Hands-on Labs de VMware - HOL-1903-01-NET


Descripción del laboratorio: HOL-1903-01-NET: Introducción a VMware NSX Data Center

Información sobre el laboratorio


Nota: Puede que le lleve más de 90 minutos completar este laboratorio. Probablemente solo podrá acabar entre 2 y 3 módulos durante ese tiempo. Los módulos son independientes, por lo que puede empezar cualquier de ellos y continuar a partir de ahí. Puede acceder a los módulos desde el índice.

Se puede acceder al índice desde la esquina superior derecha del manual del laboratorio.

NSX Data Center for vSphere es una plataforma de virtualización de red de VMware para centros de datos definidos por software (SDDC). Ofrece funciones de red y de seguridad mediante software únicamente, sin vinculación con la infraestructura física subyacente.

En este laboratorio se presentan las funciones principales de VMware NSX Data Center en un entorno de vSphere. Obtendrá experiencia práctica en conmutación lógica, enrutamiento lógico distribuido, enrutamiento dinámico y servicios de red lógica.

Lista de los módulos del laboratorio:

Directores del laboratorio:

  • Módulos 1-4: Joe Collon, ingeniero de sistemas de NSX, EE. UU.

El manual de este laboratorio se puede descargar desde el sitio de documentos de laboratorios prácticos, en el siguiente enlace:

http://docs.hol.vmware.com

Este laboratorio puede estar disponible en otros idiomas. Para configurar la preferencia de idioma y acceder a un manual localizado junto con el laboratorio, el siguiente documento le guiará por el proceso:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

Ubicación de la consola principal

 

  1. La zona enmarcada en color rojo es la consola principal. El manual del laboratorio está en la pestaña de la derecha de la consola principal.
  2. Un laboratorio determinado puede disponer de consolas adicionales en pestañas independientes ubicadas en la parte superior izquierda de la pantalla. Si es necesario, se le indicará que abra otra consola específica.
  3. El laboratorio comienza con 90 minutos en el temporizador y no se puede guardar. Todo el trabajo debe llevarse a cabo durante la sesión del laboratorio.  Sin embargo, puede hacer clic en EXTEND para ampliar el tiempo que le quede Si está en un evento de VMware, podrá ampliar el tiempo dos veces, hasta 30 minutos. Con cada clic recibirá 15 minutos adicionales. Fuera de los eventos de VMware, podrá ampliar el tiempo del laboratorio hasta 9 horas y 30 minutos. Con cada clic recibirá una hora adicional.

 

 

Métodos alternativos a la introducción de datos desde el teclado

Durante el módulo, introducirá texto en la consola principal. Además de escribir el texto directamente, existen dos métodos muy útiles para introducir datos que facilitan en gran medida la entrada de datos complejos.

 

 

Hacer clic y arrastrar el contenido del manual práctico hasta la ventana activa de la consola

 
 

También puede hacer clic y arrastrar texto y comandos de la interfaz de la línea de comandos (CLI) directamente del manual del laboratorio a la ventana activa de la consola principal.  

 

 

Acceso al teclado internacional en línea

 

También puede utilizar el teclado internacional en línea que se encuentra en la consola principal.

  1. Haga clic en el icono del teclado que aparece en la barra de tareas de inicio rápido de Windows.

 

 

Hacer un solo clic en la ventana de la consola activa

 

En este ejemplo, va a utilizar el teclado en línea para introducir el símbolo @ que se utiliza en las direcciones de correo electrónico. Para introducir el símbolo @ en un teclado español, pulse Alt Gr y 2.

  1. Haga un solo clic en la ventana de la consola activa.
  2. Haga clic en la tecla Mayús.

 

 

Hacer clic en la tecla @

 

  1. Haga clic en la tecla @.

Observe que ahora el símbolo @ aparece en la ventana de la consola activa.

 

 

Marca de agua o petición de activación

 

Cuando abra el laboratorio por primera vez, es probable que aparezca una marca de agua en el escritorio que indica que Windows no está activado.  

Una de las principales ventajas de la virtualización es que las máquinas virtuales pueden moverse y ejecutarse en cualquier plataforma. Los laboratorios prácticos aprovechan esta ventaja, por lo que podemos ejecutar los laboratorios en varios centros de datos. Sin embargo, estos centros de datos pueden no tener procesadores idénticos, lo que genera una verificación de activación de Microsoft mediante Internet.

Puede estar seguro de que VMware y los laboratorios prácticos cumplen todos los requisitos de licencia de Microsoft. El laboratorio que está utilizando es un módulo independiente y no dispone de acceso total a Internet, que es un requisito para que Windows verifique la activación. Sin acceso total a Internet, este proceso automatizado falla y se muestra esta marca de agua.

Este problema superficial no afecta al laboratorio.  

 

 

Mire la parte inferior derecha de la pantalla

 

Compruebe que el laboratorio haya finalizado todas las rutinas de arranque y que esté listo para empezar. Si no ve «Ready» en la pantalla, espere unos minutos.  Si han pasado 5 minutos y el laboratorio no muestra «Ready», solicite ayuda.

 

 

Permiso para vmware-cip-launcher.exe

 

En algunas ocasiones, el laboratorio se puede suministrar con los ajustes de Chrome restablecidos a su valor predeterminado. En este caso, verá el cuadro de diálogo que se muestra más arriba. Realice los pasos siguientes para permitir la ejecución del iniciador con vSphere Web Client (Flash):

  1. Haga clic para seleccionar Abrir siempre este tipo de enlaces en la aplicación asociada.
  2. Haga clic para seleccionar Abrir vmware-cip-launcher.exe.

A continuación, puede continuar con el resto del laboratorio con normalidad.

 

 

Minimizar «Recent Tasks» y «Recent Objects» en vSphere Web Client

 

Debido a la resolución de la pantalla del escritorio del laboratorio práctico, algunos componentes de la interfaz de usuario de NSX pueden aparecer limitados o no aparecer en este laboratorio. Para maximizar el espacio de pantalla útil, se recomienda minimizar los paneles Recent Objects y Recent Tasks de vSphere Web Client (Flash). Para ello, haga lo siguiente:

  1. Haga clic en el icono de la chincheta en la esquina superior del panel Recent Objects.
  2. Haga clic en el icono de anclar, en la esquina superior del panel Recent Tasks.

 

Módulo 1: Instalación y configuración de NSX Manager (15 minutos)

Introducción


VMware NSX Data Center es la plataforma de virtualización de red líder que traslada el modelo operativo de las máquinas virtuales a la red. De la misma forma que la virtualización de servidores proporciona un control ampliable de las máquinas virtuales que se ejecutan en un depósito de hardware de servidores, la virtualización de red con NSX Data Center proporciona una API centralizada para distribuir y configurar servicios de red virtual que se ejecutan en una sola red física.

Las redes lógicas desvinculan los servicios de conectividad y redes de las máquinas virtuales de la red física, lo cual aporta a los clientes la flexibilidad necesaria para poner o migrar máquinas virtuales en cualquier parte del centro de datos y, a la vez, admitir servicios de conectividad de las capas 2 y 3 y servicios de red de las capas 4 a 7.

En este módulo vamos a utilizar una simulación interactiva para centrarnos en la forma de realizar la implementación real de NSX Data Center en su entorno. En el entorno del laboratorio, la implementación ya se ha llevado a cabo.

En la simulación interactiva, verá cómo:


 

Componentes de NSX

 

Tenga en cuenta que una plataforma de gestión de la cloud (CMP) no es un componente de NSX, pero NSX proporciona una integración con prácticamente cualquier CMP mediante la API REST y de forma predefinida con las CMP de VMware.

Los componentes principales de NSX se dividen en tres categorías:

Plano de gestión. el plano de gestión de NSX lo crea NSX Manager, el componente de gestión centralizada de redes de NSX. Proporciona un solo punto de configuración y puntos de entrada de API basada en REST.

Plano de control. El plano de control de NSX se ejecuta en el clúster de NSX Controller. NSX Controller es un sistema de gestión de estado distribuido y avanzado que proporciona funciones del plano de control para las funciones lógicas de enrutamiento y conmutación de NSX. Se trata del punto de control central de todos los conmutadores lógicos de una red y mantiene información sobre todos los hosts, conmutadores lógicos (VXLAN) y enrutadores lógicos distribuidos.

Plano de datos. El plano de datos de NSX es NSX vSwitch, que se basa en el vSphere Distributed Switch (VDS) con componentes adicionales para activar servicios. Los módulos del núcleo de NSX, los agentes de espacio de usuario, los archivos de configuración y los scripts de instalación se empaquetan en VIB y se ejecutan en el núcleo del hipervisor para proporcionar servicios como el enrutamiento distribuido y el cortafuegos lógico y para facilitar las funciones de puente de la red VXLAN.

 

Simulación interactiva del laboratorio práctico: Instalación y configuración de NSX, Parte 1


Esta parte del laboratorio se presenta en forma de simulación interactiva de laboratorio práctico. En ella, podrá probar los pasos que requieren demasiado tiempo o recursos como para realizarlos en directo en el entorno del laboratorio. En esta simulación, puede utilizar la interfaz del software como si estuviera interactuando con un entorno real.

*** NOTA ESPECIAL ***    La simulación con la que va a trabajar consta de dos partes. La primera parte termina al finalizar la configuración de NSX Manager. Para continuar con la segunda parte de la simulación, debe hacer clic en Volver al laboratorio, en la esquina superior derecha de la pantalla. En el manual también se describen los pasos al finalizar la configuración de NSX Manager.

  1. Haga clic aquí para abrir la simulación interactiva. Se abrirá en una ventana o pestaña nueva del navegador.
  2. Cuando termine, haga clic en el enlace Volver al laboratorio para continuarlo.

 


Simulación interactiva del laboratorio práctico: Instalación y configuración de NSX, Parte 2


Esta parte del laboratorio se presenta en forma de simulación interactiva del laboratorio práctico. En ella, descubrirá qué pasos requieren demasiado tiempo o recursos como para realizarlos en directo en el entorno del laboratorio. En esta simulación, puede utilizar la interfaz del software como lo haría en un entorno real.

  1. Haga clic aquí para abrir la simulación interactiva. Se abrirá en una ventana o pestaña nueva del navegador.
  2. Cuando termine, haga clic en el enlace Return to the lab para continuar con el laboratorio.

 


Conclusión del módulo 1


En este módulo, hemos visto lo sencillo que resulta instalar y configurar NSX para proporcionar servicios de las capas dos a siete en software.

Hemos visto la instalación y configuración del dispositivo de NSX Manager, con su implementación, su integración con vCenter y la configuración de los registros y las copias de seguridad. También hemos visto la implementación de las instancias de NSX Controller y la instalación de paquetes de VMware Infrastructure (VIB), que son módulos de núcleo que se envían al hipervisor para proporcionar servicios de NSX. Finalmente, hemos mostrado la implementación automática de puntos de acceso de túnel de VXLAN (VTEP), la creación de un depósito de identificadores de red VXLAN (VNI) y la creación de una zona de transporte.


 

Ha completado el módulo 1

Enhorabuena, ha terminado el módulo 1.

Si desea obtener más información sobre la implementación de NSX, consulte el Centro de documentación de NSX 6.4 en la dirección URL siguiente:

Continúe con uno de los módulos siguientes:

Lista de los módulos del laboratorio:

Directores del laboratorio:

  • Módulos 1-4: Joe Collon, ingeniero de sistemas de NSX, EE. UU.

 

 

Finalización del laboratorio

 

Para finalizar el laboratorio, haga clic en el botón END.

 

Módulo 2: Conmutación lógica (30 minutos)

Conmutación lógica: descripción del módulo


En este módulo, vamos estudiaremos los siguientes aspectos de VMware NSX:

  • Revisar el clúster de NSX Controller. Con el clúster de NSX Controller, no se necesita compatibilidad con el protocolo multidifusión en la estructura física y se pueden usar funciones como la resolución de VTEP, IP y MAC.
  • Crear un conmutador lógico y, después, conectarle dos máquinas virtuales.
  • Revisar la escalabilidad y la alta disponibilidad de la plataforma NSX.

Conmutación lógica


En esta sección, vamos a hacer lo siguiente:

  1. Comprobar que los hosts están preparados para configurarse.
  2. Comprobar que la red lógica está preparada.
  3. Crear un conmutador lógico.
  4. Conectar el conmutador lógico a NSX Edge Services Gateway.
  5. Añadir máquinas virtuales al conmutador lógico.
  6. Probar la conectividad entre las máquinas virtuales.

 

Acceder a vSphere Web Client (Flash)

 

  1. Acceda a vSphere Web Client (Flash) mediante el icono de Google Chrome del escritorio.

 

 

Iniciar sesión en vSphere Web Client (Flash)

 

Si aún no ha iniciado sesión en vSphere Web Client, haga lo siguiente:

(La página de inicio debe ser vSphere Web Client.  Si no lo es, haga clic en el icono de vSphere Web (Flash) en Google Chrome).

  1. Escriba administrator@vsphere.local en el campo User name.
  2. Escriba VMware1! en el campo Password.
  3. Haga clic en Login.

 

 

Ir a Redes y seguridad en vSphere Web Client

 

  1. Haga clic en el icono Home.
  2. Haga clic en Redes y seguridad.

 

 

Ver qué componentes se han implementado

 

  1. Haga clic en Installation and Upgrade.
  2. Haga clic en Host Preparation.
  3. Haga clic para seleccionar un clúster de la lista (RegionA01-COMP01 en este ejemplo) para ver información sobre el estado de los hosts del clúster en NSX.

Verá que los componentes de virtualización de red, también denominados componentes del plano de datos, están instalados en los hosts de nuestros clústeres. Se trata de estos componentes: módulos de núcleo de nivel de hipervisor para seguridad de puertos, VXLAN, cortafuegos distribuido y enrutamiento distribuido.

Las funciones de cortafuegos y VXLAN se configuran y activan en cada clúster después de instalar los componentes de virtualización de red. El módulo de seguridad de puertos ofrece la función de VXLAN, mientras que el módulo de enrutamiento distribuido se activa una vez que se ha configurado la máquina virtual de control del enrutador lógico de NSX Edge.

 

 

La topología después de haber preparado el host con los componentes de ruta de datos

 

 

 

Ver la configuración de VTEP

 

  1. En la lista de hosts, desplácese a la derecha hasta que vea el enlace VIEW DETAILS.
  2. Haga clic en VIEW DETAILS para ver la información sobre el puerto del núcleo de VTEP del host y su dirección IP.

La configuración de la VXLAN se puede dividir en tres pasos importantes:

  • Configurar puntos de acceso de túnel VXLAN (VTEP) en cada host.
  • Configurar un rango de ID de segmento para crear un depósito de redes lógicas. Como en este laboratorio utilizamos el modo unidifusión, no es necesario especificar un rango multidifusión. En otros casos, en este paso se debería realizar la configuración de las direcciones de los grupos de multidifusión.
  • Configurar la zona de transporte para definir la extensión de la red lógica.

Como se muestra en la ilustración, los hosts están configurados con interfaces de punto de acceso de túnel VXLAN (VTEP). El entorno utiliza la subred 192.168.130.0/24 para el depósito de VTEP.

 

 

Configuración de ID de segmento y de direcciones de grupos multidifusión

Hasta ahora, uno de los principales desafíos al implementar VXLAN era que los dispositivos de red física exigían la compatibilidad con el protocolo multidifusión. Este problema se soluciona en la plataforma NSX al implementar una VXLAN basada en controladora, por lo que no es necesario configurar la multidifusión en la red física. NSX ofrece tres opciones de tráfico de difusión, desconocido y multidifusión (BUM): multidifusión, unidifusión e híbrido.  Esta opción se define globalmente como parte de la zona de transporte, pero también se puede definir explícitamente para cada conmutador lógico.

Los tres modos de replicación disponibles en NSX son:

  • Multidifusión: NSX se basa en la capacidad nativa de multidifusión de las capas 2 y 3 de la red física para garantizar el envío del tráfico BUM encapsulado de la red VXLAN a todos los VTEP. En este modo, es necesario asociar una dirección IP de multidifusión a cada segmento de la capa 2 de la VXLAN (es decir, conmutador lógico). En esta configuración, la función de multidifusión de capa 2 se utiliza para replicar el tráfico a todos los VTEP del segmento local (es decir, a las direcciones IP VTEP que forman parte de una misma subred IP). Además, se debe configurar el rastreo IGMP en los conmutadores físicos para optimizar el envío del tráfico multidifusión de capa 2.
  • Unicast: NSX Controller gestiona el plano de control y utiliza la replicación de extremo a extremo. Para utilizar este método de replicación no se necesitan direcciones IP multidifusión ni ninguna configuración especial.
  • Híbrido: modo unidifusión optimizado.  La replicación del tráfico local se pasa a la red física utilizando multidifusión de la capa 2. Para ello es necesario disponer de rastreo IGMP en el conmutador local, pero no se requiere ningún protocolo de enrutamiento multidifusión como PIM.  Es aconsejable usar el modo híbrido en implementaciones de NSX de gran tamaño.

 

 

Ver la configuración de ID de segmentos

 

  1. Haga clic en Logical Network Settings.
  2. Fíjese en el Segment ID Pool asignado al entorno. Puesto que los conmutadores lógicos se crean en NSX, a cada nuevo conmutador lógico se le asigna y vincula el siguiente ID de segmento no utilizado.
  3. Como se puede ver, el campo Multicast addresses está en blanco. Como ya se ha mencionado, la razón es que el modo predeterminado del entorno del laboratorio es unidifusión y, por consiguiente, no tiene ningún requisito relativo a la multidifusión.

 

 

Ver las zonas de transporte

 

  1. Haga clic en Transport Zones.
  2. Haga clic en el botón de opción RegionA0_Global_TZ para seleccionar la zona de transporte.

Después de ver la configuración de distintos componentes de NSX y de la VXLAN, vamos a crear un conmutador lógico NSX. El conmutador lógico NSX define un dominio de difusión lógico, o segmento de red, al cual se puede conectar lógicamente una aplicación o una máquina virtual. Un conmutador lógico NSX proporciona un dominio de difusión de capa 2, parecido a una VLAN, pero sin la configuración de la red física que se asocia normalmente a una VLAN.

 

 

Ver los conmutadores lógicos

 

  1. Haga clic en Logical Switches en el lado izquierdo.

Observe que hay varios conmutadores lógicos ya definidos en este laboratorio. Están preconfigurados y nos ayudarán a completar los distintos módulos. En una implementación nueva de NSX, la lista de conmutadores lógicos estaría vacía.

El paso siguiente será crear otro conmutador lógico. Después de crearlo, migraremos máquinas virtuales existentes a la red recién creada y las conectaremos con el entorno de NSX.

 

 

Crear un nuevo conmutador lógico

 

  1. Haga clic en el icono del signo más verde para crear otro conmutador lógico.
  2. Asigne el nombre Prod_Logical_Switch al conmutador lógico.
  3. Compruebe que RegionA0_Global_TZ está seleccionado como zona de transporte.
  4. Compruebe que se haya seleccionado Unicast como modo de replicación.
  5. Compruebe que la casilla de verificación Enable IP Discovery está activada. La detección de IP permite utilizar la supresión de ARP, que se explica más adelante.
  6. Haga clic en OK.

Al seleccionar Enable IP Discovery, se activa la supresión del protocolo de resolución de direcciones (ARP). ARP se utiliza para determinar la dirección de control de acceso a medios (MAC) de destino desde una dirección IP mediante el envío de una difusión en un segmento de la capa 2. Si un host ESXi con este NSX Virtual Switch recibe tráfico ARP de una máquina virtual o una solicitud Ethernet, el host envía la solicitud a la controladora NSX Controller que contiene una tabla ARP. Si NSX Controller contiene la información en la tabla ARP, se devuelve al host que, a su vez, responde a la máquina virtual.

 

 

Conectar el nuevo conmutador lógico a NSX Edge Services Gateway para el acceso externo

 

  1. Haga clic en Prod_Logical_Switch para seleccionarlo.
  2. Haga clic en el menú Actions.
  3. Haga clic en Connect Edge.

 

 

Conectar el conmutador lógico a NSX Edge

 

NSX Edge se puede instalar como enrutador lógico (distribuido) o como Edge Services Gateway.

  • La puerta de enlace de Edge Services Gateway, que se llama «Perimeter-Gateway-01», proporciona servicios de red como DHCP, NAT, equilibrio de carga, cortafuegos y VPN e incluye funciones de enrutamiento dinámico.
  • El enrutador lógico distribuido llamado, «Distributed-Router-01», admite el enrutamiento dinámico y distribuido.

Veremos más detalles sobre NSX Edge y el enrutamiento en los módulos siguientes.

Por ahora, vamos a conectar el conmutador lógico a la NSX Edge Services Gateway «Perimeter-Gateway-01». Esto proporcionará conectividad entre las máquinas virtuales conectadas al conmutador lógico y el resto del entorno.

  1. Haga clic en el botón de opción que hay a la izquierda de Perimeter-Gateway-01.
  2. Haga clic en Next.

 

 

Conectar el conmutador lógico a NSX Edge

 

  1. Haga clic en el botón de opción situado a la izquierda de vnic7 para seleccionarlo.
  2. Haga clic en Next.

 

 

Asignar un nombre a la interfaz

 

  1. Escriba Prod_Interface en Name.
  2. Seleccione Connected.
  3. Haga clic en el icono del signo más verde para configurar la información de dirección IP y subred de la interfaz.

 

 

Asignar una dirección IP a la interfaz

 

  1. Introduzca 172.16.40.1 como dirección IP principal (deje el campo Secondary IP Address en blanco).
  2. Escriba 24 en el campo Subnet Prefix Length.
  3. Compruebe que la configuración es correcta y haga clic en Next.

 

 

Completar el proceso de edición de la interfaz

 

  1. Haga clic en Finish.

 

 

Conectar web-03a y web-04a al conmutador Prod_Logical_Switch que hemos creado

 

  1. Haga clic en Prod_Logical_Switch para seleccionar la opción recién creada.
  2. Haga clic en el menú Actions.
  3. Haga clic en Add VM.

 

 

Añadir máquinas virtuales al conmutador lógico

 

  1. Busque máquinas virtuales cuyos nombres contengan web.
  2. Seleccione web-03a.corp.local y web-04a.corp.local.
  3. Haga clic en la flecha hacia la derecha para añadir las máquinas virtuales seleccionadas a este conmutador lógico.
  4. Haga clic en Next.

 

 

Seleccionar la tarjeta vNIC de las máquinas virtuales para añadirlas al conmutador lógico

 

  1. Seleccione los vNIC de las dos máquinas virtuales web.
  2. Haga clic en Next.

 

 

Terminar la incorporación de las máquinas virtuales al conmutador lógico

 

  1. Haga clic en Finish.

 

 

La topología después de haber conectado «Prod_Logical_Switch» a NSX Edge Services Gateway

 

Ahora ha configurado un conmutador lógico y le ha proporcionado conectividad a la red externa mediante la Edge Gateway Perimeter-Gateway-01. También ha añadido dos máquinas virtuales al nuevo conmutador lógico.

 

 

Probar la conectividad entre web-03a y web-04a

Ahora vamos a probar la conectividad entre web-03a y web-04a.

 

 

Ir a Hosts and Clusters

 

  1. Haga clic en el icono Home.
  2. Haga clic en Hosts and Clusters.

 

 

Expandir los clústeres

 

Expanda los clústeres RegionA01-COMP01 y RegionA01-COMP02. Debe ver que las dos máquinas virtuales, web-03a.corp.local y web-04a.corp.local, están en dos clústeres informáticos distintos. Estas dos máquinas virtuales se añadieron al conmutador lógico en los pasos anteriores.

 

 

Abrir PuTTY

 

  1. Haga clic en el botón Start de Windows.
  2. Haga clic en el icono de la aplicación PuTTy en el menú Start.

Se va a conectar desde la consola principal, que está en la subred 192.168.110.0/24. El tráfico atravesará NSX Edge Perimeter-Gateway-01 y, a continuación, irá al servidor web.

 

 

Abrir una sesión de SSH en web-03a

 

  1. Desplácese por la lista de sesiones guardadas hasta que vea web-03a.corp.local.
  2. Haga clic en web-03a.corp.local para seleccionar la sesión.
  3. Haga clic en Load para recuperar la información de la sesión.
  4. Haga clic en Open para iniciar una sesión de PuTTY en la máquina virtual.

 

 

Iniciar sesión en la máquina virtual

 

  • Si aparece una alerta de seguridad de PuTTY, haga clic en Yes para aceptar la clave de host del servidor.
  • Si no se ha iniciado sesión automáticamente, inicie sesión como usuario root con la contraseña VMware1!

Nota: Si tiene alguna dificultad para conectarse a web-03a.corp.local, revise los pasos anteriores y compruebe que los ha realizado correctamente.

 

 

Realizar ping en el servidor web web-04a.corp.local

 

Escriba ping -c 2 web-04a para enviar dos pings en lugar de un ping continuo.

ping -c 2 web-04a

Nota: La dirección IP de web-04a.corp.local es 172.16.40.12. Si es necesario, también puede realizar el ping con la dirección IP.

Si ve paquetes DUP!, es porque el entorno del laboratorio de VMware está anidado. No será así en un entorno de producción.

No cierre la sesión de PuTTY. Minimice la ventana para utilizarla más adelante.

 

Escalabilidad y disponibilidad


En esta sección, describiremos la escalabilidad y la disponibilidad de NSX Controller. El clúster de NSX Controller es el componente del plano de control responsable de gestionar los módulos de conmutación y enrutamiento entre hipervisores. El clúster de NSX Controller consta de tres nodos de controladoras NSX que gestionan objetos lógicos concretos El uso de un clúster de NSX Controller para gestionar los conmutadores lógicos basados en VXLAN elimina la necesidad de compatibilidad multidifusión de la infraestructura de red física.

Para disponer de resistencia y rendimiento, en las implementaciones de producción se debe incluir un clúster de tres nodos de NSX Controller. El clúster de NSX Controller representa un sistema distribuido con escalabilidad horizontal en el que se asigna un conjunto de funciones a cada nodo de NSX Controller. El rol asignado define los tipos de tareas que cada nodo de NSX Controller puede implementar. La configuración compatible actualmente permite compartir las cargas completamente activas y ofrece redundancia.

Para mejorar la escalabilidad de la arquitectura de NSX, se utiliza un mecanismo de "segmentación" que garantiza que todos los nodos de NSX Controller están activos en todo momento.

Si falla un NSX Controller, el tráfico del plano de datos (máquinas virtuales) no se ve afectado. El tráfico continúa circulando, porque la información de la red lógica ya se ha enviado a los conmutadores lógicos (el plano de datos). Sin embargo, no podrá realizar operaciones de edición (añadir/mover/cambiar) sin el plano de control (clúster de NSX Controller).

Además, ahora NSX incluye funciones de funcionamiento con desconexión de controladora (CDO). El modo CDO crea un conmutador lógico especial al cual se incorporan todos los hosts. Así se añade una capa más de redundancia a la conectividad del plano de datos cuando las controladoras no estén accesibles para los hosts del entorno NSX.  Puede obtener más información sobre el modo CDO mediante el enlace que aparecer al terminar este módulo.


 

Escalabilidad y disponibilidad de NSX Controller

 

  1. Haga clic en el icono Home.
  2. Haga clic en Networking & Security.

 

Conclusión del módulo 2


En este módulo, hemos visto las ventajas siguientes de la plataforma NSX:

  1. Agilidad de la red, con el aprovisionamiento y la configuración de conmutadores lógicos para interconectar con máquinas virtuales y redes externas.
  2. Escalabilidad de la arquitectura de NSX, por ejemplo, con una zona de transporte que se extiende por varios clústeres o la capacidad del clúster de NSX Controller de proporcionar servicios de red sin reconfigurar la red física.

 

Ha completado el módulo 2

Enhorabuena por completar el módulo 2.

Si desea obtener más información sobre la implementación de NSX, consulte el Centro de documentación de NSX 6.4 en la dirección URL siguiente:

Puede más obtener información sobre el modo de funcionamiento con desconexión de NSX Controller (CDO) en el enlace siguiente:

Continúe con uno de los módulos siguientes:

Lista de los módulos del laboratorio:

Directores del laboratorio:

  • Módulos 1-4: Joe Collon, ingeniero de sistemas de NSX, EE. UU.

 

 

Finalización del laboratorio

 

Para finalizar el laboratorio, haga clic en el botón END.  

 

Módulo 3: Enrutamiento lógico (60 minutos)

Enrutamiento lógico: descripción del módulo


En el módulo anterior, hemos visto que es muy fácil y práctico crear redes o conmutadores lógicos aislados con unos cuantos clics. Para proporcionar comunicación entre estas redes de capa 2 aisladas, es imprescindible utilizar el enrutamiento. En la plataforma NSX, el enrutador lógico distribuido permite enrutar el tráfico entre conmutadores lógicos totalmente en el hipervisor. Con la incorporación de este componente lógico de enrutamiento, NSX puede reproducir topologías de enrutamiento complejas en el espacio lógico. Por ejemplo, una aplicación de tres niveles se conectará a tres conmutadores lógicos y el enrutamiento entre los niveles se gestionará mediante el enrutador lógico distribuido.

En este módulo conoceremos algunas de las funciones de enrutamiento que admite la plataforma NSX y cómo se utilizan al implementar una aplicación de tres niveles.

En este módulo, vamos a efectuar las siguientes tareas:

  • Examinar el flujo de tráfico cuando un enrutador físico externo o NSX Edge Services Gateway se ocupa del enrutamiento.
  • Configurar el enrutador lógico distribuido y sus interfaces lógicas (LIF) para habilitar el enrutamiento entre los niveles de web, aplicación y base de datos de la aplicación de tres niveles.
  • Configurar protocolos de enrutamiento dinámico en el enrutador lógico distribuido y Edge Services Gateway, y entender el control de las notificaciones de rutas internas hacia el enrutador externo superior.
  • Añadir escalabilidad y proteger Edge Services Gateway utilizando protocolos de enrutamiento y el enrutamiento ECMP (multirruta de igual coste).

 

Instrucciones especiales para los comandos de la interfaz de línea de comandos (CLI)

 

En muchos de los módulos tendrá que introducir comandos de la CLI.  Hay dos formas de enviar comandos de la CLI al laboratorio.

La primera consiste en enviar un comando de la CLI a la consola del laboratorio:

  1. Resalte el comando de la CLI en el manual y use Control + C para copiarlo en el portapapeles.
  2. Haga clic en el elemento de menú de la consola SEND TEXT.
  3. Pulse Control + V para pegarlo desde el portapapeles en la ventana.
  4. Haga clic en el botón SEND.

La segunda consiste en utilizar un archivo de texto (README.txt) del escritorio del entorno que permite copiar y pegar fácilmente comandos o contraseñas complejos en las herramientas asociadas (CMD, PuTTY, consola, etc.). Es habitual que ciertos caracteres no estén disponibles en todos los teclados del mundo.  Este archivo de texto sirve también para los teclado que no tienen esos caracteres.

El archivo de texto se llama README.txt y está en el escritorio.  

 

Enrutamiento dinámico y distribuido


Un enrutador lógico distribuido (DLR) es un dispositivo virtual que contiene el plano de control del enrutamiento y distribuye el plano de datos en módulos de núcleo entre los host del hipervisor. La función de plano de control de DLR se basa en el clúster de NSX Controller para enviar actualizaciones del enrutamiento a los módulos del núcleo. De este modo, se puede optimizar el enrutamiento este-oeste en cada hipervisor local y se elimina la necesidad de establecer conexiones para el tráfico a través de un solo punto de la red.

En primer lugar, vamos a estudiar la configuración del enrutamiento distribuido para ver las ventajas del enrutamiento en el nivel del núcleo.


 

Topología y flujo de paquetes existentes

 

La imagen ilustra el entorno de este laboratorio, donde la máquina virtual de aplicaciones y la de bases de datos residen en el mismo host físico. Las flechas rojas indican el flujo de tráfico entre las dos máquinas virtuales.

  1. El tráfico parte de la máquina virtual de aplicaciones y llega al host.
  2. Puesto que las máquinas virtuales de aplicaciones y bases de datos no están en la misma subred de la red, es necesario enviar el tráfico a un dispositivo de la capa 3. NSX Edge, la puerta de enlace perimetral, reside en el clúster de gestión y actúa como puerta de enlace de la capa 3. El tráfico se envía al host en el que está la puerta de enlace perimetral.
  3. El tráfico llega a la puerta de enlace perimetral.
  4. La puerta de enlace perimetral enruta el paquete y lo devuelve al host de la red de destino.
  5. El tráfico enrutado se devuelve al host donde reside la máquina virtual de base de datos.
  6. El host entrega el tráfico a la máquina virtual de bases de datos.

Al finalizar este laboratorio, revisaremos el diagrama del flujo de tráfico después de configurar el enrutamiento distribuido, que ayuda a entender cómo el enrutamiento distribuido mejora el tráfico de la red.

 

 

Acceder a vSphere Web Client (Flash)

 

  1. Acceda a vSphere Web Client (Flash) mediante el icono de Google Chrome del escritorio.

 

 

Iniciar sesión en vSphere Web Client (Flash)

 

Si aún no ha iniciado sesión en vSphere Web Client, haga lo siguiente:

(La página de inicio debe ser vSphere Web Client.  En caso contrario, haga clic en el icono de vSphere Web (Flash) en Google Chrome.

  1. Escriba administrator@vsphere.local en el campo User name.
  2. Escriba VMware1! en el campo Password.
  3. Haga clic en Login.

 

 

Confirmar la funcionalidad de la aplicación de tres niveles

 

  1. Abra otra pestaña en el navegador.
  2. Haga clic en el marcador Customer DB App.

 

Antes de empezar a configurar la aplicación para el enrutamiento distribuido, vamos a confirmar que la aplicación de tres niveles funciona correctamente. Los tres niveles de la aplicación (web, aplicaciones y bases de datos) se encuentran en conmutadores lógicos distintos con una NSX Edge Services Gateway que se encarga del enrutamiento entre ellos.

  • El servidor web devolverá una página con información de cliente almacenada en la base de datos.

 

 

Eliminar las interfaces de aplicaciones y bases de datos del perímetro

 

Como vimos en la topología anterior, los tres niveles de la aplicación residen en conmutadores lógicos específicos de cada capa y una puerta de enlace perimetral (NSX Edge Services Gateway o NSX ESG) se ocupa del enrutamiento entre ellos. Vamos a actualizar esta topología eliminando las interfaces de aplicaciones y bases de datos de la puerta de enlace perimetral. Después, las trasladaremos al enrutador distribuido (enrutador lógico distribuido NSX o NSX DLR). Para ahorrar tiempo, ya hay un enrutador distribuido implementado.

  1. Haga clic en la pestaña del navegador de vSphere Web Client.
  2. Haga clic en el icono Home.
  3. Haga clic en Networking & Security.

 

 

Añadir las interfaces de aplicaciones y bases de datos al enrutador distribuido

 

Empezaremos la configuración del enrutamiento distribuido añadiendo las interfaces de aplicaciones y bases de datos al enrutador distribuido (NSX Edge).

  1. Haga doble clic en Distributed-Router-01.

 

 

Configurar el enrutamiento dinámico en el enrutador distribuido

 

Vuelva a la pestaña vSphere Web Client del navegador.

  1. Haga clic en Routing.
  2. Haga clic en Global Configuration.
  3. Haga clic en Edit para cambiar Dynamic Routing Configuration.

 

 

Editar la configuración del enrutamiento dinámico

 

  1. Seleccione la dirección IP de la interfaz de enlace ascendente como ID del enrutador predeterminado. En este caso, la interfaz de enlace ascendente es Transit_Network_01 y la dirección IP es 192.168.5.2.
  2. Haga clic en OK.

Nota: El ID del enrutador es un identificador de 32 bits que se expresa en forma de dirección IP y es importante para el funcionamiento de OSPF porque indica la identidad del enrutador en un sistema autónomo. En nuestro escenario de laboratorio, utilizamos un ID de enrutador que coincide con la dirección IP de la interfaz de enlace ascendente en NSX Edge. La pantalla volverá a la sección Global Configuration con la opción Publish Changes.

Compruebe que el campo Router ID muestra la dirección IP asociada al conmutador lógico Transit_Network: 192.168.5.2. Si el cambio de configuración no se ha aplicado correctamente, este valor estará en blanco. Si esto sucede, repita los pasos 1 y 2 para volver a aplicar el ID del enrutador.

 

 

Configurar los parámetros específicos de OSPF

 

Vamos a utilizar OSPF como protocolo de enrutamiento dinámico entre Perimeter-Gateway-01 y Distributed-Router-01. De esta forma, los dos enrutadores podrán intercambiar información sobre sus rutas conocidas.

  1. Haga clic en OSPF.
  2. Haga clic en Edit para cambiar la configuración de OSPF. Se abrirá el cuadro de diálogo OSPF Configuration.

 

 

Configurar el enrutamiento OSPF en NSX Edge del perímetro

 

A continuación, vamos a configurar el enrutamiento dinámico en Perimeter-Gateway-01 (NSX Edge) para restablecer la conectividad hacia nuestra aplicación de tres niveles.

  1. Haga clic en Back varias veces hasta volver a la página de resumen de NSX Edge que contiene la lista de opciones.

 

 

Revisar la nueva topología

 

La nueva topología muestra el emparejamiento entre el enrutador distribuido y la puerta de enlace perimetral (NSX Edge). Las rutas hacia cualquier red conectada al enrutador distribuido se transferirán mediante OSPF a la puerta de enlace perimetral (NSX Edge). Además, todas las rutas de la puerta de enlace perimetral se transferirán al enrutador vPod de la red física mediante BGP.

La sección siguiente contiene más información al respecto.

 

 

Comprobar la comunicación con la aplicación de tres niveles

 

Ahora, se intercambia información de enrutamiento entre el enrutador distribuido y la puerta de enlace perimetral. Una vez que se ha establecido el enrutamiento entre los dos NSX Edge, se restablecerá la conectividad con la aplicación web de tres niveles. Vamos a comprobar que el enrutamiento funciona accediendo a la aplicación web de tres niveles.

  1. Haga clic en la pestaña del navegador HOL - Customer Database (esta pestaña se abrió en un paso anterior). La página puede mostrar el mensaje 504 Gateway Time-out como resultado del intento anterior.
  2. Haga clic en Reload.

Nota: La propagación de las rutas puede tardar unos momentos, ya que el laboratorio es un entorno anidado.

 

 

Enrutamiento dinámico y distribuido finalizado

En esta sección, hemos configurado el enrutamiento dinámico y distribuido. En la sección siguiente, revisaremos el enrutamiento centralizado con la puerta de enlace perimetral (NSX Edge).

 

Enrutamiento centralizado


En esta sección, nos ocuparemos de varios elementos de la configuración del enrutamiento norte desde NSX Edge Services Gateway (ESG). Veremos cómo se controla, actualiza y propaga el enrutamiento dinámico por todo el entorno NSX. Comprobaremos que las rutas se intercambian entre el dispositivo ESG perimetral NSX y el dispositivo del enrutador virtual (enrutador vPod) en el que se ejecuta y enruta todo el laboratorio.

Nota especial: En el escritorio, encontrará un archivo con el nombre README.txt. Contiene los comandos de la CLI que se necesitan para los ejercicios del laboratorio. Si no los puede escribir, los puede copiar y pegar en las sesiones de PuTTY. Si ve un número con entre llaves, {1}, debe buscar en el archivo de texto el comando de la CLI para este módulo.


 

Topología actual del laboratorio

 

La imagen anterior ilustra la topología actual, en la que se usa OSPF para intercambiar rutas entre la puerta de enlace perimetral y el enrutador distribuido. También se ve el enlace norte desde la puerta de enlace perimetral al enrutador vPod. Estos enrutadores intercambian información de enrutamiento a través de BGP.

 

 

Enrutamiento OSPF en la puerta de enlace perimetral

Primero, confirmaremos que la aplicación web funciona. Después, iniciaremos sesión en la puerta de enlace perimetral NSX para ver la vecindad OSPF y la información sobre rutas. Veremos que la puerta de enlace perimetral obtiene rutas del enrutador distribuido y del enrutador vPod en el que se ejecuta todo el laboratorio.

 

 

Confirmar la funcionalidad de la aplicación de tres niveles

 

  1. Abra otra pestaña en el navegador.
  2. Haga clic en el marcador Customer DB App.

 

 

Ver la vecindad BGP

 

Fijémonos en la vecindad BGP de la puerta de enlace perimetral 01.

  1. Escriba show ip bgp neighbors.
show ip bgp neighbors

 

 

Revisar la información de la vecindad BGP que se muestra

 

Vamos a revisar la información de la vecindad BGP.

  1. La vecindad BGP es 192.168.100.1. Es el ID del enrutador vPod que hay en el entorno de NSX.
  2. Remote AS 65002. Es el número del sistema autónomo de la red externa del enrutador vPod.
  3. BGP state = Established, up. Indica que la adyacencia de vecindad está completa y que los enrutadores BGP enviarán paquetes de actualización para intercambiar información de enrutamiento.

 

 

Revisar rutas en el perímetro y su origen

 

Fíjese en las rutas disponibles en la puerta de enlace perimetral 01.

  1. Escriba show ip route.
show ip route

 

 

Controlar la distribución de rutas BGP

Puede haber algún escenario en el que tan solo desee distribuir rutas BGP dentro del entorno virtual, pero no difundirlas al entorno físico. La distribución de rutas se puede controlar y filtrar fácilmente desde la configuración de NSX Edge.

 

ECMP y alta disponibilidad


En esta sección, añadiremos la segunda puerta de enlace perimetral a la red y, después, usaremos el ECMP (enrutamiento en rutas múltiples de igual coste) para escalar horizontalmente la capacidad y disponibilidad del perímetro.  Con NSX podremos llevar a cabo una adición in situ de un dispositivo perimetral y habilitar el ECMP.

ECMP es una función de enrutamiento que permite reenviar paquetes a través de rutas múltiples y redundantes, que se pueden añadir estáticamente o mediante cálculos métricos con protocolos de enrutamiento dinámico, como OSPF o BGP. Cuando se selecciona el próximo salto de un par de direcciones IP de origen y destino, la ruta seleccionada se almacena en la caché de rutas. Todos los paquetes para ese flujo se dirigen al siguiente salto seleccionado. El enrutador lógico distribuido utiliza un algoritmo XOR para determinar el siguiente salto en una lista de rutas ECMP posibles. El algoritmo utiliza las direcciones IP de origen y destino del paquete entrante como fuentes de entropía.

En este módulo, configuraremos una nueva puerta de enlace perimetral y estableceremos un clúster de ECMP entre las puertas de enlace perimetral y el enrutador lógico distribuido para disponer de más capacidad y disponibilidad.  Probaremos la disponibilidad desactivando una de las puertas de enlace perimetrales y observando las rutas de enrutamiento resultantes.


 

Ir a NSX en vSphere Web Client

 

  1. Haga clic en la pestaña vSphere Web Client del navegador.
  2. Haga clic en el icono Home.
  3. Haga clic en Networking & Security.

 

 

Modificar el perímetro de la puerta de enlace perimetral

 

En primer lugar, tendremos que modificar la puerta de enlace perimetral NSX Edge existente y eliminar la dirección IP secundaria:

  1. Haga clic en NSX Edges.
  2. Haga doble clic en Perimeter-Gateway-01.

 

 

Modificar el vNIC del enlace ascendente

 

  1. Haga clic en Manage.
  2. Haga clic en Settings.
  3. Haga clic en Interfaces.
  4. Haga clic en vNIC 0.
  5. Haga clic en el lápiz para editar.

 

 

Eliminar la dirección IP secundaria

 

  1. Haga clic en el lápiz para editar.
  2. Haga clic en el icono de la cruz para eliminar la dirección IP secundaria.

En los siguientes pasos, usaremos temporalmente esta dirección IP secundaria para nuestra nueva puerta de enlace perimetral.

 

 

Confirmar los cambios

 

  1. Haga clic en OK.

Nota: Si los botones OK y Cancel no están visibles, quizá tenga que hacer clic en el cuadro de diálogo «Edit NSX Edge Interface». El motivo es que la resolución de pantalla disponible en el laboratorio es limitada.

 

 

Volver a NSX Edges

 

  1. Haga clic en Back varias veces hasta volver a la página de resumen de NSX Edges en la que aparece la lista de perímetros.

 

 

Añadir un perímetro de puerta de enlace perimetral

 

 

 

Seleccionar y ponerle nombre al perímetro

 

  1. Seleccione Edge Services Gateway en el campo «Install Type».
  2. Introduzca Perimeter-Gateway-02 en el campo «Name».
  3. Haga clic en Next.

 

 

Establecer contraseña

 

  1. Escriba VMware1!VMware1! en el campo «Password».
  2. Escriba VMware1!VMware1! en el campo «Confirm password».
  3. Active Enable SSH access.
  4. Haga clic en Next.

Nota: Todas las contraseñas de NSX Edge son términos complejos de 12 caracteres como mínimo.

 

 

Añadir un dispositivo de NSX Edge

 

  1. Haga clic en el icono del signo más verde. Se abrirá el cuadro de diálogo Add NSX Edge Appliance.
  2. Seleccione RegionA01-MGMT01 en el campo «Cluster/Resource Pool».
  3. Seleccione RegionA01-ISCSI01-COMP01 en el campo «Datastore».
  4. Seleccione esx-04a.corp.local en el campo «Host».
  5. Haga clic en OK.

 

 

Continuar la implementación

 

  1. Haga clic en Next.

 

 

Añadir interfaz de enlace ascendente

 

  1. Haga clic en el icono del signo más verde. Así se añadirá la primera interfaz.

 

 

Seleccionar un conmutador al que conectarse

 

Tenemos que elegir la interfaz del conmutador norte (un grupo de puertos distribuido) para esta puerta de enlace perimetral.

  1. Haga clic en el enlace Select que hay a la derecha del campo Connected To.
  2. Haga clic en Distributed Virtual Port Group.
  3. Haga clic en el botón de opción que hay a la izquierda de Uplink-RegionA01-vDS-MGMT.
  4. Haga clic en OK.

 

 

Añadir IP y ponerle nombre

 

  1. Escriba Uplink en el campo «Name».
  2. Seleccione Uplink en el campo «Type».
  3. Haga clic en el icono del signo más verde.
  4. Escriba 192.168.100.4 en el campo «Primary IP Address».
  5. Escriba 24 en el campo «Subnet Prefix Length».
  6. Haga clic en OK.

 

 

Añadir interfaz de tráfico de Edge

 

  1. Haga clic en el icono del signo más verde. De este modo, se añadirá la segunda interfaz.

 

 

Seleccionar un conmutador al que conectarse

 

Tenemos que elegir la interfaz del conmutador en dirección norte (conmutador lógico basado en Virtual eXtensible LAN) para esta puerta de enlace perimetral.

  1. Haga clic en Select, en Connected To.
  2. Haga clic en Logical Switch.
  3. Haga clic en el botón de opción situado a la izquierda del campo Transit_Network_01 (5005).
  4. Haga clic en OK.

 

 

Añadir IP y ponerle nombre

 

  1. Escriba Transit_Network_01 en el campo «Name».
  2. Seleccione Internal as en el campo «Type».
  3. Haga clic en el icono del signo más verde.
  4. Escriba 192.168.5.4 en el campo «Primary IP Address».
  5. Escriba 29 en el campo «Subnet Prefix Length».  Asegúrese de que la longitud del prefijo de subred es correcta (29), porque de lo contrario el laboratorio no funcionará.
  6. Haga clic en OK.

 

 

Continuar la implementación

 

Asegúrese de que la información de la dirección IP y la longitud del prefijo de subred coincide con los valores de la imagen anterior.

  1. Haga clic en Next.

 

 

Eliminar la puerta de enlace predeterminada

 

Como la información se recibe mediante OSPF, eliminaremos la puerta de enlace predeterminada.

  1. Desactive Configure Default Gateway.
  2. Haga clic en Next.

 

 

Configurar el cortafuegos predeterminado

 

  1. Active Configure Firewall default policy.
  2. Seleccione Accept en el campo «Default Traffic Policy».
  3. Haga clic en Next.

 

 

Finalizar la implementación

 

  1. Haga clic en Finish. Se iniciará la implementación.

 

 

Implementar NSX Edge

 

La implementación de NSX Edge llevará unos minutos.

  1. En la sección NSX Edges, aparecerá el mensaje 1 Installing mientras se implementa Perimeter-Gateway-02.
  2. El estado de Perimeter-Gateway-02 indicará Busy. Esto significa que la implementación está en curso.
  3. Haga clic en el icono de actualizar de vSphere Web Client para actualizar el estado de la implementación de Perimeter-Gateway-02.

Cuando el estado Perimeter-Gateway-02 indique que está implementado (Deployed), podrá continuar con el paso siguiente.

 

 

Configurar el enrutamiento de un nuevo perímetro

 

Antes de habilitar el ECMP, tendremos que configurar OSPF en Perimeter-Gateway-02 (NSX Edge).

  1. Haga doble clic en Perimeter-Gateway-02.

Nota: Si no ve el nombre completo de la puerta de enlace, pase el ratón sobre el nombre para ver la información.

 

 

Habilitar ECMP

 

Procederemos a habilitar ECMP en el enrutador distribuido y las puertas de enlace perimetrales

  1. Haga clic en Back varias veces hasta volver a la página de resumen de NSX Edge que contiene la lista de opciones.

 

 

Descripción de la topología

 

En este momento, la topología del laboratorio es la de la imagen.  Contiene la nueva puerta de enlace perimetral que se ha añadido, el enrutamiento configurado y ECMP activado.

 

 

Comprobar la funcionalidad de ECMP desde el enrutador distribuido

 

Vamos a acceder al enrutador distribuido para asegurarnos de que OSPF y ECMP funcionan correctamente.

  1. Haga clic en el icono Home.
  2. Haga clic en VMs and Templates.

 

 

Comprobar la funcionalidad de ECMP desde el enrutador vPod

 

Nota: Para sacar el cursor de la ventana, pulse las teclas Ctrl+Alt.

Ahora, nos fijaremos en ECMP desde el enrutador vPod, que simula un enrutador físico en la red.

  1. Haga clic en el icono PuTTY, en la barra de tareas.

 

 

Desconectar Perimeter Gateway 01

 

Simularemos que un nodo se queda sin conexión al desconectar Perimeter-Gateway-01.

Vuelva a la pestaña de vSphere Web Client en el navegador.

  1. Expanda RegionA01.
  2. Haga clic con el botón derecho en Perimeter-Gateway-01-0.
  3. Haga clic en Power.
  4. Haga clic en Shut Down Guest OS.

 

 

Probar la alta disponibilidad con ECMP

 

Con ECMP, BGP y OSPF en el entorno, podremos cambiar rutas dinámicamente si se produce un fallo en una ruta concreta.  Ahora, simularemos que una de las rutas se desactiva para que tenga lugar la redistribución de rutas.

  1. Haga clic en el icono de símbolo de sistema de la barra de herramientas.

 

 

Acceder a la consola de la MV del enrutador distribuido

 

  1. Haga clic en la pestaña del navegador Distributed-01-0.

Cuando se inicia en la pestaña del navegador, la consola de la MV aparece como una pantalla de color negro. Haga clic dentro de la pantalla negra y pulse Entrar varias veces para acceder a la consola de la máquina virtual desde el protector de pantalla.

 

 

Activar Perimeter Gateway 01

 

Vuelva a la pestaña de vSphere Web Client en el navegador.

  1. Expanda RegionA01.
  2. Haga clic con el botón derecho en Perimeter-Gateway-01-0.
  3. Haga clic en Power.
  4. Haga clic en Power On.

 

 

Volver a la prueba de ping

 

  • Desde la barra de tareas, vuelva al símbolo del sistema, en el que se está ejecutando la prueba de ping.

 

 

Acceder a la consola de la MV del enrutador distribuido

 

  1. Haga clic en la pestaña del navegador Distributed-01-0.

Cuando se inicia en la pestaña del navegador, la consola de la MV aparece como una pantalla de color negro. Haga clic dentro de la pantalla negra y pulse Entrar varias veces para acceder a la consola de la máquina virtual desde el protector de pantalla.

 

Antes de empezar con el módulo 4, lleve a cabo los pasos de depuración siguientes


Si tiene previsto continuar con cualquier otro módulo tras completar el módulo 2, debe completar los siguientes pasos. De lo contrario, el laboratorio no funcionará correctamente.


 

Eliminar el segundo dispositivo perimetral

 

Vuelva a la pestaña de vSphere Web Client en el navegador.

  1. Haga clic en el icono Home.
  2. Haga clic en Networking & Security.

 

 

Eliminar la puerta de enlace perimetral 02

 

Es necesario eliminar la puerta de enlace perimetral 02 que se creó anteriormente.

  1. Haga clic en NSX Edges.
  2. Haga clic en Perimeter-Gateway-02 para seleccionarlo.
  3. Haga clic en la X roja para eliminar Perimeter-Gateway-02.

 

 

Confirmar la eliminación

 

  1. Haga clic en Yes.

 

 

Deshabilitar ECMP en DLR y en la puerta de enlace perimetral 01

 

  1. Haga doble clic en Distributed-Router-01.

 

 

Deshabilitar ECMP en el enrutador distribuido

 

  1. Haga clic en Manage.
  2. Haga clic en Routing.
  3. Haga clic en Global Configuration.
  4. Haga clic en Stop.

 

 

Publicar los cambios

 

  1. Haga clic en Publish Changes para implementar el cambio de configuración.

 

 

Volver a los dispositivos Edge

 

  1. Haga clic en Back varias veces hasta llegar a la página de resumen de NSX Edges en la que aparece la lista de perímetros.

 

 

Acceder a la puerta de enlace perimetral 01

 

  1. Haga doble clic en Perimeter-Gateway-01.

 

 

Deshabilitar ECMP en la puerta de enlace perimetral 01

 

  1. Haga clic en Manage.
  2. Haga clic en Routing.
  3. Haga clic en Global Configuration.
  4. Haga clic en Stop.

 

 

Publicar los cambios

 

  1. Haga clic en Publish Changes para implementar el cambio de configuración.

 

 

Habilitar el cortafuegos en la puerta de enlace perimetral 01

 

  1. Haga clic en Manage.
  2. Haga clic en Firewall.
  3. Haga clic en Start.

 

 

Publicar los cambios

 

  1. Haga clic en Publish Changes para actualizar la configuración de Perimeter-Gateway-01 (NSX Edge).

 

Conclusión del módulo 3


En este módulo, hemos tratado las funciones de enrutamiento del enrutador lógico distribuido (DLR) de NSX y de Edge Services Gateway (ESG). Hemos realizado las tareas siguientes:

  1. Migración de conmutadores lógicos de Edge Services Gateway (ESG) al enrutador lógico distribuido (DLR).
  2. Configuración de enrutamiento dinámico entre ESG y DLR a través de OSPF.
  3. Revisión de las funciones de enrutamiento centralizado de ESG, incluido el emparejamiento de rutas dinámicas.
  4. Demostración de la escalabilidad y disponibilidad de ESG mediante la implementación de una segunda ESG y el establecimiento de emparejamiento de rutas entre ambas a través de la configuración de enrutamiento multirruta de igual coste (ECMP).
  5. Eliminación de las configuraciones de enrutamiento de ESG2 y ECMP.

 

Ha terminado el módulo 3

Enhorabuena, ha terminado el módulo 3.

Si desea obtener más información sobre la implementación de NSX, consulte el Centro de documentación de NSX 6.4 en la dirección URL siguiente:

Continúe con uno de los módulos siguientes:

Lista de los módulos del laboratorio:

Directores del laboratorio:

  • Módulos 1-4: Joe Collon, ingeniero de sistemas de NSX, EE. UU.

 

 

Finalización del laboratorio

 

Para finalizar el laboratorio, haga clic en el botón END.  

 

Módulo 4: Edge Services Gateway (60 minutos)

Edge Services Gateway: descripción del módulo


NSX Edge Services Gateway (ESG) ofrece servicios de seguridad de perímetro de red y enrutamiento de entrada y salida del entorno virtualizado. Como se ha mostrado en módulos anteriores, ESG ofrece diversas opciones para trasmitir tráfico norte-sur de un modo escalable y flexible.

El enrutador lógico distribuido (DLR) de NSX Edge proporciona enrutamiento este-oeste optimizado basado en el núcleo dentro del entorno de NSX. El enrutamiento distribuido permite la comunicación directa y eficaz entre las cargas de trabajo que residen en el entorno de NSX sin tener que establecer conexiones mediante una interfaz de enrutamiento tradicional.

Además de ofrecer estas funciones de enrutamiento, NSX Edge Services Gateway proporciona numerosos servicios avanzados de puerta de enlace, por ejemplo, DHCP, VPN, NAT, equilibrio de carga y un cortafuegos tradicional de la capa 3. Para utilizar estas funciones, es suficiente con habilitarlas en la configuración de ESG.

En este módulo abordaremos algunos de estos servicios que ofrece ESG. Al finalizar este módulo, podrá realizar las siguientes tareas:

  • Implementar una nueva Edge Services Gateway
  • Configurar el equilibrio de carga en Edge Services Gateway
  • Verificar la configuración del equilibrador de carga
  • Configurar el cortafuegos de la capa 3 de Edge Services Gateway
  • Configurar la retransmisión de DHCP
  • Configurar L2VPN

Al final de este módulo encontrará un enlace a una descripción completa de estas y otras funciones de Edge Services Gateway.


Implementar Edge Services Gateway para el equilibrio de carga


NSX Edge Services Gateway incluye la funcionalidad de equilibrio de carga. Implementar un equilibrador de carga ofrece numerosas ventajas, como el uso eficiente de los recursos, la escalabilidad y la flexibilidad en el nivel de las aplicaciones. De este modo, es posible obtener tiempos de respuesta más cortos de las aplicaciones. Las aplicaciones se pueden escalar más allá de las funciones de un único servidor y se puede reducir la carga de un servidor back-end mediante la descarga de HTTPS.

El servicio de equilibrio de carga equilibra la carga de TCP o UDP en la capa 4, y de HTTP o HTTPS en la capa 7.

En esta sección, implementaremos y configuraremos un nuevo dispositivo de NSX Edge como un equilibrador de carga de «un brazo».


 

Comprobar que el laboratorio está preparado

 

  • El estado del laboratorio se muestra en el escritorio de la máquina virtual de Windows de la consola principal.

La validación garantiza que todos los componentes del laboratorio se han implementado correctamente. Tras la validación, el estado se actualizará para mostrar en color verde que el sistema está preparado («Ready»). La implementación de un laboratorio podría fallar por la limitación de recursos en el entorno.

 

 

Aumentar el espacio de la ventana mediante la contracción del panel de tareas derecho

 

Si hace clic en las chinchetas, se contraerán los paneles de tareas y tendrá más espacio en el panel principal.  También puede contraer el panel izquierdo para ampliar al máximo el espacio disponible.

 

 

Desplazarse hasta «Networking & Security» en vSphere Web Client

 

  1. Haga clic en el icono Home.
  2. Haga clic en Networking & Security.

 

 

Crear una nueva Edge Services Gateway

 

Configuraremos el servicio de equilibrio de carga en una nueva Edge Services Gateway. Para comenzar la implementación de una nueva Edge Services Gateway, siga estos pasos:

  1. Haga clic en NSX Edges.
  2. Haga clic en el icono del signo más verde.

 

 

Definir el nombre y el tipo

 

  1. Escriba OneArm-LoadBalancer en el campo «Name».
  2. Haga clic en Next.

 

 

Configurar una cuenta de administración

 

  1. Escriba VMware1!VMware1! en el campo «Password».
  2. Escriba VMware1!VMware1! en el campo «Confirm password».
  3. Active Enable SSH access.
  4. Haga clic en Next.

Nota: Todas las contraseñas de NSX Edge son términos complejos de 12 caracteres como mínimo.

 

 

Definir el tamaño del perímetro y la ubicación de la máquina virtual

 

Existen cuatro tamaños diferentes de dispositivo para Edge Service Gateway. Estas son las especificaciones:

  • Compacto: 1 vCPU, 512 MB RAM
  • Grande: 2 vCPU, 1024 MB RAM
  • Cuádruple: 4 vCPU, 2 GB RAM
  • Extra grande: 6 vCPU, 8 GB RAM

Seleccionaremos un perímetro de tamaño compacto para la nueva Edge Services Gateway, pero recuerde que podrá cambiar el tamaño de las Edge Services Gateway tras la implementación. Para continuar con la creación de la nueva Edge Services Gateway:

  1. Haga clic en el icono del signo más verde. Se abrirá la ventana emergente Add NSX Edge Appliances.

 

 

Ubicación de clústeres/almacenes de datos

 

  1. Seleccione RegionA01-MGMT01 en el campo «Cluster/Resource Pool».
  2. Seleccione RegionA01-ISCSI01-COMP01 en el campo «Datastore».
  3. Seleccione esx-05a.corp.local en el campo «Host».
  4. Haga clic en OK.

 

 

Configurar la implementación

 

  1. Haga clic en Next.

 

 

Ubicar una nueva interfaz de red en NSX Edge

 

Como estamos usando un equilibrador de carga de un brazo, solo necesitará una interfaz de red.

  1. Haga clic en el icono del signo más verde.

 

 

Configurar la nueva interfaz de red para NSX Edge

 

Configuraremos la primera interfaz de red para esta nueva instancia de NSX Edge.  

  1. Escriba WebNetwork en el campo «Name».
  2. Seleccione Uplink en el campo «Type».
  3. Haga clic en Select.

 

 

Seleccionar la red para la nueva interfaz perimetral

 

La interfaz del equilibrador de carga de un brazo residirá en la misma red que los dos servidores web a los que abastecerá con servicios de equilibrio de carga.

  1. Haga clic en Logical Switch.
  2. Haga clic en el botón de opción que hay a la izquierda de Web_Tier_Logical_Switch (5006).
  3. Haga clic en OK.

 

 

Configurar subredes

 

  1. Haga clic en el icono del signo más verde. Esto le permite configurar la dirección IP de esta interfaz.

 

 

Configurar la dirección IP y la subred

 

Para añadir una nueva dirección IP a esta interfaz:

  1. Escriba 172.16.10.10 en el campo «Primary IP Address».
  2. Escriba 24 en el campo «Subnet Prefix Length».
  3. Haga clic en OK.

 

 

Confirmar la lista de interfaces

 

Asegúrese de que la información de la dirección IP y la longitud del prefijo de subred coincide con los datos de la imagen anterior.

  1. Haga clic en Next.

 

 

Configurar la puerta de enlace predeterminada

 

  1. Escriba 172.16.10.1 en el campo «Gateway IP».
  2. Haga clic en Next.

 

 

Configurar las opciones de HA y del cortafuegos

 

  1. Active Configure Firewall default policy.
  2. Seleccione OK en el campo «Default Traffic Policy».
  3. Haga clic en Next.

 

 

Revisar la configuración y terminar

 

  1. Haga clic en Finish para comenzar la implementación.

 

 

Supervisar la implementación

 

La implementación de NSX Edge puede llevar unos minutos.

  1. En la sección NSX Edges aparecerá el mensaje 1 Installing mientras se implementa el equilibrador de carga de un brazo.
  2. El estado del equilibrador de carga de un brazo indicará Busy. Esto significa que la implementación está en curso.
  3. Haga clic en el icono refresh de vSphere Web Client para actualizar el estado de la implementación del equilibrador de carga de un brazo.

Cuando el estado del equilibrador de carga de un brazo indique que está implementado (Deployed), podrá continuar con el paso siguiente.

 

Configurar Edge Services Gateway para el equilibrador de carga


Una vez que se ha implementado Edge Services Gateway, configuraremos los servicios de equilibrio de carga.


 

Configurar el servicio del equilibrador de carga

 

Esta imagen ilustra la topología final del equilibrador de carga proporcionada por el equilibrador de carga de un brazo de la nueva NSX Edge Services Gateway (ESG). Una vez configurada, esta puerta de enlace (ESG) residirá en el conmutador lógico de nivel web existente («Web_Tier_Logical_Switch»). La conectividad de la puerta de enlace al conmutador lógico es proporcionada por la ESG de la puerta de enlace perimetral 01 existente.

El servicio de equilibrio de carga de esta ESG aceptará conexiones cliente entrantes en la dirección IP 172.16.10.10 de un servidor virtual. Al recibir una nueva solicitud de conexión entrante, el equilibrador de carga asociará la solicitud con un servidor interno de una lista de miembros del depósito predefinidos. En este ejemplo, habrá dos miembros en el depósito: web-01a.corp.local (172.16.10.11) y web-02a.corp.local (172.16.10.12).

De este modo, el equilibrador de carga podrá proporcionar un único punto de acceso para los clientes entrantes, al tiempo que distribuye de manera transparente estas conexiones entre varios servidores web internos. Si un servidor web falla o deja de estar disponible, el equilibrador de carga lo detecta y lo elimina de su lista de miembros de depósito activos.  Los monitores de servicio se utilizan para comprobar periódicamente el estado de todos los miembros del depósito. Una vez que el servidor fallido vuelve a estar disponible, se restablecerá como miembro activo del depósito.

 

 

Configurar la función de equilibrio de carga en el equilibrador de carga de un brazo

 

  1. Haga doble clic en OneArm-LoadBalancer.

 

 

Desplazarse a la nueva instancia de NSX Edge

 

  1. Haga clic en Manage.
  2. Haga clic en Load Balancer.
  3. Haga clic en Global Configuration.
  4. Haga clic en Edit para cambiar la configuración global del equilibrador de carga.

 

 

Editar la configuración global del equilibrador de carga

 

Para habilitar el servicio del equilibrador de carga:

  1. Active Enable Load Balancer.
  2. Haga clic en OK.

 

 

Crear un perfil de aplicación

 

Un perfil de aplicación es la manera de definir el comportamiento de un tipo estándar de tráfico de red. Estos perfiles se aplican a un servidor virtual (VIP) que gestiona el tráfico en función de los valores especificados en el perfil de aplicación.  

El uso de perfiles reduce los errores y aumenta la eficacia en las tareas de administración de tráfico.  

  1. Haga clic en Application Profiles.
  2. Haga clic en el icono del signo más verde. Se abrirá la ventana del nuevo perfil.

 

 

Configurar la HTTPS del nuevo perfil de aplicación

 

Configure los siguientes elementos del nuevo perfil de aplicación:

  1. Escriba OneArmWeb-01 en el campo «Name».
  2. Seleccione HTTPS en el campo «Type».
  3. Active Enable SSL Passthrough. De este modo, se configura el servicio de equilibrio de carga para que transmita conexiones HTTPS a través del equilibrador de carga sin inspeccionar, acabando en el servidor del depósito.
  4. Haga clic en OK.

 

 

Definir el monitor de servicio HTTPS personalizado

 

Los monitores garantizan que los miembros del depósito que abastecen a un servidor virtual funcionan correctamente. El monitor HTTPS predeterminado utilizará una solicitud GET de HTTP básica («GET /»). Definiremos un monitor personalizado que realizará una comprobación del estado de la URL específica de una aplicación. De este modo, se verificará que el servidor web responde a las conexiones y se comprobará que nuestra aplicación funciona correctamente.

  1. Haga clic en Service Monitoring.
  2. Haga clic en el signo más verde para definir un monitor nuevo.

 

 

Definir el nuevo monitor

 

Escriba la siguiente información para definir el nuevo monitor:

  1. Escriba custom_https_monitor en el campo «Name».
  2. Seleccione HTTPS en el campo «Type».
  3. Escriba /cgi-bin/app.py en el campo «URL».
  4. Haga clic en OK.

 

 

Crear un depósito

 

Un grupo de servidores de depósito es la entidad que representa los nodos donde se equilibra la carga del tráfico. Añadiremos dos servidores web (web-01a y web-02a) a un depósito nuevo. Para crear el depósito nuevo:

  1. Haga clic en Pools.
  2. Haga clic en el icono del signo más verde. Se abrirá la ventana emergente del nuevo depósito.

 

 

Configurar el nuevo depósito

 

Configure los siguientes ajustes del nuevo depósito:

  1. Escriba Web-Tier-Pool-01 en el campo «Name».
  2. Seleccione default_https_monitor en el campo «Monitors».
  3. Haga clic en el icono del signo más verde.

 

 

Añadir miembros al depósito

 

  1. Escriba web-01a en el campo «Name».
  2. Escriba 172.16.10.11 en el campo «IP Address/VC Container».
  3. Escriba 443 en el campo «Port».
  4. Escriba 443 en el campo «Monitor Port».
  5. Haga clic en OK.

Repita el proceso anterior para añadir el segundo miembro al depósito, con la información siguiente:

  • Nombre: web-02a
  • Dirección IP: 172.16.10.12
  • Puerto: 443
  • Puerto de supervisión: 443

 

 

Guardar la configuración del depósito

 

  1. Haga clic en OK.

 

 

Crear un servidor virtual

 

Un servidor virtual es la entidad que acepta las conexiones entrantes del «front end» de una configuración de carga equilibrada. El tráfico del usuario se dirige a la dirección IP del servidor virtual y, a continuación, se redistribuye a los miembros del depósito en el «back-end» del equilibrador de carga. Configure un nuevo servidor virtual en esta Edge Services Gateway y complete la configuración de equilibrio de carga. Para ello, siga estos pasos:

  1. Haga clic en Virtual Servers
  2. Haga clic en el icono del signo más verde. Se abrirá la ventana emergente del nuevo servidor virtual.

 

 

Configurar un nuevo servidor virtual

 

Configure las opciones siguientes para este nuevo servidor virtual:

  1. Escriba Web-Tier-VIP-01 en el campo «Name».
  2. Escriba 172.16.10.10 en el campo «IP Address».
  3. Seleccione HTTPS en el campo «Protocol».
  4. Seleccione Web-Tier-Pool-01.
  5. Haga clic en OK.

 

Equilibrador de carga de Edge Services Gateway: comprobar la configuración


Una vez que se han configurado los servicios de equilibrio de carga, verificaremos la configuración.


 

Probar el acceso al servidor virtual

 

  1. Abra una pestaña nueva en el navegador.
  2. Haga clic para expandir la lista de marcadores.
  3. Haga clic para seleccionar el marcador 1-Arm LB Customer DB.
  4. Haga clic en Advanced.

 

 

Cómo ignorar el error SSL

 

  1. Haga clic en Proceed to 172.16.10.10 (unsafe).

 

 

Probar el acceso al servidor virtual

 

Ahora debe poder acceder al equilibrador de carga de un brazo.

  1. Haga clic en el icono de actualización. Esto le permitirá ver cómo el equilibrador de carga distribuye conexiones en ambos miembros del depósito.

Nota: Debido al almacenamiento en caché del navegador Chrome, puede parecer que las siguientes actualizaciones no utilizan los dos servidores.

 

 

Ver las estadísticas del depósito

 

Vuelva a la pestaña de vSphere Web Client en el navegador.

Para ver el estado de miembros individuales del depósito:

  1. Haga clic en Pools.
  2. Haga clic en Show Pool Statistics.
  3. Haga clic en «pool-1». Aparecerá el estado actual de cada uno de los miembros.
  4. Cierre la ventana. Para ello, haga clic en la X.

 

 

Mejorar la respuesta de supervisión (comprobación de estado)

 

Para facilitar la solución de problemas, los comandos «show ...pool» del equilibrador de carga de NSX devuelven información detallada de los fallos de los miembros del depósito. Crearemos dos fallos diferentes y analizaremos la respuesta mediante comandos «show» en el equilibrador de carga de un brazo de Edge Gateway.

  1. Escriba loadbalancer en el cuadro de búsqueda, que está ubicado en el esquina superior derecha de vSphere Web Client.
  2. Haga clic en OneArm-LoadBalancer-0.

 

 

Abrir la consola del equilibrador de carga de la consola

 

  1. Haga clic en Summary.
  2. Haga clic en VM console.

 

 

Iniciar sesión en el equilibrador de carga de un brazo 0

 

  1. Inicie sesión como admin.
  2. Escriba VMware1!VMware1! en el campo «Password».

 

 

Analizar el estado del depósito antes del fallo

 

  1. Escriba show service loadbalancer pool.
show service loadbalancer pool

Nota: El estado de los miembros del depósito, web-01a y web-02a, se muestra como «UP».

 

 

Iniciar PuTTY

 

  1. Haga clic en PuTTY en la barra de tareas.

 

 

SSH a web-01a.corp.local

 

  1. Desplácese hacia abajo hasta web-01a.corp.local.
  2. Seleccione web-01a.corp.local.
  3. Haga clic en Load.
  4. Haga clic en Open.

 

 

Detener el servicio Nginx

 

Apagaremos HTTPS para simular la primera condición de error.

  1. Escriba systemctl stop nginx.
systemctl stop nginx

 

 

Consola del equilibrador de carga

 

  1. Escriba show service loadbalancer pool.
show service loadbalancer pool

Como el servicio no está disponible, la información del error indica que el proceso de supervisión de estado del equilibrador de carga no estableció una sesión SSL.

 

 

Iniciar el servicio NGINX

 

Vuelva a la sesión de Putty SSH para web-01a.

1. Escriba systemctl start nginx.

systemctl start nginx

 

 

Apagar web-01a

 

Vuelva a la pestaña de vSphere Web Client en el navegador.

  1. Escriba web-01a en el cuadro de búsqueda, que está ubicado en el esquina superior derecha de vSphere Web Client.
  2. Haga clic en web-01a.

 

 

Apagar web-01a

 

  1. Haga clic en Actions.
  2. Haga clic en Power.
  3. Haga clic en Power Off.
  4. Haga clic en Yes para confirmar.

 

 

Comprobar el estado del depósito

 

  1. Escriba show service loadbalancer pool.
show service loadbalancer pool

Como la máquina virtual está apagada, la información del error indica que el cliente no restableció la conexión de capa 4, a diferencia de la conexión de capa 7 (SSL) del paso anterior.

 

 

Encender web-01a

 

Vuelva a la pestaña de vSphere Web Client en el navegador.

  1. Haga clic en Actions.
  2. Haga clic en Power.
  3. Haga clic en Power On.

 

 

Conclusión

En este laboratorio, hemos implementado y configurado una nueva Edge Services Gateway. También hemos habilitado los servicios de equilibrio de carga para la aplicación 1-Arm LB Customer DB.

Aquí termina la lección sobre el equilibrador de carga de Edge Services Gateway. A continuación, nos ocuparemos del cortafuegos de Edge Services Gateway.

 

Cortafuegos de Edge Services Gateway


El cortafuegos de NSX Edge supervisa el tráfico norte-sur para proporcionar funciones de seguridad del perímetro. Su función es distinta a la del cortafuegos distribuido de NSX, en el que la política se aplica a la tarjeta de interfaz de red (NIC) virtual de cada máquina virtual.

El cortafuegos perimetral contribuye a satisfacer los requisitos clave de seguridad del perímetro, como el desarrollo de DMZ basadas en estructuras IP/VLAN, el aislamiento cliente a cliente en centros de datos virtuales multicliente y la imposición de cortafuegos enrutados tradicionales en dispositivos físicos en los que un cortafuegos distribuido no es una opción.


 

Reglas del cortafuegos de NSX Edge

Tanto Edge Services Gateway como el enrutador lógico contienen una pestaña para la configuración del cortafuegos, aunque existen diferencias significativas en cuanto a dónde se aplica esta política. Al aplicar reglas de cortafuegos a un enrutador lógico, estas políticas se aplican a la máquina virtual de control del enrutador lógico y no son un componente del plano de datos. Para proteger el tráfico del plano de datos, las reglas del cortafuegos (distribuido) lógico se pueden utilizar para proteger el tráfico este-oeste en la NIC virtual. Asimismo, se pueden aplicar reglas en el nivel de NSX Edge Services Gateway para proteger el tráfico norte-sur o al efectuar el enrutamiento entre grupos de puertos basados en una VLAN física.

Si las reglas que se crean en la interfaz de usuario del cortafuegos de NSX son aplicables a una NSX Edge Gateway, se mostrarán en el perímetro en modo de solo lectura. Cuando existen reglas en varias ubicaciones, se muestran y aplican en el orden siguiente:

  1. Reglas definidas por el usuario de la interfaz de usuario del cortafuegos (solo lectura).
  2. Reglas autoconfiguradas (reglas creadas automáticamente que habilitan el tráfico de control para los servicios perimetrales).
  3. Reglas definidas por el usuario en la interfaz de usuario del cortafuegos de NSX Edge.
  4. Regla predeterminada.

 

 

Abrir redes y seguridad

 

  1. Haga clic en el icono Home.
  2. Haga clic en Networking & Security.

 

 

Abrir una instancia de NSX Edge

 

  1. Haga clic en NSX Edges.
  2. Haga doble clic en Perimeter Gateway-01.

 

 

Abrir la pestaña de gestión

 

  1. Haga clic en Manage.
  2. Haga clic en Firewall.
  3. Haga clic en Default Rule.
  4. Haga clic en el icono del lápiz que hay debajo de la columna Action.
  5. Seleccione Deny en el campo «Action».

Nota: NSX permite realizar las tres acciones siguientes para una regla de cortafuegos.

  • Accept: el tráfico que coincida con una regla que tenga esta acción pasará con normalidad.
  • Deny: el tráfico que coincida con una regla que tenga esta acción se descartará sin notificar a la fuente del tráfico.
  • Reject: el tráfico que coincida con una regla que tenga esta acción se descartará al igual que con «Deny», pero se enviará el mensaje «ICMP Unreachable» a la dirección IP de la fuente del paquete de origen, en el que se indica que el protocolo ICMP no está disponible.

 

 

Publicar los cambios

 

No realizaremos cambios permanentes en la configuración del cortafuegos de Edge Services Gateway.

  1. Haga clic en Revert para deshacer los cambios.

 

 

Añadir una regla de cortafuegos de Edge Services Gateway

 

Ahora sabemos cómo editar reglas de cortafuegos de Edge Services Gateway y vamos a añadir una regla nueva de cortafuegos perimetral para bloquear el acceso del centro de control a la aplicación de base de datos del cliente.

  1. Haga clic en el signo más verde para añadir una regla de cortafuegos.
  2. Sitúe el ratón en la esquina superior derecha de la columna «Name» y haga clic en el icono del lápiz.
  3. Escriba Main Console FW Rule en el campo «Rule Name».
  4. Haga clic en OK.

 

 

Especificar la fuente

 

Sitúe el ratón en la esquina superior derecha de la columna Source y haga clic en el icono del lápiz.

  1. Haga clic en el menú desplegable Object Type y seleccione IP Sets.
  2. Haga clic en el hipervínculo New IP Set...
  3. Escriba Main Console en el campo «Name».
  4. Escriba 192.168.110.10 como dirección IP.
  5. Haga clic en OK.

 

 

Especificar la fuente

 

  1. Seleccione IP Sets en la lista «Object Type».
  2. Haga clic en Main Console en la lista «Available Objects».
  3. Haga clic en la flecha que señala hacia la derecha. El objeto se moverá a la lista «Selected Objects».
  4. Compruebe que la consola principal está en la lista «Selected Objects» y haga clic en OK.

 

 

Especificar el destino

 

Sitúe el ratón en la esquina superior derecha de la columna Destination y haga clic en el icono del lápiz.

  1. Seleccione Logical Switch en la lista «Object Type».
  2. Haga clic en Web_Tier_Logical_Switch, en la lista «Available Objects».
  3. Haga clic en la flecha derecha. El objeto se moverá a la lista «Selected Objects».
  4. Compruebe que «Web_Tier_Logical_Switch» figura en la lista «Selected Objects» y haga clic en OK.

 

 

Configurar acciones

 

  1. Haga clic en el icono del lápiz situado debajo de la columna Action.
  2. Seleccione Reject en el campo «Action».
  3. Haga clic en OK.

Nota: Se eligió «Reject» en lugar de «Deny» para agilizar el fallo del servidor web en los pasos siguientes. Si se selecciona «Deny», el flujo descenderá y, finalmente, se agotará el tiempo de espera. Al elegir «Reject», se envía un mensaje ICMP a la consola principal cuando se realiza un intento de conexión, informando inmediatamente al sistema operativo del fallo de conexión. Se recomienda utilizar «Deny» como práctica recomendada de seguridad general.

 

 

Publicar los cambios

 

  1. Haga clic en Publish Changes para actualizar la configuración de «Perimeter-Gateway-01 (NSX Edge)».

 

 

Probar una regla de cortafuegos nueva

 

Una vez que hemos configurado una regla de cortafuegos nueva que bloquea el acceso del centro de control al conmutador lógico de nivel web, procedamos a realizar una prueba rápida:

  1. Abra otra pestaña en el navegador.
  2. Haga clic en el marcador Customer DB App.

Compruebe que Main Console no puede acceder a Customer DB App. Se debe ver una página del navegador que indica que no se puede acceder al sitio web. Modifiquemos ahora la regla de cortafuegos para que la consola principal pueda acceder a la aplicación de bases de datos del cliente.

 

 

Cambiar la regla de cortafuegos de la consola principal a «Accept»

 

Vuelva a la pestaña de vSphere Web Client en el navegador.

  1. Haga clic en el icono del lápiz en la columna «Action» de la regla de cortafuegos de la consola principal.
  2. Seleccione Accept en el campo «Action».
  3. Haga clic en OK.

 

 

 

Publicar los cambios

 

  1. Haga clic en Publish Changes para actualizar la configuración de «Perimeter-Gateway-01 (NSX Edge)».

 

 

Confirmar que hay acceso a la aplicación de bases de datos del cliente

 

Vuelva a la pestaña del navegador de la aplicación de bases de datos del cliente.

  1. Haga clic en el icono Refresh.

Como la regla de cortafuegos de la consola principal ha cambiado a «Accept», la consola principal puede acceder a la aplicación de bases de datos del cliente.

 

 

Eliminar la regla de cortafuegos de la consola principal

 

  1. Haga clic en Main Console FW Rule.
  2. Haga clic en la X de color rojo para eliminar la regla de cortafuegos seleccionada.
  3. Haga clic en OK para confirmar.

 

 

Publicar los cambios

 

  1. Haga clic en Publish Changes para actualizar la configuración de «Perimeter-Gateway-01 (NSX Edge)».

 

 

Conclusión

En este laboratorio, hemos aprendido a modificar una regla de cortafuegos de Edge Services Gateway existente y a configurar una regla de cortafuegos de Edge Services Gateway nueva que bloquea el acceso externo a la aplicación de bases de datos del cliente.

Aquí termina la lección sobre el cortafuegos de Edge Services Gateway. A continuación, trataremos el modo en el que Edge Services Gateway gestiona los servicios DHCP.

 

Retransmisión de DHCP


En una red en la que solo hay segmentos de red individuales, los clientes DHCP se comunican directamente con su servidor DHCP. Los servidores DHCP también pueden proporcionar direcciones IP para múltiples redes, incluidas las redes que no están en el mismo segmento que el propio servidor. Dada la naturaleza de difusión de DHCP, según la cual se proporcionan direcciones IP para intervalos fuera de su red local, el servidor DHCP no puede comunicarse directamente con los clientes que emiten solicitudes.

En estas situaciones, se utiliza un agente de retransmisión de DHCP para retransmitir la solicitud DHCP difundida por los clientes. Para ello, la solicitud de difusión se dirige al servidor DHCP designado como paquete de unidifusión. El servidor DHCP seleccionará un ámbito DHCP en función del intervalo de direcciones en el que se origina la unidifusión. El paquete de respuesta DHCP se proporciona a la dirección de retransmisión que, a continuación, se vuelve a difundir al cliente a través de la red original.

Aspectos que se tratan en este laboratorio:

  • Crear un nuevo segmento de red en NSX
  • Habilitar el agente de retransmisión de DHCP en el nuevo segmento de red
  • Usar un ámbito DHCP creado previamente en un servidor DHCP que requiere retransmisión de DHCP
  • Iniciar en red (PXE) una máquina virtual en blanco mediante opciones de ámbito DHCP

En este laboratorio, se han preconfigurado los elementos siguientes:

  • Servidor DHCP basado en Windows Server, con un ámbito DHCP y opciones de ámbito adecuados.
  • Servidor TFTP para archivos de inicio PXE. Este servidor se ha instalado y configurado, y se han cargado los archivos del SO.

 

Topología del laboratorio

 

Esta imagen ilustra la topología que se creará y utilizará en este módulo del laboratorio.

 

 

Acceder a NSX a través de vSphere Web Client

 

  1. Haga clic en el icono Home.
  2. Haga clic en Networking & Security.

 

 

Crear un conmutador lógico nuevo

 

En primer lugar, es preciso crear un nuevo conmutador lógico que se ejecutará en nuestra red 172.16.50.0/24.

  1. Haga clic en Logical Switches.
  2. Haga clic en el icono del signo más verde para crear un conmutador lógico nuevo.

 

 

Conectar el conmutador lógico a la puerta de enlace perimetral

 

A continuación, conectaremos el conmutador lógico a una interfaz en la puerta de enlace perimetral.  Esta interfaz será la puerta de enlace predeterminada para la red 172.16.50.0/24, con la dirección 172.16.50.1.

  1. Haga clic en NSX Edges.
  2. Haga doble clic en Perimeter-Gateway-01.

 

 

Configurar la retransmisión de DHCP

 

Dentro de la puerta de enlace perimetral, es necesario establecer la configuración global de la retransmisión de DHCP.

  1. Haga clic en Manage.
  2. Haga clic en DHCP.
  3. Haga clic en Relay.
  4. Haga clic en Edit.

 

 

Crear una máquina virtual en blanco para el inicio mediante PXE

 

A continuación, crearemos una máquina virtual en blanco que se iniciará mediante PXE desde el servidor DHCP al que retransmitimos.

  1. Haga clic en el icono Home.
  2. Haga clic en Hosts and Clusters.

 

 

Acceder a la máquina virtual recién creada

 

A continuación, abriremos una consola para esta MV y veremos cómo se inicia desde la imagen PXE. La información se recibe a través del servidor DHCP remoto configurado anteriormente.

  1. Haga clic en PXE VM.
  2. Haga clic en Summary.
  3. Haga clic en VM Console.

 

 

Verificar el arrendamiento de DHCP

 

Mientras esperamos que se inicie la MV, podemos verificar la dirección utilizada en los arrendamientos de DHCP.

  1. Vaya al escritorio de la consola principal y haga doble clic en el icono DHCP.

 

 

Acceder a la máquina virtual iniciada

 

  1. Haga clic en la pestaña de PXE VM en el navegador.

 

 

Verificar la dirección y la conectividad

 

El widget de la esquina superior derecha de la MV muestra estadísticas, además de la IP de la MV. Esta dirección debe coincidir con la IP que aparecía antes en el DHCP.

 

 

Conclusión

En este sección, hemos creado un nuevo segmento de red y, a continuación, hemos retransmitido las solicitudes DHCP desde dicha red a un servidor DHCP externo. Con ello, hemos podido acceder a más opciones de inicio de este servidor DHCP externo y de PXE en un SO Linux.

A continuación, nos ocuparemos de los servicios L2VPN de Edge Services Gateway.

 

Configurar L2VPN


En esta sección, utilizaremos las funciones de L2VPN de NSX Edge Gateway para ampliar el límite de capa 2 entre dos clústeres de vSphere. Para mostrar esta función, implementaremos un servidor L2VPN de NSX Edge en el clúster RegionA01-MGMT01 y un cliente L2VPN de NSX Edge en el clúster RegionA01-COMP01. Por último, comprobaremos el estado del túnel para verificar que la configuración se ha realizado correctamente.


 

Abrir Google Chrome y desplazarse a vSphere Web Client

 

  1. Abra el navegador web Google Chrome desde el escritorio si todavía no lo ha hecho.

 

 

Desplazarse a la sección «Networking & Security» de vSphere Web Client

 

  1. Haga clic en el icono Home.
  2. Haga clic en Networking & Security.

 

 

Crear NSX Edge Gateway para el servidor L2VPN

 

Para crear el servicio de servidor L2VPN, en primer lugar es necesario implementar una instancia de NSX Edge Gateway donde ejecutar el servicio.  

  1. Haga clic en NSX Edges.
  2. Haga clic en el icono del signo más verde.

 

 

Configurar una nueva NSX Edge Gateway: servidor L2VPN

 

  1. Escriba servidor L2VPN en el campo «Name».
  2. Haga clic en Next.

 

 

Configurar los ajustes de una nueva NSX Edge Gateway: servidor L2VPN

 

  1. Escriba VMware1!VMware1! en el campo «Password».
  2. Escriba VMware1!VMware1! en el campo «Confirm password».
  3. Active Enable SSH access.
  4. Haga clic en Next.

 

 

Preparar el servidor L2VPN de NSX Edge para conexiones L2VPN

Antes de configurar la instancia de NSX Edge recién implementada para conexiones L2VPN, es preciso completar los pasos siguientes:

  1. Añadir una interfaz de enlace troncal a la Edge Gateway del servidor L2VPN.
  2. Añadir una subinterfaz a la Edge Gateway del servidor L2VPN.
  3. Configurar el enrutamiento dinámico (OSPF) en la Edge Gateway del servidor L2VPN.

 

 

Configurar el ID del enrutador para esta instancia de NSX Edge

 

A continuación, configuraremos el enrutamiento dinámico en esta Edge Gateway.

  1. Haga clic en Routing.
  2. Haga clic en Global Configuration.
  3. Haga clic en Edit para cambiar la información de «Dynamic Routing Configuration».

 

 

Configurar OSPF en la instancia de NSX Edge de servidor L2VPN

 

  1. Haga clic en OSPF.
  2. Haga clic en el icono del signo más verde que hay debajo de «Area to Interface Mapping».

 

 

Habilitar la redistribución de rutas de OSPF

 

  1. Haga clic en Route Redistribution.
  2. Haga clic en Edit para cambiar el estado de la redistribución de rutas.
  3. Active OSPF.
  4. Haga clic en OK.

 

 

Configurar el servicio L2VPN en la instancia de NSX Edge de servidor L2VPN

La dirección 172.16.10.1 pertenece a la Edge Gateway del servidor L2VPN y las rutas se distribuyen dinámicamente mediante OSPF. A continuación, configuraremos el servicio L2VPN en esta Edge Gateway para que el perímetro actúe como «Servidor» en la conexión L2VPN.

 

 

Implementar NSX Edge Gateway del cliente L2VPN

Tras configurar el servidor L2VPN, implementaremos una nueva instancia de NSX Edge Gateway para que actúe como cliente L2VPN. Antes de implementar el cliente VPN de la capa 2 de NSX Edge Gateway, es preciso configurar grupos de puertos distribuidos de enlace ascendente y troncal en el conmutador virtual distribuido.

 

 

Configurar NSX Edge Gateway de cliente L2VPN

 

  1. Haga doble clic en L2VPN-Client.

 

Interconexión nativa


NSX ofrece funciones de interconexión de la capa 2 de software en el núcleo, lo que permite a las organizaciones conectar eficazmente cargas de trabajo tradicionales que se ejecutan en redes VLAN heredadas a redes virtualizadas mediante VXLAN. La interconexión de la capa 2 se utiliza habitualmente en entornos existentes para simplificar la incorporación de redes lógicas o cuando sistemas físicos requieren conectividad de la capa 2 hacia máquinas virtuales que se ejecutan en un conmutador lógico de NSX.

En este módulo se describe la configuración de una instancia de interconexión de la capa 2 entre una red VLAN tradicional y un conmutador lógico de NSX de acceso.


 

Instrucciones especiales para los comandos de la CLI

 

En muchos de los módulos deberá introducir comandos de interfaz de línea de comandos (CLI).  Hay dos formas de enviar comandos de la CLI al laboratorio.

La primera es enviar un comando de CLI a la consola del laboratorio:

  1. Resalte el comando de la CLI en el manual y use Control + C para copiarlo en el portapapeles.
  2. Haga clic en el elemento de menú de la consola SEND TEXT.
  3. Pulse Control + V para pegar el contenido del portapapeles a la ventana.
  4. Haga clic en el botón «SEND».

La segunda consiste en utilizar un archivo de texto (README.txt) del escritorio del entorno que permite copiar y pegar fácilmente comandos o contraseñas complejos en las herramientas asociadas (CMD, PuTTY, consola, etc.). Es habitual que ciertos caracteres no estén disponibles en todos los teclados del mundo.  Este archivo de texto sirve también para los teclados que no tienen esos caracteres.

El archivo de texto se llama README.txt y está en el escritorio.  Una capa de software omnipresente simplifica el cumplimiento normativo

 

 

Acceso a vSphere Web Client

 

  • Abra vSphere Web Client mediante el icono de Chrome del escritorio.

 

 

Comprobar la configuración inicial

 

Comprobaremos que la configuración inicial es la que se muestra en la imagen anterior. El entorno de laboratorio tiene un grupo de puertos en el clúster de gestión y perímetro, que se denomina Bridged-Net-RegionA01-vDS-MGMT. Las máquinas virtuales del servidor web, web-01a y web-02a, se conectan al conmutador lógico «Web-Tier-01». El conmutador lógico Web-Tier-01 está aislado de la red interconectada.

 

 

Migrar Web-01a al clúster RegionA01-MGMT01

 

  1. Haga clic en el icono Home.
  2. Haga clic en VMs and Templates.

 

 

Ver las MV conectadas

 

  1. Haga clic en el icono Home.
  2. Haga clic en Networking.

 

 

Migrar «Web_Tier_Logical_Switch» a un enrutador lógico distribuido

 

  1. Haga clic en el icono Home.
  2. Haga clic en Networking & Security.

 

 

Configurar la interconexión de la capa 2 de NSX

 

Vamos a habilitar el puenteo de capa 2 de NSX entre la red VLAN 101 y el conmutador lógico Web-Tier-01 para que web-01a.corp.local se pueda comunicar con el resto de la red. Esta configuración permitirá que un puente de la capa 2 y un enrutador lógico distribuido estén en el mismo enrutador lógico de nivel web.

 

 

Comprobar la interconexión de la capa 2

Se ha configurado la interconexión de capa 2 de NSX. A continuación, comprobaremos la conectividad de la capa 2 entre la MV web-01a conectada a la red VLAN 101 y la MV web-02a conectada a Web_Tier_Logical_Switch.

 

 

Preparar el módulo de interconexión de la capa 2

Si desea continuar con otros módulos de este laboratorio práctico, asegúrese de realizar los pasos siguientes para eliminar la interconexión de la capa 2, ya que la configuración de ejemplo utilizada en este escenario específico podría entrar en conflicto con otras secciones, como L2VPN.

 

 

Devolver Web-01a al clúster RegionA01-COMP01

 

  1. Haga clic en el icono Home.
  2. Haga clic en VMs and Templates.

 

Conclusión del módulo 4


En este módulo, hemos abordado las características avanzadas de NSX Edge Services Gateway:

  1. Hemos implementado una nueva de Edge Services Gateway (ESG) y la hemos configurado como un equilibrador de carga de un brazo.
  2. Hemos modificado y creado reglas de cortafuegos en la ESG existente.
  3. Hemos configurado la retransmisión de DHCP a través de ESG.
  4. Hemos configurado L2VPN a través de ESG.

 

Ha completado el módulo 4

Enhorabuena, ha terminado el módulo 4.

Si desea obtener más información sobre la implementación de NSX, consulte el Centro de documentación NSX 6.4 utilizando la URL siguiente:

Continúe con uno de los módulos siguientes:

Lista de los módulos del laboratorio:

Directores del laboratorio:

  • Módulos 1-4: Joe Collon, ingeniero de sistemas de NSX, EE. UU.

 

 

Finalización del laboratorio

 

Para finalizar el laboratorio, haga clic en el botón END.  

 

Finalización

Gracias por participar en los Hands-on Labs de VMware. No deje de visitar http://hol.vmware.com/ para continuar con su experiencia de laboratorio en línea.

Código SKU del laboratorio: HOL-1903-01-NET

Versión: 20181105-165203