VMware Hands-on Labs - HOL-SDC-1603-ES


Descripción general del laboratorio: HOL‑SDC‑1603 - Introducción a VMware NSX

Orientación sobre el laboratorio 1603


El siguiente módulo es informativo.  Si desea ir directamente al laboratorio, avance al paso 8.

Se puede acceder a la Tabla de contenidos en MÁS OPCIONES en la esquina superior derecha.

Nota: Le llevará más de 90 minutos completar este laboratorio. Su expectativa debe ser solo la finalización de entre 2 y 3 módulos durante la realización del laboratorio.  Los módulos son independientes unos de otros, de tal manera que puede empezar por el comienzo de cualquiera de los módulos y continuar desde allí.

Con la virtualización de servidores, se proporciona eficacia, flexibilidad y velocidad al esquema de consumo y administración de recursos de memoria y procesamiento en un centro de datos. Esto es posible debido al desacoplamiento del procesamiento y los recursos de memoria del hardware.

Sin embargo, si observa el estado de la red y de los servicios de red, como el firewall y el balanceador de carga en un centro de datos, estos se encuentran vinculados al hardware. Por ejemplo, si un administrador de servidores desea aprovisionar una aplicación de tres niveles, primero debe solicitarle al administrador de seguridad y red un conjunto de redes aisladas junto con los servicios de enrutamiento, firewall y balanceador de carga. Lleva días configurar los dispositivos físicos y habilitar estos servicios y redes. Por lo tanto, aunque el aprovisionamiento de una máquina virtual requiera unos pocos clics, los administradores de servidor deben esperar días o semanas para implementar una aplicación.

Este problema de falta de velocidad y flexibilidad en el aprovisionamiento de la red y de los servicios de red se aborda mediante la virtualización de redes. Esto se logra gracias a la virtualización de redes; primero se desacopla la red y los servicios de red del hardware físico y, luego, se le permite que reproduzca topologías de red física similares en un espacio lógico.

Como parte de los módulos del laboratorio, le demostraremos cómo la plataforma de NSX ayuda a agilizar el aprovisionamiento de la red y los servicios de red requeridos para una aplicación de tres niveles. A continuación, se presenta una breve descripción de cada uno de los módulos:

Lista de los módulos del laboratorio:

Directores del laboratorio:


 

Instrucciones especiales para los comandos CLI

 

Muchos de los módulos requerirán que ingrese comandos de interfaz de línea de comandos (CLI, Command Line Interface).  Existen dos maneras de enviar comandos CLI al laboratorio.

En primer lugar, para enviar un comando CLI a la consola del laboratorio:

  1. Resalte el comando CLI en el manual y use Control+c para copiarlo al portapapeles.
  2. Haga clic en el elemento del menú de la consola ENVIAR TEXTO.
  3. Presione Control+v para pegarlo del portapapeles a la ventana.
  4. Haga clic en el botón ENVIAR.

En segundo lugar, en el escritorio del entorno, encontrará un archivo de texto (README.txt) en el que se le proporcionan todas las cuentas de usuario y contraseñas.

 

 

Marca de agua o petición de activación

 

Cuando inicia el laboratorio por primera vez, es probable que aparezca una marca de agua en el escritorio que indique que Windows no se activó.  

Una de las ventajas más importantes de la virtualización es que las máquinas virtuales pueden migrarse y ejecutarse en cualquier plataforma.  Con los Hands-on Labs, se aprovecha esta ventaja, por lo que podemos ejecutar los laboratorios en múltiples centros de datos.  Sin embargo, estos centros de datos pueden no tener procesadores idénticos, lo que genera una verificación de activación de Microsoft mediante Internet.

Tenga la seguridad de que VMware y los Hands-on Labs se encuentran en cumplimiento normativo absoluto de los requisitos de licencia de Microsoft.  El laboratorio que utiliza es una unidad autónoma y no posee acceso total a Internet, que es necesario para que Windows pueda verificar la activación.  Sin acceso total a Internet, este proceso automatizado falla y se muestra esta marca de agua.

Este problema superficial no afecta el laboratorio.  

 

 

VMware NSX

VMware NSX es la plataforma líder de virtualización de redes que suministra el modelo operacional de una máquina virtual para la red. De la misma manera que la virtualización de servidores permite el control flexible de las máquinas virtuales que se ejecutan en hardware de servidor. La virtualización de red con NSX proporciona una interfaz de programación de aplicaciones (API, Application Programming Interface) centralizada para aprovisionar y configurar redes lógicas aisladas que se ejecutan en una única red física.

Las redes lógicas separan los servicios de redes y conectividad de máquinas virtuales de la red física, lo que les brinda a las empresas y los proveedores de nube la flexibilidad para colocar máquinas virtuales en cualquier parte del centro de datos, o para migrarlas allí, mientras continúan teniendo compatibilidad con los servicios de red de capa 4 a 7 y conectividad de capa 2 y 3.

 

 

 

 

Redes lógicas separadas

 

 

 

Alerta

Esta sesión puede incluir funciones de productos que aún están en desarrollo.

Esta sesión o descripción general de la nueva tecnología no representa ningún compromiso por parte de VMware de suministrar estas funciones en ninguno de los productos disponibles para el público en general.

Debido a que las funciones pueden sufrir modificaciones, no deben incluirse en contratos, órdenes de compra ni acuerdos de venta de ningún tipo.

La factibilidad técnica y la demanda del mercado afectarán el suministro final.

Aún no se ha determinado el precio ni la presentación de ninguna de las tecnologías ni las funciones nuevas que se analizan o presentan.

 

Módulo 1: Switching lógico (30 minutos)

VXLAN basado en controlador


Descripción general de componentes y Switching lógico

En este laboratorio, primero analizará los componentes clave de VMware NSX. A continuación, se detallan otros aspectos clave incluidos en este módulo:

1) Con la incorporación del controlador de NSX, los requisitos de soporte de multicast en la red física se han eliminado para VXLAN. Le mostraremos cómo crear un switch lógico y, luego, cómo añadir dos VM al switch lógico que creó.

2) También, le demostraremos de qué manera el switch lógico puede expandirse a través de redes capa 3 y aún mantener conectividad de capa 2 entre los dos servidores web.

3) La función de conexión de VXLAN a VLAN permite que los usuarios proporcionen comunicación Físico a Virtual, como también capacidad de migración Físico a Virtual. Le presentaremos el proceso de configuración. Le presentaremos el proceso de configuración.

4) Por último, revisaremos la escalabilidad y la alta disponibilidad de la plataforma de NSX.


 

Descripción general de los componentes

 

Abra un navegador con doble clic en el ícono Google Chrome del escritorio.

 

 

Inicio de sesión en vSphere Web Client

 

Si aún no inició sesión en vSphere Web Client, haga lo siguiente:

(Debe tener vSphere Web Client como página de inicio.  De lo contrario, haga clic en el ícono de la barra de tareas de vSphere Web Client para Google Chrome).

  1. Para iniciar sesión, marque la casilla Use Windows Session Authentication.
  2. Haga clic en Login.

 

 

Navegación hacia la sección Networking Security en Web Client

 

  1. Haga clic para abrir la sección Networking& Security.

 

 

Verificación de los componentes implementados

 

  1. Haga clic en Installation.
  2. Haga clic en Host Preparation.  Se mostrará que los componentes del plano de datos, también denominados componentes de virtualización de redes, se instalaron en los host de nuestros clústeres. Entre estos componentes, se incluyen los siguientes:  Módulos de kernel a nivel del hipervisor para Port Security (Seguridad de puertos), VXLAN, firewall distribuido y enrutamiento distribuido

Las funciones de firewall y VXLAN se configuran y habilitan en cada clúster una vez que se hayan instalado los componentes de virtualización de redes. El módulo de Port security de puerto asiste a la función de VXLAN, mientras que el módulo de enrutamiento distribuido se habilita a partir de la configuración de la VM de control del enrutador lógico distribuido (LDR, Logical Distributed Router) NSX edge.

 

 

Topología luego de la preparación del host con los componentes de la ruta de datos

 

En el paso siguiente, analizará los pasos de configuración relacionados con VXLAN mediante la selección de la pestaña Logical Network Preparation.

La configuración de VXLAN se puede dividir en tres pasos importantes:

 

 

Visualización de la configuración de VTEP

 

  1. Haga clic en la pestaña Logical Network Preparation.
  2. Haga clic en la pestaña VXLAN Transport.
  3. Haga clic en el marcador de lista desplegable para expandir los clústeres.

Como se muestra en el diagrama, los host de los clústeres de computo se configuran con dirección de IP de VTEP en una subred diferente a la del clúster de administración.  (Es probable que deba desanclar el panel izquierdo o desplazarse hacia la derecha para ver la información de pool de IP en el lado derecho de la pantalla).

 

 

La topología luego de la configuración de los VTEP en los clústeres

 

Uno de los retos clave que los clientes han enfrentado anteriormente con la implementación de VXLAN es que los dispositivos de red física requieren compatibilidad con el protocolo multicast. Este reto se aborda en la plataforma de NSX mediante el suministro de una implementación de VXLAN basado en controlador y la eliminación de cualquier necesidad de configurar el modo multicast en la red física. Este modo (Unicast) es el predeterminado, y los clientes no deben configurar ninguna dirección multicast cuando definen el pool de red lógica.

 

 

Configuración de direcciones de grupos multicast y Segment ID

 

Con NSX for vSphere, ya no se requieren las direcciones multicast.  En este laboratorio, vamos a utilizar el modo Unicast.

 

 

Último paso basado en definir el límite de las redes lógicas mediante las configuraciones de Transport Zone

 

  1. Haga clic en Transport Zones.
  2. Haga doble clic en Local‑Transport‑Zone‑A. 

 

 

Confirmación de clústeres como miembros de la zona de transporte local

 

Confirme que los 3 clústeres se encuentran en Transport Zone.

 

 

La topología luego de la definición de la Transport Zone

 

Una zona de transporte define la expansión de un switch lógico.  En Transport Zones, se determinan los clústeres que pueden participar en el uso de una red lógica en particular. A medida que agrega clústeres nuevos al centro de datos, puede incrementar la zona de transporte y, de esta manera, la expansión de las redes lógicas. Una vez que haya expandido el switch lógico en todos los clústeres de computo, elimine todas las barreras de ubicación y movilidad que tenía debido a los límites de VLAN restringidos.

Luego de analizar los diferentes componentes de NSX y la configuración relacionada con VXLAN, nos centraremos en la creación de una red lógica, también denominada switch lógico.

 

 

Retorno al menú Networking Security

 

 

 

Creación de un switch lógico nuevo

 

  1. Haga clic en Logical Switches en la parte izquierda.
  2. Haga clic en el signo "más de color verde" para crear un switch lógico nuevo.
  3. Coloque un nombre al switch lógico: Prod_Logical_Switch.
  4. Haga clic en Change a la derecha de Transport Zone. Nota: El modo Unicast se seleccionará de manera automática cuando elija Local‑Transport‑Zone‑A.
  5. Seleccione el botón de opción junto a Local-Transport-Zone-A.
  6. Haga clic en OK.
  7. Vuelva a hacer clic en OK.

Deje seleccionada la casillaEnable IP Discovery; después haga clic en OK.

IP Discovery habilita la supresión del protocolo de resolución de direcciones (ARP, Address Resolution Protocol).

Si selecciona Enable IP Discovery, se activará la supresión de ARP. El protocolo ARP se utiliza para determinar la dirección MAC (MAC, Media Access Control) de destino a partir de una dirección IP mediante el envío de un broadcast en un segmento de capa 2. Si el host ESXi con el Virtual Switch de NSX recibe tráfico ARP de una máquina virtual o una solicitud de Ethernet, el host envía la solicitud al controlador de NSX que tiene una tabla de ARP. Si la instancia del controlador de NSX ya cuenta con la información en su tabla de ARP, le responde con esta información al host, el cual le responde a la máquina virtual.

 

 

Vinculación del switch lógico nuevo con el gateway de servicios NSX Edge para acceso externo

 

  1. Resalte el switch lógico que se creó recientemente.
  2. Haga clic con el botón secundario del mouse en Prod_Logical_Switch y seleccione Connect NSX Edge.  

 

 

Conexión del Logical Switch al NSX Edge

 

El enrutamiento se presenta de manera más detallada en el módulo siguiente; sin embargo, para obtener la conectividad de nuestra Maquina Virtual "ControlCenter" u otra VM en nuestro laboratorio con respecto a las VM en nuestro switch lógico nuevo, debemos establecer conexión con el enrutador. Como se menciona en la sección de los componentes, NSX Edge puede instalarse de dos maneras diferentes: Distributed‑Router y Perimeter‑Gateway.  

En este ejemplo, conectará el switch lógico al gateway de servicios NSX Edge (Perimeter-Gateway).

  1. Haga clic en el botón de opción junto a Perimeter‑Gateway.
  2. Haga clic en Next.

 

 

El gateway de servicios NSX Edge posee diez interfaces. Deberá añadir el switch lógico a vNIC5

 

  1. Haga clic en el botón de opción junto a vnic5.
  2. Haga clic en Next.

 

 

Asignación del nombre de la interfaz y configuración de la dirección IP para la interfaz

 

  1. Póngale nombre a la interfaz: Prod_Interface.
  2. Seleccione Connected.
  3. Haga clic en el signo más para configurar las subredes (no modifique las otras configuraciones).

 

 

Asignación de IP a la interfaz

 

  1. En el cuadro Primary IP Address, ingrese 172.16.40.1 (deje en blanco el cuadro Secondary IP Address).
  2. Introduzca 24 para Subnet Prefix Length.
  3. Verifique que las configuraciones sean correctas y haga clic enNext.

 

 

Finalización de proceso de edición de interfaz

 

  1. Haga clic en Finish (se mostrará el switch lógico nuevo en la lista de switches lógicos).

 

 

La topología luego de la conexión de Prod_Logical_Switch al gateway de servicios NSX Edge

 

Una vez que se configuró el switch lógico y que se proporcionó el acceso a la red externa, es momento de conectar las máquinas virtuales de aplicación web a esta red.

 

 

Adición de web-sv-03a y web-sv-04a a Prod_Logical_Switch creado recientemente

 

  1. Haga clic en el switch lógiconuevo que se creó para resaltarlo.
  2. Haga clic con el botón secundario del mouse y seleccione el elementoAdd VM del menú.

 

 

Adición de máquinas virtuales para añadirlas al switch lógico nuevo

 

  1. Introduzca un filtro para localizar aquellas VM cuyos nombres comienzan con "web".
  2. Resalte las VM web-03a y web-04a.
  3. Haga clic en la flecha derecha para seleccionar la VM que se va a agregar al switch lógico.
  4. Haga clic en Next.

 

 

Adición de NIC virtual de VM al switch lógico

 

  1. Seleccione las tarjetas de interfaz de red (NiC, Network Interface Card) virtuales para las dos VM.
  2. Haga clic en Next y continúe en la pantalla siguiente.

 

 

Finalización de VM al switch lógico

 

  1. Haga clic en Finish.

 

 

La topología luego de la conexión de máquinas virtuales al switch lógico

 

La creación de un switch lógico y luego la conexión de la máquina virtual a este es un proceso fácil y rápido si se utiliza esta plataforma de virtualización de redes.

Esta estrategia de aprovisionamiento de switches lógicos es mucho más sencilla y rápida que el proceso de reconfiguración de cualquier dispositivo físico.

Luego, se mostrará la comunicación entre máquinas virtuales en la red lógica. El acceso desde la red externa se indica mediante el establecimiento de una sesión de SSH (Secure Shell) en las máquinas virtuales. La comunicación entre máquinas virtuales alojadas en dos clústeres diferentes demostrará que el switch lógico se expande a través de los límites de capa física 3 y que aun así proporciona conectividad de capa 2.

 

 

Visualización de host y clústeres

 

  1. Haga clic en el botón Home.
  2. Seleccione Hosts and Clusters en el menú desplegable.

Con este paso, se demostrará la capacidad de nuestro switch lógico nuevo para expandir un segmento lógico de capa 2 en una infraestructura de procesamiento de capa 3.

 

 

Expansión de los clústeres

 

 

 

Apertura de Putty

 

  1. Haga clic en Start.
  2. Haga clic en el ícono Putty Application del menú de inicio.

Se conecta desde el centro de control, que se encuentra en la subred 192.168.110.0/24. El tráfico pasará por NSX Edge y, luego, se dirigirá a la interfaz web.

 

 

Apertura de una sesión de SSH en web-03a

 

  1. Seleccione web-03a.corp.local.
  2. Haga clic en Open.

**Nota: si web-3a no se muestra como opción por alguna razón, también puede intentar ingresar la dirección IP 172.16.40.13 en el cuadro Host Name.  Si aún no se conectó, puede revisar los pasos anteriores y, luego, ponerse en contacto con un supervisor del laboratorio para obtener asistencia.

 

 

Inicio de sesión en la VM

 

Nota: Si tiene problemas para establecer conexión con web-03a, revise los pasos anteriores y verifique que se hayan realizado correctamente.

 

 

Envío de pings al servidor web web-sv-04a para mostrar la conectividad de capa 2

 

Recuerde utilizar la opción ENVIAR TEXTO para enviar este comando a la consola (consulte la orientación sobre el laboratorio).

Escribaping -c 2 web-04apara solo enviar 2 pings, en lugar de un ping continuo.  NOTA: web-04a tiene 172.16.40.14 como IP; puede enviar pings por IP, en lugar de utilizar el nombre si es necesario.

ping -c 2  web-04a 

***Tenga en cuenta que podría ver paquetes DUP!. Esto se debe a la naturaleza del entorno de laboratorio anidado de VMware (Un hipervisor virtualizado sobre otro hipervisor). Esto no ocurrirá en un entorno de producción.

****No cierre la sesión Putty. Minimice la ventana para utilizarla luego.

A continuación, analizará otra capacidad de NSX Edge que le permite extender la red del switch lógico a una VLAN física. En vez de realizar enrutamiento del tráfico desde el switch lógico al mundo físico, puede hacer bridge (puente) entre los entornos físicos y lógicos. Con esta función, se abordan los casos de uso comunes que se detallan a continuación:

 

 

Conexión de VXLAN a VLAN: la topología de abajo muestra la Conexión del switch lógico al VLAN 100

 

Para un par VXLAN‑VLAN dado, la función de conexión de capa 2 se realiza en el kernel del único host ESXi, que aloja la VM de control activa para el enrutador lógico distribuido (DLR, Distributed Logical Router) específico donde el mapeo VXLAN-VLAN se ha configurado (como se muestra arriba).

 

 

Configuración de la conexión de VXLAN a VLAN

 

Como este laboratorio es anidado, la capacidad de VLAN tagging no está disponible, por lo que no podemos demostrar la comunicación entre las redes de Capa 2 lógicas y físicas. Vamos a mostrarle de qué manera podría realizar los pasos de configuración sin tener que guardarlos. Esto es solo con fines demostrativos.

  1. Desplace el mouse sobre el íconoHome.
  2. Haga clic enNetworking & Security.

 

 

Selección de NSX Edge denominado Distributed Router para la configuración de conexión

 

  1. Seleccione NSX Edges en el panel izquierdo.
  2. Haga doble clic en edge-4 Distributed-Routerpara editar las propiedades.

 

 

Conexión de una red lógica a una VLAN

 

  1. Haga clic en la pestaña Manage.
  2. Seleccione Bridging.
  3. Haga clic en el signo más.

Hay tres opciones para completar la conexión.  Póngale nombre a la conexión, seleccione el switch lógico que desea conectar con la red física y, luego, seleccione el grupo de puerto virtual distribuido vinculado a la VLAN que desea conectar en el espacio lógico.

4.     Haga clic en Cancel aquí, ya que la configuración no es compatible en este entorno de laboratorio.

La configuración es sencilla debido a que solo debemos seleccionar el switch lógico y una VLAN.

 

 

Disponibilidad y escalabilidad del NSX Controller

 

En esta sección, podrá observar la disponibilidad y escalabilidad del controlador. El clúster del controlador en la plataforma de NSX es el componente del plano de control responsable de la administración de los módulos de enrutamiento y switching en los hipervisores. El clúster del controlador consiste en nodos del controlador mediante los que se administran switches lógicos específicos. El uso de un clúster del controlador para administrar switches lógicos basados en VXLAN elimina la necesidad del soporte multicast de la infraestructura de red física.

Para adaptabilidad y rendimiento, las implementaciones de producción deben utilizar un clúster del controlador con múltiples nodos. El clúster de NSX Controller representa un sistema distribuido de escalabilidad horizontal, donde a cada nodo del controlador se le asigna un conjunto de roles que definen el tipo de tareas que puede implementar el nodo.  Los nodos del controlador se implementan con número impares. La mejor práctica actual (y la única configuración compatible) es que el clúster tenga tres nodos de redundancia y uso compartido de carga activa-activa-activa.

Para incrementar las características de escalabilidad de la arquitectura de NSX, un mecanismo de "segmentación" se utiliza para garantizar que todos los nodos del controlador puedan estar activos en cualquier momento.

Si los controladores fallan, no se afectará el tráfico del plano de datos (VM). El tráfico continuará. Esto se debe a que la información de red lógica se transfirió a los switches lógicos (el plano de datos). No puede hacer adiciones, movimientos ni cambios sin conservar el plano de control (clúster del controlador).

  1. Desplace el mouse sobre el íconoHome.
  2. Haga clic enNetworking & Security.

 

 

Verificación de la configuración del controlador existente

 

  1. Haga clic en Installation.
  2. Haga clic en Management.

Examine los nodos de NSX Controller, para verificar la implementación de tres controladores. Las instancias de NSX Controller siempre se implementan con números impares para obtener alta disponibilidad y escalabilidad.

 

 

Visualización de las VM de NSX Controller

 

Para ver instancias de NSX Controller en el entorno virtual:

  1. Desplace el mouse sobre el íconoHome.
  2. Haga clic enVMs and Templates.

 

 

Se mostrarán 3 instancias de NSX Controller.

 

  1. Expanda el contenedor Data Center Site A.
  2. Expanda la carpeta NSX Controllers.
  3. Resalte uno de los NSX_Controllers.
  4. Seleccione la pestañaSummary. Observe el host esx al que se encuentra conectado este controlador. Es posible que los otros controladores se encuentren en un host esx diferente en este laboratorio. En un entorno de producción, cada controlador residiría en un host diferente en el clúster con reglas de antiafinidad con DRS para evitar múltiples fallas de controladores por una interrupción en un solo host.

 

 

Conclusión del módulo 1

En este módulo, presentamos las siguientes ventajas clave de la plataforma de NSX:

La velocidad a la que puede aprovisionar los switches lógicos y conectarlos con máquinas virtuales y redes externas

Se demuestra la escalabilidad de la plataforma mediante la capacidad de escalar las zonas de transporte, como también los nodos del controlador.

 

Módulo 2: Enrutador lógico (60 minutos)

Descripción general del enrutamiento


Descripción general del laboratorio

En el módulo anterior, se mencionó que los usuarios pueden crear redes o switches lógicos aislados con unos clics. Para proporcionar comunicación entre estas redes de capa 2 lógicas y aisladas, es esencial el soporte de enrutamiento. En la plataforma de NSX, el enrutador lógico distribuido le permite enrutar el tráfico entre switches lógicos. Una de las funciones clave que diferencian a este enrutador lógico es que la capacidad de enrutamiento se distribuye en el hipervisor. Mediante la incorporación de este componente de enrutamiento lógico, los usuarios pueden reproducir topologías de enrutamiento complejas en el espacio lógico. Por ejemplo, en una aplicación de tres niveles conectada a tres switches lógicos, el enrutamiento entre los niveles se maneja mediante un enrutador lógico distribuido.

En este módulo, se mostrará lo siguiente:

1) De qué manera el tráfico fluye cuando el enrutamiento se maneja mediante un enrutador físico externo o un gateway de servicios NSX Edge.

2) Luego analizaremos la configuración de las interfaces lógicas (LIF, Logical Interfaces) en el enrutador lógico y realizaremos el enrutamiento entre los niveles de aplicación y base de datos (DB, Data Base) de la aplicación.

Luego, configuraremos los protocolos de enrutamiento dinámico en el enrutador lógico distribuido y el gateway de servicios NSX Edge. Le mostraremos de qué manera se controlan los anuncios d e enrutamiento interno al enrutador externo.

Por último, podrá observar de qué manera los diferentes protocolos de enrutamiento, al igual que ECMP, pueden utilizarse para escalar y proteger el gateway de servicios NSX Edge.

Con este módulo, podrá comprender algunas de las capacidades de enrutamiento compatibles en la plataforma de NSX y, además, de qué manera estas capacidades se pueden utilizar mientras se implementa una aplicación de tres niveles.


 

Instrucciones especiales para los comandos CLI

 

Muchos de los módulos requerirán que ingrese comandos de interfaz de línea de comando (CLI).  Existen dos maneras de enviar comandos CLI al laboratorio.

En primer lugar, para enviar un comando CLI a la consola del laboratorio, siga los siguientes pasos:

  1. Resalte el comando CLI en el manual y use Control+c para copiarlo al portapapeles.
  2. Haga clic en el elemento del menú de la consola ENVIAR TEXTO.
  3. Presione Control+v para pegarlo del portapapeles a la ventana.
  4. Haga clic en el botón ENVIAR.

En segundo lugar, en el escritorio del entorno, encontrará un archivo de texto (README.txt) para que pueda copiar y pegar con facilidad contraseñas o comandos complejos en las herramientas asociadas (CMD, Putty, consola, etc.). Algunos teclados que existen a veces no cuentan con ciertos caracteres.  Este archivo de texto también se incluye para diseños de teclados que no incluyen esos caracteres.

El archivo de texto se llama README.txt y se encuentra en el escritorio.  

 

Enrutamiento dinámico y distribuido


En este módulo, se mostrarán la configuración del enrutamiento distribuido y las ventajas de realizar un enrutamiento a nivel del kernel.


 

Un análisis de la topología y del flujo de paquetes actuales

 

En la imagen anterior, observe que la VM de la aplicación y la VM de la base de datos residen en el mismo host físico, el cual es el escenario en el laboratorio.  Sin el enrutamiento distribuido, para que estas dos VM se comuniquen, podemos ver el flujo del tráfico que se indica con los pasos de flechas rojas.  Primero, vemos el tráfico que sale de la VM de la aplicación y, debido a que la VM de la base de datos no se encuentra en la misma subred, el host físico enviará dicho tráfico a un dispositivo de capa 3.  En este escenario, el Perimeter NSX Edge (perimetral) que se encuentra en el clúster de management es el dispositivo de capa 3. El NSX Edge envía el tráfico de vuelta al host, donde finalmente llega a la VM de la base de datos.  

Al final del laboratorio, volveremos a analizar un diagrama de flujo de tráfico similar para observar de qué manera hemos modificado este comportamiento una vez configurado el enrutamiento distribuido.

 

 

Acceso a vSphere Web Client

 

 

 

Inicio de sesión en vSphere Web Client

 

Para iniciar sesión en vSphere Web Client, use la autenticación de sesión de Windows.

  1. Haga clic en Use Windows session authentication: de esta manera, se completarán automáticamente las credenciales de administrator@corp.local/VMware1!.
  2. Haga clic en Login.

 

 

Confirmación de la funcionalidad de las aplicaciones de 3 niveles

 

  1. Abra una pestaña nueva del navegador.
  2. Haga clic en 3-Tier Web App en los favoritos.

 

 

Clic en Advanced

 

 

 

Continuación a la página web

 

 

 

Aplicación web que brinda información sobre la base de datos

 

Antes de comenzar con la configuración del enrutamiento distribuido, verifiquemos que la aplicación web de tres niveles funcione correctamente. Los tres niveles de la aplicación (web, aplicación y base de datos) se encuentran en switches lógicos diferentes, y el NSX Edge proporciona el enrutamiento entre los niveles.

 

 

Eliminación de interfaces de la capa de base de datos y capa de aplicación del NSX Edge perimetral

 

Como observó en la topología anterior, los tres switches lógicos o los tres niveles de la aplicación terminan en el NSX edge perimetral. El NSX Edge perimetral permite el enrutamiento entre los tres niveles. Vamos a modificar esa topología mediante la eliminación, en primer lugar, de las interfaces de capa base de datos y capa de aplicación del NSX Edge perimetral. Una vez eliminadas las interfaces, las migraremos al NSX Edge distribuido.  Para ahorrar tiempo en la implementación de un componente, el enrutador distribuido ya se encuentra desplegado.

  1. Haga clic en el botón Networking & Security.

 

 

Selección de NSX Edge

 

  1. Haga clic en NSX Edges en el panel de navegación izquierdo.
  2. Haga doble clic en edge-2 Perimeter-Gateway para abrir la configuración de Perimeter-Gateway.

 

 

Selección de interfaces desde la pestaña Settings para mostrar las interfaces actuales

 

  1. Haga clic en la pestaña Manage.
  2. Haga clic en Settings.
  3. Haga clic en Interfaces en la pestaña de navegación Settings.

Se mostrarán las interfaces configuradas recientemente y sus propiedades.  La información incluye el número de NIC virtual, el nombre de la interfaz, y si la interfaz se configuró como interna o como un enlace Uplink y cuál es el estado (activada o desactivada).

 

 

Eliminación de la interfaz de aplicación

 

  1. Resalte la interfaz Internal_App; la barra Actions se iluminará y le dará opciones específicas para la interfaz seleccionada.
  2. Haga clic en la "X" roja para eliminar la interfaz seleccionada del NSX Edge perimetral.  Aparecerá un cuadro de advertencia en el que se le preguntará si desea confirmar la eliminación de la interfaz.
  3. Haga clic en OK para confirmar la eliminación.

 

 

Eliminación de la interfaz de la base de datos

 

  1. Resalte la interface Internal_DB. Cuando lo haga, se iluminará la barra Actions, lo que le dará opciones específicas para la interfaz seleccionada.
  2. Haga clic en laX roja para eliminar la interfaz seleccionada del NSX Edge perimetral.  Aparecerá un cuadro de advertencia en el que se le preguntará si desea confirmar la eliminación de la interfaz.
  3. Haga clic en Ok para confirmar la eliminación.

 

 

Topología luego de la eliminación de las interfaces de aplicaciones y bases de datos del NSX Edge perimetral

 

 

 

Navegación hasta la página de inicio de NSX

 

Ahora que ya eliminó las interfaces de aplicaciones y DB del NSX Edge perimetral, debe regresar a la pantalla del dispositivo periférico para acceder al enrutador lógico distribuido (Distributed-Router Logical Router)  

 

 

Adición de interfaces de aplicaciones y bases de datos al enrutador distribuido

 

A continuación, comenzaremos a configurar el enrutamiento distribuido mediante la adición de la interfaz de aplicaciones y DB al "enrutador distribuido".

 

 

Visualización de las interfaces en el enrutador distribuido

 

  1. Haga clic en Manage.
  2. Haga clic en Settings.
  3. Haga clic en Interfacespara que se muestren todas las interfaces configuradas actualmente en el enrutador distribuido.

 

 

Adición de interfaces al enrutador distribuido

 

  1. Haga clic en el signo más de color verde para agregar una interfaz nueva.
  2. Nombre la interfaz App_Interface.
  3. Haga clic en Select en la sección Connected To.

 

 

Especificación de la red

 

  1. Seleccione el botón de opción App_Tier_01, que será la red a través de la cual se comunicará esta interfaz.
  2. Haga clic en OK.

 

 

Adición de subredes

 

  1. Haga clic en el signo más de color verde para configurar las subredes.
  2. Haga clic en el cuadro Primary IP Address box e ingrese 172.16.20.1 como dirección IP.
  3. Ingrese 24 en el campo Subnet Prefix Length.
  4. Luego, haga clic en OK para terminar de agregar la subred local.

 

 

Confirmación de la adición de App_Interface

 

Una vez que el sistema finalizó la configuración y el de la adición de la interfaz, se mostrará la página principal Interfaces, en la cual debería ver la interfaz App_Interface que acaba de agregar.  

 

 

Adición de la interfaz de la base de datos

 

Una vez que el sistema finalizó la Adición y la configuración de DB_Interface, se mostrará la ventana principal Interfaces, en la cual podrá confirmar que ahora se han agregado ambas interfaces.  

 

 

Topología nueva luego del traslado de las interfaces de aplicaciones y bases de datos al enrutador distribuido

 

Una vez que se configuraron estas interfaces en el enrutador distribuido, esas configuraciones de las interfaces se envían automáticamente a cada host en el entorno. A partir de ahora, el módulo cargable del kernel de enrutamiento distribuido (DR, Distributed Routing) del host maneja el enrutamiento entre las interfaces de aplicaciones y bases de datos. Por lo tanto, si se quieren comunicar las dos VM conectadas a dos subredes diferentes que se ejecutan en el mismo host, el tráfico elegirá una ruta óptima, como se mostró en el diagrama de flujo de tráfico anterior.

 

 

Retorno a la pestaña del navegador con aplicaciones web de 3 niveles

 

Una vez realizados los cambios, probará que el acceso a la aplicación de 3 niveles falla.  La razón de esta falla radica en que, mientras se configura el enrutador para que lo maneje el enrutador distribuido, aún no hay una ruta entre este y la ubicación de los servidores web.

Nota: Si cerró esa pestaña en pasos anteriores, abra una nueva pestaña del navegador y haga clic en 3-Tier Web App en los favoritos.

 

 

Verificación de la detención del funcionamiento de la aplicación de 3 niveles

 

  1. Haga clic en el ícono para actualizar.

La aplicación tardará algunos segundos para detenerse, por lo que es probable que deba seleccionar la "x" de color rojo para detener el navegador.  Si visualiza datos del cliente, es posible que se hayan almacenado en caché con anterioridad y que deba cerrar y volver a abrir el navegador para corregirlo.  

Cierre la pestaña creada para probar la conectividad al servidor web. Luego, configuraremos el enrutamiento para restaurar el servicio.

Nota: Si debe volver a abrir el navegador, una vez que haya verificado que la aplicación de 3 niveles ya no está funcionando, haga clic en el marcador del navegador para vSphere Web Client y vuelva a iniciar sesión con las credenciales "root" y "VMware1!" (como contraseña).  Luego, haga clic en Networking and Security, Edge Appliances y, por último, haga doble clic en Distributed-Router.

 

 

Configuración del enrutamiento dinámico en el enrutador distribuido

 

  1. Haga clic en la pestaña Routing.
  2. Haga clic enGlobal Configuration.
  3. Haga clic en el botón Editjunto aDynamic Routing Configuration.

 

 

Opción Edit Dynamic Routing Configuration

 

  1. Seleccione el identificador (ID, identifier) del enrutador predeterminado, que es la dirección IP de la interfaz de enlace Uplink (en este caso, Edge_Uplink - 192.168.5.2).
  2. Haga clic en OK.

Nota: El ID de enrutador es importante en la operación de OSPF, ya que indica la identidad de los enrutadores en un sistema autónomo (AS).  Es un identificador de 32 bits que se representa con una dirección IP, pero que puede ser específico a las subredes pertinentes al enrutador específico. En nuestro caso, utilizamos un ID de enrutador que es el mismo que la dirección IP de la interfaz de enlace Uplink en el dispositivo perimetral, lo cual es aceptable aunque innecesario.  La pantalla volverá a la pantalla principal Global Configuration, y el cuadro de diálogo Publish Changesde color verde volverá a aparecer.

 

 

Opción Publish Changes

 

 

 

Configuración de los parámetros específicos de OSPF

 

Utilizaremos OSPF como nuestro protocolo de enrutamiento dinámico.

  1. Seleccione OSPF en el árbol de navegación, debajo de Routing, para abrir la página principal de configuración de OSPF.
  2. Haga clic enEdit a la derecha de OSPF Configuration para abrir el cuadro de diálogo de OSPF Configuration.

 

 

Opción Enable OSPF

 

  1. Haga clic en el cuadro de diálogo Enable OSPF.
  2. Ingrese 192.168.5.3 en el cuadro deProtocol Address.
  3. Ingrese 192.168.5.2 en el cuadro de Forwarding Address.
  4. Verifique que se haya seleccionado el cuadro de diálogo Enable Graceful Restart.
  5. Luego, haga clic en OK.

NOTA: En el caso del enrutador distribuido, se requiere que el campo Protocol Address envíe el tráfico del control a la máquina virtual de control del enrutador distribuido. La dirección de reenvío (Forwarding Address) es aquella a donde se enviará todo el tráfico a nivel de data path (La ruta original del tráfico).  La pantalla volverá a la ventana principal de configuración de "OSPF" (OSPF Configuration).  Se mostrará el cuadro de diálogo verde Publish Changes.

NOTA: La separación del plano de control y del tráfico del plano de datos en NSX crea la posibilidad de mantener la capacidad de reenvío de datos de la instancia del enrutador mientras se vuelve a iniciar o a cargar la función de control. Esta función se denomina "Graceful Restart" o "Non-stop forwarding".

¡TODAVÍA NO PUBLIQUE LOS CAMBIOS!En vez de publicar los cambios en cada paso, continuaremos con los cambios de configuración y los publicaremos todos al mismo tiempo.

 

 

Configuración de la definición del área

 

  1. Haga clic en el signo más de color verde para ver el cuadro de diálogo New Area Definition.
  2. Ingrese 10 en el cuadro de Area ID.  En los demás cuadros de diálogo, puede dejar las configuraciones predeterminadas.
  3. Haga clic en OK.

Nota: Area ID es muy importante para OSPF.  Existen varios tipos de áreas de OSPF.  Asegúrese de verificar cuál es el área correcta en la que deben ubicarse los dispositivos perimetrales para funcionar de manera adecuada con el resto de la configuración de OSPF dentro de la red.

 

 

Opción Area to Interface Mapping

 

  1. Haga clic en el signo más de color verde debajo de Area to Interface Mapping para abrir el cuadro de diálogo New Area to Interface Mapping.
  2. En el campo Interface, seleccione Edge_Uplink.
  3. Seleccione 10 para Area.
  4. Haga clic en OK.

 

 

Opción Publish Changes

 

 

 

Confirmación de la habilitación del enrutamiento de OSPF en el enrutador distribuido

 

Ahora podemos confirmar que hemos habilitado y configurado OSPF en el enrutador distribuido.  Confirme si toda la información que se muestra es correcta.

 

 

Confirmación de la opción Route Redistribution

 

 

 

Verificación de la opción Route Redistribution

 

 

 

Configuración del enrutamiento de OSPF en el NSX Edge perimetral

 

Ahora, debemos configurar el enrutamiento dinámico en el dispositivo perimetral del perímetro para restablecer la conectividad a la aplicación de 3 niveles de prueba.  

 

 

Selección del NSX Edge perimetral

 

En la página principal NSX Edges, se muestran los dispositivos perimetrales configurados.  

 

 

Opción Global Configuration para NSX Edge perimetral

 

  1. Haga clic en la pestaña de navegación Manage.
  2. Seleccione el botón de navegación Routing para ir a la página de configuración de enrutamiento del dispositivo.
  3. Haga clic en OSPF.

Notará que este NSX Edge Perimetral ya se configuró para el enrutamiento dinámico con OSPF.  Esta configuración de enrutamiento se establece para que el NSX Edge perimetral pueda comunicar y distribuir rutas al enrutador que ejecuta todo el laboratorio.  A continuación, seguiremos con la conexión de este NSX Edge perimetral al enrutador lógico distribuido.  Para ello, ya se completaron todas las configuraciones globales de OSPF y del enrutador, de manera similar a las que realizó para el enrutador distribuido.  

 

 

Adición de la interfaz de tránsito al mapeo de Area to Interface

 

Ahora, solo debemos indicarle a OSPF que active la interfaz que se comunicará con los enrutadores distribuidos.

  1. Haga clic en el signo más de color verde debajo de Area to Interface Mapping.
  2. En el campo vNIC, seleccione Transit_Network.
  3. Seleccione 10 para Area.
  4. Haga clic en OK.

 

 

Opción Publish Changes

 

 

 

Revisión de la topología nueva

 

Si observa cómo se encuentra la topología ahora, podrá ver cómo se intercambia información de enrutamiento entre el enrutador distribuido y el NSX Edge perimetral.  Cualquier red que cree en el enrutador distribuido ahora se distribuirá hasta el NSX edge perimetral, donde puede controlar cómo se enruta hacia a la red física.

En la siguiente sección, se desarrollará este tema de manera más detallada.

 

 

Verificación de la comunicación a la aplicación de 3 niveles

 

Ahora, verifiquemos si el enrutamiento es funcional.  La información de e n r u t a m i e n t o a h o r a s e i n t e r c a m b i a e n t r e el enrutador distribuido hasta el NSX Edge perimetral, lo que, a su vez, restableció la conectividad a la aplicación web.  Para verificar esto, volveremos a probar la aplicación web.

  1. Haga clic en la pestaña que abrió previamente para la aplicación web. Es posible que se muestre 503 Service Temp... en la pestaña de la prueba fallida anterior.
  2. Actualice el navegador para verificar que la aplicación web de 3 niveles vuelve a funcionar.

Nota: La propagación de la ruta podría tardar un minuto debido al entorno anidado.

 

 

Enrutamiento distribuido y dinámico finalizado

Con esto, se completa la sección sobre configuración de enrutamiento distribuido y dinámico.  En la siguiente sección, revisaremos el enrutamiento centralizado con el NSX Edge perimetral.

 

Enrutamiento centralizado


En esta sección, analizaremos diferentes elementos para observar la forma en que el enrutamiento se realiza en dirección norte desde el NSX Edge (Perímetro entre el mundo físico y virtual).  Esto incluye la forma en la que el enrutamiento dinámico de OSPF se controla, actualiza y propaga a través del sistema.  Verificaremos el enrutamiento en el NSX Edge perimetral mediante el dispositivo de enrutamiento virtual (Virtual appliance vPOD) que ejecuta y dirige todo el laboratorio.

Nota especial: En el escritorio, encontrará un archivo con el nombre README.txt.  Allí se muestran los comandos CLI que necesita para los ejercicios de laboratorio.  Si no puede escribirlos, puede copiarlos y pegarlos en la sesiones PuTTy.  Si ve un número con ”comillas francesas: {1}”, esto significa que debe buscar ese comando CLI para este módulo en el archivo de texto.


 

Topología del laboratorio actual

 

En este diagrama, se muestra la topología del laboratorio actual, incluido el enlace northbound (Conexión a una capa superior bien sea: en un diagrama, del mundo físico al mundo virtual o conexión a una capa superior como referencia en el modelo OSI) al enrutador vPod.  Puede observar que OSPF redistribuye las rutas desde el enrutador vPod hasta el enrutador lógico distribuido.

 

 

Verificar el enrutamiento de OSPF en el NSX Edge perimetral

Primero, confirmaremos que la aplicación web está funcional y, luego, iniciaremos sesión en el NSX Edge perimetral para visualizar los vecinos de OSPF y la distribución de rutas existente.  Con esto, se mostrará la manera en la que el NSX Edge perimetral aprende las rutas, no solo del enrutador distribuido, sino también del enrutador vPod que ejecuta todo el laboratorio.

 

 

Confirmación de la funcionalidad de la aplicaciones de 3 niveles

 

 

 

Aplicación web que brinda información sobre la base de datos

 

Antes de comenzar con la configuración del enrutamiento distribuido, verifiquemos que la aplicación web de tres niveles funcione correctamente. Los tres niveles de la aplicación (web, aplicación y base de datos) se encuentran en switches lógicos diferentes, y NSX Edge proporciona el enrutamiento entre los niveles.

El servidor web volverá a una página web con información del cliente almacenada en la base de datos.

 

 

Avance a vSphere Web Client

 

Si aún no inició sesión, vaya a vSphere Web Client.

 

 

Navegación a la VM del NSX Edge perimetral

 

 

 

Opción Launch Remote Console

 

  1. Expanda las carpetas Datacenter Site A y Edges.
  2. Seleccione Perimeter-Gateway.
  3. Seleccione la pestañaSummary.
  4. Haga clic en Launch Remote Console.

 

 

Acceso a la consola remota

 

La ventana VMRC aparecerá en negro cuando se abra por primera vez.  Haga clic dentro de la ventana y presione Enter un par de veces hasta que aparezca la consola del protector de pantalla.

***NOTA*** Para sacar el cursor de la ventana, presione las teclas Ctrl+Alt.

 

 

Inicio de sesión en el NSX Edge perimetral

 

Inicie sesión en el NSX Edge perimetral con las credenciales que se mencionan a continuación.  Tenga en cuenta que todos los dispositivos NSX Edge tienen contraseñas complejas de 12 caracteres.

 

 

Instrucciones especiales para los comandos CLI

 

Muchos de los módulos requerirán que ingrese comandos de interfaz de línea de comando (CLI).  Existen dos maneras de enviar comandos CLI al laboratorio.

En primer lugar, para enviar un comando CLI a la consola del laboratorio:

  1. Resalte el comando CLI en el manual y use Control+c para copiarlo al portapapeles.
  2. Haga clic en el elemento del menú de la consola ENVIAR TEXTO.
  3. Presione Control+v para pegarlo del portapapeles a la ventana.
  4. Haga clic en el botón ENVIAR.

En segundo lugar, en el escritorio del entorno, encontrará un archivo de texto (README.txt) para que pueda copiar y pegar con facilidad contraseñas o comandos complejos en las herramientas asociadas (CMD, Putty, consola, etc.). Algunos teclados no cuentan con ciertos caracteres.  Este archivo de texto también se incluye para diseños de teclados que no incluyen esos caracteres.

El archivo de texto se llama README.txt y se encuentra en el escritorio.  

 

 

Visualización de vecinos en OSPF

 

Lo primero que realizaremos es analizar los vecinos OSPF en el NSX Perimetral, que se encuentra en medio de la capa de enrutamiento del laboratorio.

NOTA: La tabulación automática funciona en los dispositivos NSX Edge.

show ip ospf neighbor

 

 

Revisión de la información presentada de los vecinos OSPF

 

Ahora, revisemos el contenido que se muestra y su significado.

  1. Neighbor ID 192.168.5.2: es el ID de enrutador del enrutador lógico distribuido dentro del entorno de NSX.
  2. Address 192.168.5.3: muestra la dirección con la que se comunica OSPF en el NSX Edge perimetral; esta es la IP que configuramos con anterioridad en el laboratorio.
  3. Interface vNic_1: si observa dentro de las interfaces en el NSX Edge, existirá una correlación con eso, lo que le muestra en qué interfaz ocurre la comunicación del intercambio de tráfico.  Esta es la interfaz en dirección sur.
  4. Neighbor ID 192.168.250.2: es el ID de enrutador del enrutador vPod, el enrutador virtual que ejecuta todo el laboratorio.  Este es el enrutador que utilizan para comunicarse el centro de control y otros componentes, como vCenter.
  5. Address 192.168.100.1: muestra la dirección con la que se comunica OSPF en el NSX Edge perimetral, una de las interfaces en el enrutador vPod.
  6. Interface vNic_0: si observa dentro de las interfaces en el NSX Edge, existirá una correlación con eso, lo que le muestra en qué interfaz ocurre la comunicación del intercambio de tráfico.  Esta es la interfaz en dirección norte.

 

 

Revisión de las rutas en el NSX Edge perimetral y su origen

 

Escriba show ip route.

show ip route

 

 

Revisión de la información de las rutas

 

Revisemos el contenido de las rutas que se muestran.

  1. En la primera línea, se muestra nuestra ruta predeterminada, que se origina en el enrutador vPod (192.168.100.1), y la O al comienzo de las líneas representa que se aprendió mediante OSPF.
  2. En la segunda línea, se encuentra el switch lógico de nivel web y su interfaz.  Debido a que está directamente conectado con el NSX Edge, hay una C al inicio de la línea.
  3. La sección que se indica con un "3" hace referencia a las otras dos partes de nuestra aplicación web, las cuales son los segmentos de red para la capa de aplicaciones y de DB.  Como se ve en la línea 1, se comienza con una O para indicar que se aprendieron mediante OSPF a través del enrutador distribuido (192.168.5.2).
  4. Todos los segmentos de red en la sección 4 son redes que el NSX Edge perimetral aprendió del enrutador vPod (192.168.100.1) mediante OSPF.  Todas estas redes pueden conectarse desde el interior de la red virtual de NSX y viceversa.

 

 

 

Control de la distribución de las rutas de OSPF

Podría desear que las rutas de OSPF se distribuyan únicamente dentro del entorno virtual, pero no en el entorno físico.  Tenemos la capacidad de controlar la distribución de rutas con facilidad desde la interfaz del NSX Edge perimetral.

 

 

Navegación a NSX en vSphere Web Client

 

**NOTA** Debe presionar Ctrl+Alt para abandonar la ventana VMRC de Perimeter-Gateway.

 

 

Acceso al NSX Edge perimetral

 

  1. Haga clic en NSX Edges.
  2. Haga doble clic en Edge-2.

 

 

Acceso a la configuración de enrutamiento de OSPF

 

  1. Seleccione la pestaña Manage.
  2. Haga clic en Routing.
  3. Haga clic en OSPF, en el panel izquierdo.

 

 

Eliminación del mapeo de área a la interfaz en dirección norte

 

Ahora, eliminaremos el mapeo de área 10 de OSPF de la interfaz Uplink.  Al hacerlo, el NSX Edge perimetral y el enrutador vPod ya no tendrán rutas semejantes.

  1. Seleccione Uplink en vNIC.
  2. Haga clic en la X de color rojo para eliminar el mapeo.

 

 

Confirmación de eliminación

 

 

 

Publicación del cambio

 

 

 

Navegación a la consola remota de la máquina virtual (VMRC) del NSX Edge perimetral

 

Seleccione Perimeter-Gateway en la barra de tareas.

 

 

Visualización de vecinos OSPF

 

**NOTA** Una vez que se muestre la ventana, es probable que deba hacer clic dentro de esta y presionar la tecla Enter para que la pantalla aparezca.

1. Escriba show ip ospf neighbory presione Enter.

show ip ospf neighbor

Ahora, se mostrará que el único vecino es el enrutador distribuido (192.168.5.2) y que el enrutador vPod (192.168.250.1) se quitó de la lista.

 

 

Visualización de rutas

 

1. Escriba show ip routey presione Enter.

show ip route

Ahora, puede observar que las únicas rutas que se aprendieron mediante OSPF son las del enrutador distribuido (192.168.5.2).

 

 

Verificación de la detención del funcionamiento de la aplicación de 3 niveles

 

**NOTA** Debe presionar Ctrl+Alt para abandonar la ventana VMRC de Perimeter-Gateway.

Ya que no existen rutas entre el centro de control y el entorno de redes virtuales, la aplicación web debería fallar.

  1. Haga clic en la pestaña HOL - Multi-Tier App.
  2. Haga clic en elícono para actualizar.

La aplicación puede tardar algunos momentos para detenerse, por lo que es probable que deba seleccionar la "x" de color rojo para detener el navegador.  Si visualiza datos del cliente, es posible que se hayan almacenado en caché con anterioridad y que deba cerrar y volver a abrir el navegador para corregirlo.  

 

 

Restablecimiento de la adyacencia entre enrutadores

 

Ahora, volvamos a restablecer la adyacencia entre el NSX Edge perimetral y el enrutador vPod.

 

 

Adición de área mediante la opción Area to Interface Mapping

 

  1. Haga clic en el signo más de color verde debajo de Area to Interface Mapping.
  2. Seleccione Uplinken vNIC.
  3. Seleccione 10 en el campo Area.
  4. Verifique que se haya SELECCIONADOIgnore Interface MTU setting. NOTA: Normalmente, esta opción no se selecciona, pero aquí se realiza debido a algunas restricciones en este entorno de laboratorio.
  5. Haga clic en OK.

 

 

Publicación del cambio

 

 

 

Navegación a la VMRC del NSX Edge perimetral

 

Seleccione Perimeter-Gateway en la barra de tareas.

 

 

Visualización de vecinos OSPF

 

**NOTA** Una vez que se muestre la ventana, es probable que deba hacer clic dentro de esta y presionar la tecla Enter para que la pantalla aparezca.

1. Escriba show ip ospf neighbory presione Enter.

show ip ospf neighbor

Ahora, podrá observar que tanto el enrutador distribuido (192.168.5.2) como el enrutador vPod (192.168.250.1) se muestran como vecinos.

 

 

Revisión de las rutas en el NSX Edge perimetral y su origen

 

Escriba show ip route.

show ip route

 

 

Visualización de rutas

 

Todas las rutas del enrutador vPod (192.168.100.1) están nuevamente en la lista.

 

 

Verificación del funcionamiento de la aplicación de 3 niveles

 

**NOTA** Debe presionar Ctrl+Alt para abandonar la ventana VMRC de Perimeter-Gateway.

Una vez que las rutas se encuentren nuevamente en el lugar correcto, la aplicación web debe funcionar nuevamente.

  1. Haga clic en la pestaña HOL - Multi-Tier App.
  2. Haga clic en elícono para actualizar.

Con esto, se completa esta sección del laboratorio. A continuación, analizaremos el ECMP y la alta disponibilidad mediante las NSX Edges.

 

Alta disponibilidad y ECMP


En esta sección, agregaremos otro NSXEdge a la red y, luego, utilizaremos el enrutamiento de múltiples rutas de igual costo (ECMP) para escalar horizontalmente la capacidad del NSX Edge y aumentar su disponibilidad.  Con NSX, podemos realizar una adición de un NSX Edge y habilitar el ECMP.


 

Acceso a NSX en vSphere Web Client

 

  1. Seleccione la casilla junto a Use Windows session authentication.
  2. Haga clic en Login.

 

 

Navegación a NSX en vSphere Web Client

 

**NOTA** Debe presionar Ctrl+Alt para abandonar la ventana VMRC de Perimeter-Gateway.

  1. Haga clic en el ícono Home.
  2. Haga clic en Networking & Security.

 

 

Adición de un NSX Edge perimetral

 

El primer paso es agregar un dispositivo NSX Edge perimetral adicional.

  1. Haga clic en NSX Edges.
  2. Haga clic en el signo más de color verde.

 

 

Selección y designación del nombre de NSX Edge

 

  1. En el campo Install Type, haga clic en Edge Services Gateway.
  2. Ingrese Perimeter-Gateway-2 en el campo Name.
  3. Haga clic en Next.

 

 

Configuración de la contraseña

 

  1. Escriba la contraseña VMware1!VMware1!.
  2. Confirme la contraseña VMware1!VMware1!.
  3. Seleccione Enable SSH Access.
  4. Haga clic en Next.

NOTA: Todas las contraseñas de NSX Edges son complejas y tienen 12 caracteres.

 

 

Adición de un dispositivo de NSX Edges

 

  1. Haga clic en el signo más de color verde debajo de NSX Appliances para que se muestre el cuadro de diálogo Add NSX Edge Appliance.
  2. En el campo Cluster/Resource Pool, seleccione Management & Edge Cluster.
  3. Seleccione ds-site-a-nfs01 en el campo Datastore.
  4. Seleccione esx-04a.corp.local en el campo Host.
  5. Seleccione Edges en el campo Folder.
  6. Haga clic en OK.

 

 

Continuación de la implementación

 

 

 

Adición de la interfaz de enlace Uplink

 

 

 

Selección del switch al que se conectará

 

Debemos elegir la interfaz del switch en irección norte para NSX Edge, el cual es un grupo de puertos distribuidos.

  1. Haga clic en Selectjunto al campo Connected To.
  2. Haga clic en Distributed Portgroup.
  3. Seleccione vds_mgt_Uplink Network.
  4. Haga clic en OK.

 

 

Designación de nombre y adición de IP

 

  1. Ingrese Uplink en el campo Name.
  2. En Type, seleccione Uplink.
  3. Haga clic en el signo más de color verde.
  4. Ingrese 192.168.100.5 en el campo Primary IP Address.
  5. Introduzca 24 en Subnet Prefix Length.
  6. Haga clic en OK.

 

 

Adición de la interfaz de tránsito del NSX Edge

 

 

 

Selección del switch al que se conectará

 

Debemos elegir la interfaz northbound del switch para este este NSX Edge, el cual es un switch lógico basado en VXLAN.

  1. Haga clic en Selectjunto al campo Connected To.
  2. Haga clic en Logical Switch.
  3. Seleccione Edge_Transit_01_5000.
  4. Haga clic en OK.

 

 

Designación de nombre y adición de IP

 

  1. Ingrese Transit_Network en el campo Name.
  2. En Type, seleccione Internal.
  3. Haga clic en el signo más de color verde.
  4. Ingrese 192.168.5.4 en el campo Primary IP Address.
  5. Ingrese 29 en Subnet Prefix Length. NOTA: Es 29, no 24.  Asegúrese de ingresar el número correcto; caso contrario, el laboratorio no funcionará.
  6. Haga clic en OK.

 

 

Continuación de la implementación

 

IMPORTANTE. Antes de continuar, revise la información y verifique que los números en IP Address y en Subnet Prefix Length sean correctos.

 

 

Eliminación de la gateway predeterminada

 

Eliminaremos la gateway predeterminada, ya que recibimos dicha información mediante OSPF.

  1. DESMARQUE la casilla Configure Default Gateway.
  2. Haga clic en Next.

 

 

Configuración de firewall predeterminada

 

  1. MARQUE la casilla Configure Firewall default policy.
  2. Seleccione ACCEPT.
  3. Haga clic en Next.

 

 

Finalización de la implementación

 

 

 

Implementación del NSX Edge

 

El NSX Edge tardará algunos minutos en implementarse.

  1. Notará que el estado de Edge-5 es Busy y que se muestra el mensaje de que se está instalando 1 elemento.  Esto significa que la implementación está en proceso.
  2. Puede hacer clic en el ícono Refresh del Web Client para acelerar la actualización automática de esta pantalla.

Cuando se muestre Deployed en el estado, puede pasar al paso siguiente.

 

 

Configuración del enrutamiento de un nuevo NSX Edge

 

Debe configurar el OSPF en el nuevo dispositivo NSX Edge antes de habilitar el ECMP.

 

 

Configuración global de Enrutamiento

 

Debemos establecer la configuración básica para identificar el enrutador de la red.

  1. Haga clic en la pestaña Manage.
  2. Haga clic en la pestaña Routing.
  3. Seleccione Global Configuration en el panel izquierdo.
  4. Haga clic en Edit junto a Dynamic Routing Configuration.
  5. Seleccione Uplink -192.168.100.5 en el campo Router ID.
  6. Haga clic en OK.

 

 

Opción Publish Changes

 

Vuelva a hacer clic en el botón Publish Changes en el cuadro de diálogo para enviar la configuración actualizada al dispositivo periférico distribuido.

 

 

Opción Enable OSPF

 

  1. Seleccione OSPF en el panel izquierdo.
  2. Haga clic en Edit junto a OSPF Configuration.
  3. MARQUE la casilla Enable OSPF.
  4. Haga clic en OK.

 

 

Adición de área nueva

 

  1. Haga clic en el signo más de color verde debajo de Area Definitions.
  2. Ingrese 10 en el campo Area ID.
  3. Haga clic en OK.

 

 

Adición de mapeo de la interfaz de enlace Uplink

 

De manera similar a como lo hicimos anteriormente en la última parte del laboratorio, debemos realizar el mapeo del área mediante OSPF a la interfaz del enlace Uplink.

  1. Haga clic en el signo más de color verde que se encuentra debajo de Area to Interface Mapping.
  2. Seleccione Uplinken vNIC.
  3. Seleccione 10 en el campo Area.
  4. Verifique que se haya SELECCIONADOIgnore Interface MTU setting. NOTA: Normalmente, esta opción no se selecciona, pero aquí se realiza debido a algunas restricciones en este entorno de laboratorio.
  5. Haga clic en OK.

 

 

Adición de mapeo de la interfaz de tránsito

 

Ahora, debemos realizar los mismos pasos para la interfaz de enlace descendente en el enrutador distribuido.

  1. Haga clic en el signo más de color verde que se encuentra debajo de Area to Interface Mapping.
  2. En el campo vNIC, seleccione Transit_Network.
  3. Seleccione 10 en el campo Area.
  4. Haga clic en OK.

¡NOTA: NO marque la casilla Ignore Interface MTU, ya que eso se hace únicamente para el enlace Uplink.

 

 

Opción Publish Changes

 

Vuelva a hacer clic en el botón Publish Changes en el cuadro de diálogo para enviar la configuración actualizada al dispositivo periférico distribuido.

 

 

Habilitación de la distribución de las rutas de OSPF

 

Ahora, debemos habilitar la redistribución de rutas de OSPF para poder acceder a las rutas mediante este NSX Edge.

  1. Haga clic en Route Redistribution en el panel izquierdo.
  2. Haga clic en Edit junto a Route Redistribution Status.
  3. Seleccione OSPF.
  4. Haga clic en OK.

 

 

Opción Route Distribution Table

 

  1. Haga clic en el signo más de color verde que se encuentra debajo de Route Redistribution table.
  2. Marque la casilla Connected.
  3. Haga clic en OK.

 

 

Opción Publish Changes

 

Vuelva a hacer clic en el botón Publish Changes en el cuadro de diálogo para enviar la configuración actualizada al dispositivo periférico distribuido.

 

 

Habilitación de ECMP

 

A continuación, vamos a habilitar ECMP en el enrutador distribuido y NSX Edge perimetrales.

 

 

Acceso al enrutador distribuido

 

Primero, habilitaremos ECMP en el enrutador distribuido.

  1. Haga clic en NSX Edges.
  2. Haga doble clic en edge-4.

 

 

Habilitación de ECMP en el DLR

 

  1. Haga clic en la pestaña Manage.
  2. Haga clic en la pestaña Routing.
  3. Haga clic en Global Configuration, que se encuentra en el panel izquierdo.
  4. Haga clic en el botón ENABLEubicado junto a ECMP.
  5. Haga clic en OK.

 

 

Publicación del cambio

 

 

 

Retorno a los dispositivos perimetrales

 

 

 

Acceso al NSX Edge perimetral 1

 

 

 

Habilitación de ECMP en el NSX Edge perimetral 1

 

  1. Haga clic en la pestaña Manage.
  2. Haga clic en la pestaña Routing.
  3. Haga clic en Global Configuration, que se encuentra en el panel izquierdo.
  4. Haga clic en el botón ENABLEubicado junto a ECMP.
  5. Haga clic en OK.

 

 

Publicación del cambio

 

 

 

Retorno a los dispositivos perimetrales

 

 

 

Acceso al NSX Edge perimetral 2

 

 

 

Habilitación de ECMP en el NSX Edge perimetral 2

 

  1. Haga clic en la pestaña Manage.
  2. Haga clic en la pestaña Routing.
  3. Haga clic en Global Configuration, que se encuentra en el panel izquierdo.
  4. Haga clic en el botón ENABLEubicado junto a ECMP.
  5. Haga clic en OK.

 

 

Publicación del cambio

 

 

 

Descripción general de la topología

 

En esta etapa, la topología del laboratorio se ve de la siguiente manera.  Este incluye la nueva gateway del perímetro agregada, el enrutamiento configurado y ECMP habilitado.

 

 

Verificación de la funcionalidad de ECMP desde el enrutador distribuido

 

Ahora, accedamos al enrutador distribuido para asegurarnos de que la comunicación de OSPF y el funcionamiento de ECMP sean correctos.

 

 

Opción Launch Remote Console

 

  1. Haga clic en el ícono Refresh.
  2. Expanda las carpetas Datacenter Site A y Edges.
  3. Seleccione Distributed-Router-0.
  4. Seleccione la pestañaSummary.
  5. Haga clic en Launch Remote Console.

 

 

Acceso a la consola remota

 

La ventana VMRC aparecerá en negro cuando se abra por primera vez.  Haga clic dentro de la ventana y presione Enter un par de veces hasta que aparezca la consola del protector de pantalla.

***NOTA*** Para sacar el cursor de la ventana, presione las teclas Ctrl+Alt.

 

 

Inicio de sesión en el NSX Edge perimetral

 

Inicie sesión en el enrutador distribuido con las credenciales que se mencionan a continuación.

 

 

Visualización de vecinos OSPF

 

Lo primero que haremos es analizar los vecinos OSPF en el enrutador distribuido.

NOTA: La tabulación automática funciona en los dispositivos NSX Edge.

Escriba show ip ospf neighbory presione Enter.  (Recuerde utilizar la opción ENVIAR TEXTO).

show ip ospf neighbor 

Esto nos muestra que donde el enrutador distribuido antes solo tenía un par, ahora posee dos.  Estos son NSX Edge 1(192.168.100.3) y NSX Edge (192.168.100.5).

 

 

Revisión de las rutas en el NSX Edge perimetral

 

Escriba show ip routey presione Enter.

show ip route

 

 

Revisión de la información de las rutas

 

Todos las rutas deben mostrarse como se presentan arriba.  Si lo observa, cada segmento de red tiene la capacidad de enrutarse a través de dos direcciones de red diferentes.  Esas direcciones son las rutas de los NSX Edge perimetral 1 y 2.

 

 

Verificación de la funcionalidad de ECMP desde el enrutador vPod

 

***NOTA*** Para sacar el cursor de la ventana, presione las teclas Ctrl+Alt.

Ahora, analizaremos ECMP desde el enrutador vPod, el cual simula un enrutador físico en la red.

 

 

Apertura de una sesión de SSH en el enrutador vPod

 

  1. Use la barra de desplazamiento para desplazarse hacia abajo y seleccione vPod Router.
  2. Haga clic en Load.
  3. Haga clic en Open.

 

 

Inicio de sesión en el enrutador vPod

 

Inicie sesión en el enrutador vPod con las credenciales que se mencionan a continuación.

 

 

Acceso al módulo de OSPF

 

Debemos establecer una comunicación de tipo Telnet con el módulo que controla la OSPF en el enrutador vPod.

1.  Ingrese telnet localhost 2604y presione Enter.  (Recuerde utilizar la opción ENVIAR TEXTO).

telnet localhost 2604

2.  Escriba la contraseña VMware1!.

 

 

Visualización de vecinos OSPF

 

Debemos establecer una comunicación de tipo Telnet con el módulo que controla la OSPF en el enrutador vPod.

1.  Escriba show ip ospf neighbory presione Enter.

show ip ospf neighbor

 

 

Visualización de rutas

 

1. Ingrese show ip ospf routey presione Enter.

show ip ospf route

2. En esta sección, podrá observar que 172.16.10.0/24 solo posee un enrutador en la lista. Esto se debe a que la red tiene conexión directa con el NSX Edge perimetral 1 (192.168.100.3) y que es no enrutable por el NSX Edge perimetral 2.

3. En esta sección, notará que 172.16.20.0/24 y 172.16.30.0/24 poseen dos enrutadores en la lista: el NSX Edge perimetral 1 (192.168.100.3) y el NSX Edge perimetral 2 (192.168.100.5).  Esto se debe a que ambos enrutadores pueden comunicarse con esos segmentos, mediante el enrutador distribuido.

En este punto, todo tráfico conectado al enrutador distribuido puede salir por cualquiera de los NSX Edge con ECMP.

Deje esta ventana abierta para realizar los pasos siguientes.

 

 

Alta disponibilidad con ECMP

 

Con ECMP y OSPF en el entorno, podemos cambiar las rutas de manera dinámica en caso de que ocurra una falla en una ruta en particular.  Ahora simularemos una de las rutas interrumpidas y la redistribución de rutas.

 

 

Envío de pings al servidor de base de datos db-01a

 

Escriba ping -t db-01a y presione Enter.

ping -t db-01a

Se mostrarán pings del centro de control al comienzo del servidor de base de datos (db-01a).  No cierre esta ventana cuando proceda con el paso siguiente.

 

 

Desactivado del NSX Edge perimetral 2

 

Simularemos un nodo que sale de línea apagando el NSX Edge perimetral 2.

  1. Expanda las carpetas Datacenter Site A y Edges.
  2. Haga clic con el botón secundario del mouse en Perimeter-Gateway-2-0.
  3. Haga clic en Power.
  4. Haga clic en Shut Down Guest OS.

 

 

Confirmación de apagado

 

 

 

Regreso a la prueba de ping

 

 

 

Cambio de enrutamiento

 

A raíz de los cambios de enrutamiento debido a que el NSX Edge se quedó sin conexión, observará que los pings de la VM de la base de datos se pierden y, luego, se reinician a medida que las rutas vuelven a converger.

**NOTA**: Utilizamos temporizadores (timers) de rutas predeterminados en este laboratorio para que el flujo manual del laboratorio sea rápido.  Puede reducir los temporizadores a 2 segundos para acelerar la convergencia.

 

 

Acceso a sesión Putty de enrutador vPod

 

 

 

Verificación de rutas actuales

 

  1. Ingrese show ip ospf routey presione Enter.
show ip ospf route 

Notará que todas las rutas a las redes 172.16.x.x solo son por medio del NSX Edge 1 (192.168.100.3).

Deje esta ventana abierta para realizar los pasos siguientes.

 

 

Encendido del NSX Edge perimetral 2

 

  1. Expanda las carpetas Datacenter Site A y Edges.
  2. Haga clic con el botón secundario del mouse en Perimeter-Gateway-2-0.
  3. Haga clic en Power.
  4. Haga clic enPower On.

 

 

Verificación de la conexión del NSX Edge perimetral 2

 

La VM puede tardar un minuto o dos en encenderse.  Una vez que se muestre que VMTools está en línea en el resumen de VM, puede proceder con el paso siguiente.  

 

 

Acceso a sesión Putty de enrutador vPod

 

 

 

Visualización de rutas

 

Verifiquemos el estado de las rutas en el enrutador vPod desde que activamos el respaldo de la gateway.

  1. Ingrese show ip ospf routey presione Enter.
show ip ospf route

En la sección 2, observará que las rutas volvieron a la conectividad doble.  

 

 

Nota final sobre ECMP

Una nota final sobre el ECMP y la alta disponibilidad (HA, High Availability) en este laboratorio.  Aunque le indicamos que apagara el NSX Edge perimetral 2,, obtendríamos el mismo resultado si lo hiciéramos en el NSX Edge perimetral 1,.  

La única advertencia es que la aplicación web no funcionará si el NSX Edge perimetral 1 se encuentra sin conexión porque las VM del servidor web están directamente conectadas.  Podría resolverlo si migra la aplicación web hacia el enrutador distribuido, de la misma manera que lo hizo con las redes de la aplicación y de la base de datos.  Una vez que haya finalizado esto, la aplicación web debería funcionar sin importar que las puertas de enlace 1 o 2 estuvieran sin conexión.

NOTA: Si hace lo que se mencionó anteriormente, anulará otros módulos del laboratorio.  Esta es la razón por la que esto no forma parte del manual.  Si no tiene intenciones de realizar los otros módulos, puede intentar hacer lo antes mencionado.

 

Antes de pasar al módulo 3, realice los siguientes pasos de limpieza


Si desea continuar con cualquiera de los otros módulos de este laboratorio luego de finalizar el módulo 2, debe completar los pasos siguientes o, de lo contrario, el laboratorio no funcionará de manera correcta a medida que se avanza.


 

Eliminación del segundo dispositivo NSX Edge perimetral

 

 

 

Eliminación de edge-5

 

Debemos eliminar el NSX Edge que acabamos de crear.

  1. Seleccione NSX Edges.
  2. Seleccione edge-5.
  3. Haga clic en la X de color rojo para eliminarlo.

 

 

Confirmación de eliminación

 

 

 

Deshabilitar de ECMP en DLR y en el NSX Edge 1

 

 

 

Deshabilitar de ECMP en el enrutador distribuido

 

  1. Haga clic en la pestaña Manage.
  2. Haga clic en la pestaña Routing.
  3. Haga clic en Global Configuration, que se encuentra en el panel izquierdo.
  4. Haga clic en el botón DISABLEal lado de ECMP.

 

 

Publicación del cambio

 

 

 

Retorno a los dispositivos perimetrales

 

 

 

Acceso al NSX Edge perimetral 1

 

 

 

Deshabilitación de ECMP en el NSX Edge perimetral 1

 

  1. Haga clic en la pestaña Manage.
  2. Haga clic en la pestaña Routing.
  3. Haga clic en Global Configuration, que se encuentra en el panel izquierdo.
  4. Haga clic en el botón DISABLEal lado de ECMP.

 

 

Publicación del cambio

 

 

 

Conclusión

De esta manera, se completa el módulo 2 sobre enrutamiento lógico.

Esperamos que le haya gustado la parte sobre enrutamiento de este laboratorio y le sea de utilidad para comprender NSX.

 

Módulo 3: firewall distribuido (60 minutos)

Microsegmentación: Firewall distribuido y protección de este a oeste


Firewall distribuido (DFW, Distributed Firewall) de NSX. Uno de los componentes de NSX es un módulo kernel de firewall distribuido.  El firewall distribuido se instala en cada host de vSphere para habilitar la funcionalidad. El firewall distribuido se encuentra cerca de la velocidad l i n e - r a t e ( t a s a d e t r a n s m i s i ó n d e l e n l a c e ) y posee la confiabilidad y disponibilidad de la plataforma host de vSphere. Además, cuenta con reconocimiento de identidad de usuario y herramientas de monitoreo de actividad únicas.

En este módulo, exploraremos de qué manera el firewall distribuido ayuda a proteger una aplicación de 3 niveles.  También mostraremos el proceso de creación de reglas de firewall basado en grupos de seguridad e identidad, en lugar de reglas basadas en direcciones IP.  Mediante las reglas basadas en direcciones IP, se imponen fuertes límites en la movilidad de las maquinas virtuales y se reduce la flexibilidad a la hora de utilizar agrupaciones de recursos.

Este módulo se basa en cuatro VM invitadas que componen una aplicación común de 3 niveles.  El nivel web posee dos servidores web (web-01a y web-02a). Luego, se mostrarán los servidores web como un pool para balanceo de cargas.  El nivel web se comunica con una VM denominada app-01a que ejecuta un software de aplicación, lo que funciona como el nivel de aplicación.  La VM del nivel de aplicación a su vez se comunica con una VM denominada db-01a que ejecuta MySQL en el nivel de la base de datos.  El firewall DFW de NSX aplica las reglas de acceso entre los niveles.  

A continuación, se presenta la descripción general de este módulo:

Funcionalidad básica de firewall distribuido

Mecanismo de descubrimiento de IP mejorado para la función de firewall

Firewall basado en identidad

Comience el módulo desde el escritorio.  El escritorio es el jumpbox del centro de control en el entorno virtual.  Desde este escritorio, podrá acceder a vCenter Server Appliance que se implementó en el centro de datos virtual.

Nota especial: En el escritorio, encontrará un archivo con el nombre README.txt.  Allí se muestran los comandos CLI que necesita para los ejercicios del laboratorio.  Si no puede escribirlos, puede copiarlos y pegarlos en las sesiones Putty.  Si ve un número con "comillas francesas: {1}", esto significa que debe buscar ese comando CLI para este módulo en el archivo de texto.


 

Inicio del navegador y vSphere Web Client

 

 

 

Instrucciones especiales para los comandos CLI

 

Muchos de los módulos requerirán que ingrese comandos de interfaz de línea de comando (CLI).  Existen dos maneras de enviar comandos CLI al laboratorio.

En primer lugar, para enviar un comando CLI a la consola del laboratorio, siga los siguientes pasos:

  1. Resalte el comando CLI en el manual y use Control+c para copiarlo al portapapeles.
  2. Haga clic en el elemento del menú de la consola ENVIAR TEXTO.
  3. Presione Control+v para pegarlo del portapapeles a la ventana.
  4. Haga clic en el botón ENVIAR.

En segundo lugar, en el escritorio del entorno, encontrará un archivo de texto (README.txt) en el que se le proporcionan todas las cuentas de usuario y contraseñas.

 

 

Confirmación de habilitación de DFW (Distributed Firewall)

 

Primero, explorará el firewall distribuido de NSX.

Si aún no inició sesión en vSphere Web Client, haga lo siguiente:

Haga clic en el ícono de la barra de tareas de Google Chrome. Debe tener vSphere Web Client como página de inicio.

 

 

Contraiga el panel de tareas derecho para tener más espacio en la pantalla.

 

 

 

Explore el nuevo firewall distribuido de NSX

 

 

 

Abrir la instalación

 

  1. Primero haga clic en Installation.
  2. Haga clic en la pestaña Host Preparation.  En la tabla, se mostrarán los clústeres del centro de datos virtual.

Tenga en cuenta que NSX se instaló en el nivel del clúster, lo que significa que la instalación, la eliminación y las actualizaciones se definen todas a nivel del clúster.  Si luego se agrega un host físico nuevo al clúster, NSX se agregará automáticamente en ese host.  Esto proporciona seguridad y red a nivel de clúster sin temor a que una VM migre a un host sin NSX.

 

 

Configuración de reglas para el acceso a aplicaciones web

Ahora configurará el acceso del firewall distribuido a una aplicación de 3 niveles.  La aplicación tiene dos servidores web: un servidor de base de datos y uno de aplicación.  Además, posee un balanceador de carga que respalda los dos servidores web.

 

 

Prueba de conectividad de VM a VM de 3 niveles con Putty

 

A continuación, probará la comunicación y el acceso entre los segmentos de red y las VM invitadas que componen la aplicación de 3 niveles. La primera prueba consistirá en abrir una consola para web-sv-01a y enviar pings a los otros miembros.

  1. Haga clic en el acceso directo de PuTTY en la barra de tareas del escritorio.
  2. Seleccione web-01a.corp.local
  3. Haga clic en Open.

 

 

Envío de pings desde web-01a hacia otros miembros de 3 niveles

 

Primero, mostrará que web-01a puede enviar pings a web-02a si se introduce lo siguiente:

ping -c 2 172.16.10.12

Ahora pruebe la conectividad entre web-01a y app-01a, y db-01a:

ping -c 2 172.16.20.11
ping -c 2 172.16.30.11 

(Nota: Es probable que se muestre DUP! al final de la línea del ping.  Esto se debe a la naturaleza del entorno del laboratorio virtual que utiliza virtualización anidada y modo promiscuo en los enrutadores virtuales. Esto no ocurrirá en un entorno de producción).

No cierre la ventana, solo minimícela para utilizarla luego.

 

 

Demonstración de aplicación de 3 niveles con un navegador web

 

Mediante la utilización de un navegador, accederá a la aplicación de 3 niveles para mostrar el funcionamiento entre las 3 partes.  

  1. Abra una pestaña nueva del navegador.
  2. Haga clic en el marcador 3Tier-Web-App.

 

 

Clic en Advanced del navegador

 

 

 

Proceed to web-app.corp.local (no seguro)

 

 

 

Demonstración de aplicación de 3 niveles con un navegador web (continuación)

 

Debe visualizar datos que pasaron desde el nivel web a la VM app-01a y finalmente consultaron a la VM db-01a.

En la página, se mostrará qué servidor web se contactó en el pool del balanceador de carga.

 

 

Cambio en la política de firewall predeterminada de Allow a Block

 

En esta sección, cambiará la regla predeterminada Allow a Block y mostrará la interrupción de la comunicación con la aplicación de 3 niveles.  Una vez que realizó esto, creará nuevas reglas de acceso para volver a establecer la comunicación de manera segura.

 

 

Examinación de las reglas predeterminadas

 

  1. Expanda la sección con el marcador de lista desplegable.  

Tenga en cuenta que las reglas poseen marcas de verificación de color verde.  Esto significa que se habilitó una regla.  Las reglas se crean de forma habitual con los campos: origen, destino y servicio.  Los servicios son una combinación de protocolos y puertos.  

La última Default Rule es un permitir de cualquiera a cualquiera (any-to any-allow).

 

 

Análisis de la última Default Rule

 

Desplácese hacia la derecha, donde encontrará las opciones de Action para Default Rule; para ello, coloque el cursor en el campo de Action:Allow.  Luego de esto, aparecerá un lápiz que le permitirá ver las opciones para este campo.

 

 

Cambio en Action de Allow a Block en la última Default Rule

 

  1. Seleccione la opción de acción Block.
  2. Haga clic en OK

 

 

Publicación de cambios en Default Rule

 

Se mostrará una barra de color verde mediante la que se le solicitará que elija Publish Changes, Revert Changes o Save Changes.  Con Publish, los cambios se enviarán al DFW (Distributed Firewal).  Con Revert, se cancelan las ediciones.  Con Save Changes, los cambios se guardan para publicarse luego.

 

 

Verificación de que el cambio de regla bloquea la comunicación

 

Para probar la regla de bloqueo con las sesiones del navegador y de Putty previas:

 

 

Creación de grupos de seguridad de 3 niveles

 

Gracias a Service Composer, se define un modelo nuevo para el consumo de servicios de seguridad y red en entornos virtuales y de nube. Las políticas son ejecutables mediante la simple visualización y el consumo de servicios que se integran o mejoran mediante soluciones de terceros. Estas mismas políticas pueden hacerse repetibles mediante las capacidades de exportación e importación, que podrían facilitar la implementación y recuperación de un entorno cuando surge un problema. Uno de esos objetos para uso repetible es un grupo de seguridad.

 

 

Adición de grupo de seguridad

 

  1. Seleccione Security Groups.Nota: Puede haber grupos de seguridad existentes para utilizarse en otro módulo del laboratorio.
  2. Para agregar un grupo de seguridad nuevo, haga clic en el ícono New Security Group.

 

 

Grupo de seguridad nuevo: web

 

  1. Póngale el nombre Web-tier a este primer grupo.
  2. Seleccione Next.
  3. Haga clic en Next para avanzar a la sección Select objects to include.

 

 

Select objects to include

 

  1. Despliegue Object Types y seleccione Virtual Machines.
  2. Para usar el filtro, escriba web en la ventana de búsqueda.
  3. Seleccione web-01a.
  4. Haga clic en la flecha que señala hacia la derecha para enviar la VM a la ventana Selected Objects.
  5. Realice los mismos pasos con web-02a.
  6. Haga clic en Finish.

Nota:  Como acceso directo, puede hacer doble clic en las VM ubicadas en la parte izquierda y se moverán hacia la derecha en un solo paso.

 

 

Verificación de la creación de grupos de seguridad

 

Ha creado un grupo de seguridad con el nombre Web-tier al que se asignaron 2 VM.

 

 

Creación de reglas de acceso de 3 niveles

 

A continuación, agregará reglas nuevas para permitir el acceso a la VM web y, luego, configurará el acceso entre los niveles.  

 

 

Adición de nueva sección de reglas para aplicaciones de 3 niveles

 

  1. En el extremo derecho de la fila Firewalling without VMTools (Rule1),haga clic en el ícono Add Section con forma de carpeta.
  2. Asigne a la sección el nombre 3-tier App.
  3. Haga clic en OK.

 

 

Adición de regla a la nueva sección

 

 

 

Edición de nuevas reglas

 

  1. Haga clic en el marcador de lista desplegable para abrir la regla.
  2. Mantenga el cursor sobre la esquina superior derecha del campo Name hasta que aparezca un ícono con forma de lápiz; luego, haga clic en el lápiz.
  3. Escriba Ext to Web como nombre.
  4. Haga clic en OK.

 

 

Establecimiento de origen y destino de la regla

 

Source:Deje el origen de la regla establecido en cualquier opción.

 

 

Establecimiento de los valores del grupo de seguridad

 

Destino:

  1. Despliegue Object Type y desplácese hacia abajo hasta que encuentre Security Group.
  2. Haga clic en Web-tier.
  3. Haga clic en la flecha superior para mover el objeto hacia la derecha.
  4. Haga clic en OK.

 

 

Establecimiento del servicio de la regla

 

Vuelva a mantener el puntero sobre el campo Service y haga clic en el ícono de lápiz.  

  1. En el campo de búsqueda, puede buscar coincidencias de patrones de servicios.  Escriba https y presione Enter para ver todos los servicios asociados con el nombre https.
  2. Seleccione el servicio simple HTTPS.
  3. Haga clic en la flecha superior.
  4. Nota: Repita los pasos anteriores del 1 al 3 para encontrar y agregar un SSH.  (Más adelante en el módulo veremos que necesitaremos un SSH).
  5. Haga clic en OK.

Nota: De esta manera, se mostrará la barra verde con la opción para publicar o revertir los cambios.

Todavía NO PUBLIQUE las reglas, ya que hay más reglas para realizar.

 

 

Creación de reglas que permitan el acceso de grupos de seguridad web al switch lógico de la aplicación

 

Ahora agregará una segunda regla que le permita al grupo de seguridad web acceder al grupo de seguridad de la aplicación mediante el puerto de la aplicación.  

  1. Para empezar, abra el ícono de lápiz.
  2. Esta regla deberá procesarse debajo de la regla anterior; por lo tanto, seleccione Add Below en el cuadro desplegable.

 

 

Creación de los campos de origen y de nombre de la segunda regla

 

  1. Como ya hizo antes, mantenga el mouse sobre el campo Name y haga clic en el signo más.  Escriba Web to App como nombre.
  2. Seleccione el grupo de seguridad Web-tier para el campo Source.

 

 

Creación del campo de destino de la segunda regla: selección de la red lógica

 

En la primera regla, usó el grupo de seguridad Web-tier como destino.  Podría aplicar los mismos pasos con las reglas restantes.  Sin embargo, como se ve en el cuadro desplegable, se pueden usar varios objetos de vCenter ya definidos.  Un aspecto importante de vSphere integrado con la seguridad de NSX que permite ahorrar tiempo es que puede usar los objetos actuales del centro de datos virtual para las reglas en lugar de comenzar desde cero.  Aquí usará un switch lógico de VXLAN como destino. Esto le permite crear una regla que se aplica a cualquier VM adjunta a esta red.

  1. En el cuadro desplegable Object Type, deslícese hacia abajo y haga clic en la opción Logical Switch.
  2. Seleccione App_Tier-01.
  3. Haga clic en la flecha superior para mover el objeto hacia la derecha.
  4. Haga clic en OK.

 

 

Creación del campo de servicio de la segunda regla: nuevo servicio

 

En la aplicación de 3 niveles, se usa el puerto TCP 8443 entre los niveles web y de aplicaciones.  Creará un servicio nuevo llamado MyApp, que será el servicio permitido.

  1. Haga clic en New Service.
  2. Escriba MyApp como nombre del nuevo servicio.
  3. Seleccione TCP en Protocol.
  4. Escriba 8443 como número de puerto.
  5. Haga clic en OK.

 

 

Haga clic en OK.

 

 

 

Creación de la tercera regla: permitir el acceso del switch lógico App al switch lógico Database

 

Repetición de pasos: Cree la tercera y última regla, mediante la cual tendrá acceso entre el nivel de aplicaciones y el nivel de base de datos.

  1. Cree la regla final, la que permitirá que el switch lógico de la aplicación se comunique con el switch lógico de la base de datos por medio del servicio predefinido de MySQL.  El servicio viene predefinido; solo deberá buscarlo en lugar de crearlo.
  2. Presione Publish Changes.

 

 

Verificación de que la nueva regla permita la comunicación entre las capas de la aplicación de 3 niveles

 

NOTA: Si no tiene una pestaña ya abierta o cerró la pestaña anterior.  Use el favorito Web-App Direct Connect en la barra de favoritos.

 

 

Reinicio de la sesión Putty para web-01a

 

  1. Haga clic en el ícono Session en la esquina izquierda superior.
  2. Haga clic en Restart Session.

 

 

Prueba de ping entre niveles

 

Pruebe hacer ping a las VM invitadas con aplicaciones de 3 niveles.

Nota: Recuerde usar la opción ENVIAR TEXTO.

web-02a

ping -c 2 172.16.10.12 

app-01a

ping -c 2 172.16.20.11

db-01a

ping -c 2 172.16.30.11

Los pings no están permitidos, por lo que ocurrirá una falla, ya que no se permite el protocolo de mensajes de control de Internet (ICMP, Internet Control Message Protocol) entre capas ni entre los miembros de las capas de las reglas.  Como no se permite el ICMP entre las capas, la regla predeterminada bloqueará todo el tráfico restante.

 

 

Topología después de la adición de reglas de firewall distribuido en la aplicación de 3 niveles

 

En este diagrama, se muestra el punto de cumplimiento relativo del firewall a nivel de vNIC.  Aunque el DFW es un módulo cargable del kernel (KLM, Kernel Loadable Module) del host vSphere ESXi, el cumplimiento de las reglas se realiza en la vNIC de la VM invitada.  Esta protección se mueve con la VM durante vMotion para otorgar una protección completa en todo momento, lo que impide la aparición de una "ventana de oportunidad" en la que la VM puede ser atacada.

 

Firewalls basados en identidad



 

Reglas de firewalls basados en identidad

La serie de productos NSX ahora ofrece la posibilidad de crear reglas mediante grupos de Active Directory.  Esto permite controlar el acceso de los usuarios a otros objetos de seguridad como redes, direcciones IP y demás grupos de seguridad.

Antes de comenzar a crear reglas basadas en el usuario, debe vincular NSX a Active Directory.

 

 

Exploración del enlace entre NSX y Active Directory

 

En la izquierda, vaya hacia abajo hasta NSX Managers.  Observe que se indica solo uno.  

 

 

Selección de NSX Manager

 

 

 

Exploración del conector de dominio

 

Observe que la tabla tiene una entrada.  Esta entrada está parcialmente configurada para otro módulo de laboratorio, pero se explicará el proceso para que usted tenga la oportunidad de analizar cómo se creó la conexión.  

Para esta conexión, se requiere proporcionar información sobre Active Directory (AD) para que vCenter pueda acceder a AD y obtener información sobre el grupo.  NOTA: Este proceso es diferente del de asociar un vCenter a AD para obtener los permisos usados en Usuarios/Roles.  

  1. Haga clic en la pestaña Manage.
  2. Haga clic en la pestaña Domains.
  3. Haga clic en corp.local.
  4. Haga clic en el lápiz para editar el contenido.

 

 

Provisión de nombre para NetBIOS

 

Escriba un nombre en el campo Name.   Luego, escriba el nombre de NetBIOS en el dominio.   

  1. Haga clic en Next.

 

 

Provisión de las opciones del LDAP

 

Ahora completará la configuración.

  1. Escriba 192.168.110.10 como dirección del servidor de AD.
  2. Escriba Administrator como User name.
  3. Escriba VMware1! como Password.
  4. Haga clic en Next.

 

 

Opciones de acceso de seguridad al registro de eventos

 

Ahora escribirá las configuraciones del acceso al registro.

  1. Desmarque la casilla Use Domain Credentials.
  2. Escriba administrator y VMware1! como credenciales.
  3. Haga clic en Next.

 

 

Listo para completar: verificación de las configuraciones

 

Ahora verificará todas las configuraciones.

 

 

Sincronización de AD

 

  1. Haga clic en Double-Gear.
  2. Haga clic en Single-Gearpara obtener las actualizaciones de AD.  En el estado, debería decir Success y la fecha actual.

Tenga en cuenta que esto podría tardar entre 2 y 3 minutos en realizarse correctamente.

Con una conexión configurada y sincronizada de AD, puede usar los grupos de AD en las políticas de seguridad.

 

 

Creación de un objeto de seguridad basado en grupos de AD

 

  1. Haga clic en Networking & Security.  Este es el botón del historial.

 

 

Edición de la regla Ext to Web

 

Agregará un grupo de dominio al campo de origen de la regla Ext to Web.

  1. Haga clic en Firewall.
  2. Mantenga el puntero sobre el campo de origen y haga clic en el ícono de lápiz.
  3. En el cuadro desplegable Object Type, seleccione Security Group.
  4. Haga clic en New Security Group.

 

 

Asignación de un nombre al nuevo grupo de seguridad: AD Sales

 

  1. Escriba AD-Sales como nombre.
  2. Haga clic en Select objects to include.

 

 

Selección de objetos para incluir

 

  1. En el cuadro desplegable, seleccione Entity.
  2. Seleccione Belongs to.
  3. Haga clic para abrir la ventana Select Entity.
  4. Seleccione el tipo Directory Group.
  5. Escriba sales en el cuadro de búsqueda.
  6. Seleccione Sales.
  7. Haga clic en OK.
  8. Haga clic en Finish.

 

 

Clic en OK en Configuración.

 

 

 

Opción Publish Changes

 

Ya tiene un grupo de dominio (AD-Sales) establecido como origen para acceder al nivel web.  En este caso, un usuario deberá ser miembro del grupo de AD Sales para obtener acceso al nivel web de la aplicación de 3 niveles.

 

 

Prueba de la regla de identidad del usuario

 

Puede probar la nueva regla basada en la identidad; para esto, abra una consola en otra VM en el dominio e inicie sesión como miembro del grupo Sales de Active Directory.  User:Sales1 es miembro del grupo Sales.  User:NonSales no es miembro del grupo.  Inicie sesión con ambas identidades y observe los resultados de intentar acceder a la aplicación de 3 niveles.

  1. Haga clic en el ícono Home.
  2. Haga clic en VMs and Templates.

 

 

Apertura de la consola para win8-01a

 

Expanda los contenedores Hands on Labs y Discovered virtual machines para encontrar win8-01a.

  1. Expanda Misc VMs.
  2. Haga clic con el botón secundario del mouse en win8-01a.
  3. Haga clic en Open Console.

 

 

Inicio de sesión como NonSales

 

  1. Presione enviar Ctrl-Alt-Del.  Use el botón de la consola.
  2. Haga clic en la flecha izquierda.
  3. Elija Other user.
  4. Escriba el nombre de usuario = nonsales.
  5. Contraseña = VMware1!
  6. Haga clic en la flecha.

 

 

Abra Internet Explorer

 

Inicie Internet Explorer desde la barra de tareas.

El usuario nonsales no pertenece al grupo AD-Sales y tiene acceso bloqueado a la aplicación de 3 niveles.

 

 

Cierre de sesión como nonsales

 

  1. Haga clic en enviar Ctrl-Alt-Del.
  2. Haga clic en Sign Out.

 

 

Cambio a otro usuario

 

  1. Haga clic en enviar Ctrl-Alt-Del.
  2. Haga clic en Other user.

 

 

Inicio de sesión como Sales1

 

  1. Escriba Sales1 como nombre de usuario. La contraseña es VMware1!.
  2. Haga clic en la flecha.

 

 

Uso de IE y acceso a la aplicación de 3 niveles

 

Abra IE en la barra de tareas.

  1. Haga clic en el favorito HOL - Muti-Tier App.
  2. Acepte el riesgo.

 

 

Verificación de acceso

 

El usuario Sales1 pertenece al grupo AD-Sales y tiene acceso a la aplicación de 3 niveles.

 

 

Preparación del laboratorio para la sección siguiente

 

Haga clic en la pestaña del navegador de vSphere Web Client.

  1. Haga clic en Firewall.
  2. En la primera regla, mantenga el puntero sobre el objeto AD-Sales del campo Source.  Haga clic en la X roja para eliminar el objeto y restablecer el campo a any.

 

 

Preparación del laboratorio para la sección siguiente: establecimiento de la regla predeterminada en Allow

 

  1. Configure Default Rule en Default Section para habilitar la acción Allow.
  2. Presione Publish Changes.

Esto permitirá que la sección siguiente funcione correctamente.

 

Mecanismo mejorado de descubrimiento de IP para máquinas virtuales y SpoofGuard


Para el funcionamiento del firewall distribuido de NSX, se requiere el descubrimiento de direcciones IP de objetos especificados como de origen o destino.  Antes de NSX 6.2, esto se lograba mediante VMtools dentro de la VM. En este ejercicio, se mostrará cómo descubrir direcciones IP, incluso sin VMtools.

La VM Linux-01a que se utiliza en este ejercicio no tiene VMtools instaladas y, por lo tanto, el firewall distribuido de NSX no puede descubrir direcciones IP de objetos sin usar la nueva función.


 

Revisión de las reglas actuales de firewall

 

Haga clic en la pestaña del navegador de vSphere Web Client.

  1. Haga clic en el ícono Home.
  2. Haga clic en Networking & Security.

 

 

Visualización de reglas

 

  1. Haga clic en Firewall.
  2. Haga clic en la flecha horizontal para expandir la sección Firewalling-without-VMTools.

 

 

Revisión de la regla que impide la comunicación con Linux-01a

 

La regla Deny traffic TO Linux-01a debería impedir cualquier tipo de tráfico hacia Linux-01a, pero, en este caso, no puede hacerlo, dado que el firewall distribuido de NSX no conoce la dirección IP de la VM por la falta de VMware tools.

 

 

Verifique que pueda hacer pings a Linux-01a desde su escritorio a pesar de la regla de rechazo que debería haberlo evitado.

 

 

 

Realización de ping a Linux-01a

 

Recuerde usar la opción ENVIAR TEXTO.

Escriba ping 192.168.100.221 y presione Return.

ping 192.168.100.221

Como se puede observar, puede hacer ping a Linux-01a, aunque la regla de rechazo debería haberlo impedido. Esto es porque el firewall distribuido de NSX no tiene una dirección IP de Linux-01a y, por lo tanto, no puede impedir realizar el ping.

 

 

Habilitación del descubrimiento de direcciones IP mediante ARP snooping

 

Regrese a vSphere Web Client; para esto, haga clic en la pestaña vSphere Web Client del navegador.

  1. Haga clic en SpoofGuard.
  2. Haga clic en Change.

 

 

Cambio de tipo de detección IP a ARP Snooping

 

Ahora habilitaremos el descubrimiento de direcciones IP mediante "ARP Snooping" en lugar de VMware tools, que no están instaladas en esta VM.

  1. Seleccione ARP Snooping.
  2. Haga clic en OK.

 

 

Haga ping a Linux-01a nuevamente para verificar que la regla de rechazo funciona.

 

 

 

Haga ping a Linux-01a nuevamente para probar la conectividad.

 

Recuerde usar la opción ENVIAR TEXTO.

Escriba ping 192.168.100.221 y presione Return.  NOTA:  Es posible que se deba hacer ping dos veces para observar que se cumple la regla.

ping 192.168.100.221

Tenga en cuenta que ya no puede hacer ping a Linux-01a. El firewall "rechaza" esta acción, lo que se indica por la respuesta host unreachable.

Para finalizar, al comienzo, pudo hacer ping a la VM Linux-01a, a pesar de que existe una regla que debería haberlo impedido. Esto se debe a que el firewall de NSX no conocía la dirección IP de la VM por falta de VMtools. Una vez activado el aprendizaje de la dirección IP mediante ARP Snooping (función de NSX 6.2), se ejecutó la regla de rechazo y ya no se pudo hacer ping a la VM Linux-01a.

 

 

Verificación del descubrimiento de Linux-01a mediante ARP Snooping

 

  1. Haga clic en Default Policy.
  2. Seleccione Active Virtual NICs en el cuadro desplegable View.
  3. Escriba lin y presione Enter para filtrar Linux-01a.

Tenga en cuenta que, en el campo de origen, se indica el ARP de la dirección 192.168.100.221.

 

 

Deshabilite la regla antes de continuar.

 

 

 

Exploración de SpoofGuard

 

Después de que se sincroniza con vCenter Server, NSX Manager recoge las direcciones IP de VMware Tools en todas las máquinas virtuales alojadas en vCenter. Si la seguridad de una máquina virtual se compromete, la dirección IP se puede suplantar y las transmisiones maliciosas pueden eludir las políticas de firewall.

Usted crea una política de SpoofGuard para redes específicas que le permite autorizar las direcciones IP registradas por VMware Tools y, si es necesario, alterarlas, para evitar la suplantación de identidad. SpoofGuard confía de forma inherente en las direcciones MAC de las máquinas virtuales recogidas de los archivos VMX y vSphere SDK. Si no sigue las reglas de firewall, puede usar SpoofGuard para bloquear el tráfico que se considera que suplanta la identidad.

SpoofGuard es compatible con direcciones IPv4 e IPv6. Cuando se usa IPv4, la política de SpoofGuard es compatible con una dirección IP única asignada a una vNIC. IPv6 es compatible con varias direcciones IP asignadas a una vNIC. Con la política de SpoofGuard, se monitorean y administran las direcciones IP que registran las máquinas virtuales de uno de los siguientes modos.

Este modo permite que todo el tráfico proveniente de sus máquinas virtuales pase a la vez que diseña una tabla de asignaciones de direcciones de vNIC a IP. Puede analizar esta tabla cuando lo desee y realizar cambios en las direcciones IP. Mediante este modo, se aprueban de forma automática todas las direcciones de IPv4 y de IPv6 en una vNIC.

Por medio de este modo, se bloquea todo el tráfico hasta que apruebe cada asignación de dirección de vNIC a IP.

NOTA: Por naturaleza, SpoofGuard permite realizar solicitudes de DHCP sin importar el modo habilitado. Sin embargo, si se encuentra en modo de inspección manual, el tráfico no pasa hasta que no haya aprobado la dirección de IP asignada por DHCP.

SpoofGuard incluye una política predeterminada generada por el sistema que se aplica a los grupos de puertos y a las redes lógicas que no cuentan con el respaldo de las demás políticas de SpoofGuard. Se incorpora de manera automática a la política predeterminada una red reciente hasta que agregue la red a una política existente o hasta que cree una nueva política para la red.

 

 

Edición de la política predeterminada de SpoofGuard

 

  1. Haga clic en Default Policy.
  2. Haga clic en el lápiz para editar el contenido.

 

 

Habilitación de SpoofGuard

 

  1. Haga clic en el botón de selección Enabled.
  2. Haga clic en Finish.

 

 

Ubicación de la VM Linux-01a

 

  1. En el campo de búsqueda de vCenter, ingrese linux.
  2. Haga clic en Linux-01a.

 

 

Apertura de la consola en Linux-01a

 

Observe que, en esta VM, no hay VMware Tools instaladas.

  1. Haga clic en la pestaña Summary.
  2. Haga clic en la consola para abrir una consola en una pestaña de navegador nueva.

 

 

Inicio de sesión en Linux-01a

 

  1. Inicie sesión con la credencial raíz Root del usuario.
  2. Password: VMware1!.

 

 

Cambio de la dirección IP de Linux-01a

 

Deberá cambiar la dirección IP para comprobar la aplicación de seguridad de SpoofGuard.  

  1. Ingrese ipswap221-231.  Como habrá visto, la dirección IP actual de Linux-01a es 192.168.100.221.  Con el archivo de bash de Linux, se cambiará la dirección IP a 192.168.100.231.
ipswap221-231

 

 

Prueba de la conectividad de Linux-01a

 

ping -c 2 192.168.100.3

 

 

Regreso a la opción Networking Security

 

  1. Haga clic en el ícono Home.
  2. Haga clic en Networking & Security.
  3. Haga clic en SpoofGuard.

 

 

Dirección IP 192.168.100.231 de Linux-01a

 

  1. En el campo View, cambie la vista a Active Virtual NICs Since Last Publish.
  2. Observe que la dirección IP de Linux-01a es 192.168.100.231 y el Source es Trusted On First Use-ARP" (TOFUARP).

 

 

Cambio de la dirección IP de Linux-01a

 

ipswap231-221

Verá el cambio en la dirección IP.

 

 

Prueba de conectividad

 

ping -c 2 192.168.100.3

Ahora verá que esta vez el ping fallará.

 

 

Aprobación de la nueva dirección IP de Linux-01a

 

  1. En el campo View, cambie la vista a Virtual NICs IP Required Approval.
  2. En el campo de filtro, ingrese lin y presione Enter. Verá que la dirección IP 192.168.100.221 que se obtuvo a partir del ARP snooping ahora requiere aprobación.
  3. Haga clic en Approve.

 

 

Publicación de la aprobación de la dirección IP

 

 

 

Conectividad de red por verificación de la aprobación de la dirección IP

 

ping -c 2 192.168.100.3

Ahora verá que la aprobación de la dirección IP 192.168.100.221 habilita la conectividad de red.

 

Módulo 4: Gateway de Servicios NSX Edge (30 minutos)

Retransmisión (Relay) del DHCP


En este módulo del laboratorio, se analizará la funcionalidad de retransmisión del DHCP en NSX, y se completará en 15 minutos.

En una red donde solo hay un segmento de red, los clientes del DHCP pueden comunicarse de manera directa con el servidor del DHCP.  Los servidores del DHCP también pueden suministrar direcciones IP a redes múltiples, aun a aquellas que no se encuentran en el mismo segmento.   Sin embargo, cuando el servidor provea direcciones IP a intervalos IP fuera del suyo, no podrá comunicarse con aquellos clientes de manera directa.  Esto se debe a que los clientes no disponen de una dirección IP enrutable ni una gateway de la que estén al tanto.

En este tipo de situaciones, se necesita un agente de retransmisión del DHCP para retransmitir la difusión que se recibe de los clientes del DHCP mediante el envío de dicha difusión al servidor del DHCP en formato Unicast.  El servidor del DHCP seleccionará un ámbito DHCP según el intervalo de donde provenga el Unicast y lo reenviará a la dirección del agente que luego se difundirá nuevamente a la red original del cliente.

Las áreas que deben cubrirse en este laboratorio son las siguientes:

En este laboratorio, se preconfiguraron los siguientes elementos:


 

Topología del laboratorio

 

En este diagrama, se muestra la topología final que se creará y usará en este módulo del laboratorio.

 

 

Acceso a vSphere Web Client

 

 

 

Inicio de sesión en vSphere Web Client

 

Para iniciar sesión en vSphere Web Client, use la autenticación de sesión de Windows.

  1. Haga clic en Use Windows session authentication: de esta manera, se completarán automáticamente las credenciales de administrator@corp.local/VMware1!.
  2. Haga clic en Login.

 

 

Acceso a NSX mediante Web Client

 

Ingrese a la sección Networking & Security en Web Client.

 

 

Creación de un switch lógico nuevo

 

En primer lugar, es necesario crear un switch lógico nuevo que se ejecutará en la red nueva 172.16.50.0/24.

  1. Seleccione Logical Switches.
  2. Haga clic en el signo más de color verde para crear un switch lógico nuevo.

 

 

Ingreso de los parámetros del switch nuevo

 

Para poder configurar el switch lógico, debemos configurar el nombre y la zona de transporte.

 

 

Selección de la zona de transporte

 

  1. Seleccione Local-Transport-Zone-A.
  2. Haga clic en OK.

 

 

Ingreso de los parámetros del switch nuevo

 

  1. En el campo Name, ingrese DHCP-Relay. El nombre no es particularmente relevante, pero sirve para identificar el switch.
  2. Haga clic en OK.

 

 

Conexión del switch lógico al NSX Edge perimetral

 

En este paso, se añadirá el switch lógico a una interfaz en el NSX Edge perimetral.  Esta interfaz será la gateway predeterminada para la red 172.16.50.0/24 y la dirección será 172.16.50.1.

  1. Haga clic en NSX Edges en el panel izquierdo.
  2. Haga doble clic en edge-2, que es el NSX Edge perimetral de este laboratorio.

 

 

Adición de interfaz

 

En esta sección, se añadirá el switch lógico a una interfaz en el NSX Edge perimetral.

  1. Haga clic en Manage.
  2. Haga clic en Settings.
  3. Haga clic en Interfaces.
  4. Seleccionevnic9.
  5. Haga clic en el ícono de lápiz para editar la interfaz.

 

 

Selección del switch lógico al que se conecta la interfaz

 

Se seleccionará a qué switch lógico se conecta la interfaz.

 

 

Selección de un switch lógico que se creó recientemente

 

Seleccione el switch lógico nuevo que acabamos de crear en los pasos anteriores.

  1. En Logical Switch, seleccione DHCP-Relay.
  2. Haga clic en OK.

 

 

Adición de la dirección IP de la interfaz

 

Agregaremos una nueva dirección IP.

 

 

Configuración de la dirección IP de la interfaz

 

Se asignará una dirección IP a la nueva interfaz.

  1. En el campo Primary IP address, ingrese 172.16.50.1.
  2. En el campo Subnet Prefix Length, ingrese 24.

 

 

Finalización de la configuración de la interfaz

 

Corrobore toda la información y finalice la configuración.

  1. Cambie el nombre del campo Name de vnic9 a DHCP Relay para facilitar la identificación más tarde.
  2. Haga clic en OK.

 

 

Configuración de la retransmisión del DHCP

 

En la ventana Perimeter Gateway, debemos establecer la configuración global de la retransmisión del DHCP.

  1. Haga clic en la pestaña Manage.
  2. Haga clic en el botón DHCP.
  3. Haga clic en la sección Relayen el panel izquierdo.
  4. Haga clic en Edit.

 

 

Configuración global del DHCP

 

En la configuración global del DHCP, debe seleccionar los servidores de DHCP que atenderán las solicitudes de DHCP desde las VM invitadas.

Hay tres métodos con los que puede configurar las direcciones IP del servidor de DHCP:

Conjuntos IP

Los conjuntos IP se configuran en la configuración global de NSX Manager y le permiten especificar un subconjunto de servidores de DHCP mediante la creación un grupo denominado.

Direcciones IP

En este método, puede especificar de forma manual las direcciones IP de los servidores de DHCP.

Nombres de dominio

Este método le permite especificar un nombre de sistema de nombres de dominio (DNS, Domain Name Server) que podría ser una dirección única o diversas direcciones de servidores de DHCP.

 

En este laboratorio, utilizaremos una sola dirección IP.

  1. En el campo IP Addresses, ingrese 192.168.110.10, que sería la dirección IP del servidor de DHCP.
  2. Haga clic en OK.

 

 

Configuración del agente de retransmisión del DHCP

 

El agente de retransmisión del DHCP retransmitirá cualquier solicitud DHCP desde la dirección de la gateway del switch lógico a los servidores DHCP configurados.  Debemos agregar un agente al switch lógico o al segmento que creamos en 172.16.50.0/24.

 

 

Selección de la interfaz del NSX Edge perimetral

 

Seleccione la interfaz del NSX Edge perimetral que dispondrá del agente de retransmisión.

  1. Haga clic en el menú desplegable vNIC y seleccione la interfaz que creamos recientemente (DHCP Relay Internal).
  2. Haga clic enOK.

 

 

Publicación de la configuración en la configuración de retransmisión del DHCP

 

Ahora debemos publicar todos estos cambios realizados en el enrutador distribuido.

 

 

Creación de una VM vacía para el arranque PXE

 

En esta instancia, crearemos una VM vacía que llevará a cabo un arranque PXE desde el servidor de DHCP al que realizamos la retransmisión.

  1. Haga clic en el ícono Home.
  2. Haga clic en Hosts and Clusters.

 

 

Creación de una nueva VM

 

  1. Expanda la opción Datacenter Site A y, luego, la opción Compute Cluster A.
  2. Haga clic con el botón derecho del mouse en el host esx-02a.corp.local.
  3. Seleccione New Virtual Machine.
  4. Luego, haga clic en New Virtual Machine.

 

 

Configuración de la VM nueva

 

  1. Seleccione Create a New Virtual Machine.
  2. Haga clic en Next.

 

 

Asigne un nombre a la VM.

 

  1. Ingrese PXE VM como nombre de la VM.
  2. Haga clic en Next.

 

 

Selección del host

 

 

 

Selección del almacenamiento

 

Deje la opción predeterminada.

 

 

Selección de compatibilidad

 

Deje la opción predeterminada.

 

 

Selección de SO invitado

 

Deje la opción predeterminada.

  1. En el campo Guest OS Family, seleccione Linux.
  2. En el campo Guest OS Version, seleccione Other Linux (64-bit).
  3. Haga clic en Next.

 

 

Especificación de hardware: eliminación del disco duro

 

Es necesario eliminar el disco duro predeterminado. Debido a que se realizará el arranque desde la red, el disco duro no será necesario.  Esto se debe a que la imagen PXE arranca y se ejecuta por completo en la memoria RAM.

 

 

Especificación del hardware: selección de red

 

Debemos seleccionar el switch lógico basado en VXLAN que creamos en pasos anteriores (DHCP-Relay).  Puede seleccionarlo en esta sección o, de lo contrario, asignar la VM a ese switch lógico.  Para realizar este paso, se debe seleccionar el switch lógico y luego hacer clic en Add, en el menú NSX Logical Switch.

  1. Seleccione la red que contenga las palabras DHCP Relay.  Es posible que el valor UUID completo del switch lógico sea distinto del de la captura de pantalla anterior, pero en solo una de las opciones se encontrarán las palabras DHCP-Relay.
  2. Haga clic en Next.

 

 

Creación completa de la VM

 

 

 

Acceso a la VM recientemente creada

 

A continuación, abriremos una consola para esta VM, la encenderemos y veremos cómo arranca a partir de la imagen PXE.  La información se recibe por medio del servidor de DHCP remoto que se configuró previamente.

  1. Seleccione PXE VM en el panel izquierdo.
  2. Seleccione la pestañaSummary.
  3. Haga clic en Launch Remote Console.

 

 

Encendido de la VM

 

Encienda la nueva VM.

 

 

Obtención del servidor DHCP desde un servidor remoto

 

Podrá observar que la VM intenta arrancar y obtener una dirección de DHCP.

 

 

Arranque con imagen

 

Aparecerá la pantalla que se muestra a continuación una vez que la VM disponga de una dirección de DHCP y esté descargando una imagen PXE desde el servidor de arranque.  Esta pantalla durará un par de minutos. Proceda con el siguiente paso.

 

 

Verificación de la concesión de DHCP

 

Mientras esperamos que la VM arranque, podemos verificar la dirección que se utiliza en las concesiones de DHCP.

 

 

Visualización de concesiones

 

Podemos ver las direcciones que tomó la VM desde el servidor de DHCP.

  1. Haga clic en las flechas para expandir las secciones.
  2. Seleccione Address Leases.
  3. Podrá observar la dirección IP 172.16.50.10, la cual se encuentra en el intervalo que creamos previamente.

 

 

Visualización de opciones

 

También podemos ver las opciones de intervalos utilizadas para arrancar la imagen PXE.

  1. Seleccione Scope Options.
  2. Notará que se utilizaron las opciones 66 y 67.

Ahora puede cerrar la ventana DHCP.

 

 

Acceso a la VM encendida

 

 

 

Verificación de la dirección y la conectividad

 

 

 

Verificación de la conectividad

 

Debido al enrutamiento dinámico ya implementado con la red virtual, hay conectividad disponible a la VM desde el momento de su creación.  A fin de verificar la conectividad, puede hacer ping desde el centro de control.

  1. Haga clic en el ícono Command Prompt ubicado en la barra de tareas.

2.     Escriba ping 172.16.50.10y presione Enter.   (Recuerde utilizar la opción ENVIAR TEXTO).

ping 172.16.50.10

Verá la respuesta de ping que envió la VM.  Ahora puede cerrar esta ventana de comando.

 

 

Conclusión

En este laboratorio, hemos completado la creación de un nuevo segmento de red y, luego, hemos retransmitido las solicitudes de DHCP desde dicha red hasta un servidor de DHCP externo.  Al realizar estos procedimientos, pudimos acceder a opciones adicionales de arranque del servidor de DHCP externo y del servidor PXE en un sistema operativo Linux.

Este laboratorio ya se ha finalizado. Le agradecemos que haya completado el laboratorio sobre retransmisión del DHCP.

 

Gateway de servicios NSX Edge: Balanceador de carga


El Gateway de servicios de NSX Edge también puede ofrecer la funcionalidad de balanceador de carga.  El uso de un balanceador de carga puede resultar provechoso, ya que conduce hacia una mejor utilización de recursos. Dicha situación incluye una utilización más eficaz de la tasa de transferencia de la red, tiempos de respuestas más cortos en las aplicaciones y la capacidad de escalar, y también puede conformar una estrategia para la redundancia de servicios.

Es posible balancear la carga de solicitudes HTTP o TCP por medio del Gateway de servicios de NSX Edge, debido a que ofrece un balanceador de carga hasta la capa 7 del modelo OSI (Open System Interconnection).  

En esta sección, creará y configurará un nuevo NSX Edge y luego modificará uno preconfigurado para implementar 2 escenarios de balanceador de carga:


 

Nueva topología de Gateway de servicios de NSX Edge

 

 

 

Inicio de sesión en vSphere Web Client

 

Si aún no inició sesión en vSphere Web Client, haga lo siguiente:

Haga clic en el ícono de la barra de tareas de Google Chrome. Debe tener vSphere Web Client como página de inicio.

  1. Seleccione la casilla junto a Use Windows session authentication.
  2. Haga clic en el botón Login.

 

 

Contracción del panel de tareas derecho para tener más espacio en la pantalla

 

 

 

Ingreso a la opción Networking Security

 

 

 

Creación de un nuevo gateway de servicios de NSX Edge

 

Deberá configurar el servicio de balanceador de carga en un nuevo gateway de servicios de NSX Edge; por lo tanto, para comenzar con el proceso de creación del nuevo dispositivo, asegúrese de que se encuentra en la sección Networking & Securityde vSphere Web Client.

  1. Haga clic en NSX Edges.
  2. Haga clic en el signo más de color verde.

 

 

Definición del nombre y del tipo

 

Para el nuevo gateway de servicios de NSX Edge, realice los siguientes ajustes:

  1. En el campo Name, ingrese el nombre: OneArm-LoadBalancer.
  2. Haga clic en el botón Next.

 

 

Configuración de la cuenta del administrador

 

  1. En el campo Password, configure la contraseña: VMware1!VMware1! .
  2. Haga clic en el botón Next.

 

 

Definición del tamaño y ubicación de la maquina virtual del NSX Edge como Balanceador de carga.

 

Hay cuatro tamaños distintos de aplicación que puede elegir para el gateway de servicios de NSX Edge con servicios de balanceador, y tienen las siguientes especificaciones (cantidad de CPU, memoria):

Podrá seleccionar un NSX Edge compacto para la nueva gateway de servicios de NSX Edge, pero tenga en cuenta que también es posible aumentar el tamaño después de la implementación.  Para continuar con la creación del gateway de servicios de NSX Edge:

 

 

Ubicación del clúster y del datastore

 

  1. Seleccione Management and Edge Cluster como la ubicación del clúster o del pool de recursos.
  2. Seleccione ds-site-a-nfs01 como la ubicación del datastore.
  3. Seleccione el host esx-04-a.corp.local.
  4. En Folder, seleccione Edges.
  5. Haga clic en OK.

 

 

Confirmación de la ubicación y el tamaño del NSX Edge

 

Verifique que se haya seleccionado el Datacenter, que el tamaño seleccionado para el nuevo NSX Edge sea Compact y que se haya marcado la casilla Deploy NSX Edge. Una vez que haya confirmado estos ajustes:

 

 

Ubicación de una nueva interfaz de red en NSX Edge

 

Debido a que es un balanceador de carga de enlace único (One-Arm), necesitará únicamente una interfaz de red.  Durante esta etapa del proceso del nuevo NSX Edge, deberá asignarle a este un nuevo adaptador de red y configurarlo.  

 

 

Configuración de la nueva interfaz de red para NSX Edge

 

Aquí, deberá configurar la primera interfaz de red para este nuevo NSX Edge.  

  1. Cambie el nombre de la interfaz nueva a WebNetwork.
  2. En Type, marque Internal.
  3. Haga clic en el enlace Select.

 

 

Selección de la red para la nueva interfaz del NSX Edge

 

Esta interfaz del balanceador de carga de enlace único (One -Arm) deberá estar en la misma red que los dos servidores web a los que este NSX Edge les suministrará servicios de balanceador de carga.

  1. Seleccione la pestaña Logical Switch para que se muestren todos los switches lógicos.
  2. Haga clic en el botón de selección de la opción Web-Tier-01 - 5001.
  3. Haga clic en OK.

 

 

Configuración de las subredes

 

A continuación, deberá configurar una dirección IP para esta interfaz.

 

 

Configuración de las ventanas emergentes de las subredes

 

Para agregar una dirección IP nueva a esta interfaz:

  1. Ingrese la dirección 172.16.10.10 como dirección IP.
  2. En Subnet Prefix Length, escriba 24.
  3. Haga clic en OK.

 

 

Confirmación de la lista de interfaces

 

Revise las selecciones y los ajustes realizados.

 

 

Configuración de la puerta de enlace predeterminada (Default Gateway)

 

En la siguiente sección sobre el aprovisionamiento de un nuevo NSX Edge, podrá configurar la gateway predeterminada para esta gateway de servicios de NSX Edge.  Para configurar la puerta de enlace:

  1. Ingrese la dirección 172.16.10.1 como IP de la gateway.
  2. Haga clic en el botón Next.

 

 

Configuración de las opciones de firewall y HA

 

Para ahorrar tiempo en el futuro, puede configurar algunas opciones predeterminadas de firewall y habilitar alta disponibilidad en el gateway de servicios de NSX Edge (HA, High Availability).  Ninguna función es relevante en esta sección particular del módulo. Por lo tanto, para continuar realice la siguiente configuración:

  1. Seleccione la casilla Configure Firewall default policy.
  2. Marque Accept en el campo Default Traffic Policy.
  3. Haga clic en Next.

 

 

Verificación de la configuración general

 

 

 

Monitoreo de la implementación

 

Para monitorear la implementación del gateway de servicios de NSX Edge:

Después de eso, debería poder ver el avance de la implementación de NSX Edge.  

 

 

Configuración del servicio de balanceador de carga

 

A continuación, se muestra la topología final del servicio de balanceador de carga suministrado por el gateway de servicios de NSX Edge que implementó recientemente.  Para comenzar, desde la opción NSX Edges del complemento de redes y seguridad de vSphere Web Client, haga doble clic en el NSX Edge que acaba de crear para ir a la página de administración.

 

 

Configuración de la función de balanceador de carga en OneArm Load Balancer

 

 

 

Navegación hacia la página de administración del nuevo NSX Edge

 

  1. Haga clic en la subpestaña Load Balancer.
  2. Haga clic en Global Configuration.
  3. Haga clic en el botón Edit para ir a la ventana emergente  Edit Load balancer global configuration.

 

 

Ventana Edit Load Balancer Global Configuration

 

Para habilitar el servicio de balanceador de carga,

  1. marque la casilla correspondiente a Enable Load Balancer.
  2. Haga clic en OK.

 

 

Creación de un nuevo perfil de aplicación

 

Un perfil de aplicación es la manera en la que se define el comportamiento de una clase típica de tráfico de red.  Estos perfiles se aplican luego a un servidor virtual (VIP), el cual después se encarga del tráfico en conformidad con los valores especificados en el perfil de aplicación.  

Mediante la utilización de perfiles, las tareas de administración de tráfico son más eficaces y presentan menos errores.  

  1. Haga clic en Application Profiles.
  2. Haga clic en elsigno más de color verde para que se abra la ventana emergente New Profile.

 

 

Configuración de un HTTPS para el nuevo perfil de aplicación

 

Para el nuevo perfil de aplicación, configure los siguientes parámetros:

  1. Name: OneArmWeb-01
  2. Type: HTTPS
  3. Marque la casilla Enable SSL Passthrough. Esto permitirá que el HTTPS termine en el servidor de pools.
  4. Haga clic en OKcuando haya finalizado.

 

 

Modificación del monitor predeterminado de HTTPS

 

Los monitores garantizan que los miembros del pool que brindan servicios al servidor virtual funcionen correctamente. El monitor predeterminado de HTTPS realizará un comando de "GET" en los parámetros "/". Modificaremos el monitor predeterminado para realizar una comprobación del estado en la URL específica de la aplicación. Esto ayudará a determinar que el servidor miembro del pool y la aplicación están funcionando correctamente.

  1. Haga clic en Service Monitoring.
  2. Haga clic en default_https_monitor y resalte la opción.
  3. Haga clic en el ícono de lápiz.
  4. {2} Introduzca la URL /cgi-bin/hol.cgi.
  5. Haga clic en OK.

 

 

Creación de un pool nuevo

 

Un pool es la entidad que representa los nodos (servidores) hacia los cuales se balanceará el tráfico.  Deberá agregar los dos servidores web (web-01a y web-02a)a) a un pool nuevo. Para crear un pool nuevo, primero debe hacer lo siguiente:

  1. Haga clic en Pools.
  2. Haga clic en el signo más de color verde para abrir la ventana emergente Edit Pool.

 

 

Configuración de un pool nuevo

 

Para configurar el pool nuevo, ajuste estos parámetros:

  1. Name: Web-Tier-Pool-01
  2. Monitors: default_https_monitor
  3. Haga clic en el signo más de color verde.

 

 

Incorporación de miembros al pool

 

  1. Escriba web-01a como nombre del pool.
  2. Introduzca 172.16.10.11 como la dirección IP.
  3. Introduzca el número 443 en el campo Port.
  4. Introduzca el número 443 en el campo Monitor Port.
  5. Haga clic en OK.

 

Repita los pasos para agregar un miembro de pool más con la información que se brinda a continuación.

 

 

Almacenamiento de la configuración del pool

 

 

 

Creación de un servidor virtual nuevo

 

Un servidor virtual es la entidad que acepta el tráfico que proviene del "front end" de una configuración de servicio con balanceador de carga.  El tráfico de usuarios se dirige hacia la dirección IP que representa el servidor virtual y, luego, se redistribuye hacia los nodos en el "back end" del balanceador de carga. Para configurar un servidor virtual nuevo en este gateway de servicios de NSX Edge, primero debe hacer lo siguiente:

  1. Haga clic en Virtual Servers.
  2. Haga clic en el signo más de color verde para abrir la ventana emergente New Virtual Server.

 

 

Configuración de un nuevo servidor virtual

 

Configure las siguientes opciones para el nuevo servidor virtual:

  1. Para este servidor virtual, use el nombre Web-Tier-VIP-01.
  2. Ingrese la dirección 172.16.10.10 como dirección IP.
  3. Seleccione HTTPS como el protocolo.
  4. Seleccione Web-Tier-Pool-01.
  5. Haga clic en OKpara finalizar la creación del nuevo servidor virtual.

 

 

Prueba de acceso al servidor virtual

 

  1. Haga clic en una nueva pestaña del navegador.
  2. Haga clic en el marcador favorito One-Arm Load Bala...
  3. Haga clic en Advanced.

 

 

Omisión de un error SSL

 

 

 

Prueba de acceso al servidor virtual

 

Ahora, ya debería poder acceder al balanceador de carga de enlace único que acaba de configurar.  

 

 

Visualización de estadísticas del pool

 

Para ver el estado de los miembros del pool:

  1. Haga clic en Pools.
  2. Haga clic en Show Pool Statistics.
  3. Haga clic en pool-1.

Aparecerá el estado actual de cada miembro.

 

 

Monitoreo (comprobación del estado) de la mejora de la respuesta

 

Para facilitar la solución de problemas, el comando show ...pool del balanceador de carga de NSX 6.2 brindará una descripción informativa de las fallas de los miembros del pool. Crearemos dos fallas distintas y examinaremos la respuesta mediante los comandos show en el Gateway NSX Edge balanceador de carga.

  1. Escriba LoadBalancer en la esquina superior derecha del cuadro de búsqueda de vSphere Web Client.
  2. Haga clic en OneArm-LoadBalancer-0.

 

 

Apertura de la consola del balanceador de carga de la consola

 

  1. Haga clic en la pestaña Summary.
  2. Haga clic en Launch Remote Console.

Nota: La consola se abrirá en una nueva pestaña del navegador.

 

 

Inicio de sesión en OneArm-LoadBalancer-0

 

  1. Inicie sesión con el usuario admin y la contraseña VMware1!VMware1!.

 

 

Instrucciones especiales para los comandos CLI

 

Muchos de los módulos requerirán que ingrese comandos de interfaz de línea de comando (CLI).  Existen dos maneras de enviar comandos CLI al laboratorio.

En primer lugar, para enviar un comando CLI a la consola del laboratorio, siga los siguientes pasos:

  1. Resalte el comando CLI en el manual y use Control+c para copiarlo al portapapeles.
  2. Haga clic en el elemento del menú de la consola ENVIAR TEXTO.
  3. Presione Control+v para pegarlo del portapapeles a la ventana.
  4. Haga clic en el botón ENVIAR.

En segundo lugar, en el escritorio del entorno, encontrará un archivo de texto (README.txt) en el que se le proporcionan todas las cuentas de usuario y contraseñas.

 

 

Análisis del estado del pool antes de una falla

 

Utilice el nombre de usuario "admin" y la contraseña "VMware1!VMware1!" para iniciar sesión.  

show service loadbalancer pool

Nota: El estado del miembro del pool web-sv-01a figura como UP.

 

 

Inicio de PuTTY

 

 

 

SSH a web-sv-01a

 

  1. Desplácese hacia web-01a.corp.local.
  2. Seleccione web-01a.corp.local.
  3. Haga clic en Load.
  4. Haga clic en Open.

 

 

Interrupción del servicio HTTPD

 

Desactivaremos el HTTPS para simular la primera falla.

service httpd stop

 

 

Consola del balanceador de carga

 

show service loadbalancer pool

Debido a que el servicio está caído, el detalle de la falla muestra que el cliente no pudo establecer una sesión SSL.

 

 

Reinicio del servicio HTTPD

Vuelva a la sesión SSH de Putty a 172.16.10.11.

{5} Escribaservice httpd start.

service httpd start

 

 

Apagado de web-01a

 

  1. Escriba web-01a en el cuadro de búsqueda que se encuentra en la esquina superior derecha de vSphere Web Client.
  2. Haga clic en web-01a.

 

 

Apagado de web-01a

 

  1. Haga clic en Actions.
  2. Haga clic en Power.
  3. Haga clic en Power Off.

 

 

Consola integrada en el balanceador de carga

 

 

 

Comprobación del estado del pool

 

show service loadbalancer pool

Debido a que ahora la VM está apagada, el detalle de la falla muestra que el cliente no pudo establecer una conexión L4 en comparación con la conexión L7 (SSL) en el paso anterior.

 

 

Encendido de web-01a

 

  1. Haga clic en Actions.
  2. Haga clic en Power.
  3. Haga clic en Power On.

 

Gateway de servicios de NSX Edge: (Offload) descarga de SSL en el balanceador de carga



 

Descarga de SSL: terminación de la sesión SSL en el balanceador de carga

 

En la próxima sección, se le presentará la terminación SSL en el servicio con balanceador de carga.  Esto le permitirá terminar la sesión SSL en el balanceador de carga.  Además, podrá utilizar HTTP entre el balanceador de carga y los servidores miembros del pool.  

Configuraremos edge-1.

  1. Haga clic en el ícono Home.
  2. Haga clic en Networking & Security.

 

 

Navegación hacia la página de administración de Perimeter-Gateway

 

  1. Haga clic en NSX Edges.
  2. Haga doble clic en edge-2 Perimeter-Gatewaypara ingresar a la página de administración de NSX Edge.

 

 

Generación del certificado SSL

 

Primero, deberá generar un certificado autofirmado. Para comenzar, haga lo siguiente:

  1. Haga clic en el botón Settings.
  2. Haga clic en Certificates.
  3. Haga clic en el botón Actions.
  4. Seleccione Generate CSR para abrir la ventana emergente con el fin de generar una solicitud de firma del certificado (CSR, Certificate Signing Request).

 

 

Generación de una solicitud de firma del certificado

 

Para los parámetros de la solicitud de firma de este certificado:

  1. En los campos Common Name Y Organization Name, escriba web-app.corp.local.
  2. Escriba VMWorlden Organization Unit.
  3. En Locality, escriba San Francisco.
  4. Ingrese CA en State.
  5. En Country, seleccione United States [US].
  6. Haga clic en el botón OKpara continuar.

 

 

Autofirma de la solicitud de firma del certificado

 

A continuación, firmará la solicitud de firma del certificado que generó en el paso anterior.

  1. Haga clic en Actions.
  2. Seleccione Self Sign Certificate.

 

 

 

Configuración del certificado de vida útil

 

  1. Ingrese "365" en el campo Number of days para que el certificado autofirmado sea válido.
  2. Haga clic en OK.

 

 

Comprobación de la creación del certificado autofirmado

 

En Type, podrá observar una entrada Self-Signed enviada a web-app.corp.local.

Ahora que ya tiene el certificado listo para la terminación SSL, es hora de asignar este certificado a un nuevo perfil de aplicación configurado para la terminación SSL.

 

 

Creación de un nuevo perfil de aplicación para la terminación SSL

 

Existe un perfil de aplicación del balanceador de carga para SSL-Passthrough escuchando en modo escucha en el servidor virtual externo.    Deberá crear un nuevo perfil de aplicación para la descarga de SSL.

  1. Haga clic en la pestaña Load Balancer.
  2. Haga clic en Application Profiles.
  3. Haga clic en el signo más de color verde para crear un nuevo perfil de aplicación.

 

 

Configuración de un nuevo perfil de aplicación (terminación SSL)

 

Para este nuevo perfil de aplicación, usaremos la siguiente configuración:

  1. Name: Web-SSL-Term-Profile-01
  2. Type: HTTPS
  3. Marque la casilla junto a Configure Service Certificate. De esta manera, el certificado que creó estará disponible.
  4. Haga clic en OK.

 

 

Topología del balanceador de carga de enlace doble

 

Para comprender mejor el proceso que llevará a cabo, observe la topología que se muestra a continuación. Desde controlcenter, visitará un servidor virtual ubicado en la dirección IP 192.168.100.4. El gateway de servicios de NSX Edge ubicado en esa dirección estará a cargo de la terminación SSL y reenviará paquetes HTTP a web-sv01ayy web-sv-02a.

A continuación, deberá configurar un nuevo pool.

 

 

Creación de un pool nuevo

 

  1. Haga clic en Pools.
  2. Haga clic en el signo más de color verde para abrir la ventana emergente New Pool.

 

 

Configuración del pool nuevo

 

Para configurar el pool nuevo, ajuste los siguientes parámetros:

  1. En Name, escriba Web-Tier-Pool-02.
  2. Haga clic en el signo más de color verde para abrir una ventana emergente en la cual seleccionará a los miembros del pool.

 

 

Incorporación de web-sv-01 y web-sv-02 como miembros del pool

 

  1. Escriba web-01a como nombre del pool.
  2. Introduzca 172.16.10.11 como la dirección IP.
  3. Introduzca el número 80 en el campo Port.
  4. Introduzca el número 80 en el campo Monitor Port.
  5. Haga clic en OK.

 

 

Almacenamiento de la configuración del pool

 

1.     Vuelva a realizar el proceso descrito anteriormente para configurar los siguientes parámetros:

2.     Haga clic en OK.

 

 

Modificación del servidor virtual actual para la descarga de SSL

 

  1. Haga clic en Virtual Servers.
  2. Haga clic en el ícono de lápiz para editar el servidor virtual actual.

 

 

Edición de la configuración del servidor virtual

 

Esto le permitirá a un cliente externo crear una sesión SSL que terminará en el balanceador de carga, y completar la sesión usando HTTP desde el balanceador de carga hasta el servidor miembro del pool.

Para editar los ajustes del servidor actual, haga lo siguiente:

  1. En Application Profile, seleccione Web-SSLTerm-Profile-01.
  2. Escriba Web-Tier-SSL-01 como nombre del servidor virtual.
  3. Introduzca 192.168.100.4 como la dirección IP.
  4. En Default Pool, seleccione Web-Tier-Pool-02.
  5. Haga clic en OKcuando haya finalizado.  Ahora, ya debería poder probar la funcionalidad del balanceador de carga.

 

 

Aceptación del certificado de seguridad

 

Haga clic en una nueva pestaña del navegador.

  1. Haga clic en el marcador SSL-Offload-Web....
  2. Haga clic en Advanced.

 

 

Navegación hacia la pantalla de la aplicación

 

 

 

Confirmación de la funcionalidad del balanceador de carga

 

Se mostrará una página web para la aplicación de múltiples niveles.

 

Módulo 5: políticas de seguridad e inserción de servicios (30 minutos)

Service Composer


Service Composer es una herramienta integrada que define un modelo nuevo para el consumo de servicios de seguridad y redes. Le permite aprovisionar y asignar políticas de firewall y servicios de seguridad a las aplicaciones en tiempo real en una infraestructura virtual. Las políticas de seguridad se asignan a grupos de máquinas virtuales, y la política se aplica automáticamente a máquinas virtuales nuevas a medida que se agregan al grupo.

Desde un punto de vista práctico, NSX Service Composer es una interfaz de configuración que permite que los administradores aprovisionen, apliquen y automaticen servicios de seguridad de redes (como protección contra malware o antivirus, instrucciones por segundo (IPS, Instructions Per Second), prevención de pérdida de datos (DLP, Data Leakage Prevention), reglas de firewall, etc.) de manera centralizada y coherente. Esos servicios pueden estar disponibles de manera nativa en NSX o pueden mejorarse mediante soluciones de terceros.

En este módulo, se mostrará de qué manera se identifica y aísla dinámicamente una máquina virtual que no cumplió con las normas de la industria de tarjetas de pago (PCI, Payment Card Industry) mediante el uso de Service Composer y la función nativa de seguridad de datos de NSX.

Este módulo cuenta con 3 secciones:

  1. Service Composer
  2. Service Insertion
  3. Data Security

En la sección 1, utilizaremos Service Composer para crear grupos de seguridad y políticas de seguridad. Aprenderá cómo se crean los grupos de seguridad con inclusión estática e inclusión dinámica. Creará 2 grupos de seguridad y 2 conjuntos de políticas de seguridad vinculadas a los grupos de seguridad, como se muestra en el diagrama a continuación. El grupo de seguridad "No CDE" (Entorno de datos del titular de la tarjeta: el entorno de la tarjeta de crédito donde se procesa toda la información del titular) se creará mediante la adición de una única VM "win8-01a".  Esta VM representa una VM que no forma parte del entorno de datos del titular de la tarjeta (CDE, Cardholder Data Environment) y no debe contener ningún dato del titular. Luego, creará un grupo de seguridad con el nombre "PCI-Violation" cuyos miembros se crearán mediante una etiqueta de seguridad que se asigna de manera dinámica por medio del escaneo de seguridad de datos. También creará 2 políticas de seguridad "Non-CDE Security policy", lo que permitirá el acceso no restringido desde/hacia la VM "Win8-01a" y "PCI-Violation Security Policy" para aislar la VM en caso de detectarse datos confidenciales y restringir cualquier comunicación desde/hacia la VM ya que no se cumple la regulación de PCI.

En la sección 2, modificaremos la política de seguridad "Políticas de seguridad para PCI-Violation" para agregar Data Security como servicio.

En la sección 3, configuraremos los patrones de datos y el alcance del escaneo de Data Security, y escanearemos manualmente la VM "win8-01a". Hemos incluido algunos datos confidenciales en la VM. Como resultado del escaneo, a la VM se le asignará la etiqueta "vmware.datasecurity.violating", la cual se ajustará al criterio establecido para el grupo de seguridad "PCI-Violation".

En este módulo, se muestra el poder de Service Composer y de qué manera puede aprovecharse para cambiar el enfoque de seguridad en torno a una maquina virtual o a un grupo de maquinas virtuales, y aislarlos sin modificar la ubicación física ni la infraestructura subyacente. Los mismos principios de este módulo pueden aprovecharse para agregar servicios de seguridad avanzados de terceros.

Nota: CDE = Entorno de datos del titular de la tarjeta (Card Holder Data Enviroment)

 

 


 

Diagrama y explicación del escenario

 

 

 

Inicio de sesión en vCenter

 

Haga clic en Chrome en la barra de tareas.

 

 

Ampliación del panel de acciones

 

Para ampliar los paneles de acciones:

  1. Haga clic en x.
  2. Haga clic en x.
  3. Haga clic en el alfiler.

 

 

Selección de Networking and Security

 

 

 

Creación de un grupo de seguridad para una carga de trabajo de no CDE

 

  1. Haga clic en Service Composer.
  2. Haga clic en Security Groups.
  3. Haga clic en el signo más para crear grupos de seguridad.

 

 

Grupo de seguridad nuevo (inclusión estática)

 

Primero, crearemos un grupo de seguridad estático que contendrá las VM que no forman parte del CDE.

  1. Escriba el nombre del grupo de seguridad.
  2. Opcional: Ingrese una descripción o anote el propósito de los grupos.
  3. Haga clic en Select objects to include.

 

 

Opción Select Object to include

 

  1. Haga clic en el menú desplegable de Object Type.
  2. Desplace el cursor hacia abajo y seleccione Virtual Machine.

 

 

Selección de la máquina virtual

 

  1. Seleccione win8-01a.
  2. Arrástrela hasta Selected Objects.
  3. Haga clic en Finish.

 

 

Creación de políticas de seguridad para no CDE

 

 

 

Continuación de la creación de políticas de seguridad

 

Haga clic para crear una política nueva.

 

 

Continuación de la creación de políticas de seguridad

 

  1. Escriba Non-CDE Security Policy como nombre de la política de seguridad.
  2. Haga clic en Firewall Rules.

 

 

Creación de reglas de firewall

 

 

 

Continuación de la creación de reglas de firewall

 

  1. Escriba Allow from Non-CDE to any como nombre de la primera regla de firewall.
  2. Marque Allow.
  3. Marque Log.
  4. Haga clic en Change para crear servicios permitidos.

 

 

Habilitación de ICMP como servicio

 

  1. Marque Select services and service groups.
  2. Escriba ICMP Echo en el campo del filtro y presione Enter.
  3. Marque ICMP Echo Reply.
  4. Marque ICMP Echo.

 

 

Habilitación de SMB como servicio

 

  1. Escriba SMB en el campo del filtro y presione Enter.
  2. Marque SMB.
  3. Marque Server Message Block (SMB).
  4. Haga clic en OK.

 

 

Haga clic en OK para guardar la configuración.

 

Tenga en cuenta que tiene (4 seleccionados) del paso anterior.

 

 

Creación de una segunda regla de firewall

 

 

 

Continuación de la creación de una segunda regla de firewall

 

  1. Escriba Allow ANY to Non-CDE como nombre.
  2. Marque Allow.
  3. Marque Log.
  4. Haga clic en Change.

 

 

Selección del origen

 

  1. Marque Any como el origen.
  2. Haga clic en OK.

 

 

Definición de los servicios

 

 

 

Habilitación de ICMP como servicio

 

  1. Marque Select services and service groups.
  2. Escriba ICMP Echo en el campo del filtro y presione Enter.
  3. Marque ICMP Echo Reply.
  4. Marque ICMP Echo.

 

 

Habilitación de SMB como servicio

 

  1. Escriba SMB en el campo del filtro y presione Enter.
  2. Marque SMB.
  3. Marque Server Message Block (SMB).
  4. Haga clic en OK.
  5. Vuelva a hacer clic en OK en la pantalla siguiente para guardar la configuración.

 

 

Finalización de la creación de reglas de firewall

 

 

 

Aplicación de la política al grupo de seguridad

 

  1. Haga clic en Actions.
  2. Haga clic en Apply Policy.

 

 

Aplicación de la política al grupo de seguridad

 

  1. Marque la casilla junto a Non-CDE.
  2. Haga clic en OK para finalizar la aplicación.

 

 

Verificación de la asociación exitosa de la política de seguridad al grupo de seguridad

 

 

 

Retorno a la opción Firewall

 

 

 

Continuación de la verificación de la creación de reglas

 

 

 

Verificación del funcionamiento de las reglas de firewall

 

 

 

Instrucciones especiales para los comandos CLI

 

Muchos de los módulos requerirán que ingrese comandos de interfaz de línea de comando (CLI).  Existen dos maneras de enviar comandos CLI al laboratorio.

En primer lugar, para enviar un comando CLI a la consola del laboratorio, siga los siguientes pasos:

  1. Resalte el comando CLI en el manual y use Control+c para copiarlo al portapapeles.
  2. Haga clic en el elemento del menú de la consola ENVIAR TEXTO.
  3. Presione Control+v para pegarlo del portapapeles a la ventana.
  4. Haga clic en el botón ENVIAR.

En segundo lugar, en el escritorio del entorno, encontrará un archivo de texto (README.txt) para que pueda copiar y pegar con facilidad contraseñas o comandos complejos en las herramientas asociadas (CMD, Putty, consola, etc.). Algunos teclados que existen a veces no cuentan con ciertos caracteres.  Este archivo de texto también se incluye para diseños de teclados que no incluyen esos caracteres.

El archivo de texto se llama README.txt y se encuentra en el escritorio.  

 

 

Verificación del servicio de ICMP y SMB que funciona en win8-01a

 

1.    Escriba ping win8-01a.

ping win8-01a

2.    Escriba net use x: \\win8-01a\c$.  

net use x: \\win8-01a\c$

3.    Escribadir x:.

dir x:

Verifique que se hayan "enviado pings" a win8-01a y que se haya completado el comando "net use" de manera exitosa. También puede ver el contenido del directorio mapeado.

 

 

Creación de un grupo de seguridad para maquinas virtuales que no cumplen con las normas de PCI

 

 

 

Comienzo de la creación de un grupo de seguridad nuevo

 

  1. Haga clic en Security Groups.
  2. Haga clic en el signo más de color verde para crear un grupo de seguridad nuevo.

 

 

Creación de un grupo de seguridad nuevo para aislar maquinas virtuales no CDE que incluyen información confidencial

 

  1. Escriba PCI-Violation como nombre.
  2. Haga clic en Next.

 

 

Definición de membresía dinámica

 

  1. Haga clic en el menú desplegable.
  2. Seleccione la opción Security Tag.

 

 

Especificación del nombre de la etiqueta

 

  1. Escriba vmware.datasecurity.violating.PCI como nombre de la etiqueta.
  2. Haga clic en Finish.
vmware.datasecurity.violating.PCI

 

 

Creación de políticas de seguridad para aislar maquinas virtuales que no cumplen con las normas de PCI

 

  1. Haga clic en Security Policies.
  2. Haga clic en el ícono Create Security Policy.

 

 

Creación de políticas de seguridad nuevas

 

  1. Escriba PCI-Violation Security Policy como nombre.
  2. Haga clic en Firewall Rules.

 

 

Inicio de la creación de reglas de firewall

 

 

 

Creación de reglas de firewall

 

  1. Escriba Block PCI-Violation to ANYcomo nombre.
  2. Marque la opción Block.
  3. Marque Log.
  4. Haga clic en OK.

 

 

Creación de otra regla de firewall

 

 

 

Definición de la regla de firewall

 

  1. Escriba Block ANY to PCI-Violation como nombre.
  2. Haga clic en Block.
  3. Haga clic en Log.
  4. Haga clic en Change.

 

 

Selección del origen para la regla

 

  1. Haga clic en Any.
  2. Haga clic en OK.

 

 

Finalización de la creación de la regla de firewall

 

 

 

Finalización de la creación de políticas de seguridad

 

 

 

Verificación de la creación de políticas de seguridad

 

  1. Verifique la creación de las políticas de seguridad mediante PCI-Violation Security Policy.
  2. Verifique que en estado, debajo de Sync Status, se muestre Successful.

 

 

Aplicación de las políticas de seguridad a un grupo de seguridad

 

  1. Haga clic en Actions.
  2. Seleccione Apply Policy.

 

 

Aplicación de las políticas de seguridad

 

  1. Marque la casilla junto a PCI-Violation.
  2. Haga clic en OK.

 

 

Verificación de la creación de reglas de firewall en una tabla global

 

 

 

Continuación de la verificación de la creación de reglas

 

En esta sección, no podremos realizar la verificación de la aplicación de las políticas de seguridad, ya que, a partir de ahora, no habrá maquinas virtuales que no cumplan con los requisitos de PCI.

En la siguiente sección, utilizaremos la inserción de servicios para mejorar la seguridad e introducir Data Security como servicio para identificar maquinas virtuales que no cumplieron con las normas de PCI.

 

Service Insertion


La plataforma de virtualización de redes de NSX brinda funciones de firewall sin pérdida de estado de nivel 2 a nivel 4 para ofrecer segmentación dentro de las redes virtuales. En algunos entornos, se necesitan capacidades de seguridad de red más avanzadas. En estos casos, los clientes pueden aprovechar VMware NSX para distribuir, habilitar y garantizar servicios avanzados de seguridad de red. En esta sección, presentaremos el servicio nativo de Data Security, que nos ayudará a identificar los datos de las tarjetas de crédito en una carga de trabajo de no CDE (entorno de datos del titular de la tarjeta). La función Data Security requiere la instalación de máquinas virtuales de servicios de introspección de invitados y Data Security antes de identificar información confidencial almacenada en maquinas virtuales virtuales.

En esta sección, instalaremos la VM del servicio de Data Security y agregaremos NSX Data Security a las implementaciones del servicio para que pueda utilizarse.  Luego, modificará la política de seguridad existente "Política de seguridad de no CDE", que se creó en la sección anterior, e introducirá Data Security como servicio.


 

Adición de Data Security como implementación de servicios

 

Vaya a la pestaña Installation para instalar Data Security.

  1. Haga clic en Installation.
  2. Haga clic en Deployments.
  3. Haga clic en el signo más de color verde.

 

 

Selección de VMware Data Security

 

  1. Seleccione la casilla junto a VMware Data Security.
  2. Haga clic en Next.

 

 

Selección del clúster

 

  1. Marque la casilla junto a Compute Cluster B.
  2. Haga clic en Next.

 

 

Configuración de la red para administración

 

  1. Seleccione vds_site_a_Management Network.
  2. Haga clic en Next.
  3. Haga clic en Finish.

 

 

Confirmación de la implementación exitosa de Data Security

 

La implementación de Data Security en el clúster tardará unos minutos (aproximadamente 3 minutos).

 

 

Modificación de las políticas de seguridad para agregar Data Security

 

  1. Haga clic en Service Composer.
  2. Haga clic en Security Policies.
  3. Seleccione la política de seguridad Non-CDE Security Policy.
  4. Haga clic en el ícono que se muestra en la captura de pantalla para editar la política de seguridad.

 

 

Edición de las políticas de seguridad e introducción del servicio de Data Security

 

 

 

Adición del servicio de introspección de invitados

 

 

 

Creación del servicio de introspección de invitados

 

  1. Escriba Data Security como nombre del servicio.
  2. Configure Enforce en Yes.
  3. Haga clic en OK.

 

 

Verificación de la creación del servicio de Data Security

 

Eso es todo lo se requería para agregar el servicio de Data Security. En la sección siguiente, configuraremos el patrón de datos para realizar búsquedas en una carga de trabajo y también el alcance del escaneo.

 

Data Security


Con VMware NSX Data Security, se escanean y analizan datos en máquinas virtuales y se informa la cantidad de infracciones detectadas, como también los archivos que infringieron la política. Fundamentalmente, permite la visibilidad de cualquier dato confidencial que se encuentre en el entorno. Gracias a las infracciones que NSX Data Security informa, usted puede garantizar que los datos confidenciales se protejan de manera adecuada y evaluar el cumplimiento de las normas en todo el mundo. Para comenzar a utilizar NSX Data Security, cree una política que defina las normas que se aplican a la seguridad de datos en la organización y especifique las áreas del entorno y los archivos que se van a escanear. Una norma se compone de módulos de contenido, que identifican el contenido confidencial que se debe detectar. NSX es compatible únicamente con las normas relacionadas con PCI, información médica confidencial (PHI, Protected Health Information) e información de identificación personal (PII, Personally Identifiable Information).

Cuando inicia el escaneo de Data Security, NSX analiza los datos en las máquinas virtuales del inventario de vSphere e informa la cantidad de infracciones detectadas y los archivos que no infringieron la política.En esta sección, configuraremos Data Security, seleccionaremos el patrón que deseamos identificar en la carga de trabajo y también realizaremos un escaneo para determinar todos aquellos datos confidenciales que coincidan con el patrón que reside en la VM en nuestro escenario, que es "win8-01a". En nuestro caso, le hemos presentado un ejemplo de PCI, pero puede realizar una selección a partir de una amplia lista de normas y también crear sus propios patrones personalizados mediante el uso de comodines.


 

Configuración de Data Security

 

  1. Haga clic en Data Security.

 

 

Administración de Data Security

 

  1. Haga clic en Manage.
  2. Haga clic en Edit.

 

 

Visualización de todas las plantillas normativas

 

Hay más de 90 plantillas que abarcan normas, estados y países.

 

 

Filtrado y selección de una plantilla de PCI-DSS

 

  1. Ingrese PCI en el campo del filtro y presione Enter (el campo del filtro distingue entre mayúsculas y minúsculas).
  2. Marque la casilla.
  3. Haga clic en Next.

 

 

Finalización de la selección de la norma y el criterio

 

 

 

Publicación del cambio

 

 

 

Inicio del escaneo de Data Security

 

 

 

Monitoreo del escaneo de Data Security

 

Observe que el estado cambió a In Progress. También se muestran los botones Stop y Pause.

 

 

Verificación del avance del escaneo de seguridad

 

En el campo Current Scan Status, se muestra In Progress y, además, el color cambió a turquesa.

Un escaneo normal dura entre 3 y 7 minutos según el alcance del escaneo.

 

 

Finalización del escaneo

 

Una vez que finalice el escaneo, el color cambiará a púrpura. Observe que arriba de View Regulations Violated Report se muestra el tipo de infracción (PCI-DSS) y que arriba de View VM's Regulations Report se muestra el nombre de la VM que infringió las normas de PCI.

 

 

Finalización del informe de escaneo

 

Observe que en el campo Regulations Violated se muestra PCI-DSS y que en el campo Count aparece un 1. Para ver los archivos que infringieron la regulación, haga clic en el menú desplegable View Report.

 

 

Visualización de informes

 

 

 

Informe detallado

 

Si selecciona la opción Violating files, se mostrará información detallada sobre la carga de trabajo que infringió las normas, el nombre de la VM, la información del clúster, la ubicación del archivo, la fecha de modificación del archivo, etc.

 

 

Visualización de la opción Canvas

 

 

 

La VM que infringe las normas se muestra en el grupo de seguridad PCI-Violation.

 

  1. Haga clic en Canvas.
  2. En PCI-Violation, haga clic en el ícono como se muestra en la captura de pantalla.

Como resultado del incumplimiento, se muestra la VM win8-01a en el grupo de seguridad PCI-Violation. A continuación, verificaremos la aplicación de etiquetas en la VM.

 

 

Verificación de la aplicación de etiquetas

 

  1. Pase el mouse sobre el ícono Home.
  2. Haga clic en VMs and Templates.

 

 

Verificación de la aplicación de etiquetas en una carga de trabajo

 

  1. Expanda la vista.
  2. Haga clic en win8-01a.
  3. Observe la aplicación de la etiqueta en la sección Security Tags.

 

 

Verificación del funcionamiento de las reglas de firewall

 

 

 

Verificación del funcionamiento de las políticas de seguridad aplicadas al grupo de seguridad PCI-Violation

 

1.   Escriba ping win8-01a.

ping win8-01a

2.   Escriba net use. Tenga en cuenta que el uso de red existente de X todavía existe, pero

net use 

3.   Ingrese dir x:.  Verá que no se recupera ninguna información.

dir x:

En la sección anterior, pudo enviar pings a la VM win8-01a, después de que se bloqueara el ping de infracción. Además, el comando net use da error. Esto se dio como resultado de la aplicación de una etiqueta dinámica y del uso de esa misma etiqueta para aplicar políticas de seguridad que restringen el acceso a la carga de trabajo. En una situación real, es posible que desee otorgar acceso administrativo a la carga de trabajo a fin de realizar un análisis meticuloso. Para simplificar el proceso, hemos restringido el acceso.

NSX Service Composer ofrece grandes posibilidades: usted puede crear una cantidad casi infinita de asociaciones entre grupos de seguridad y políticas de seguridad para automatizar de manera eficaz el modo en que se consumirán los servicios de seguridad en el centro de datos definido por el software.

 

Módulo 6: monitoreo y visibilidad (45 minutos)

Traceflow


VMware NSX 6.2 incorpora nuevas funciones para asistirlo en el monitoreo de la red virtual y brindarle, además, una mejor visibilidad del paquete de solución de problemas.  La nueva función de la versión 6.2 es Traceflow (flujo de seguimiento), que le permite realizar el seguimiento de un paquete desde el origen hasta el destino.  Mediante el monitoreo de flujo, usted podrá monitorear los flujos entre el origen y el destino y ponerlos en correlación con las reglas de firewall.  Con el monitoreo de actividad, podrá monitorear las aplicaciones que los usuarios utilizan en su entorno virtual.


 

Inicio del navegador web

 

 

 

Inicio de sesión en vCenter

 

  1. Marque la casilla junto a Use Windows session authentication.
  2. Haga clic en Login.

 

 

Ingreso a la opción Networking Security

 

 

 

Inicio de Traceflow

 

Traceflow es una nueva función de NSX 6.2 y le permite introducir paquetes en la vNIC sin utilizar el sistema operativo de la máquina virtual invitada y realizar un seguimiento de los paquetes a través de la red hasta la vNIC de destino sin necesidad de usar el sistema operativo de destino.  Esto le ayuda a identificar los problemas entre la red física y la red virtual, lo que mejora las capacidades operacionales y de solución de problemas.  Además, permite la separación de tareas ya que ahora un ingeniero de redes puede realizar un seguimiento de los paquetes desde el origen hasta el destino sin tener que acceder al sistema operativo de la VM invitada.   Cuando deba solucionar problemas de conectividad, podrá ver dónde se colocan los paquetes ya que Traceflow ofrece niveles de soporte L2 y L3. Esto le permite identificar y localizar con rapidez los problemas que surgen en la ruta de datos de NSX.

 

 

Configuración del proceso de Traceflow: configuración del origen

 

  1. Haga clic en Select.
  2. Haga doble clic en web-01a para designarla como VM de origen.

 

 

Configuración de proceso de Traceflow: selección de vNIC

 

  1. Haga clic en web-01a's network adapter.
  2. Haga clic en OK.

 

 

Configuración del proceso de Traceflow: configuración del destino

 

  1. En Destination, haga clic en Select.
  2. Haga clic en el botón de selección junto a Select Destination vNIC.

 

 

Selección de la VM de destino

 

 

 

Configuración del destino (cont.)

 

  1. Resalte y seleccione la vNIC asociada con web-02 y haga clic en OK.
  2. Haga clic en OK nuevamente para completar este paso de la configuración.

 

 

Finalización de la configuración de Traceflow mediante ICMP e inicio del seguimiento

 

  1. Expanda la sección Advanced Options.
  2. En el menú desplegable del campo Protocol, seleccione ICMP.
  3. Haga clic en Trace.

 

 

Observación de los resultados de Traceflow

 

Los resultados muestran el flujo de paquetes desde la vNIC de la VM, pasando por el firewall distribuido, atravesando la red física desde esx-01a a esx-03a y todo el recorrido de regreso al firewall distribuido hasta que se envía el paquete a la vNIC de la VM de destino. Nota: Todavía no se han configurado reglas de firewall, pero el tráfico de la VM fluye a través del módulo del firewall que, en este momento, se encuentra abierto.  

Puede apretar Ctrl+C para detener el tráfico de pings en la sesión Putty. Mantenga abierta la ventana de Putty o minimícela para utilizarla en un paso posterior.

 

 

Creación de una regla de firewall para bloquear ICMP entre web-01a.corp.local y web-02a.corp.local

 

  1. Diríjase a la sección Firewall en la sección Network & Security de Web Client y seleccione Firewall.
  2. Expanda la sección Default Section Layer 3.
  3. Haga clic con el botón derecho en el área gris de la sección Default Section Layer 3 y seleccione Add rule.

 

 

Regla de firewall: selección del nombre

 

  1. Pase el mouse por encima del campo de nombre y haga clic en el ícono de lápiz.
  2. Ingrese el nombre Traceflow Test debajo de Rule Name.
  3. Haga clic en OK.

 

 

Regla de firewall: selección del origen

 

  1. Para elegir el origen, haga clic en el ícono de lápiz.
  2. Seleccione Virtual Machine en el menú correspondiente a Object Type.
  3. Seleccione web-01a.
  4. Haga clic en la flecha derecha.
  5. Haga clic en OK.

 

 

Configuración del destino de la regla de firewall

 

 

 

Regla de firewall: bloqueo del tráfico de ICMP

 

  1. En la casilla Filter, escriba ICMP para limitar los resultados de la selección.
  2. Seleccione todos los elementos que contengan el término "ICMP", excepto los elementos que contengan el término "IPv6".  (Puede seleccionar el primer elemento y luego apretar Shift y hacer clic con el mouse en el último elemento).
  3. Haga clic en la flecha derecha para seleccionar estos elementos.
  4. Haga clic en OK.

 

 

Regla de firewall: especificación de acción

 

Nota: Es posible que deba desplazarse por la ventana de Web Client para ver todas las columnas.

  1. En la columna Action, seleccione el ícono de lápiz para editar.
  2. Seleccione la acción Block. No realice cambios en ningún otro ajuste.
  3. Haga clic en OK.

 

 

Regla de firewall: publicación de cambios

 

 

 

Repetición de los pasos de configuración de Traceflow e inicio de un nuevo seguimiento

 

Deberá reconfigurar Traceflow.

  1. Haga clic en Traceflow.
  2. En el campo Source, seleccione web-01a.
  3. En el campo Destination, seleccione web-02a.
  4. Seleccione ICMP para el campo Protocol.
  5. Haga clic en Trace para iniciar el seguimiento.

 

 

Resultados de Traceflow con la regla de firewall distribuido en funcionamiento

 

 

 

Eliminación de la regla de firewall que creó recientemente

 

  1. Regrese a la sección Firewall.
  2. Expanda la sección Default Section Layer 3.
  3. Seleccione el ícono de lápiz junto al número 2 en la regla Traceflow Test o haga clic derecho en esa área.
  4. Seleccione Delete.
  5. Haga clic en OK para eliminar la regla número 2.
  6. Haga clic en el botón Publish Changes y compruebe que la regla se haya eliminado.

 

 

Resumen de Traceflow

Traceflow es una herramienta útil para seguir cada paso del paquete por la ruta de datos de NSX con el objeto de determinar dónde se pierden los paquetes y de verificar con rapidez las reglas de firewall.  

 

Monitoreo de flujo


El monitoreo de flujo proporciona visibilidad de los flujos de tráfico de la VM en el nivel de la vNIC.

El monitoreo de flujo es una herramienta de análisis de tráfico que ofrece una vista detallada del tráfico entre máquinas virtuales protegidas. Cuando se habilita el monitoreo de flujo, los resultados determinan en qué máquinas se realiza el intercambio de datos y sobre qué aplicación. Entre estos datos, se incluye información sobre la cantidad de sesiones y paquetes que se transmiten por sesión. Los detalles de la sesión incluyen los orígenes, los destinos, las aplicaciones y los puertos que se utilizan. Estos detalles de la sesión se pueden utilizar para crear reglas de habilitación o bloqueo de firewall.

Puede visualizar las conexiones TCP y UDP desde una vNIC seleccionada y hacia esta. También puede configurar filtros específicos para excluir flujos.

Por consiguiente, el monitoreo de flujo puede utilizarse como una herramienta de análisis meticuloso para detectar servicios no autorizados y examinar sesiones de salida.


 

Monitoreo de flujo

 

Nuestro objetivo es determinar algunos flujos de datos relevantes en el entorno de NSX y poder tomar medidas en base a los datos que se recolectan.

En este caso, nos interesa establecer conexiones HTTP directamente con los servidores web (web-01a y web-02a). Esto se debe a que la mayoría del tráfico a los servidores web debe usar el protocolo SSL y pasar por el VIP del balanceador de carga que se configuró en el ejercicio anterior.

El primer paso es habilitar el monitoreo de flujo. Luego, simularemos el tráfico HTTP.  

Para simular una gran cantidad de conexiones HTTP con Apache Bench, inicie sesión en la consola de web-01ay abra un símbolo del sistema.

 

 

 

Habilitación del monitoreo de flujo

 

  1. Seleccione Flow Monitoring.
  2. Haga clic en la pestaña Configuration.
  3. Haga clic en Enable para habilitar el monitoreo de flujo.

 

 

Monitoreo de flujo

 

Puede ver que la recolección del flujo ya está habilitada.

IPFix es la versión de IETF del protocolo Netflow desarrollado por Cisco. Navegue por el área de IPFix para obtener más información. En este laboratorio, no configuraremos colectores.

  1. Haga clic en IPFix.

 

 

IPFix

 

  1. Después de revisar las áreas de IPFix, haga clic en Flow Exclusion.

 

 

Instrucciones especiales para los comandos CLI

 

Muchos de los módulos requerirán que ingrese comandos de interfaz de línea de comando (CLI).  Existen dos maneras de enviar comandos CLI al laboratorio.

En primer lugar, para enviar un comando CLI a la consola del laboratorio, siga los siguientes pasos:

  1. Resalte el comando CLI en el manual y use Control+c para copiarlo al portapapeles.
  2. Haga clic en el elemento del menú de la consola ENVIAR TEXTO.
  3. Presione Control+v para pegarlo del portapapeles a la ventana.
  4. Haga clic en el botón ENVIAR.

En segundo lugar, en el escritorio del entorno, encontrará un archivo de texto (README.txt) para que pueda copiar y pegar con facilidad contraseñas o comandos complejos en las herramientas asociadas (CMD, Putty, consola, etc.). Algunos teclados no cuentan con ciertos caracteres.  Este archivo de texto también se incluye para diseños de teclados que no incluyen esos caracteres.

El archivo de texto se llama README.txt y se encuentra en el escritorio.  

 

 

Generación de tráfico

 

Simularemos una gran cantidad de conexiones HTTP mediante la ejecución de la herramienta Apache Bench desde el centro de control hasta uno de nuestros servidores web.

Buscamos establecer conexiones HTTP directamente con los servidores web ya que, principalmente, deben recibir tráfico en la VIP del balanceador de carga.

Para abrir un símbolo del sistema en el centro de control, seleccione el ícono del símbolo del sistema que se encuentra en la barra de herramientas inferior (esquina inferior izquierda) y escriba el siguiente comando:

 ab -n 12345 -c 10 -w http://172.16.10.11/

ab -n 12345 -c 10 -w http://172.16.10.11/ 

Esto generará tráfico hacia la máquina virtual web-01a.

**Minimice la ventana, pero no la cierre, ya que deberá ejecutar este mismo comando unos pasos más adelante.

 

 

Observación de los flujos de tráfico

 

Desde la sección Networking & Security en vSphere Web Client:

  1. Seleccione Flow Monitoring.
  2. Seleccione la pestaña Dashboard.
  3. Seleccione la pestaña Top Flows para ver los flujos principales de tráfico.

**Tenga en cuenta lo siguiente: En este entorno anidado de laboratorio, es posible que los flujos demoren unos minutos en aparecer en el tablero. Después de unos minutos, actualice el navegador donde se está ejecutando vSphere Web Client en caso de que no aparezca ningún flujo nuevo en el tablero o en la pestaña Details By Service. Es posible que también deba hacer clic en la flecha de actualización que se encuentra en la parte superior de la pantalla para actualizar vSphere Web Client**.

 

 

Flujos HTTP

 

 

 

Pestaña Details By Service

 

  1. Para obtener más información sobre el pico en el tráfico del protocolo específico (HTTP), abra la pestaña Details By Service y seleccione Allowed Flows.1. NOTA: Los detalles se muestran por servicio en orden descendente de bytes, pero si hace clic en el encabezado de la columna, esto clasificará los detalles según esa columna o revertirá el orden de los elementos de la lista.
  2. NOTA: Si el tráfico HTTP no aparece en pantalla, haga clic en Refresh en Web Client. Es posible que también deba actualizar el navegador.
  3. Resalte la línea de tráfico TCP - HTTP para obtener más detalles.

Podemos ver que la mayoría del tráfico a web-01a (172.16.10.11) se está generando en la Máquina Virtual del centro de control (192.168.110.10).

El sistema del centro de control no debería enviar grandes cantidades de tráfico HTTP a los servidores web de producción.  

Por esta razón, añadiremos una regla de firewall para evitar este flujo no deseado hasta que podamos determinar qué está pasando y minimizar cualquier posible amenaza.

**Tenga en cuenta lo siguiente: En este entorno anidado de laboratorio, es posible que los flujos demoren unos minutos en aparecer en el tablero. Después de unos minutos, actualice el navegador donde se está ejecutando vSphere Web Client en caso de que no aparezca ningún flujo nuevo en el tablero o en la pestaña Details By Service.

 

 

Incorporación de la regla de firewall para prevenir el tráfico no deseado

 

 

 

Rechazo del tráfico

 

Agregue una regla de firewall para rechazar tráfico HTTP desde 192.168.110.10 a web-sv-01a.  Los datos de Source: 192.168.110.10, Destination 172.16.10.11 y HTTP en Service se cargaron previamente.

  1. Ingrese Reject HTTP to web-01a como nombre.
  2. Haga clic en el botón de selección Reject para rechazar el tráfico no deseado.
  3. Haga clic en OK.

Tenga en cuenta que puede ver y modificar esta regla desde el panel de administración del firewall.  

 

 

Prueba de salida del símbolo del sistema de regla

 

Ahora, confirme que la regla que acabamos de añadir esté rechazando eficazmente el tráfico HTTP hacia el servidor web.

Vuelva a abrir la ventana del símbolo del sistema que minimizó anteriormente (o abra una nueva) y vuelva a ejecutar el comando Apache Bench:  

(Tenga en cuenta que puede usar la tecla de la flecha hacia arriba).

ab -n 12345 -c 10 -w  http://172.16.10.11/

(Recuerde utilizar la opción ENVIAR TEXTO).

Debería producirse una falla.

En este laboratorio, diferenciamos entre los términos Reject (rechazar) y Block (bloquear) ya que Reject da como respuesta un mensaje de error en el que se informa que el tráfico se ha bloqueado, mientras que si se usa la opción Block, el tiempo de espera de la solicitud se agotará.

 

 

Monitor de flujo que muestra el tráfico bloqueado

 

**Tenga en cuenta lo siguiente: En este entorno anidado de laboratorio, es posible que los flujos demoren unos minutos en aparecer en el tablero. Después de unos minutos, actualice el navegador donde se está ejecutando vSphere Web Client en caso de que no aparezca ningún flujo nuevo en el tablero o en la pestaña Details By Service.**

Desde la sección Flow Monitoring de Network & Security de Web Client:

  1. Diríjase a la pestaña Details By Service y seleccione Blocked Flows.
  2. Resalte la línea TCP/HTTP en Service y vea el resultado en la parte inferior de la pantalla. 

Verá que la regla de firewall rechazó (bloqueó) con éxito el tráfico no deseado.

El monitoreo de flujo es una manera eficaz de detectar anomalías en el tráfico del entorno y de mitigar problemas rápidamente mediante el aprovechamiento de la potencia del firewall distribuido de NSX.

 

 

Pestaña Live Flow

 

También puede utilizar Live Flow para ver el tráfico entre una máquina particular y la vNIC.  

  1. Seleccione la pestaña Live Flow en la sección Flow Monitoring.
  2. Haga clic en el enlace Browse.
  3. Seleccione web-01a y su adaptador de red.
  4. Haga clic en OK.

 

 

Inicio del flujo en vivo

 

 

 

Inicio del generador de tráfico

 

 

 

Salida del flujo en vivo

 

Verá cada unos segundos el flujo de tráfico HTTP bloqueado.  Siéntase libre de experimentar con las distintas opciones de monitoreo de flujo. Además, debe tener en cuenta que en la ventana Command que se muestra arriba, la regla de firewall está bloqueando todos los intentos de conexión.  

**Tenga en cuenta lo siguiente: En este entorno anidado de laboratorio, es posible que los flujos demoren unos minutos en aparecer en el tablero. Después de unos minutos, actualice el navegador donde se está ejecutando vSphere Web Client en caso de que no aparezca ningún flujo nuevo en el tablero o en la pestaña Details By Service.**

 

 

Eliminación de la regla de firewall

 

  1. En el menú Networking & Security de vSphere Web Client, seleccione Firewall.
  2. Expanda la sección Default Section Layer 3.
  3. Haga clic en el ícono de lápiz en la línea de Rule 2.
  4. Seleccione Delete.

 

 

Confirmación de la eliminación de la regla de firewall

 

 

 

Opción Publish Changes

 

 

 

Resumen del monitoreo de flujo

Gracias al monitoreo de flujo, obtenemos visibilidad de los flujos de tráfico en el nivel de la vNIC.

Utilizamos la herramienta de análisis de tráfico del monitoreo de flujo para tener una vista detallada del tráfico hacia una máquina virtual web de producción, web-01a, y desde esta. Generamos tráfico HTTP para esta VM desde la Máquina Virtual del centro de control. Utilizamos el monitoreo de flujo para detectar con facilidad el tráfico extraño y bloquear rápidamente el tráfico no deseado y proteger la VM mediante la creación de una regla de firewall distribuido con facilidad.

 

Monitoreo de actividad


El monitoreo de actividad permite la visibilidad de la red virtual para garantizar que se apliquen de manera correcta las políticas de seguridad en la organización.

Mediante una política de seguridad, es posible determinar quién puede acceder a aplicaciones específicas. El administrador de nube puede generar informes de monitoreo de actividad para verificar si la regla de firewall basada en IP que configuraron realiza la tarea que se le asignó. Mediante el suministro de información detallada en el nivel de la aplicación y del usuario, el monitoreo de actividad permite que las políticas de seguridad de alto nivel se traduzcan en la dirección IP de bajo nivel y en la implementación basada en redes.

Valor: visibilidad detallada de las aplicaciones y la actividad en una máquina virtual monitoreada mediante el servicio de introspección del invitado.

Para aprovechar el monitoreo de actividad, debe realizar lo siguiente:

NOTA: Los pasos que se mencionaron antes ya se realizaron en el entorno de nuestro laboratorio.

Configuraremos lo siguiente:


 

Implementación de la introspección del invitado: demostración

 

Usted ya realizó la implementación de los servicios de introspección del invitado en este laboratorio en Compute Cluster B.

-----NOTA: A modo de demostración y para que conozca el procedimiento, se presentan los siguientes pasos para la implementación.--------

  1. En el menú Networking & Security, seleccione Installation.
  2. Vaya a la pestaña Service Deployments.
  3. Observe que el servicio de introspección del invitado ya se implementó en Compute Cluster B.
  4. Para ver de qué manera se implementó la introspección del invitado, haga clic en el signo más de color verde.
  5. Seleccione la casilla de verificación de Guest Introspection.
  6. Haga clic en Next.

 

 

Implementación de la introspección del invitado: Select Clusters

 

  1. En el paso de Select Clusters, seleccione la casilla de verificación junto a Compute Cluster B.
  2. Haga clic en Next.

 

 

Implementación de la introspección del invitado: Select Storage and Management Network

 

En este paso, seleccionamos Datastore y Network para la VM de introspección del invitado.

 

 

Implementación de la introspección del invitado: revisión de la configuración

 

Aquí debe revisar la configuración.

 

 

VMtools se instaló en las VM objetivo

 

El monitoreo de actividad requiere la instalación de una versión actualizada de VMware Tools en las máquinas virtuales objetivo. Además, la introspección del invitado del controlador de VMCI también debe estar instalada.

NOTA: Ya realizamos esto en este entorno de laboratorio, debido a que la máquina virtual con Windows 8 en el clúster de computo B cuenta con una versión actualizada de VMware Tools.

 

 

Búsqueda de win8-01a

 

  1. Ingrese "win8" en el cuadro de búsqueda de vCenter ubicado en el área superior derecha.
  2. Haga clic en win8-01a.

 

 

Habilitación de la recolección de datos en la VM win-08a

 

  1. Haga clic en la pestaña Summary.
  2. Haga clic en Edit en el panel de monitoreo de actividad de NSX.
  3. Haga clic en Yes para habilitar el monitoreo de actividad.

 

 

Navegación hasta Networking Security

 

  1. Haga clic en el ícono Home.
  2. Haga clic en Networking & Security.

 

 

Ejemplo de configuración del monitoreo de actividad en un clúster

 

Nota: Debido a que no lo configuraremos en este laboratorio, si desea obtener información adicional, también puede configurar la recolección de datos del monitoreo de actividad para clústeres y otros grupos mediante la selección de objetos para incluirlos en el grupo de seguridad Activity Monitoring Data Collection en Service Composer.

  1. Vaya a la sección Service Composer en el menú Networking & Security.
  2. Seleccione la pestaña Security Groups.
  3. Haga clic con el botón derecho del mouse en Activity Monitoring Security Group.
  4. Seleccione Edit Security Group.

 

 

Ejemplo de adición del clúster de computo A y B a objetos seleccionados

 

  1. Haga clic en Select objects to include.
  2. Verá que la VM win8-01a se incluyó porque habilitamos el monitoreo de actividad en esa VM específica.
  3. Haga clic en el menú desplegable de Object Type. En Object Types, se mostrarán varios tipos de objetos que pueden incluirse en el grupo Activity Monitoring Security Group. Por ejemplo, puede seleccionar un clúster completo, entre otros. Explore esta sección para obtener más información.
  4. ** Haga clic en Cancel cuando haya finalizado, ya que esto es solo un ejemplo para brindarle información sobre el procedimiento. Esto se realizó solo a modo de ejemplo. **

Hay políticas de seguridad ya aplicadas en este grupo de seguridad que habilitarán la recolección de datos del monitoreo de actividad para los objetos que lo integran.

 

 

Generación de actividad desde el interior de la VM win8-01a

 

  1. Haga clic en el botón de inicio.
  2. Abra una sesión de consola o protocolo de escritorio remoto (RDP, Remote Desktop Protocol).

 

 

Conexión a win8-01a

 

  1. Ingrese win8-01a.corp.local.
  2. Haga clic en Conectar.
win8-01a.corp.local

 

 

Inicio de sesión

 

Use la cuenta CORP\Administrator.

 

 

Ejecución de Internet Explorer

 

 

 

Aceptación de advertencias de riesgos

 

  1. Haga clic en Continue to this website (not recommended).
  2. Haga clic en Yes.

 

 

Apertura de la página de aplicaciones de múltiples niveles

 

Se mostrará el resultado de la aplicación de 3 niveles

Para demostrar cómo se realiza la actividad, mediante la ejecución de esta aplicación en la VM win8-01a, generaremos tráfico saliente que ahora podemos monitorear con el monitor de actividad. Puede utilizar el monitor de actividad para ver toda la actividad hacia una VM determinada, o desde esta, y quién genera el tráfico.  Esto lo ayudará a determinar si se está generando tráfico no deseado.

  1. Haga clic en el botón para minimizar a fin de volver al escritorio.

 

 

Inicio del monitor de actividad

 

  1. En la sección Networking & Security de Web Client, seleccione Activity Monitoring.
  2. Seleccione la pestaña VM Activity.
  3. Haga clic en el botón Search.
  4. Revise el resultado. Puede ver que el usuario que inició sesión en win8-01a es Administrator en el dominio corp.local y consultar la actividad.

 

 

 

Resumen del monitoreo de actividad

En esta sección del laboratorio, hemos demostrado de qué manera podemos utilizar la función de monitoreo de actividad en NSX para monitorear el tráfico de VM específico con el fin de determinar si se generó algún tipo de tráfico no deseado.  Si detectamos tráfico que no cumple con nuestros requisitos de seguridad, podemos aprovechar el firewall distribuido o Service Composer para proteger las VM de actividades peligrosas que realice el usuario.

 

Conclusion

Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online.

Lab SKU: HOL-SDC-1603-ES

Version: 20160107-093836