en Open.
**Nota: Si, por alguna razón, web-3a no se muestra como opción, también puede
intentar ingresar la dirección IP 172.16.40.11 en el cuadro Host Name.
HOL-1703-SDC-1-ES Page 45
HOL-1703-SDC-1-ES
Inicio de sesión en la VM
• Si se le solicita, haga clic en Yes para aceptar la clave del host del servidor.
• Si no se inicia sesión de manera automática, hágalo con el usuario root y la
contraseña VMware1!.
Nota: Si tiene problemas para establecer conexión con web-03a, revise los pasos
anteriores y verifique que se hayan realizado correctamente.
HOL-1703-SDC-1-ES Page 46
HOL-1703-SDC-1-ES
Recuerde utilizar la opción SEND TEXT para enviar este comando a la consola.
(Consulte la orientación sobre el laboratorio).
Escriba ping -c 2 web-04a para enviar dos pings, en lugar de un ping continuo. NOTA:
web-04a tiene 172.16.40.12 como IP; puede enviar pings por IP, en lugar de utilizar el
nombre si es necesario.
ping -c 2 web-04a
***Tenga en cuenta que podría ver paquetes DUP!. Esto se debe a la naturaleza del
entorno de laboratorio anidado de VMware. Esto no ocurrirá en un entorno de
producción.
HOL-1703-SDC-1-ES Page 47
HOL-1703-SDC-1-ES
Escalabilidad y disponibilidad
En esta sección, podrá observar la disponibilidad y escalabilidad del controlador. El
clúster del controlador en la plataforma de NSX es el componente del plano de control
responsable de la administración de los módulos de enrutamiento y conmutación en los
hipervisores. El clúster del controlador está compuesto por nodos del controlador
mediante los cuales se administran switches lógicos específicos. El uso de un clúster del
controlador para administrar switches lógicos basados en VXLAN elimina la necesidad
del soporte multicast de la infraestructura de red física.
Si los controladores fallan, el tráfico del plano de datos (VM) no se verá afectado. Es
decir, el tráfico no se detendrá. Esto se debe a que la información de la red lógica se
transfirió a los switches lógicos (el plano de datos). No será posible hacer adiciones,
transferencias ni cambios si el plano de control (clúster del controlador) no está intacto.
HOL-1703-SDC-1-ES Page 48
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 49
HOL-1703-SDC-1-ES
Examine los nodos de NSX Controller para verificar que se hayan implementado tres
controladores. Las instancias de NSX Controller siempre se implementan con números
impares para obtener alta disponibilidad y escalabilidad.
HOL-1703-SDC-1-ES Page 50
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 51
HOL-1703-SDC-1-ES
Observe el host ESX al que se encuentra conectado este controlador. Es posible que los
otros controladores se encuentren en un host ESX diferente en este laboratorio. En un
entorno de producción, cada controlador residiría en un host diferente en el clúster con
reglas de antiafinidad con DRS para evitar múltiples fallas de controladores por una
interrupción en un solo host.
HOL-1703-SDC-1-ES Page 52
HOL-1703-SDC-1-ES
Ha finalizado el módulo 2.
• Diríjase a http://tinyurl.com/h8rx5vr
HOL-1703-SDC-1-ES Page 53
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 54
HOL-1703-SDC-1-ES
Módulo 3: Enrutamiento
lógico (60 minutos)
HOL-1703-SDC-1-ES Page 55
HOL-1703-SDC-1-ES
En el módulo anterior, se mencionó que los usuarios pueden crear redes o switches
lógicos aislados con unos pocos clics. Para proporcionar comunicación entre estas redes
de L2 lógicas y aisladas, es esencial la compatibilidad del enrutamiento. En la
plataforma de NSX, el enrutador lógico distribuido le permite enrutar el tráfico entre
switches lógicos. Una de las funciones principales que diferencia a este enrutador lógico
es que la capacidad de enrutamiento se distribuye en el hipervisor. Mediante la
incorporación de este componente de enrutamiento lógico, los usuarios pueden
reproducir topologías de enrutamiento complejas en el espacio lógico. Por ejemplo, en
una aplicación de tres niveles conectada a tres switches lógicos, el enrutamiento entre
los niveles se maneja mediante un enrutador lógico distribuido.
4) Por último, analizaremos de qué manera pueden utilizarse los diferentes protocolos
de enrutamiento, como el protocolo de enrutamiento ECMP (Equal Cost Multipath
Routing), para escalar y proteger el gateway de servicios de NSX Edge.
En primer lugar, para enviar un comando CLI a la consola del laboratorio, siga los
siguientes pasos:
HOL-1703-SDC-1-ES Page 56
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 57
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 58
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 59
HOL-1703-SDC-1-ES
Para iniciar sesión en vSphere Web Client, use la autenticación de sesión de Windows.
HOL-1703-SDC-1-ES Page 60
HOL-1703-SDC-1-ES
• El servidor web volverá a una página web con información del cliente
almacenada en la base de datos.
Como observó en la topología anterior, los tres switches lógicos o los tres niveles de la
aplicación terminan en NSX Edge perimetral. NSX Edge perimetral permite el
enrutamiento entre los tres niveles. Vamos a modificar esa topología mediante la
eliminación, en primer lugar, de las interfaces de capa de base de datos y capa de
aplicación de NSX Edge perimetral. Una vez eliminadas las interfaces, las migraremos a
NSX Edge distribuido. A fin de ahorrar tiempo en la implementación de un componente,
ya se desplegó el enrutador distribuido.
HOL-1703-SDC-1-ES Page 61
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 62
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 63
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 64
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 65
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 66
HOL-1703-SDC-1-ES
Ahora que ya eliminó las interfaces de aplicación y DB de NSX Edge perimetral, debe
regresar a la pantalla del dispositivo de NSX Edge para acceder al enrutador lógico
distribuido.
• Haga clic en el botón para regresar Networking & Security en la parte superior
izquierda, que lo lleva a la pantalla principal Edge Services.
HOL-1703-SDC-1-ES Page 67
HOL-1703-SDC-1-ES
3. Haga clic en Interfaces para que se muestren todas las interfaces configuradas
actualmente en el enrutador distribuido.
HOL-1703-SDC-1-ES Page 68
HOL-1703-SDC-1-ES
1. Haga clic en el signo más de color verde para agregar una interfaz nueva.
2. Asigne el nombre App_Tier a la interfaz.
3. Haga clic en Select en la sección Connected To.
HOL-1703-SDC-1-ES Page 69
HOL-1703-SDC-1-ES
Especificación de la red
HOL-1703-SDC-1-ES Page 70
HOL-1703-SDC-1-ES
Agregado de subredes
1. Haga clic en el signo más de color verde para configurar las subredes.
2. Haga clic en el cuadro Primary IP Address e ingrese la dirección 172.16.20.1
como dirección IP.
3. Ingrese 24 en la columna Subnet Prefix Length.
4. Luego, haga clic en OK para terminar de agregar la subred local.
HOL-1703-SDC-1-ES Page 71
HOL-1703-SDC-1-ES
• Realice los mismos pasos que realizó en los pasos anteriores para la interfaz
DB_Tier:
• Asigne el nombre DB_Tier.
• Conéctese a DB_Tier_Logical_Switch.
• Establezca la dirección 172.16.30.1 como dirección IP y 24 como la longitud de
prefijo de subred.
HOL-1703-SDC-1-ES Page 72
HOL-1703-SDC-1-ES
Una vez realizados los cambios, probará que el acceso a la aplicación de 3 niveles falla.
La razón de esta falla radica en que, si bien se configura el enrutamiento para que lo
maneje el enrutador distribuido, aún no hay una ruta entre este y la ubicación de los
servidores web.
• Haga clic en la pestaña con el nombre HOL - Multi-Tier App que abrió
anteriormente.
HOL-1703-SDC-1-ES Page 73
HOL-1703-SDC-1-ES
Nota: Si cerró esa pestaña en pasos anteriores, abra una nueva pestaña del navegador
y haga clic en Customer DB App en los favoritos.
La aplicación tardará algunos segundos previo a dejar de estar disponible, por lo que es
probable que deba seleccionar la "x" de color rojo para detener el navegador. Si
visualiza datos del cliente, es posible que se hayan almacenado en caché con
anterioridad y que deba cerrar y volver a abrir el navegador para corregir esto.
Nota: Si debe volver a abrir el navegador, una vez que haya verificado que la
aplicación de tres niveles ya no está funcionando, haga clic en el marcador del
navegador para abrir vSphere Web Client y vuelva a iniciar sesión con las
credenciales "administrator@vsphere.local" como usuario y "VMware1!" como
contraseña. Luego, haga clic en Networking and Security, Edge Appliances y,
por último, haga doble clic en "Distributed-Router".
HOL-1703-SDC-1-ES Page 74
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 75
HOL-1703-SDC-1-ES
Publicación de cambios
HOL-1703-SDC-1-ES Page 76
HOL-1703-SDC-1-ES
Nota: En el caso del enrutador distribuido, se requiere que el campo "Protocol Address"
envíe el tráfico de control a la máquina virtual de control del enrutador distribuido. La
dirección que se coloca en Forwarding Address representa la dirección a la que se
enviará todo el tráfico de la ruta de datos. La pantalla volverá a la ventana principal de
configuración de "OSPF". Se mostrará el cuadro de diálogo verde "Publish Changes".
Nota: Debido a la separación del plano de control y del tráfico del plano de datos en
NSX, se crea la posibilidad de mantener la capacidad de reenvío de datos de la instancia
del enrutador mientras se vuelve a iniciar o a cargar la función de control. Esta función
se denomina "reinicio sin problemas" (Graceful Restart) o "reenvío sin interrupciones"
(Non-stop Forwarding).
HOL-1703-SDC-1-ES Page 77
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 78
HOL-1703-SDC-1-ES
1. Haga clic en el signo más de color verde para ver el cuadro de diálogo New
Area Definition.
2. Ingrese el número 10 en el cuadro Area ID. En los demás cuadros de diálogo,
puede dejar las configuraciones predeterminadas.
3. Haga clic en OK.
Nota: El campo Area ID es muy importante para la opción OSPF. Existen varios
tipos de áreas de OSPF. Asegúrese de verificar cuál es el área correcta en la
que deben ubicarse los dispositivos NSX Edge para que funcionen
correctamente con el resto de la configuración de OSPF dentro de la red.
HOL-1703-SDC-1-ES Page 79
HOL-1703-SDC-1-ES
Publicación de cambios
HOL-1703-SDC-1-ES Page 80
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 81
HOL-1703-SDC-1-ES
• Verifique que haya una marca de verificación junto a OSPF. Esto demuestra que
se habilitó la redistribución de rutas para OSPF.
HOL-1703-SDC-1-ES Page 82
HOL-1703-SDC-1-ES
Publicación de cambios
HOL-1703-SDC-1-ES Page 83
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 84
HOL-1703-SDC-1-ES
Notará que este dispositivo NSX Edge ya se configuró para el enrutamiento dinámico
con BGP. Esta configuración de enrutamiento se establece para que el NSX Edge
perimetral pueda comunicar y distribuir rutas al enrutador que ejecuta todo el
laboratorio. A continuación, seguiremos con la conexión de este dispositivo NSX Edge al
enrutador lógico distribuido. Ya se completaron todas las configuraciones globales del
BGP y del enrutador para el dispositivo NSX Edge.
HOL-1703-SDC-1-ES Page 85
HOL-1703-SDC-1-ES
1. Haga clic en el signo más de color verde para ver el cuadro de diálogo New
Area Definition.
2. Ingrese el número 10 en el cuadro Area ID. En los demás cuadros de diálogo,
puede dejar las configuraciones predeterminadas.
3. Haga clic en OK.
Nota: El campo Area ID es muy importante para la opción OSPF. Existen varios
tipos de áreas de OSPF. Asegúrese de verificar cuál es el área correcta en la
que deben ubicarse los dispositivos NSX Edge para que funcionen
correctamente con el resto de la configuración de OSPF dentro de la red.
HOL-1703-SDC-1-ES Page 86
HOL-1703-SDC-1-ES
Ahora, solo debemos indicarle a OSPF que active la interfaz que se comunicará con los
enrutadores distribuidos.
1. Haga clic en el signo más de color verde que se encuentra junto al título Area
to Interface Mapping.
2. Seleccione la opción Transit_Network_01 en el campo vNIC.
3. Seleccione 10 en el campo Area.
4. Haga clic en OK.
Publicación de cambios
HOL-1703-SDC-1-ES Page 87
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 88
HOL-1703-SDC-1-ES
1. Haga clic en el signo más de color verde que se encuentra debajo del título
Route Redistribution table.
HOL-1703-SDC-1-ES Page 89
HOL-1703-SDC-1-ES
Publicación de cambios
HOL-1703-SDC-1-ES Page 90
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 91
HOL-1703-SDC-1-ES
1. Haga clic en la pestaña que abrió previamente para la aplicación web. Es posible
que se muestre "503 Service Temp..." en la pestaña de la prueba fallida anterior.
2. Actualice el navegador para verificar si la aplicación de tres niveles vuelve a
funcionar.
HOL-1703-SDC-1-ES Page 92
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 93
HOL-1703-SDC-1-ES
Enrutamiento centralizado
En esta sección, analizaremos diferentes elementos para observar cómo se realiza el
enrutamiento en dirección norte desde NSX Edge. Esto incluye la forma en la que el
enrutamiento dinámico de OSPF se controla, actualiza y propaga por el sistema.
Verificaremos el enrutamiento en el dispositivo NSX Edge perimetral mediante el
dispositivo de enrutamiento virtual que ejecuta y dirige todo el laboratorio.
HOL-1703-SDC-1-ES Page 94
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 95
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 96
HOL-1703-SDC-1-ES
• El servidor web volverá a una página web con información del cliente
almacenada en la base de datos.
HOL-1703-SDC-1-ES Page 97
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 98
HOL-1703-SDC-1-ES
HOL-1703-SDC-1-ES Page 99
HOL-1703-SDC-1-ES
La ventana VMRC aparecerá en negro cuando se abra por primera vez. Haga clic dentro
de la ventana y presione Enter un par de veces hasta que aparezca la consola del
protector de pantalla.
Inicie sesión en el gateway perimetral con las siguientes credenciales: Tenga en cuenta
que todos los dispositivos NSX Edge tienen contraseñas complejas de 12 caracteres.
En primer lugar, para enviar un comando CLI a la consola del laboratorio, siga
los siguientes pasos:
Lo primero que realizaremos es visualizar los vecinos BGP en el dispositivo NSX Edge
perimetral, que se encuentra en medio de la capa de enrutamiento del laboratorio.
• Presione Enter.
show ip route
En una situación particular, podría desear que las rutas de BGP se distribuyeran
únicamente dentro del entorno virtual, pero no en el entorno físico. Tenemos la
capacidad de controlar la distribución de rutas con facilidad desde la interfaz del NSX
Edge.
Ahora, eliminaremos el mapeo del Sistema Autónomo (AS) 65002 de BGP. Si se hace
esto, el gateway perimetral y el enrutador vPod ya no intercambiarán las rutas.
Confirmación de la eliminación
**NOTA** Una vez que se muestre la ventana, es probable que deba hacer clic
dentro de esta y presionar la tecla Enter para que la pantalla aparezca.
Visualización de rutas
show ip route
Ahora, puede observar que las únicas rutas que se aprendieron mediante OSPF son las
del enrutador distribuido (192.168.5.2).
La aplicación puede tardar unos minutos previo a dejar de estar disponible, por lo que
es probable que deba seleccionar la "x" de color rojo para detener el navegador. Si
visualiza datos del cliente, es posible que se hayan almacenado en caché con
anterioridad y que deba cerrar y volver a abrir el navegador para corregir esto.
**NOTA** Una vez que se muestre la ventana, es probable que deba hacer clic
dentro de esta y presionar la tecla Enter para que la pantalla aparezca.
show ip route
Visualización de rutas
Una vez que las rutas se encuentren nuevamente en el lugar correcto, la aplicación web
debe funcionar nuevamente.
Configuración de la contraseña
1. Haga clic en el signo más de color verde debajo de NSX Appliances para que
se muestre el cuadro de diálogo Add NSX Edge Appliance.
2. Seleccione la opción RegionA01-MGMT01 en el campo Cluster/Resource Pool.
3. Seleccione la opción RegionA01-ISCSI01-MGMT01 en el campo Datastore.
4. Seleccione esx-04a.corp.local en el campo Host.
5. Haga clic en OK.
Continuación de la implementación
1. Haga clic en el signo más de color verde para agregar la primera interfaz.
Debemos elegir la interfaz del switch en dirección norte para esta instancia de NSX
Edge, que es un port group distribuido.
1. Haga clic en el signo más de color verde para agregar la segunda interfaz.
Debemos elegir la interfaz del switch en dirección norte para esta instancia de NSX
Edge, el cual es un switch lógico respaldado por VXLAN.
Continuación de la implementación
Finalización de la implementación
Debe configurar el OSPF en el nuevo dispositivo NSX Edge antes de habilitar el ECMP.
Publicación de cambios
Ahora, debemos realizar los mismos pasos para la interfaz de enlace descendente en el
enrutador distribuido.
1. Haga clic en el signo más de color verde que se encuentra junto al título Area
to Interface Mapping.
2. Seleccione la opción Transit_Network_01 en el campo vNIC.
3. Seleccione 10 en el campo Area.
4. Haga clic en OK.
Publicación de cambios
1. Haga clic en el signo más de color verde debajo del título Neighbors.
2. Ingrese la dirección 192.168.100.1 en el campo IP Address.
3. Ingrese 65002 en el campo Remote AS.
4. Haga clic en OK.
Publicación de cambios
Ahora, debemos habilitar la redistribución de rutas de BGP y OSPF para poder acceder a
las rutas mediante esta instancia de NSX Edge.
1. Haga clic en el signo más de color verde que se encuentra debajo de Route
Redistribution table.
2. Marque la opción BGP.
3. Marque la casilla Connected.
4. Haga clic en OK.
1. Haga clic en el signo más de color verde que se encuentra debajo de Route
Redistribution table.
2. Seleccione BGP en el campo Learner Protocol.
3. Seleccione OSPF.
4. Marque la casilla Connected.
Publicación de cambios
Habilitación de ECMP
1. Haga clic en el botón Networking & Security para volver a la página anterior.
Acceso a Perimeter-Gateway-01
• Haga clic en el botón Networking & Security para volver a la página anterior.
Acceso a Perimeter-Gateway-02
La ventana VMRC aparecerá en negro cuando se abra por primera vez. Haga clic dentro
de la ventana y presione Enter un par de veces hasta que aparezca la consola del
protector de pantalla.
Con este comando, se muestra que el enrutador distribuido tiene dos vecinos OSPF. Los
vecinos son Perimeter-Gateway-1 (192.168.100.3) y Perimeter-Gateway-2
(192.168.100.4).
show ip route
Ahora, analizaremos el ECMP desde el enrutador vPod, el cual simula un enrutador físico
en la red.
Debemos establecer una comunicación de tipo Telnet con el módulo que controla el BGP
en el enrutador vPod.
Debemos establecer una comunicación de tipo Telnet con el módulo que controla BGP
en el enrutador vPod.
Visualización de rutas
show ip bgp
2. En esta sección, verá que todas las redes disponen de dos enrutadores de próximo
salto. Esto se debe a que el Perimeter-Gateway-01 (192.168.100.3) y el
Perimeter-Gateway-02 (192.168.100.4) son vecinos establecidos para estas redes.
En este punto, todo tráfico conectado al enrutador distribuido puede salir por cualquiera
de los gateways perimetrales con ECMP.
Apagado de Perimeter-Gateway-01
Confirmación de apagado
Con ECMP, BGP y OSPF en el entorno, podemos cambiar las rutas de manera dinámica
en caso de que ocurra una falla en una ruta en particular. Ahora, simularemos la
interrupción de una de las rutas de acceso y la redistribución de rutas.
ping -t db-01a
Se mostrarán pings del centro de control al comienzo del servidor de base de datos
(db-01a). No cierre esta ventana cuando proceda con el paso siguiente.
show ip route
Encendido de Perimeter-Gateway-01
La VM puede tardar un minuto o dos en encenderse. Una vez que se muestre que
VMTools está en línea en el resumen de VM, puede proceder con el paso siguiente.
Visualización de rutas
show ip route
Nota: Debería ver que todas las redes del enrutador vPod han retomado la conectividad
doble.
Una nota final sobre el ECMP y la alta disponibilidad (HA, High Availability) en este
laboratorio. Aunque apagamos Perimeter-Gateway-01, el resultado en caso de haber
apagado Perimeter-Gateway-02 sería el mismo.
Eliminación de edge-7
Confirmación de la eliminación
1. Haga clic en el botón Networking & Security para volver a la página anterior.
Acceso a Perimeter-Gateway-1
Ha finalizado el módulo 3.
• Diríjase a http://tinyurl.com/hkexfcl
forma en la que este puede suministrar servicios comunes, como DHCP, VPN,
NAT, enrutamiento dinámico y balanceo de carga.
• Módulo 5: Conexión de una red física a una red virtual (30 minutos).
Básico. Mediante este módulo, se lo guiará en el proceso de configuración de una
instancia de conexión de C2 entre una VLAN tradicional y un switch lógico de
NSX. También se incluye una demostración fuera de línea de la integración de
NSX con switches habilitados para VXLAN en hardware de Arista.
• Módulo 6: Firewall distribuido (45 minutos). Básico. En este módulo, se
analizará el concepto de firewall distribuido, además de la creación de reglas de
firewall en una aplicación de tres niveles.
Módulo 4: Gateway de
servicios de NSX Edge (60
minutos)
El gateway de NSX Edge conecta redes aisladas (stub) con redes compartidas (uplink)
mediante la provisión de servicios de gateway comunes, como DHCP, VPN, NAT,
enrutamiento dinámico y balanceo de cargas. Entre las implementaciones comunes de
NSX Edge, se incluyen las siguientes: zona desmilitarizada (DMZ), VPN, Extranets y
entornos de nube multiclientes, donde NSX Edge crea límites virtuales para cada cliente
(tenant).
Las cargas de las peticiones de TCP, UDP, HTTP o HTTPS se pueden balancear por medio
del gateway de servicios NSX Edge. El gateway de servicios NSX Edge puede balancear
cargas hasta la capa 7 del modelo de interconexión de sistemas abiertos (Open Systems
Interconnection, OSI).
Mediante la validación del estado, es posible asegurarse de que todos los componentes
del laboratorio se implementen de manera correcta. Una vez que se haya completado la
validación, el estado se actualizará al color verde y aparecerá la palabra Ready para
indicar que está listo. Es posible que la implementación del laboratorio falle debido a
una restricción de recursos en el entorno.
Haga clic en el ícono de la barra de tareas de Google Chrome. Debe tener vSphere
Web Client como página de inicio.
Si hace clic en los alfileres, se contraerán los paneles de tareas y tendrá más espacio
en el panel principal. También puede contraer el panel izquierdo para obtener el
máximo espacio.
Para el nuevo gateway de servicios de NSX Edge, realice los siguientes ajustes:
Hay cuatro tamaños distintos de dispositivos que puede elegir para el gateway de
servicios de NSX Edge, con las siguientes especificaciones (cantidad de CPU, memoria):
Elegiremos el tamaño Compact de NSX Edge para el nuevo gateway de servicios de NSX
Edge, pero tenga en cuenta que también es posible aumentar el tamaño después de la
implementación. Para continuar con la creación del gateway de servicios de NSX Edge,
realice los siguientes pasos:
1. Haga clic en el signo más (+) de color verde para abrir la ventana emergente
Add NSX Edge Appliances.
Configuración de la implementación
Aquí, deberemos configurar la primera interfaz de red para este nuevo NSX Edge.
Esta interfaz del balanceador de carga de enlace único deberá estar en la misma red
que los dos servidores web a los que esta instancia de NSX Edge les suministrará
servicios de balanceador de carga.
Monitoreo de la implementación
Para monitorear la implementación del gateway de servicios de NSX Edge, realice los
siguientes pasos:
1. Name: OneArmWeb-01
2. Type: HTTPS
3. Marque la casilla junto a Enable SSL Passthrough. Esto permitirá que el tráfico
SSL sea terminado en el pool de servidores.
4. Haga clic en OK cuando haya finalizado.
Por medio de los monitores, se verifica que los miembros del pool que brindan servicios
al servidor virtual se encuentren funcionando de manera correcta. El monitor de HTTPS
predeterminado realizará un comando de "GET" a la página de inicio "/". Modificaremos
el monitor predeterminado para realizar una comprobación del estado en la URL
específica de la aplicación. Esto ayudará a determinar que los servidores miembros del
depósito y la aplicación están funcionando correctamente.
Un grupo de servidores del pool es la entidad que representa los nodos (servidores)
hacia los cuales se balanceará el tráfico. Agregaremos los dos servidores web web-01a
y web-02a a un pool nuevo. Para crear un pool nuevo, primero debe hacer lo siguiente:
1. Name: Web-Tier-Pool-01
2. Monitors: default_https_monitor
3. Haga clic en el signo más (+) de color verde.
Repita los pasos para agregar un miembro más al Pool con la información que se brinda
a continuación.
• Name: web-02a
• IP Address: 172.16.10.12
• Port: 443
• Monitor Port: 443
Un servidor virtual es la entidad que acepta el tráfico que proviene del "front end" del
servicio del balanceador de carga. El tráfico de usuarios se dirige hacia la dirección IP
que representa el servidor virtual y, luego, se redistribuye hacia los nodos en el "back
end" del balanceador de carga. Para configurar un servidor virtual nuevo en este
gateway de servicios de NSX Edge, primero debe hacer lo siguiente:
• Es posible que deba hacer clic varias veces para que el navegador se actualice
por fuera del caché del navegador.
En primer lugar, para enviar un comando CLI a la consola del laboratorio, siga los
siguientes pasos:
• Escriba show service loadbalancer pool. (Recuerde utilizar la opción SEND TEXT).
Nota: El estado del miembro del depósito web-sv-01a figura como "UP".
Inicio de PuTTY
SSH a web-01a.corp.local
Debido a que el servicio está caído, el detalle de la falla muestra que el cliente no pudo
establecer una sesión SSL.
Apagado de web-01a
Apagado de web-01a
Debido a que ahora la VM está apagada, el detalle de la falla muestra que el cliente no
pudo establecer una conexión L4 en comparación con la conexión L7 (SSL) en el paso
anterior.
Encendido de web-01a
• Haga clic para volver a la pestaña del navegador de vSphere Web Client.
Conclusión
Aquí finaliza la lección sobre el balanceador de carga del gateway de servicios de NSX
Edge. A continuación, exploraremos en profundidad el firewall del gateway de servicios
de NSX Edge.
Podemos navegar hacia una instancia de NSX Edge para ver las reglas de firewall que se
aplican. Las reglas de firewall que se aplican a un enrutador lógico solo protegen el
tráfico en el plano de control que se dirige a la máquina virtual de control del enrutador
lógico y el tráfico que proviene de esta. No ofrecen ningún tipo de protección en el nivel
del plano de datos. Si desea proteger el tráfico en el plano de datos, debe crear reglas
de firewall lógico para proteger el tráfico de este a oeste o crear reglas en el gateway de
servicios de NSX Edge para proteger el tráfico de norte a sur.
Las reglas creadas en la interfaz de usuario del firewall que se aplican a esta instancia
de NSX Edge se muestran en modo de solo lectura únicamente. Las reglas se muestran
y se aplican en el siguiente orden:
1. Reglas definidas por el usuario creadas en la interfaz de usuario del firewall (solo
lectura)
2. Reglas autoasociadas (reglas que permiten que el tráfico de control fluya para los
servicios de NSX Edge)
3. Reglas definidas por el usuario creadas en la interfaz de usuario del firewall de
NSX Edge
4. Regla por defecto (default).
Publicación de cambios
Ahora que estamos familiarizados con la edición de una regla de firewall existente del
gateway de servicios de NSX Edge, incorporaremos una nueva regla de firewall que
bloqueará el acceso del centro de control a la aplicación de base de datos del cliente.
1. Seleccione el símbolo (+) de color verde para agregar una nueva regla de
firewall.
2. En la columna Name, coloque el mouse en la esquina superior derecha y
seleccione el símbolo (+).
3. Ingrese el nombre de la regla: Main Console FW Rule
4. Haga clic en OK.
Indicar Origen
Publicación de cambios
Ahora que ya hemos configurado una nueva regla de firewall que bloqueará el acceso
del centro de control al switch lógico de nivel web, realicemos una prueba rápida:
Después de unos minutos, debería aparecer una página del navegador que indique que
no se puede acceder al sitio. Ahora, modifiquemos la regla de firewall para permitir que
la consola principal acceda a la aplicación Customer DB App.
Publicación de cambios
Publicación de cambios
Conclusión
Aquí finaliza la lección sobre el firewall del gateway de servicios de NSX Edge. A
continuación, aprenderemos más sobre cómo el gateway de servicios de NSX Edge
puede administrar servicios de DHCP (Dynamic Host Configuration Protocol).
Retransmisión de DHCP
En una red donde solo hay un segmento de red, los clientes de DHCP pueden
comunicarse de manera directa con el servidor del DHCP. Los servidores DHCP también
pueden suministrar direcciones IP a múltiples redes, aún a aquellas que no se
encuentran en los mismos segmentos. Sin embargo, cuando el servidor provee
direcciones IP para rangos de IP diferentes del suyo, no podrá comunicarse con aquellos
clientes de manera directa. Esto se debe a que los clientes no cuentan de una dirección
IP enrutable ni un gateway disponible.
Las áreas que deben cubrirse en este laboratorio son las siguientes:
En este diagrama, se muestra la topología final que se creará y usará en este módulo
del laboratorio.
En primer lugar, es necesario crear un switch lógico nuevo que se ejecutará en la red
nueva 172.16.50.0/24.
1. Seleccione RegionA0_TZ.
2. Haga clic en OK.
1. Nombre: DHCP-Relay
2. Haga clic en OK.
En este paso, se añadirá el switch lógico a una interfaz en el gateway perimetral. Esta
interfaz será el gateway predeterminado para la red 172.16.50.0/24 y la dirección será
172.16.50.1.
Adición de la interfaz
Seleccione el switch lógico nuevo que acabamos de crear en los pasos anteriores.
1. Cambie el nombre del campo Name de vnic9 a DHCP Relay para facilitar la
identificación más tarde.
2. Haga clic en OK.
En la configuración global del DHCP, debemos seleccionar los servidores de DHCP que
atenderán las solicitudes de DHCP desde las guest VM's.
Hay tres métodos con los que podemos configurar las direcciones IP del servidor de
DHCP:
Conjuntos IP
Direcciones IP
Nombres de dominio
1. En la sección DHCP Relay Agents, haga clic en el signo más de color verde.
En esta instancia, crearemos una VM vacía que llevará a cabo un arranque PXE desde el
servidor de DHCP al que realizamos la retransmisión.
1. Expanda RegionA01-COMP01
2. Seleccione esx-02a.corp.local
3. Seleccione el menú desplegable Actions.
4. Luego, haga clic en New Virtual Machine y New Virtual Machine
Configuración de la VM nueva
Selección de compatibilidad
Selección de SO invitado
1. Pase el cursor del mouse por encima de la opción New Hard Disk y la X
aparecerá a la derecha. Haga clic en la X para eliminar el disco duro.
1. Seleccione la red que contenga las palabras DHCP Relay. Es posible que el valor
UUID completo del switch lógico sea distinto del que se mostró en la captura de
pantalla anterior, pero solo en una de las opciones se encontrarán las palabras
DHCP-Relay. Si no puede ver la red en la lista, haga clic en "show more
networks".
2. Haga clic en Next.
Terminar la creación de la VM
A continuación, abriremos una consola para esta VM, la encenderemos y veremos cómo
arranca a partir de la imagen PXE. La información se recibe por medio del servidor de
DHCP remoto que se configuró previamente.
Encendido de la VM
Visualización de concesiones
Visualización de opciones
También podemos ver las opciones de intervalos utilizadas para arrancar la imagen PXE.
Acceso a la VM encendida
Verificación de la conectividad
ping 172.16.50.10
Verá la respuesta de ping que envió la VM. Ahora, puede cerrar esta ventana de
comando.
Conclusión
Este laboratorio ahora está completo. A continuación, exploraremos los servicios de VPN
de capa 2 del gateway de servicios de NSX Edge.
Configuración de L2VPN
En este módulo, utilizaremos las capacidades L2VPN del gateway de NSX Edge para
extender el límite de Capa 2 entre dos clústeres de vSphere distintos. Para demostrar
un caso de uso basado en esta capacidad, implementaremos un servidor NSX Edge
L2VPN en el clúster RegionA01-MGMT01 y un Cliente NSX Edge L2VPN en el clúster
RegionA01-COMP01 y, finalmente, probaremos el estado del túnel para verificar que la
configuración haya sido exitosa.
En la sección Settings del asistente de la nueva instancia de NSX Edge, realice las
siguientes acciones:
En la ventana emergente "Add NSX Edge Appliance", ingrese los siguientes valores:
1. Haga clic en el signo más (+) de color verde para crear un dispositivo NSX
Edge.
2. En Cluster/Resource Pool, seleccione RegionA01-MGMT01.
3. En Datastore, seleccione RegionA01-ISCSI01-MGMT01.
4. En Host, seleccione esx-05a.corp.local.
5. En Folder, seleccione Discovered virtual machine.
6. Haga clic en el botón OK para enviar esta configuración.
Adición de la interfaz
1. Haga clic en el signo más (+) de color verde para agregar la interfaz.
Verifique que la pestaña Logical Switch esté seleccionada y realice las siguientes
acciones:
1.) Adición de una interfaz tipo trunk al gateway de NSX Edge de L2VPN-Server.
3.) Configuración del enrutamiento dinámico (OSPF) del gateway de NSX Edge de
L2VPN-Server.
En la ventana Edit NSX Edge Interface que aparece, ingrese los siguientes valores:
1. Haga clic en el signo más (+) de color verde debajo de la etiqueta Sub
Interfaces.
Configuración de la subinterfaz
Ingreso de L2VPNServer-Uplink
1. Para habilitar la configuración de OSPF en este gateway de NSX Edge, haga clic
en el botón Edit, en la sección OSPF Configuration.
2. Marque la casilla de verificación junto a Enable OSPF.
3. Haga clic en el botón OK.
Publicación de cambios
Una vez finalizado esto, se llevaron a cabo todos los prerrequisitos para continuar con la
configuración de los servicios de VPN de C2 en este gateway de NSX Edge.
1. Por último, para habilitar el servicio del servidor L2VPN, haga clic en el botón
Enable, como se muestra en la captura de pantalla.
2. Haga clic en Publish Changes.
Ahora que el lado del servidor de L2VPN está configurado, implementaremos otro
gateway de NSX Edge que actuará como cliente L2VPN. Antes de implementar el cliente
L2VPN del gateway de NSX Edge, debemos configurar los port groups distribuidos de
Uplink y de Trunk en el switch virtual distribuido.
1. Seleccione RegionA01-vDS-COMP.
2. Haga clic en Create a new port group.
1. Ingrese Uplink-RegionA01-vDS-COMP.
2. Haga clic en Next.
Configuración
1. Haga clic en el signo más (+) de color verde para abrir el asistente New NSX
Edge.
En la ventana emergente "Add NSX Edge Appliance", configure los siguientes valores:
1. Haga clic en el signo más (+) de color verde para crear un dispositivo NSX
Edge.
2. En el campo Cluster/Resource Pool, ingrese RegionA01-COMP02.
3. En el campo Datastore, ingrese RegionA01-ISCSI01-COMP01.
4. En el campo Host, ingrese esx-03a.corp.local.
5. En el campo Folder, ingrese Discovered virtual machine.
6. Haga clic en el botón OK para enviar esta configuración de ubicación de la
máquina virtual de la instancia de NSX Edge.
1. En la sección Configure interfaces del asistente, haga clic en el signo más (+)
de color verde.
1. Haga clic en el botón Finish para enviar la nueva configuración del gateway de
NSX Edge y comenzar el proceso de implementación.
Al igual que con el gateway de NSX Edge de L2VPN-Server, se debe agregar una interfaz
de tipo Trun en esta instancia de NSX Edge. Para abrir la ventana de configuración de la
interfaz nueva, realice las siguientes acciones:
En la ventana emergente Edit NSX Edge Interface, ingrese los siguientes valores:
Configuración de la subinterfaz
1. Haga clic en el signo más (+) de color verde para agregar una subinterfaz.
2. En el campo Name, ingrese L2VPN-Client-SubInterface.
3. En el campo Tunnel ID, ingrese 1.
4. En el campo Backing Type, ingrese Network.
5. Haga clic en el signo más (+) de color verde.
6. Ingrese 172.16.10.1 en la columna Primary IP Address.
7. Ingrese 24 en el campo Subnet Prefix Length.
8. Haga clic en el enlace Select , junto al cuadro de diálogo "Network," para abrir la
lista de redes disponibles para añadir esta subinterfaz.
Adición de la subinterfaz
Para añadir una subinterfaz nueva al servicio L2VPN, realice las siguientes acciones:
1. Para habilitar el servicio de cliente L2VPN, haga clic en el botón Enable como se
muestra en la captura de pantalla.
Publicación de cambios
1. Una vez habilitado, haga clic en el botón Fetch Status. Es posible que deba
hacer clic en esta opción un par de veces luego de que se habilite el servicio.
2. Expanda Tunnel Status.
3. Verifique que el campo Status esté configurado en Up como se puede ver en la
captura de pantalla a continuación.
Aquí finaliza la lección sobre la configuración de los servicios L2VPN del gateway de
servicios de NSX Edge.
• Vaya a https://pubs.vmware.com/NSX-62/index.jsp
Si le queda tiempo, eche un vistazo a la lista de los otros módulos que forman parte de
este laboratorio y el tiempo estimado necesario para realizar cada uno.
Módulo 5: Conexión de
una red física a una red
virtual (60 minutos)
Conexión nativa
Con NSX, se obtienen capacidades de conexión de L2 en software en el kernel que les
permiten a las organizaciones conectar sin problemas cargas de trabajo tradicionales y
VLANs legadas a redes virtualizadas mediante VXLAN. La conexión de L2 se utiliza
mucho en entornos existentes para simplificar la introducción de redes lógicas y en
otros escenarios que incluyen sistemas físicos que requieren conectividad de L2 a
máquinas virtuales.
Introducción
• En NSX 6.0 y 6.1, no era posible conectar un switch lógico que estuviera
conectado a un enrutador lógico distribuido. En ese caso, se debía conectar el
switch lógico directamente a un gateway de servicios de NSX Edge, conocido
como Edge Services Gateway.
• En NSX 6.2, esta configuración ahora es posible y permite la optimización de los
flujos de tráfico de este a oeste.
En primer lugar, para enviar un comando CLI a la consola del laboratorio, siga
los siguientes pasos:
• Abra vSphere Web Client mediante el ícono del escritorio denominado Chrome.
Para iniciar sesión en vSphere Web Client, use la autenticación de sesión de Windows.
Migración de Web-01a
Selección de Bridged-Net-RegionA0-vDS-MGMT
Clic en Finish
Apertura de la consola de la VM
Una vez que la ventana de la consola esté abierta, haga clic en el medio de la
pantalla y presione cualquier tecla para desactivar el protector de pantalla.
ping -c 3 172.16.10.1
Espere hasta que el ping haga una pausa: ya verificó que la VM está aislada, ya que no
hay otros dispositivos en VLAN 101 y todavía no se configuró la conexión de L2.
Regreso a Edges
Adición de Web-Tier
1. Seleccione Web_Tier_Logical_Switch.
2. Haga clic en OK.
Ahora, habilitaremos la conexión de L2 de NSX entre VLAN 101 y el switch lógico Web-
Tier-01 para que la VM "web-01a" pueda comunicarse con el resto de la red. Con NSX-V
6.2, ahora se puede tener una conexión de L2 y un enrutador lógico distribuido
conectados al mismo switch lógico. Esto representa una mejora importante, ya que
simplifica la integración de NSX en entornos existentes y la migración de redes legadas
a redes virtuales.
1. Seleccione Web_Tier_Logical_Switch.
2. Haga clic en OK.
• Haga clic en el ícono Distributed Port Group para abrir el cuadro de diálogo de
selección.
Publicación de cambios
• Para habilitar la conexión de L2, haga clic en el botón Publish Changes y espere
hasta que la página se actualice.
Verificación de la conexión de L2
ping -c 3 172.16.10.1
El ping ha tenido éxito: usted verificó la conectividad entre una VM conectada a VLAN
101 y el enrutador lógico distribuido, que es el default gateway de la red, mediante una
conexión de L2 proporcionada por NSX.
Nota: Durante esta prueba, puede experimentar pings "duplicados" (respuestas que
aparecen como DUP). Esto se debe a la naturaleza del entorno del laboratorio y no
ocurrirá en una situación real.
Si desea continuar con los otros módulos de este laboratorio, asegúrese de seguir los
pasos a continuación para deshabilitar la conexión de L2, ya que la configuración de
ejemplo realizada en este entorno específico podría entrar en conflicto con otras
secciones, como la VPN de L2.
Nota: Deberíamos ver solo la instancia "Bridge-01" que creó anteriormente y que se
encuentra resaltada de manera predeterminada.
Publicación de cambios
Migración de Web-01a
Clic en Finish
Conclusión
Como plataforma, NSX funciona de manera eficiente mediante el uso de una capa de
"hipervisor de red" distribuida en todos los hosts. Sin embargo, en algunos casos,
ciertos hosts de la red no están virtualizados y no pueden implementar los componentes
de NSX de manera nativa. NSX ofrece la capacidad de establecer una conexión o una
ruta con redes externas no virtualizadas. Con un enfoque en la solución de conexión, le
mostraremos cómo un gateway de capa 2 puede extender una red lógica de capa 2 a
una red física de capa 2, y también le mostraremos algunos casos de uso del gateway
de capa 2.
En esta sección del módulo del laboratorio, se utilizó y modificó material de la Guía de
diseño Arista sobre NSX para vSphere con Arista CloudVision, versión 1.0,
agosto de 2015.
NSX funciona de manera eficaz mediante el uso de una capa de "hipervisor de red",
distribuida en todos los hosts. Sin embargo, en algunos casos, ciertos hosts de la red no
están virtualizados y no pueden implementar los componentes de NSX de manera
nativa. Por lo tanto, con NSX, se ofrece la capacidad de establecer una conexión o una
ruta hacia redes externas no virtualizadas. Este módulo se enfoca específicamente en la
solución de conexión, en la que un gateway de capa 2 puede extender una red lógica de
capa 2 a una red física de capa 2.
NSX incluye de manera nativa una versión del software de la funcionalidad del gateway
de capa 2, con un plano de datos implementado por completo en el kernel del
hipervisor, para un máximo rendimiento. Además de dicha funcionalidad, NSX como
plataforma permite la integración de componentes de terceros para alcanzar la
funcionalidad del gateway de capa 2 en hardware.
Nota: Tenga en cuenta que pueden haber varios controladores de NSX es una
implementación de NSX, a fin de proporcionar redundancia y escalabilidad horizontal.
De hecho, las tareas que lleva a cabo el controlador de NSX son las mismas que las de
todos los controladores de NSX en la red. HSC se conectará con todos los controladores.
1. Habilitación del servicio de control de VXLAN (VCS) en los switches ToR de Arista
y en CloudVision.
2. Habilitación del servicio de Hardware Switch Controller (HSC) en CloudVision.
1. Haga clic aquí para abrir la simulación interactiva. Se abrirá en una nueva
ventana o pestaña del navegador.
2. Cuando finalice, haga clic en el enlace "Return to the lab", en la esquina
superior derecha de la ventana del navegador, o cierre la ventana para continuar
con este laboratorio.
Consideraciones de diseño de la
conexión
Existe una diferencia importante entre los gateways de software y de hardware:
• Un switch lógico solo puede tener una instancia de conexión activa por vez
(gateway de software).
• Por el contrario, en un mismo switch lógico, pueden extenderse diferentes
gateways de hardware.
En esta sección del módulo del laboratorio, se utilizó y modificó material de la Guía de
diseño Arista sobre NSX para vSphere con Arista CloudVision, versión 1.0,
agosto de 2015.
El hecho de que varios gateways de hardware puedan estar activos al mismo tiempo
también influye en el diseño de red. Por lo general, se extiende un switch lógico a una
VLAN para proporcionar conectividad a algún servicio que no pueda virtualizarse. Este
servicio suele ser redundante, es decir que su implementación física se extiende en
diferentes racks en el centro de datos.
En los últimos años, la tendencia en redes del centro de datos ha sido intentar reducir
tanto como sea posible la expansión de la conectividad de capa 2 para minimizar los
riesgos y las limitaciones asociados. En la figura que se encuentra a la derecha de la
figura anterior, se muestra de qué manera se puede lograr esto si se aprovecha un
gateway de hardware activo. En este diseño alternativo, cada rack que aloja servidores
físicos está configurado con un gateway de hardware. Gracias a este modelo, no hace
falta extender la conectividad de capa 2 entre los racks, ya que los switches lógicos
pueden extenderse directamente al gateway de hardware relevante cuando alcancen
los servidores físicos.
Nota: Las VLAN definidas en los racks tienen importancia local (el ejemplo muestra que
el switch lógico se extiende a VLAN 10 en un rack y a VLAN 20 en el otro).
Nota: Para configuraciones aun más pequeñas, se puede utilizar un solo rack para
proporcionar conectividad al clúster de administración y NSX Edge. El concepto clave es
que la configuración de clústeres de NSX Edge se localiza en un par ToR para reducir la
expansión de los requisitos de capa 2. Esto también ayuda a localizar la configuración
del enrutamiento de salida en un par de switches ToR. La localización de los
componentes de NSX Edge también permite flexibilidad en la selección del hardware
(CPU, memoria y tarjeta de interfaz de red [Network Interface Card, NIC]) y las funciones
adecuadas conforme a funcionalidades centradas en la red, como firewall, NetFlow, NAT
y enrutamiento de ECMP.
En el ejemplo anterior, las VM con ECMP de NSX Edge (E1-E8) se implementan en hosts
ESXi con dos enlaces ascendentes físicos conectados a los switches ToR de Arista. Por lo
tanto, se recomienda implementar dos enlaces ascendentes lógicos en cada instancia
de NSX Edge. Debido a que un enlace ascendente lógico de NSX Edge está conectado a
un port group basado en VLAN, es necesario utilizar dos segmentos de VLAN externos
para conectar los enrutadores físicos y establecer adyacencias de protocolo de
enrutamiento. Como se muestra en la figura anterior, cada nodo con ECMP atraviesa su
VLAN externa respectiva hacia un enrutador de Arista exactamente. Cada VLAN externa
está definida solo en un enlace ascendente de ESXi (en la figura a continuación, la
VLAN10 externa está habilitada en el enlace ascendente hacia R1, mientras que la
VLAN20 externa, en el enlace ascendente hacia R2). Se hace de esta manera para que,
en circunstancias normales, los dos enlaces ascendentes de ESXi puedan utilizarse
simultáneamente para enviar y recibir tráfico norte-sur, incluso sin la necesidad de
crear un canal de puerto entre el host ESXi y los dispositivos ToR.
Además, con este modelo, una falla física de una NIC de ESXi se correspondería con una
falla en el enlace ascendente lógico de la instancia de NSX Edge que se ejecuta dentro
de ese host, y dicha instancia continuaría con el envío y la recepción de tráfico
mediante el aprovechamiento del segundo enlace ascendente lógico (la segunda
interfaz física con NIC de ESXi).
Con NSX, los usuarios pueden desarrollar servicios lógicos para redes y seguridad sin la
necesidad de hacer cambios en la configuración de la infraestructura física. En este
caso, una vez que se configuren los switches de Arista para proporcionar conectividad IP
y se aprovisione la configuración de enrutamiento, podemos comenzar a implementar
servicios nuevos con NSX.
Para hacer un enrutamiento de la red lógica a la red física, NSX puede aprender e
intercambiar rutas con la infraestructura física para alcanzar recursos, como un servidor
de base de datos o una aplicación no virtualizada, que podrían estar ubicados en una
subred o red física diferente.
el estado agregado de la red física para alcanzar la sincronización física a virtual más
eficaz. Este enfoque proporciona una estrategia más simple y escalable para la
integración de controladores a la red física.
Nota: CloudVision se basa en API abiertas, incluida la base de datos abierta de vSphere
(Open vSphere Database, OVSDB) y JavaScript Object Notation (JSON), que proporcionan
una estrategia basada en estándares para esta integración.
La función VM Tracer de Arista para NSX está integrada de manera nativa en Arista EOS.
Automatiza el descubrimiento de la infraestructura virtual conectada de forma directa y
optimiza el aprovisionamiento dinámico de VLAN relacionadas y perfiles de puertos en
la red. Los switches de Arista utilizan las API de VMware vCenter y NSX Manager para
recopilar información de aprovisionamiento. Luego, VM Tracer combina esta información
con los datos de la base de datos de los switches para proporcionar un mapeo claro y
conciso de la red virtual a la física. Los clientes pueden realizar un seguimiento en
tiempo real de los switches lógicos y las VM de una única CLI en cualquier switch de
Arista de la red.
• Eliminación del número de saltos (reducción del consumo del ancho de banda
hacia el ToR y desde este) para aplicaciones que atraviesan hacia un firewall
centralizado.
• Conjuntos de reglas flexibles (conjuntos de reglas que se pueden aplicar de
manera dinámica mediante múltiples objetos disponibles en vSphere, como
software lógico, clúster y centro de datos).
• Movimiento de las políticas y los estados de conexión con vMotion de las VMs.
• Desarrollo de un flujo de trabajo automatizado con cumplimiento de políticas de
seguridad programático en el momento de la implementación de la VM mediante
la plataforma de administración de la nube, basado en criterios de exposición,
como niveles de seguridad por cliente o zona de aplicación.
Conclusión
En conclusión, Arista y VMware ofrecen la primera y mejor solución escalable del sector
para la virtualización de redes en el centro de datos definido por software. Los
proveedores de nube, las empresas y los clientes web podrán acelerar de manera
drástica los servicios empresariales y reducir la complejidad operacional y los costos.
Todo esto se encuentra ahora disponible en una solución programática y
completamente automatizada del centro de datos definido por software (Software
Defined Data Center, SDDC) que conecta la infraestructura virtual y física.
Ha finalizado el módulo 5.
• Diríjase a http://tinyurl.com/hkexfcl
Módulo 6: Firewall
distribuido (45 minutos)
Este módulo se basa en cuatro VMs huésped que componen una aplicación común de 3
niveles. El nivel web posee dos servidores web (web-01a y web-02a). El nivel web se
comunica con una VM denominada app-01a que ejecuta un software de aplicación, lo
que funciona como el nivel de aplicación. A su vez, la VM del nivel de aplicación se
comunica con una VM denominada db-01a que ejecuta MySQL en el nivel de la base de
datos. El firewall DFW de NSX aplica las reglas de acceso entre los niveles.
• Si hace clic en los Push-Pins, se contraerán los paneles de tareas y tendrá más
espacio en el panel principal. También puede contraer el panel izquierdo para
obtener el máximo espacio.
ping -c 2 172.16.10.12
ping -c 2 172.16.20.11
ping -c 2 172.16.30.11
(Nota: Puede ver paquetes DUP! al final de una línea de ping. Esto se debe a la
naturaleza del entorno del laboratorio virtual que utiliza virtualización anidada y modo
promiscuo en los enrutadores virtuales. Esto no ocurrirá en un entorno de producción).
Debe visualizar datos que pasaron desde el nivel web a la VM app-01a y, finalmente,
consultaron a la VM db-01a.
Observe el servidor web real que responde. Observe que este servidor puede ser
diferente del que se muestra.
Tenga en cuenta que las reglas poseen marcas de verificación de color verde. Esto
significa que se habilitó una regla. Las reglas se crean de forma habitual con los
campos source, destination y service. Los servicios son una combinación de protocolos
y puertos.
Desplácese hacia la derecha, donde encontrará las opciones de Action para Default
Rule. Para ello, coloque el cursor en el campo de Action:Allow. Luego de esto,
aparecerá un lápiz que le permitirá ver las opciones para este campo.
Se mostrará una barra de color verde mediante la que se le solicitará que elija Publish
Changes, Revert Changes o Save Changes. Con Publish, los cambios se enviarán al
firewall distribuido (Distributed Firewall, DFW). Con Revert, se cancelan las ediciones.
Con Save Changes, los cambios se guardan para publicarse luego.
Para probar la regla de bloqueo con las sesiones del navegador y de PuTTY previas,
haga lo siguiente:
PuTTy: en unos momentos, si abre PuTTY, se mostrará que la sesión ya no está activa
debido a la regla predeterminada que ahora bloquea todo, incluida la sesión de SSH.
Vuelva a minimizar la consola.
Nota: Como acceso directo, puede hacer doble clic en las VM ubicadas en la parte
izquierda y se moverán hacia la derecha en un solo paso.
1. En la fila de la nueva sección "Customer DB-app", haga clic en el ícono Add rule,
que es un signo más de color verde.
1. Despliegue Object Type y desplácese hacia abajo hasta que encuentre Security
Group.
2. Haga clic en Web-tier.
3. Haga clic en la flecha superior para mover el objeto hacia la derecha.
4. Haga clic en OK.
1. Pase el mouse por encima del campo Service y haga clic en el ícono de
lápiz.
Vuelva a mantener el puntero sobre el campo Service y haga clic en el ícono de lápiz.
Ahora, agregará una segunda regla que le permita al grupo de seguridad web acceder
al grupo de seguridad de la aplicación mediante el puerto de la aplicación.
1. Como ya hizo antes, mantenga el mouse sobre el campo Name y haga clic en el
signo más. Escriba "Web to App" como nombre.
2. Seleccione el grupo de seguridad Object Type: Web-tier para el campo
Source.
En la primera regla, usó el grupo de seguridad Web-tier como destino. Podría aplicar
los mismos pasos con las reglas restantes. Sin embargo, como se ve en el cuadro
desplegable, se pueden usar varios objetos de vCenter ya definidos. Un aspecto
importante de vSphere integrado con la seguridad de NSX que permite ahorrar tiempo
es que puede usar los objetos actuales del centro de datos virtual para las reglas en
lugar de comenzar desde cero. Aquí, usará un switch lógico de VXLAN como destino.
Esto le permite crear una regla que se aplica a cualquier VM adjunta a esta red.
En la aplicación de 3 niveles, se usa el puerto TCP 8443 entre los niveles web y de
aplicaciones. Creará un servicio nuevo llamado MyApp, que será el servicio permitido.
Repetición de los pasos: cree la tercera y última regla, mediante la cual tendrá acceso
entre el nivel de aplicaciones y el nivel de base de datos.
NOTA: Si no tiene una pestaña ya abierta o cerró la pestaña anterior, use el favorito
"Customer DB-App Direct Connect" en la barra de favoritos.
1. Ping w.eb-02a
ping -c 2 172.16.10.12
2. Ping app-01a.
ping -c 2 172.16.20.11
3. Ping db-01a.
ping -c 2 172.16.30.11
Los pings no están permitidos, por lo que ocurrirá una falla, ya que, en sus reglas, no se
permite el protocolo de mensajes de control de Internet (Internet Control Message
Protocol, ICMP) entre niveles ni entre los miembros de los niveles. Como no se permite
el ICMP entre los niveles, la regla predeterminada bloqueará todo el tráfico restante.
Ha finalizado el módulo 6.
• Diríjase a http://tinyurl.com/hkexfcl
Conclusion
Thank you for participating in the VMware Hands-on Labs. Be sure to visit
http://hol.vmware.com/ to continue your lab experience online.
Version: 20161212-050934