Beruflich Dokumente
Kultur Dokumente
Conceptos iniciales
NSX es un nuevo producto de VMware el cual permite virtualizar las redes y seguridad. De
forma anloga a como el ESXi permite crear mquinas virtuales, NSX es el hypervisor que
virtualiza las redes y en s crean redes virtuales.
NSX es un software que se vende totalmente por aparte y se licencia por el nmero de
sockets.
En un Centro de Datos sin virtualizacin de servidores, toda la configuracin y polticas de
networking residen especficamente en la red fsica hardware fsico de la red, como Switches,
Routers, Firewalls, etc. Esto significa que la inteligencia reside en el Hardware, atndolo a un
vendedor especfico y requiriendo as una configuracin y gestin manual. A esto se le conoce
como Centro de datos definido por Hardware o HDDC, pos su siglas en ingles Hardware-Defined
Data Center.
Un Centro de Datos que emplea VMware vSphere virtualiza sus cargas de trabajo servidores
en mquinas virtuales, las cuales son ms fciles de crear, gestionar y editar, dando agilidad y
flexibilidad. Parte de la configuracin de Red en este caso se realiza en los switches virtuales
de VMware. VMware cuenta con dos tipos de switches virtuales:
Standard Switch vSS: Es un switch virtual que reside a nivel de host. Est incluido en
todas las ediciones de VMware vSphere. Su escalabilidad y gestin se complican a medida
que el centro de datos escala.
Distributed Switch o vDS: Es el segundo tipo de switch virtual de VMware y reside en
vCenter Server y no a nivel de Host. Es un Switch que centraliza la configuracin del
Networking del centro de datos virtual y a diferencia del Estndar, el Switch distribuido
requiere licencia Enterprise Plus. Algunas caractersticas nicas del vDS son:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
NIOC
Netflow (IPFIX)
QoS (CoS y DSCP)
Port Mirroring RESPAN Y ERESPAN
LACP por medio de LAG
VXLAN
PVLAN
ACLs
LLDP
Traffic Shaping In/Out, entre otras funciones
Un Centro de Datos que emplea NSX es un Datacenter que ya ha virtualizado con vSphere u
otros hypervisors de terceros. VMware NSX corre por encima de la capa de virtualizacin que
crea VMware vSphere o terceros. Cuando se utiliza NSX, se podra configurar toda la red y
Adicional, un SDDC puede automatizar los procesos con vRealize Automation. Puede tambin
hacer ms fcil la gestin y configuracin con vRealize Operations Manager. Finalmente puede
medir los costes mediante vRealize IT Business.
Los servidores fsicos que corren a nivel de bare-metal el ESXi se conectan de la siguiente
forma a las redes fsicas:
Encima de esta capa de NSX se podrn crear finalmente redes virtuales o virtual networks,
como se muestra a continuacin:
Data Plane
Control Plane
Managment Plane
Notar que los anteriores VIBs no son Virtual Appliances sino servicios que corrern dentro de
los ESXi.
Nota: NSX Manager de forma ms precisa instala 5 mdulos de vmkernel:
1. VXLAN.
2. Distributed Logical Router.
3. Distributed Firewall.
4. Switch Security.
5. User World Agent.
NSX Virtual Switch: Cuando el Switch Distribuido cuenta con las tres VIBs toma la forma y
el nombre de NSX Virtual Switch. Dicho de otra forma este Switch Virtual es el Distributed
Switch Plus los VIBs. Este es el mismo Logical Switch.
NSX Edge Services Gateway: El NSX Edge Services Gateway es un Virtual Appliance
desplegado por el NSX Manager que ofrece diversos servicios, como Firewall, NAT, Balanceo e
carga, Enrutamiento de Norte a Sur, entre otros. Este componente literalmente se encuentra
en el borde entre el plano de datos y el plano de control.
Plano de Control (Control Plane)
En el Plano de Control se encuentran los siguientes componentes:
User World Agent UWA. UWA es un agente instalado por NSX Manager a travs del
agente de bus de mensajes en cada host ESXi. Este agente consta de dos
servicios/demonios:
NSX Manager.
vCenter Server.
Agente de bus de mensajes Message Bus Agent. (RabbitMQ).
NSX Manager ya fue introducido al inicio de este Post y ser profundizado en el siguiente Post.
NSX Manager deber ser conectado en una relacin 1:1 con vCenter Server. El Agente de bus
de mensajes es el agente del Plano de Gestin que se comunica con el UWA para su instalacin
y posterior comunicacin entre NSX Manager y los ESXi. La comunicacin entre NSX Manager y
los ESXi se realiza entre el agente de bus de mensajes o RabbitMQ y el vsfwd.
El RabbitMQ es utilizado por NSX Manager para enviar informacin a los ESXi por el puerto
TCP 6871, tales como:
12 GB de RAM.
60 GB de Disco.
4 vCPUs.
vCenter Server 5.5 y despus.
ESXi 5.5 y despus.
Si los ESXi fueron adicionados a vCenter Server por FQDN, habr que garantizar que esos
nombres puedan ser resueltos de forma directa e inversa.
Permisos para adicionar y encender mquinas virtuales.
Acceso y permisos al datastore en donde se desplegar y copiarn los archivos de NSX
Manager.
Cookies activados en el navegador.
Navegadores soportados: IE 8, 9 (Solo de 64 Bit) y 10. Adicionalmente las dos versiones
ms recientes de Mozilla y Chrome.
En cuanto a puertos:
Definir la contrasea para ingresar por CLI o lnea de comando a NSX Manager. Esta clave
ser empleada ms adelante para iniciar sesin con el usuario admin.
Network Properties: Definir el FQDN, IP, Mscara y default gateway de esta mquina
virtual. Se deber crear el registro A en los DNS.
Configuracin de DNS:
Network
Bsicamente los mismos settings configurados en el paso 8, como FQDN, IP, mscara, default
gateway y DNS.
Nota: La opcin Modify plugin script download location permite definir la IP y puerto de NSX
Manager. Se requiere esta configuracin en ambientes con NAT.
Finalmente:
En el web client deber aparecer Network and Security, el cual permite configurar y
administrar NSX:
Tabla
Tabla
Tabla
Tabla
ARP
MAC
VTEP (Para el funcionamiento de VXLAN)
de enrutamiento
Por cada rol se crea un nmero de rebanadas: NSX Controller primero debe ser conciente
de cuntos Logical Switch y Logical Routers existen y cul es el nmero de nodos de NSX
Contoller. Con base en esto, divide los LS y LR entre todos los nodos del clster.
El maestro de LS Logical Switch divide los LS en rebanadas y los asigna a los distintos
nodos.
El maestro de LR Logical Router divide los LR en rebanas y los asigna a los distintos
nodos.
Por ltimo, los objetos son asignados a los slices.
Notar que el maestro tambin se estara encargando de realizar esta tarea. Suponer en un
ejemplo que se han creado 9 slices por cada rol en un clster con tres nodos.
Figura 3 NSX Controller Slices
Suponer tambin que los nueve primeros en color azul son slices para los LS y los 9 restantes
para los LR.
A continuacin se definen los objetos que sern rebanados:
2. NSX Controller tambin se encarga de recibir informacin de los ESXi y el NSX Logical
Router Virtual Machine acerca de lo que han aprendido a nivel de red, como tablas VTEP en el
caso de los ESXi y tablas de enrutamiento para el caso de NSX Logical Router Virtual Machine.
Mediante el agente de UWA los ESXi pueden tener comuinicacin con NSX Controller.
3. Podra remover el enrutamiento de multicast y la necesidad de configurar el protocolo PIM
en la red fsica. Para ms informacin acerca de esto visitar el Post: VMware NSX Modos de
Replicacin
4. Podra remover el trfico de broadcast. Si por ejemplo una mquina virtual enva un
ARP request en busca de la direccin MAC de otra mquina virtual, este broadcast es
capturado por el ESXi y por medio de UWA enviado al NSX Controller. NSX Controller busca la
direccin MAC para esa direccin IP en su tabla ARP y si tiene una entrada para esta, devuelve
la direccin MAC al ESXi. En este caso se suprime un broadcast que no estara viajando por la
insfraestructura, ahorrando ancho de banda.
5. NSX Controller emplea certificados autogenerados por NSX Manager para la comunicacin
de forma segura con otros componentes de la solucin.
Primero, NSX Manager crea certificados autogenerados. A continuacin estos son almacenados
en su base de datos. Cuando un NSX Controller es desplegado, NSX Manager le da el
certificado. A continuacin y empleando el Bus de mensajes, NSX Manager instala los VIBs en
los ESXi. La comunicacin entre los ESXi y NSX Controller se da a travs de UWA. Finalmente
la interaccin entre NSX Manager y NSX Controller y NSX Controller con ESXi se da a travs de
SSL.
Cmo desplegar NSX Controller
Para desplegar NSX Controller no es necesario descargar un OVA u OVF. Recordar que NSX
Manager es el encargado de facilitarnos esta tarea.
NSX Controller requiere:
NSX Manager: La instancia de NSX Manager en la cual este NSX Controller ser
registrado.
Datacenter: En qu Datacenter lgico ser ubicada esta mquina virtual.
Cluster/Resource Pool: En este punto se debe definir en qu clster o pool de
recursos se destinar esta mquina virtual.
Datastore: Elegir el datastore en dnde se ubicar la mquina virtual.
Host: Definir el ESXi en donde correr la mquina virtual.
Paso 4. Monitorear el estado del despliegue. En status verifcar el estado del deployment de
esta mquina virtual. Se ver como Deploying mientras NSX Manager est creando y
configurando la VM. Pasar a Normal una vez est listo:
Join status: Muestra el estado actual de unin al clster de este NSX Controller. El
resultado del comando muestra que se encuentra en Join Complete y desde cundo
(01/07 16:34:28).
Majority status: Muestra si el controlador se encuentra activo. El resultado Connected
to cluster majority significa que este nodo se encuentra activo y parte de la mayora de
los nodos. Si hay un nodo la mayora es 1. Si hay dos la mayora tambin es dos. Si hay
un clster con tres nodos la mayora es 2 tambin. Recordar que el maestro se elige
basado Paxos. Paxos emplea un consenso de votos, donde la mayora de votos (cantidad
de nodos que votan) adquirida por un nodo, ser el maestro.
Restart status: Muestra si este nodo puede ser reiniciado de forma segura.
Cluster ID: Aqu se puede encontrar el identificador del clster, un nmero de 32 dgitos
hexadecimales que identifican un clster y es automticamente generado durante el
despliegue del primer nodo.
Node UUID: Otro identificador de 32 dgitos hexadecimales que identifican un nodo de
forma nica. Este tambin es generado automticamente durante el despliegue de este
primer nodo.
Role: Permite ver los distintos Roles, estado de configuracin y estado activo.
API Provider.
Persistence Server.
Logical Manager.
Switch Manager
Directory Services.
API Provider: Maneja las peticiones HTTP (web services API) de clientes externos como el NSX
Manager.
Persistence Server: Almacena datos como por ejemplo los vDS (Informacin del estado de la
red) que deben persistir en todos los nodos del controlador, asegurando que la prdida de un
nodo no conlleve a la prdida de datos.
Logical Manager: Monitorea si los ESXi se conectan o abandonan los vDS con el fin aplicar las
polticas y topologa de la red.
Switch Manager: Es quien administra los ESXi, envandoles informacin y configuracin.
Tambin mantiene conexiones de administracin con los vDS.
Directory Services: Administra los Logical Switches (VXLAN) y el Distributed Logical Router.
show control-cluster startup-nodes
Para verificar las direcciones IP de los nodos activos en el lster, dar el siguiente comando:
show control-cluster startup-nodes
Hay 4 roles que tienen componentes que activamente estn escuchando en un puerto de
red.
Existen 7 puertos usados para las comunicaciones de estos 4 roles. Los puertos son el 443,
2878, 2888, 3888, 6632, 6633 y 7777.
El puerto 2878 no est siendo usado por este nodo (-). Este puerto ser empleado (Y) si
este nodo fuera el maestro y tambin si en este clster hay mas de un nodo. Aunque este
nodo es le maestro es el nico nodo, por tanto este puerto no se usa. Si por ejemplo
hubieran 3 NSX Controllers (3 nodos), este nodo podra ser el maestro y en el puerto 2878
dira Y (Yes) y la cantidad de conexiones abiertas sern 2 (una para el nodo 2 y otra para
el nodo 3).
Nota: Para una lista ms detallada de comandos, visitar:
https://pubs.vmware.com/NSX-6/topic/com.vmware.ICbase/PDF/nsx_60_cli.pdf
A continuacin se recomienda desplegar dos nodos ms empleando los mismos 4 pasos
descritos anteriormente. VMware NSX Manager automticamente ata los nodos al clster, elige
los maestros, divide las cargas de trabajo y asigna los slices a cada nodo.
Ser una red lgica: VXLAN por sus siglas en ingls Virtual Extensible Local Area Network
es una tecnologa que permite segmentar las redes de forma virtual/lgica.
Contar con un proceso de encapsulacin/desencapsulacin: VXLAN encapsula la trama
Ethernet original (la trama ethernet de la mquina virtual) en un paquete UDP.
Comunicacin desarrollada entre un tnel establecido por dos terminales: En VXLAN el
encargado de encapsular y desencapsular las tramas ethernet de las mquina virtuales es
el VTEP Virtual Tunnel Endpoint. El VTEP es un vmkernel port en un ESXi. Cada Host (en
realidad clster) que desee participar en una red VXLAN deber tener el VTEP (vmkernel
port) instalado y funcionando.
Host Preparation
En un post anterior sobre los planos de NSX se explic que VMware NSX Manager instala tres
VIB vSphere Installation Bundles en los ESXi en un proceso conocido como Host
Preparation. Los VIBs son:
VXLAN.
Distributed Logical Router.
Distributed Firewall.
Nota: Estos VIBs son instalados directamente en el ESXi. Tambin se conocen como
Hypervisor Kernel Modules. A parte de los tres VIBs mencionados, NSX Manager tambin
instala dos mdulos adicionales: Switch Security Module y el agente UWA.
En cuanto a VXLAN se refiere, NSX Manager prepara los ESXi instalando y configurando en
stos los VTEPs. Los pasos para realizar esta labor son los siguientes:
Paso 1: Conectado a vCenter Server con el Web Client, ir a Home, Inventories, Networking and
Security:
Nota: En Installation Status notar que la opcin es Install. Esto significa que el Clster Gold
no tiene an instalado los tres mdulos de Kernel (VXLAN, Logical Distributed Router y Logical
Distributed Firewall). Notar tambin que no da la opcin de escoger un ESXi en particular; en
vez de eso se debe seleccionar es en qu Clsteres se desea instalar los mdulos.
Paso 3: Para cada Clster de inters, clic en Install. Se podr monitorear el estado de la
instalacin en Installation Status:
esx-dvfilter-switch-security
esx-vsip: VMware internetworking Service Insertion Platform (Distributed
Firewall).
esx-vxlan
Al tener 3 bits establece 8 posibles valores para QoS. CFI o Canonical Format Indicator
es un campo que ayuda a identificar si los 12 bits siguientes de VLAN ID son para el
protocolo Ethernet o Token Ring. Si este valor es 0 significa que es Ethernet. Si es 1 es
Token Ring. El ltimo campo, VLAN ID, se emplea para identificar la VLAN (Tag). Al tener
este campo 12 bits da la posibilidad de tener hasta 4096 VLANs.
Ethernet Type 0x0800 (2 bytes): Este campo indica el tipo de protocolo que contiene
los Datos o Payload. Si los datos o payload estn basados en IPv4, este campo ser
0x0800. Si fuese por ejemplo IPv6 sera entonces 0x86DD.
Payload o Datos (1500 bytes): Aqu viene los datos que entrega la capa 3 o capa de
red. Recordar que la capa de red del modelo OSI se encarga de fragmentar los datos. Los
fragmentos tendrn un tamao igual a la MTU, es decir, 1500 bytes. La MTU solo significa
la cantidad de informacin que Ethernet podr transportar sin importar cul es el header o
el Trailer de capa 2. Finalmente clarificar que los fragmentos de 1500 bytes que crea la
capa de red no contiene el paquete IP entero, es solo los datos.
FCS (4 bytes): FCS o Frame Check Sequence es el encargado de hacer el CRC o cdigo
de reduncia cclica. Este campo se encarga de velar por la integridad de la informacin.
VXLAN Header:
VXLAN Flags (1 byte): Son banderas empleadas para algn prposito en VXLAN. Un
ejemplo acerca de este campo ser dado en el siguiente Post: VMware NSX Modos de
replicacin.
Reserved (3 bytes): Reservado para el futuro. Este campo es puesto en ceros.
VNI (3 bytes): El campo de VNI o VXLAN Number Identifier es quien lleva el identificar
de red. VNI est constituido por 24 bits, proporcionando ms de 16 millones de posibles
redes, sin embargo VMware ha decidido comenzar desde el nmero 5000 con el fin de no
sobrelapar los valores de VLAN ID de las VLAN (0-4096). VNI en conclusin es quien
idnetifica una red de VXLAN. Cada red de VXLAN es una red lgica aislada. VNI permite
identificar a qu VXLAN pertenece una trama ethernet.
Reserved (1 byte): Reservado para el futuro. Este campo es puesto en ceros.
Outer UDP Header: Estos campos tienen como propsito especificar informacin de capa 4 o
capa de transporte para los VTEPs.
Source Port (2 bytes): El puerto de origen es escogido por el VTEP que est
encapsulando la trama original de ethernet. VTEP calcula este puerto utilizando un
algoritmo hash. El hash emplea el header de la trama original de ethernet (Inner L2
Header).
VXLAN Port (2 bytes): NSX usa el puerto 8472. Este es el puerto de destino. Este valor
puede ser cambiado por a travs de REST API call.
UDP Length (2 bytes): Especifica la longitud en bytes del header de este segmento UDP.
UDP Checksum 0x0000 (2 bytes): Este valor siempre ser 0x0000. El VTEP que enviar
la trama deber esteblecer este valor. Si el VTEP que recibe la trama nota que este valor es
distinto, la dropear y no la desencapsular.
Outer IPV4 Header: Estos campos tienen como propsito especificar informacin de capa 3
o capa de red acerca de los VTEPs.
Misc Data (9 bytes): Son una combinacin de varios campos, tales como:
Outer Mac Header: Estos campos tienen como propsito especificar informacin de capa 2 o
capa de enlace de datos acerca de los VTEPs.
Destination Address (4 bytes): Direccin MAC de destino (direccin MAC del VTEP a
quien va dirigida la trama) con la cual el VTEP de origen se desea comunicar. Puede
suceder que la comunicacin sea local, es decir en la misma red. Tambin podra pasar que
el destino se encuentre en otra red. En este caso la direccin MAC podra ser de un
dispositivo de capa 3 que se encargue de enrutar el trfico de Multicast (PIM Protocol) o de
un VTEP Proxy. De esto se hablar en el siguiente Post.
Source Address (4 bytes): Esta es la direccin MAC del VTEP que enviar la trama.
VLAN Type 0x8100 (2 bytes): Es opcional en VXLAN. Podra ser que una o varias VXLAN
viaje a travs de una VLAN. De ser as, si el vmkernel port del VTEP especifica una VLAN,
0x8100 dictar que los siguientes 12 bits son el VLAN ID.
VLAN ID (2 bytes): De nuevo, utilizar VLAN es opcional en una implemnentacin de
VXLAN. De ser empleado el valor de la VLAN ir en este campo.
Ethernet Type 0x0800 (2 bytes): Este campo indica el tipo de protocolo que VTEP
emplear en capa 3. Si VTEP emplea IPv4, este campo ser 0x0800.
Es muy importante notar que en la figura 7, en el caso de IPv4, el tamao total es de 1564
bytes sin emplear VLANs y de 1572 bytes con VLANs. En el caso de IPv6 sin VLAN es de 1592
bytes y 1600 bytes con VLANs. El peor escenario es de 1600 bytes. VMware recomienda que
de ser empleado IPv4 IPv6, con o sin VLANs, la MTU para VXLAN debe ser configurada
con un valor de 1600 bytes. La red fsica debe ser acondicionada con este valor, de
lo contratio VXLAN no funcionar.
De la figura 8 solo es necesario explicar el siguiente campo:
Outer IPV6 Header: Estos campos tienen como propsito especificar informacin de capa 3
o capa de red acerca de los VTEPs.
Next Header (1 byte): Este campo especifica el protocolo de capa de transporte que
ser utilizado por el VTEPs. UDP es el procolo que emplea VXLAN. El valor es siempre es
0x11.
Source IP (16 Bytes): Contiene la direccin IPv6 del VTEP de origen.
Destination IP (16 Bytes): Contiene la direccin IPv6 del VTEP de destino.
IPv6 Data and Control (8 bytes): Este campo, utilizado solamente en IPv6, especifica
informacin de datos y control para el manejo de capa de red entre la comunicacin de los
VTEPs.
Switch: Seleccionar el Switch Distribuido en dnde se crear el vmkernel port para los
VTEP.
VLAN: Especificar si se utilizar una VLAN para transportar el trfico de VTEP. Si este valor
es cero O significa que no hay tag y el trfico de las VTEPs ser transportado por la VLAN
nativa de los switches fsicos. De ser requerida la confgiruacin de VLAN, el rango
permitido es de 1 a 4094.
MTU: Mxima Unidad de Trasnferencia. VMware recomienda configurar el MTU en 1600
bytes, con el fin de acomodar los campos adicionales que conlleva la encapsulacin de la
trama original de ethernet. Recordar que a la red subyacente tambin se debe cambiar la
MTU.
VMKnic IP addresing: VMware proporciona dos formas de dar direccin IP a los
vmkernel ports que emplearn las VTEP. Una opcin es emplear DHCP. En caso de optar
por esta configuracin, un servidor DHCP debera existir en la red. La segunda opcin
consiste en crear un Pool de direcciones para ser entregadas a las VTEP.
VMKnic Teaming Policy: Permite especificar la poltica de balanceo de carga en el grupo
de puertos vmkernel de las VTEP. Si se requiere dotar con alta disponibilidad al trfico de
VTEP, una opcin es contar con dos tarjetas fsicas atadas al grupo de puertos de VTEP y
configurar la poltica de balanceo que ms se ajuste a las necesidades actuales.
VTEP: En este campo se puede especificar el nmero de VTEPs por ESXi.
Si la configuracin incluye un pool para VTEP, la siguiente figura muestra qu valores pueden
ser configurados:
Paso 3: Verificacin.
Para la verificacin basta con observar el estado del campo VXLAN:
Segn la figura 13, VMware NSX Manager ha creado un grupo de puertos distribuido llamado
vxw-vmknicPg-dvs-364-0-a6e.. En este grupo de puertos se ha atado el dvUplink8.
Tambin es posible observar que se han creado dos vmkernel adapter; vmk6 con IP
10.10.11.3 y vmk6 con IP 10.10.11.4.
Al observar de nuevo estas direcciones IP se concluye que concuerdan con el rango del IP Pool
creado en la figura 10. Tambin es posible concluir que la IP 10.10.11.3 es del host esxi01 y
10.10.11.4 de esxi02, como se evidencia en la figura 12. Por lo tanto, esxi01 ya tiene un VTEP
con IP 10.10.11.3 y esxi02 cuenta con un VTEP con IP 10.10.11.4. Una forma de representarlo
grficamente podra ser de la siguiente manera:
Mdulo de VXLAN
Mdulo de Logical Distributed Router
Mdulo de Distributed Firewall
VMware ha decidido iniciar con el nmero 5000 con el fin de no interferir con el rango actual
de la VLAN (0-4096).
Para crear un Identificador de segmento de VXLAN o Segment ID Pool, los pasos son los
siguientes:
Paso 1: Conectado a vCenter Server con el Web Client, ir a Home, Inventories y clic en
Networking and Security.
Paso 2: Clic en Installation, ubicado en la barra lateral izquierda. A continuacin hacer clic
en Logical Network Preparation y finalmente en Segment ID:
Para verificar si el pool fue definido de forma correcta basta con observar el campo Segment
ID pool:
Select clusteres to add: Clic en los clsteres que se desean incluir en esta zona de
transporte.
Al finalizar verificar que la zona haya sido creada de manera exitosa:
Unicast
Hybrid
Multicast
Antes de introducir cada uno es necesario que se tengan los conceptos claros acerca de
Multicast. Se comenzar por los modos de comunicacin.
Modos comunicacin
Un modo de comunicacin define la forma cmo se comunican las entidades en una red.
Existen varios modos:
Modos en IPv4
Unicast
Broadcast
Multicast
Modos en IPv6
Unicast
Multicast
Anycast
Comunicacin Unicast
Observando las figuras 7 y 8, cmo podra N1 enviar un mensaje no a uno, ni a todos, sino a
un grupo de nodos. Por ejemplo, suponer que N1 desea enviar un mensaje a N5 y N6, pero no
a N2, N3 y N4. Al tratar de emplear broadcast es evidente que no funciona para este caso.
Qu sucede con Unicast?. N6 enva un mensaje unicast solicitando un servicio a N1. N1 enva
el mensaje unicast a N6. N5 enva un mensaje unicast solicitando servicio a N1. N1 enva el
mensaje unicast a N5. Esto significa que N1 habr enviados dos mensajes (el mismo mensaje)
por la red. Unicast tampoco es eficiente en este tipo de comunicacin y nace la necesidad de
emplear Multicast.
Comunicacin Multicast
Clase
Clase
Clase
Clase
Clase
A (Rango: 0-127)
B (Rango: 128-191)
C (Rango 192-223)
D (Rango: 224-239)
E (Rango: 240-255)
Unicast utiliza las clases A, B y C. Por ejemplo, En la figura 7 suponer que N1 tiene la direccin
IP 172.16.25.10/24 y N2 172.16.25.89/24. Estas direcciones son clase B.
Broadcast emplea la direccin 255.255.255.255. En la Figura 8 suponer que N1 es un nodo
que desea adquirir direccin IP por DHCP. N1 enva un mensaje con destino a
255.255.255.255, el cual llegar a todos los nodos de la misma red.
IGMP
Es un protocolo de capa de red o tres del modelo de referencia OSI, el cual permite vincular
Nodos a un Grupo de Multicast. En la figura 7 suponer que N5 y N6 han eviado peticiones a N1
para unirse al grupo de multicast 239.1.1.1. Cuando N1 enva un mensaje a esta direccin, N5
y N6 recibirn esos datos.
IGMP Snooping
Para que un dispositivo de capa 2 como un Switch fsico pueda utilizar IGMP es preciso
configurar sobre ste IGMP Snooping. IGMP Snooping le permite a un Switch conocer qu
dispositivos pertenecen a qu grupos de multicast. Para comprender cmo funciona suponer
que se tiene la siguiente red:
Con base en esos mensajes, IGMP Snooping construye la tabla de envo. Podra darse dos
casos:
Bidireccional.
Denso.
Dispero.
unicast and Multicast). Por ejemplo, si una mquina virtual conectada a la VXLAN 5000 enva
un mensaje de broadcast a una mquina virtual en otro ESXi, cmo ser transportado? A esto
se refiere los modos de replicacin.
Antes de comprender los tres modos es necesario entender lo que es un Segmento VTEP.
Si por ejemplo se tiene una mquina virtual VM1 conectada a una VXLAN 5001 en el ESXi-1 y
requiere comunicarse con una mquina virtual VM2 en la misma VXLAN en un ESXi-2, pero
VMA no conoce la MAC de VMB, el trfico de broadcast de la mquina virtual A ser
encapsulado en una trama VXLAN. El VTEP de origen (el VTEP del ESXi01) deber replicar esta
trama a cada uno de los VTEPs del mismo segmento y al UTEP del segmento remoto:
1. VM1 enva un broadcast (ARP Request) en busca de la direccin MAC de destino de VM2.
2. ESXi-1 (Source VTEP) mira su tabla de VTEP y observa que debe replicarla a todos los ESXi
del mismo segmento VTEP y a cada UTEP de cada segmento VTEP remoto. Dado que hay solo
dos segmentos, ESXi-1 encapsula la trama original de VM1 (el ARP request que en realidad es
un broadcast) en un paquete UDP y lo replica por unicast al VTEP de ESXi-2 (es el nico VTEP
local) y tambin es replicado al ESXi-3 (ya que este el UTEP del segmento remoto).
A modo de parntesis, recordar la trama encapsulada de VXLAN:
La trama encapsulada de VXLAN fue entregada tanto a ESXi-2, ESXi-3 y ESXi-4 empleando
Unicast.
Cuando la trama encapsulada de VXLAN lleg a ESXi-2, ste la desencapsul y entreg el
broadcast a VM2. VM2 responde con un ARP Reply y el VTEP de ESXi-2 encapsula la trama
y es enviada solo a ESXi-1.
Cuando la trama encapsulada de VXLAN lleg a ESXi-3, ste la desencapsul y envi el
broadcast a VM3. VM3 la descarta ya que la IP de destino no es la de l. Sin embargo ESXi2 es el UTEP de ese segmento remoto, as que la replicar a todos los VTEP del mismo
segmento.
Cuando la trama encapsulada de VXLAN lleg a ESXi-4, ste la desencapsul y envi el
broadcast a VM4. VM4 la descarta ya que la IP de destino no es la de l.
Observaciones:
Cambiando un poco el ejemplo, suponer que VM2 enva un ARP request en busca de la
direccin MAC de destino de VM1. En este caso ESXi-2 es quien recibe la trama original de la
mquina virtual y la debe encapsular para su envo. ESXi-2 revisa su tabla VTEP y replica la
Replica por medio de unicast la trama encapsulada a todos los VTEP del segmento VTEP
local.
Replica por medio de unicast la trama encapsulada al UTEP de cada segmento VTEP
remoto.
Destination UTEP
Requerimientos:
Red Fsica: Solo se necesita configurar una MTU de 1600 bytes. No es necesario IGMP
Snooping ni PIM.
El modo unicats puede ser configurado por VNI durante la creacin del Logical Switch.
Modo Hbrido
El modo hbrido es una combinacin entre Multicast y Unicast. Este es tambin el mtodo ms
recomendado por VMware. Aparte de una MTU de 1600, el mtodo hbrido y a diferencia de
unicast, si requiere una configuracin especifica en la red fsica. Este modo tambin est
basado en el NSX Controller, quien administra el plano de control en este caso.
Cuando el Modo Hbrido es seleccionado, la replicacin local se hace por medio de Multicast
(IGMP Snooping) pero para la replicacin remota se emplea Unicast, eliminando la necesidad
de emplear protocolos de enrutamiento multicast como PIM. Los ESXi son divididos en grupos
o segmentos VTEP, dependiendo del direccionamiento IP al que pertenecen. NSX Controller
elige un VTEP en cada segmento VTEP. A este VTEP se le conoce como Proxy VTEP y en el
caso del modo Hbrido como MTEP Multicast Tunnel End Point. Esta eleccin es por VNI.
Suponer que se tiene la siguiente red:
1. VM1 desea comunicarse con VM2 pero no conoce su direccin MAC de destino. VM1 enva
un ARP Request solicitando esta informacin. Como ESXi-1, ESXi-2, ESXi-3 y ESXi-4 tienen al
menos una mquina vitual en la VXLAN 50001 (VNI 5001), cada ESXi enva al switch fsico (al
swtich que los conecta a la red fsica) un mensaje de Reporte para unirse al grupo de multicast
239.1.1.1.
2. ESXi (Source VTEP) recibe la trama, observa su tabla VTEP y la encapsula con direccin IP
de destino 239.1.1.1. La direccin IP de destino del campo Destination Address del Outer IP
Header de la figura 13 es definida como 239.1.1.1 por el VTEP de ESXi-1. El switch fsico
recibe el paquete UDP y lo reenva a todos los VTEPs del segmento local, en este caso, solo a
ESXi-2 (ESXi-2 recibe la trama encapsulada con el bit REPLICATE_LOCALLY = 0).
3. En la tabla VTEP de ESXi-1 tambin se establece que debe replicar por medio de unicast
esta trama al MTEP de cada segmento remoto (solo a ESXi-3 en este ejemplo). En este caso
ESXi-3 recibe la trama encapsulada con el bit REPLICATE_LOCALLY = 1, indicndole que
proviene de un VTEP remoto y que debe replicarla por medio de multicast a cada VTEP de su
propio segmento local.
4. ESXi-3 replica por medio de multicast (al grupo 239.1.1.1) la trama encapsulada a cada
VTEP del segmento local (solo ESXi-4 en este ejemplo).
5. Cada mquina virtual recibir la trama ethernet original (desencapsulada por el VTEP) y solo
responder al broadcast aquella VM que coincida con la IP de destino contenida en el mensaje
de ARP Request.
Conclusiones:
La trama encapsulada de VXLAN fue entregada a ESXi-2 con multicast, a ESXi-3 con unicast
y ESXi-4 con multicast.
Cuando la trama encapsulada de VXLAN lleg a ESXi-2, ste la desencapsul y entreg el
broadcast a VM2. VM2 responde con un ARP Reply y el VTEP de ESXi-2 encapsula la trama
y es enviada solo a ESXi-1.
Cuando la trama encapsulada de VXLAN lleg a ESXi-3, ste la desencapsul y envi el
broadcast a VM3. VM3 la descarta ya que la IP de destino no es la de l. Sin embargo ESXi2 es el MTEP de ese segmento remoto, as que la replicar a todos los VTEP del mismo
segmento emplenado multicast.
Cuando la trama encapsulada de VXLAN lleg a ESXi-4, ste la desencapsul y envi el
broadcast a VM4. VM4 la descarta ya que la IP de destino no es la de l.
Observaciones:
Cambiando un poco el ejemplo, suponer que VM2 enva un ARP request en busca de la
direccin MAC de destino de VM1. En este caso ESXi-2 es quien recibe la trama original de la
mquina virtual y la debe encapsular para su envo. ESXi-2 revisa su tabla VTEP y replica la
trama a ESXi-1 y al MTEP remoto. Lo interesante aqu es que el MTEP remoto no
necesariamente debera ser ESXi-3, podra pasar que para este caso sea ESXi-4. NSX Controller
elige los UTEP de forma local (Al interior de los ESXi) e independientemente de cada ESXi.
En resumen:
Source VTEP
Replica por medio de Multicast la trama encapsulada a todos los VTEP del segmento VTEP
local.
Replica por medio de unicast la trama encapsulada al MTEP de cada segmento VTEP
remoto.
Destination MTEP
Requerimientos:
Red fsica: Los switches que conectan a los ESXi (a las tarjetas fsicas mapeadas a los
VTEPs) deben estar configurados con IGMP Snooping. De esta forma los mensjaes de
report enviados por los VTEPs sern interpretados por la infraestructura fsica. Los routers
no requieren PIM, ya que la replicacin remota se hace por medio de unicast.
Se requiere direccionamiento Multicast. En la figura 2 se debe especificar un rango para
multicast.
Se puede configurar por VNI durante la creacin del Logical Switch.
MTU 1600 bytes.
Modo Multicast
El modo multicast es quizs el tipo de replicacin ms compleja de mantener. Aparte de una
MTU de 1600 bytes, requiere una configuracin de IGMP Snooping pero tambin de PIM con el
fin de enrutar el trfico de multicast. Este modo es totalmente independiente del NSX
Controller, ya que no se elegirn VTEP proxy en segmentos VTEP remotos, por lo tanto,
multicast est basado en el plano de datos y no en el de control.
En el modo multicast el trfico local y remoto es replicado utilizando multicast. No existen los
roles de UTEP o MTEP, ya que el protocolo PIM es utilizado para replicar de forma remota. Los
ESXi son divididos en grupos o segmentos VTEP, dependiendo del direccionamiento IP al que
pertenecen.
Suponer que se tiene la siguiente red:
ESXi-1, ESXi-2 y ESXi-3 tienen al menos una VM encendida en la VXLAN 5001, por lo tanto, el
VTEP de cada ESXi enva un mensaje de IGMP a los switches fsicos para unirsen al grupo
239.1.1.1. ESXi-4 no enva ningn mensaje ya que no tiene mquinas vituales encendidas en
esa VXLAN.
Si la VM1 desea comunciarse con la VM2 y no conoce la direccin MAC de destino, enviar un
ARP request (broadcast) y el flujo y tipos de mensajes de la figura 15 se vera ahora de la
siguiente forma:
La trama encapsulada de VXLAN fue entregada tanto a ESXi-2 y ESXi-3 con multicast.
Cuando la trama encapsulada de VXLAN lleg a ESXi-2, ste la desencapsul y entreg el
broadcast a VM2. VM2 responde con un ARP Reply y el VTEP de ESXi-2 encapsula la trama
y es enviada solo a ESXi-1.
Cuando la trama encapsulada de VXLAN lleg a ESXi-3, ste la desencapsul y envi el
broadcast a VM3. VM3 la descarta ya que la IP de destino no es la de l. Sin embargo ESXi-
2 es el MTEP de ese segmento remoto, as que la replicar a todos los VTEP del mismo
segmento empleando multicast.
En resumen:
Source VTEP
Replica por medio de Multicast la trama encapsulada a todos los VTEP del segmento VTEP
local y remoto.
Destination
Requerimientos:
Red fsica: Los switches que conectan a los ESXi (a las tarjetas fsicas mapeadas a los
VTEPs) deben estar configurados con IGMP Snooping. De esta forma los mensjaes de
report enviados por los VTEPs sern interpretados por la infraestructura fsica. Los
routers requieren PIM. Se recomienda PIM bidireccional.
Se requiere direccionamiento Multicast. En la figura 2 se debe especificar un rango para
multicast.
Se puede configurar por VNI durante la creacin del Logical Switch.
MTU de 1600 bytes.
Nota final: Tener en cuenta que cada vez que se mencionaba la palabra encapsula o
encapsular se hace referencia al proceso que lleva a cabo un VTEP. El VTEP toma la trama
ethernet original de la mquina virtual (en todos los ejemplos era un ARP Request) y lo
encapsulaba en una trama VXLAN como el de la figura 13. Por otro lado, desencapsular hace
referencia al VTEP que recibe la trama y elimina todos los encabezados a excepcin del Inner
L2 Header and Payload de la figura 13, el cual es en realidad la nica informacin que le
interesa a la mquina virtual de destino. Tener presente que VXLAN es transparente para las
mquinas virtuales.
Para finalizar, la siguiente tabla muestra la diferencia entre cada modo de replicacin:
Feature
Unicast Mode
Hybrid Mode
Multicast Mode
MTU
1600 Bytes
1600 Bytes
1600 Bytes
NSX
Controller
Basado en NSX
Controller
Basado en NSX
Controller
No basado en NSX
Controller
VTEP Proxy
Role?
IGMP
Snooping
No es necesario
Es necesario
Es necesario
PIM
No es necesario
No es necesario
Es necesario
Source
VTEP
Destination
Proxy
Es el UTEP. Es quien
recibe la trama
encapsulada del
Source VTEP.
Replica la trama
encapsulada por
medio de unicast a
cada VTEP local de su
segmento local.
Es el MTEP. Es quien
recibe la trama
encapsulada del
Source VTEP.
Replica la trama
encapsulada por medio
de multicast a cada
VTEP local de su
segmento.
El modo multicast no
tiene los roles de UTEP
ni MTEP.
Un switch lgico tiene su propio y nico VNI, por lo tanto es una red virtual de capa dos.
Un swtich lgico puede abarcar ms de un clster.
La capa dos puede extenderse ms all de los lmites de capa tres.
Un switch lgico es un grupo de puertos distribuido.
Las mquinas virtuales son quienes finalmente se conectan a estos switches.
Cada VXLAN es en realidad un switch lgico.
Dentro de una misma zona de transporte todos los clsteres inmediatamente podrn ver un
logical swtich que haya sido creado.
Un switch lgico tan solo podr tener un VNI.
Se puede concluir entonces que la zona de transporte define la extensin y visibilidad (span)
de un logical switch.
Cmo crear un Logical Switch
Estos son los pasos para crear un Logical Switch:
Paso 1: Por medio de vSphere Web Client iniciar sesin en vCenter Server.
Paso 2: Ir a Home, Inventories, Networking and Security.
Paso 3: En Dar clic en Logical Switches de la barra lateral izquierda. A continuacin dar clic
en el smbolo ms (+) de color verde con el fin de adicionar un Logical Switch:
Win-Servers
Linux-Servers
Win-Servers es la XVLAN 5000. Por otro lado Linux-Servers es la VXLAN 5001. Estos valores
son tomados secuncialmente por el rango de Segment ID que haya sido configurado:
constituida por dos Clsteres (Gold y Silver). Gold alberga a esxi01 y Silver a esxi02. Por lo
tanto, un grupo de puertos distribuido por logical switch ser creado y los hosts esxi01 y
esxi02 estarn conectados a ste.
Nota: El nombre dadode forma automtica a un grupo de puertos distribuidos involucra tanto
al nmero de VXLAN como al nombre del Logical Switch.
Migracin de mquinas virtuales
NSX Manager cuenta con un asistente para migrar mquinas virtuales a Logical Switches de
forma fcil y rpida. Para migrar una VM a un Logical Switch los pasos son los siguientes:
Paso 1: Seleccionar el Logical Switch al que se desea conectar VMs y despus clic en el
smbolo Add Virtual Machine:
Conclusiones:
El ping desde Win-Server1 a Win-server 2 fue exitoso ya que ambas VMs se encuentran en
la misma red lgica, es decir, en el mismo Logical Switch o lo que es lo mismo, en la misma
VXLAN.
El ping de Linux-Server1 a Linux-Server2 tambin fue exitoso ya que se encuentran en la
misma red lgica.
El ping de Win-Server1 a Linux-Server1 y Linux-Server2 fracas. En este caso se necesita
de un dispositivo de capa tres que permita enrutar el trfico entre las VXLANs.
Un clster llamado A.
En el clster A hay dos ESXi (ESXi01 y ESXi02).
VM1 y VM2 estn en el ESXi01.
VM3 y VM4 estn en el ESXi02.
VM1 y VM3 pertenecen a la VLAN 10.
VM2 y VM4 pertenecen a la VLAN 20.
Si VM1 se desea comunicar con VM2, notar que son mquinas virtuales en diferentes VLANs
pero ubicadas en el mismo ESXi. Es evidente que la comunicacin entre stas precisa de un
dispositivo de capa 3, como un router. El punto en este ejemplo es que cuando VM1 quiera
comunicarse con VM2, aunque estn el mismo host el trfico deber salir del ESXi, dado a que
comnmente el router es fsico (fuera del ESXi). A esto se le conoce como Hairpinning. Habr
una solucin capaz de evitar esta situacin?. Que tal si cuando VM1 se comunique con VM2 el
trfico no salga del ESXi y sea enrutado internamente por el mismo host; esto es posible y lo
hace el DLR de VMware. DLR es un router que se distribuye entre todos los ESXi y su punto de
control centralizado se encuentra en la capa de control de los planos del NSX, llamado el
Logical Router Control Virtual Machine LR Control VM.
Del anterior ejemplo se puede concluir dos cosas importantes:
DLR o Distributed Logical Router es un Router Distribuido y corre en los ESXi. No es una
mquina virtual. NSX Manager lo instala en cada Hypervisor en un proceso conocido como
Host Preparation. Durante la preparacin de un Host, NSX Manager instala tres mdulo o
VIBs en el ESXi, tales como la vib para VXLAN, otra vib para el Distributed Logical Router y
otra ms para el Distributed Firewall. Por lo tanto el plano de datos es distribuido en el
Hypervisor.
En cuanto a capa tres, en el plano de control se ubica el Logical Router Control Virtual
Machine, el cual no es distribuido y no corre cmo mdulo en los ESXi; en vez de eso, es
una mquina virtual.
Cada vez que se crea un DLR se desplegar una mquina virtual (LR Control VM). Esta
mquina virtual se encargar de formar adyacencias y la tabla de enrutamiento con otros
dispositivos fsicos o virtuales de capa 3 e informarle al NSX Controller. NSX Controller
deber pesarle la tabla de enrutamiento a cada ESXi. NSX Controller juega un papel
importante en este desarrollo de VMware. Es fcil preguntarse porqu este intermediario.
Recordar que NSX Controller alberga cuatro tablas: MAC, ARP, VTEP y enrutamiento. NSX
Controller tambin ser el encargado de distribuir y redistribuir las cargas. Si por ejemplo
hay tres NSX Controller en clster y se han creado 9 DLRs, es probable que cada NSX
Controller administre tres DLRs. De forma similar, si hay tambin 18 Logical Switches,
cada NSX Controller probablemente administrar 6. Por ltimo, DLR es quien realiza el
enrutamiento, no LR Control VM.
Escalabilidad
En cuanto a la escalabilidad, DLR cuenta con las siguientes caractersticas:
Hairpinning
Hairpinning es el trfico que debe salir de un ESXi de manera indeseada pero necesaria para la
comunicacin entre mquinas vituales en un mismo Hypervisor pero en distintas redes. Para
comprender este concepto suponer que se tiene la siguiente red virtual:
Hay un DLR.
Hay un Logical Router Control VM.
El DLR tiene hasta ahora dos interfaces virtuales, tambin conocidas como LIFs Logical
Interfaces.
Si por ejemplo se creara una nueva interfaz lgica travs de NSX Manager, NSX Controller
deber replicar esta informacin a cada DLR, los cuales se ubican directamente en los
hosts.
Nota: Recordar que NSX Controller es deplegado manualmente desde el NSX Manager.
Recordar tambin que el Logical Router Control VM es despegado tambin por NSX Manager
en el momento que un DLR es creado.
El Logical Router Control VM LRCVM administra las adyacencias y la tabla de enrutamiento.
Esta mquina virtual permite configurar tanto enrutamiento esttico como dinmico,
soportando:
Rutas estticas
OSPF
BGP
Cuando LRCVM hace una adyacencia y aprende una ruta, se las informar a NSX Controller,
quin despus se las enviar a cada ESXi. En resumen, el LRCVM tiene tres funciones:
Informar sobre el tipo/funcin de las interfaces virtuales del Distributed Logical Router. Por
ejemplo, si se crea un DLR con tres interfaces virtuales/lgicas, llamadas LIFs, el LRCVM
deber pasar estar informacin al NSX Controller, quien finalmente se la dar a cada host.
Formar adyacencias y obtener informacin de enrutamiento, tiles para armar la tabla de
enrutamiento. Esta informacin es enviada luego al NSX Controller, quien finalmente las
enviar a cada hosts.
Como se ver ms adelante, tambin har de Bridge instance, concepto exclusivo de Bridge
L2.
vMAC o Virtual MAC es la direccin MAC de una LIF conectada a un Logical Switch. Esta
direccin ser la misma en todos los ESXis y LIFs. Esta es la razn por la cual se le conoce
como Distributed Logical Router, ya que ciertas caractersticas del router son distribuidas y
las mismas en los ESXi. Para que una MAC sea catalogada como vMAC es necesario que la
LIF sea conectada a un Logical Switch.
direcciones MAC. Porqu? Es muy sencillo. Cuando Win-Server1 enva trfico a Linux-Server1,
la informacin de la trama ethernet que enviar ser la siguiente:
Destination MAC Address: 00:01:02:03:04:05. Dado a que la direccin IP de destino se
encuentra en otra red, se emplear el default gateway. Sin no conoce la MAC del default
gateway, Win-Server1 har un ARP request.
Source MAC Address: La direccin MAC de Win-Server1
La trama es enviada por Win-Server1, recibida por el Logical Switch Win-Servers. El Logical
Switch revisa su tabla de direcciones MAC y enva la trama al puerto que se conecta a la LIF1.
DLR recibe la trama, mira la direccin MAC de destino, se da cuenta que esa trama es para l,
revisa la direccin IP de destino y preparar (cambiar) la trama para ser enviada a LinuxServer1. La trama ethernet cambiar de la siguiente forma:
Destination MAC Address: La MAC Address de Linux-Server1. Si no la conoce, har un ARP
Request.
Source MAC Address: La direccin MAC de la interfaz LIF que se conecta a un enlace uplink
para salir al mundo fsico. (En este caso sera la pMAC si la LIF se conecta de forma directa al
mundo fsico o una vMAC si la LIF se conecta a un NSX Edge). La pMAC si puede ser vista por
el mundo fsico. Como conclusin la vMAC no es vista por los switches fsicos y ser la misma
en cada ESXi.
pMAC o Physical MAC es la direccin MAC de una LIF conectada a un Distributed Port Group
configurado con una o varias VLANs. Esta direccin MAC ser distinta en cada ESXi.
En un DLR hay dos tipos de LIFs:
VXLAN LIF.
VLAN LIF.
VXLAN LIF
Si una LIF se conecta a un Logical Switch (Un switch lgico es una nica VXLAN), se le
considera una VXLAN LIF y la direccin MAC es la vMAC, la cual no ser vista por los switches
fsicos. A un Switch Lgico solo se le podr conectar una VXLAN LIF. Lo que se observa en la
Figura 4 son 2 VXLAN LIFs.
VLAN LIF
Si una LIF se conecta a un Distribued Port Group respaldado por una VLAN, se le conoce como
VLAN LIF y la direccin MAC es la pMAC, la cual si podr ser vista por los switches fsicos. Este
tipo de LIF es la que le da al DLR conectividad directa con el mundo fsico.
Dado a que un Distributed Port Group solo puede pertenecer a un solo Distributed Switch, una
VLAN LIF solo podr existir en un solo switch distribuido. En contaste, un Logical Switch,
Responder ARPs enviados por el mundo fsico en nombre de todos los LIFs.
Enviar ARPs en nombre de todos los LIFs al mundo fsico.
As que si por ejemplo se hay dos ESXi entonces habrn dos VLAN LIF. Una de estas ser
elegida como la instancia designada. Cuando el trfico fluye del mundo fsico a la VLAN LIF, la
instancia designada recibir el trfico. Cuando el trfico fluye de un ESXi hacia el mundo fsico,
ste no pasar por la instancia designada.
VLAN LIF no es el nico mtodo que permite a un DLR salir al mundo fsico. Hay dos formas
para dotar a un DLR de una salida a la infraesturcura fsica:
VLAN LIF
Si de la VXLAN 5000 a la 5003 requieren alcanzar una red del mundo fsico, en este caso el
DLR no tiene esas redes directamente conectadas, por tanto se necesita de rutas estticas
o un protocolo de enrutamiento dinmico para tal propsito.
VXLAN LIF
Install Type: Permite definir si se crear un NSX Edge (Edge Services Gateway) o un
Distributed Logical Router (Logical (Distributed) Router). Como lo que se busca es crear un
Distributed Logical Router se selecicona esa opcin.
Enable High Availability: Tanto el NSX Edge como el DLR permiten manejar mltiples
instancias para dotarlos de alta disponibilidad. En un futuro post se hablar ms acerca de
esto.
Name: Nombre que se dar al Logical Router Control VM. Con este nombre se visualizar
en el inventareio de vCenter Server.
Hotname: Nombre de mquina que se dar al Logical Router Control VM.
Description: Una descripcin de este DLR.
Tenant: A qu Tenant ser destinado este DLR.
Figura 11 VMware NSX New NSX Edge Configure Deployment Add NSX Edge Appliance
Figura 13 VMware NSX New NSX Edge Configure interfaces Managment Interface
(+): Dar clic en el ms de color verde para adicionar una direccin IP a esta interfaz:
Figura 14 VMware NSX New NSX Edge Configure interfaces Add IP Address to the
Managment Interface
Figura 15 VMware NSX New NSX Edge Configure interfaces Managment Interface
Add Subnet
1. Dar clic en el + apara adicionar una direccin IP a la interfaz de administracin del Logical
Router Control VM.
2. IP Address: Especifcar la direccin IP.
3. OK: Es importante que se de clic en OK o de lo contrario la direccin IP no ser tenida en
cuenta en la configuracin.
4. Subnet prefix length: Introducir la mscara de red.
Configure interfaces of this NSX Edge
Figura 16 VMware NSX New NSX Edge Configure interfaces Configure Interfaces of this
NSX Edge
En la figura 16 dar clic en el + para adicionar las interfaces (LIFs) del Distributed Logical
Router:
Figura 17 VMware NSX New NSX Edge Configure interfaces Configure Interfaces of this
NSX Edge Add Interface
Tabla
Tabla
Tabla
Tabla
de VTEPs.
de MACs.
ARP.
de enrutamiento. (No oncludo en este Post).
Lo primero que se debe conocer es cmo aprende y de dnde obtiene esta informacin.
Nota: No se recomienda leer este Post sin antes haber visto o tener claro:
ESXi-1 actualiza su tabla VTEP y ahora conoce que 10.20.10.10 y 10.20.10.11 tienen VMs
conectadas a la VXLAN 50001.
ESXi-2 actualiza su tabla VTEP y ahora conoce que 10.20.10.10 y 10.20.10.11 tienen VMs
conectadas a la VXLAN 50001.
ESXi-3 no envi ni recibi actualizacin debido a que no tiene VMs conectadas a la VXLAN
5001.
En un parntesis, suponer que VM1 enva un ARP request para conseguir la MAC de VM2. Este
trfico es de BUM y ser tratado segn el modo de replicacin. Suponer que se ha configurado
en modo Unicast, por lo tanto, ESXi-1 revisa su tabla VTEP y deber enviar ese broadcast
encapsulado solo a 10.20.10.11.
Como conclusin se puede decir que hay dos tablas VTEP:
La tabla VTEP del host es la que finalmente se revisar para conocer a quin o quines debe
ser enviado un trfico de BUM (Modo de replicacin).
Construccin de la tabla MAC
Cada ves que un Logical Switch aprende una direccin MAC, el ESXi que contiene a esa VM
enviar un mensaje al NSX Controller encargado de esa red lgica informando acerca de la
relacin VNI/MAC/VTEP_IP . A continuacin el nodo encargado de ese slice deber actualizar
su tabla MAC pero no enviar actualizacin a los ESXi. Esto significa que cada host solo tendr
inicialmente conocimiento de las direcciones MAC de las mquinas virtuales que actualmente
est corriendo, pero ir aprendido con el tiempo las MAC de las VMs en otros ESXi.
Si la VM recibe IP por DHCP, el host har un snooping del mensaje de la respuesta del
mensaje DHCP.
Si la VM tiene IP fija, el VTEP informar la IP de la mquina virtual descubierta en los
mensajes de ARP Request.
Cuando un ESXi aprende una IP de una de sus mquinas virtuales, enviar un mensaje
VNI/MAC/VM_IP/VTEP_IP al nodo del NSX Controller encargado de ese Logical Switch. En este
caso NSX Controller tampoco actualizar a los ESXi.
VM1 y VM2 estn conectados al mismo Logical Switch (lo que es lo mismo decir que estn
conectados a la misma VXLAN, VNI o red lgica), en este ejemplo la VNI 5001.
VM1 y VM2 se encuentran en el mismo ESXi.
VM1 enva un mensaje de ARP Request solicitando la direccin MAC de VM2.
El mensaje de broadcast es recibido por el Logical Switch y reenviado a todos quienes
estn conectados al mismo switch lgico del mismo host.
En paralelo sucedern dos cosas: VM2 recibir el broadcast dado a que se encuentra en
ese mismo Logical Switch. Mientras tanto, el mdulo de seguridad del switch lgico enviar
un mensaje al NSX Controller preguntando por la MAC de VM2. Segn la figura 4, este
mensaje ser enviado por la red de administracin.
Es evidente que VM2 responder primero con un ARP Reply antes de que el NSX Controller
enve una respuesta.
El ARP reply llega el swtich lgico y es enviado a la VM1.
Dado a que VM2 nunca se ha visto involucrado en mensajes de broadcast, como ARP y
DHCP, el NSX Controller no conoce la MAC de VM2
ESXi actualiza su tabla ARP y enviar una actualizacin VNI/MAC/VTEP_IP al NSX
Controller, indicando que en la VNI 5001 hay una MAC2 en el VTEP con direccin IP
10.20.10.10.
No fue necesario encapsular la trama ethernet original de VM1 dado a que ambas
mquinas virtuales (origen y destino), se encontraban en el mismo ESXi.
NSX Controller no juega un rol vital en este escenario.
No fue necesario emplear un Distributed Logical Router para la comunicacin entre las
VMs.
En la Figura 5:
VM1 y VM2 estn conectadas al mismo Logical Switch 5001 pero se encuentran en distintos
ESXis.
1. VM1 enva un ARP Request solicitando la MAC asociada a la IP2. El logical Switch en ESXi-1
recibe el broadcast y lo reenva a todos los equipos conectados a la misma VXLAN del mismo
ESXi. Como en ese host no est la VM2, nadie responde hasta el momento al mensaje de
broadcast.
2. En paralelo al paso 1, el mdulo de seguridad de ese Logical Switch enva un mensaje al
NSX Controller empleando la red de administracin preguntando por la direccin MAC de IP2.
Si NSX Controller tuviera la respuesta, se evitara enviar el broadcast por la red de transporte.
En este ejemplo NSX Controller si tiene la respuesta en su tabla ARP.
3. NSX Controller recibe la peticin.
4. NSX Controller revisa su tabla ARP y encuentra una coincidencia.
5. NSX Controller enva la respuesta al ESXi-1.
6. ESXi-1 recibe la informacin, actualiza su tabla y ennva un ARP Reply en nombre de VM2;
esto significa que la MAC de origen en la respuesta que dar a VM1 tendr la MAC2. VM1
recibe la respuesta.
Conclusin:
VM1 enva un ARP Request solicitando la MAC asociada a la IP2. El logical Switch en ESXi-1
recibe el broadcast y lo reenva a todos los equipos conectados a la misma VXLAN del
mismo ESXi. Como en ese host no est la VM2, nadie hasta el momento responde al
mensaje de broadcast.
En paralelo al paso 1, el mdulo de seguridad de ese Logical Switch enva un mensaje al
NSX Controller empleando la red de administracin preguntando por la direccin MAC de
IP2. En este ejemplo NSX Controller no tiene la respuesta en su tabla ARP.
NSX Controller recibe la peticin.
NSX Controller revisa su tabla ARP y no encuentra una coincidencia.
Como ESXi-1 no obtiene la MAC de IP2 del NSX Controller, se prepara entonces para tratar la
comunicacin como una BUM (Broadcast, Unknow Unicast and Multicast) y emplear el modo
de replicacin Unicast.
ESXi-1 revisa su tabla de VTEP y se da cuenta que tanto 10.20.10.10 y 10.20.10.11 tienen
VMs conectadas a la VNI 5001. ESXi-1 concluye que solo debe enviar a 10.20.10.11. En
este ejemplo no hay segmentos VTEPs remotos, por lo tanto ESXi-1 no tiene en su tabla
UTEPs.
ESXi encapsula la trama original de VM1 (un ARP Request) de la siguiente manera:
ESXi-2 acaba de aprender una nueva MAC e IP, por lo tanto se la enviar al NSX Controller
para futuras referencias y consultas.
ESXi-1 recibe la el paquete encapsulado, revisa la VNI, nota que tiene VMs conectadas a
esa VXLAN, desencapsula el paquete y lo entrega a la VM1. ESXi-1 aprovecha tambin para
actualizar su tabla.
Conclusin:
Para comprender este ejemplo y a modo de repaso de todo lo que ha observado en esta serie
de Posts, se pueden concluir varias cosas:
Cuando VM1 es encendida, el VTEP del Host 1 enviar un mensaje IGMP report para
unirse al grupo de Multicast 239.1.1.100. El switch fsico recibe este paquete y asocia ese
puerto a ese grupo. El VTEP del host 1 tambin enviar un mensaje a NSX Controller
indicando que en el VTEP 10.20.10.10 hay una VM conectada a la VXLAN 5001.
Cuando VM2 es encendida, el VTEP del Host 4 enviar un mensaje IGMP report para
unirse al grupo de Multicast 239.1.1.100. El switch fsico recibe este paquete y asocia ese
puerto a ese grupo. El VTEP del host 4 tambin enviar un mensaje a NSX Controller
indicando que en el VTEP 10.20.10.10 hay una VM conectada a la VXLAN 5001.
Host 2 y 3 no envan nada porque no tienen VMs encendidas en la VXLAN 5001 y otra red
lgica.
NSX Controller recibe las actualizaciones y enva un mensaje al Host 1 y 4 para que
actualicen sus tablas. Host 1 ahora sabe que hay mquinas conectadas a la VNI 5001 en el
VTEP 10.20.10.10 y 10.20.10.13. Del mismo modo Host 4 sabr que hay VMs en la VNI
5001 en el VTEP 10.20.10.13 y 10.20.10.10.
Enrutamiento: Permite enrutar trfico de Norte a Sur. Aunque tambin lo puede hacer de
Este a Oeste, el DLR es ms eficiente en este trabajo. NSX Edge soporta rutas estticas,
redistribucin de rutas, OSPF, IS-IS y BGP.
Firewall: Permite crear reglas de firewall para el trfico que cursa entre los segmentos
lgicos (logical Switch) y el mundo exterior, es decir, de Norte a Sur. DLR no permite crear
reglas de firewall ni para el trfico Este a Oeste ni Norte a Sur.
NAT (Network Address Translation): Esta caracterstica permitir traducir o
enmascarar direcciones IP. Sopora SNAT (Source NAT) y DNAT (Destionation NAT). El DLR
no puede hacer NAT.
DHCP: NSX Edge puede servir como servidor DHCP y DHCP Relay. DLR no sporta DHCP.
Balanceo de Carga: NSX Edge soporta dos mtodos de Balanceo de carga: Inline y OneArmed. El DLR no puede balancear carga.
VPN (Virtual Private Network): NSX Edge soporta tres tipos de VPNs; Site-to-Site, SSL
VPN (Remote Access) y L2VPN (VPNs de capa dos). Con DLR no es posible hacer VPNs.
DNS Relay. DLR no soporta DNS Relay.
Todos los anteriores servicios pueden ser habilitados en NSX Edge de ser necesario.
Nota: Este Post no pretende hablar acerca de servicio en profundidad. En futuros Posts se
hablar de cada uno de los servicios.
NSX Edge puede ser desplegado con cuatro tamaos, supliendo as diferentes necesidades:
Tamao
Comentarios
Compact
0,512
Firewall Basico
Large
Quad-Large 4
Tamao
X-Large
Comentarios
Firewall de alto desempeo + Balanceador de carga
Showing 1 to 4 of 4 entries
Nota: NSX Edge puede ser re-dimensionado. Si se tiene por ejemplo un NSX Edge Compacto,
este puede ser pasado a Largo re-desplegndo. NSX desplegar un nuevo NSX y copiar la
configuracin al nuevo. Esto puede implicar indisponibilidad.
Smbolos de los servicios
Para poder comprender diagramas es preciso tener en cuenta los siguientes smbolos:
User Name: Usuario para conectarse por consola o SSH al CLI de este
mquina virtual. Por defecto es admin.
Password: Esta password debe tener mnimo 12 caracteres, al menos una
mayscula, una minscula, un dgito y un caracter especial.
Enable SSH Access: Activar si se desea gestionar remotamente esta
mquina virtual.
Nota: La conexin por CLI con este usuario permitir monitorear y configurar
el NSX Edge.
Paso 5: Configure Deployment.
En este punto del Wizard se puede especificar cul ser la poltica por defecto del firewall
(Aceptar o Denegar) y si se har logging o no. En futuros Posts se estar hablando acerca de
la configuracin del Firewall del NSX Edge.
Tambin es posible definir los parmetros de HA si en el paso 3 fue activada esta
funcionalidad. En futuros Posts se tratar este tema con ms detalle.
Paso 9: Ready to complete. Clic en finish para finalizar.
Distancia administrativa
Mtrica
NSX ejercicio 1