Visibilidad y control de la red virtual

La sección Visibilidad y control permite supervisar el comportamiento de la red y configurar la directiva de red. Para acceder a las páginas, seleccione el icono Visibilidad y Control situado en la parte superior de la interfaz de vSwitch Controller.

Ver estado

La ficha Estado proporciona información detallada en forma de tabla sobre el nodo seleccionado en el árbol de recursos. El tipo de información que se presenta varía según el nodo seleccionado. La mayoría de las entradas de tabla individuales son enlaces. Puede hacer clic en estos vínculos para mostrar la página de estado que se aplica a esa entrada de tabla.

Todos los recuentos de bytes y los recuentos de errores continúan acumulándose incluso cuando se reinicia un servidor HASH (0x2e68218) o una VM se reinicia o migra. Los códigos de color siguen las mismas reglas que los códigos de color del panel lateral. Consulte Iconos codificados por colores.

A nivel mundial

A nivel global, la página Estado presenta una tabla que enumera todos los grupos de recursos con la siguiente información:

  • Fondo de recursos: Nombre del fondo de recursos.
  • #Servidores: Número de servidores en el grupo.
  • #Redes: Número de redes en el grupo.
  • #VM: número de VM en el grupo.
  • Estado: Icono codificado por colores que muestra el estado actual de la agrupación.

Al hacer clic en el icono de engranaje situado en el lado derecho de una fila se proporcionan opciones para modificar el fondo de recursos.

En esta página, también puede especificar las VLAN de destino disponibles para las directivas de configuración de puertos. Consulte Configurar directivas de configuración de puertos.

Nivel de fondo de recursos

Para un fondo de recursos seleccionado, la página Estado presenta la siguiente información:

  • Estado: Icono codificado por colores que muestra el estado actual de la agrupación.
  • Pool Master: dirección IP o nombre DNS del servidor maestro del grupo.
  • Redes en todo el grupo: número de redes en el grupo.
  • HASH (0x2c1a078): Número de servidores en el grupo.
  • Todas las máquinas virtuales: número de máquinas virtuales del grupo.
  • Lista de servidores: lista de servidores del grupo, incluido el nombre del servidor, el número de redes, el número de máquinas virtuales y el estado.

Además de mostrar la información de estado, puede configurar cómo los servidores HASH (0x2e68218) del grupo reenvian los datos de Netflow. Seleccione las siguientes casillas de verificación según corresponda y haga clic en Guardar configuración de Netflow:

  • Controlador vSwitch (seleccionado de forma predeterminada): reenvía información de Netflow a vSwitch Controller para que la utilice la sección Estadísticas de flujo de la GUI. Si desactiva esta casilla de verificación, los datos de Netflow no se envían a vSwitch Controller y las páginas Estadísticas de flujo no muestran datos.
  • Controlador externo de Netflow: le permite reenviar datos de Netflow a un colector externo de Netflow. Introduzca la dirección IP del recopilador externo.

Modo a prueba de fallos

Utilice la sección Modo de error para configurar cómo un vSwitch aplica las reglas de control de acceso cuando no puede conectarse a su controlador vSwitch. Es importante mantener un alto nivel de disponibilidad de vSwitch Controller para evitar la pérdida de datos. Durante los momentos en que el controlador vSwitch no está disponible, se aplican los siguientes modos de error:

  • Fail-open: se permite todo el tráfico, las ACL previamente definidas ya no se aplican hasta que el vSwitch pueda volver a conectarse con el controlador vSwitch.
  • A prueba de fallos: las ACL existentes siguen aplicándose.

En funcionamiento normal, vSwitch mantiene conexiones con su controlador vSwitch configurado para intercambiar información sobre administración de red y estado. Si vSwitch Controller deja de estar disponible, vSwitch espera hasta un tiempo de espera de inactividad durante el cual se elimina el tráfico de red. Después del tiempo de espera de inactividad, vSwitch entra en el modo de error configurado.

En el modo a prueba de fallos, las ACL existentes continúan aplicándose después de que vSwitch pierda la conexión con su controlador vSwitch configurado. Se deniega el tráfico que no coincide con las ACL existentes. Todas las ACL, en cualquier nivel de la jerarquía de directivas presentada por el Controller, se aplican como conjuntos de reglas en VIF en el vSwitch. Como resultado, los nuevos VIFs que aparecen en modo a prueba de fallos mientras el Controller no está disponible no pueden comunicarse hasta que el Controller vuelva a estar disponible. Los VIF existentes que se desenchufan y luego se vuelven a enchufar tienen el mismo comportamiento que los nuevos VIF. Esta situación se produce incluso si las reglas de directiva de ACL de nivel superior (global, por grupo de recursos, por red o por VM) que permiten la comunicación están presentes en las VIF existentes. Además, vSwitch Controller puede definir ACL en función de las direcciones IP que haya aprendido. En el modo a prueba de errores, se rechazan los paquetes enviados por una máquina virtual utilizando una dirección IP que el Controller no ha asociado a la máquina virtual antes de que no estuviera disponible. Por ejemplo, una máquina virtual existente que utiliza una nueva dirección IP no puede comunicarse hasta que el controlador sea accesible de nuevo. Otros ejemplos en los que se deniega el tráfico mientras se encuentra en modo a prueba de fallos son:

  • VIFs recién conectados
  • Una nueva máquina virtual
  • Una máquina virtual migrada (por ejemplo, migración en vivo o Equilibrio de carga de trabajo)
  • Máquinas virtuales en hosts agregados a un grupo
  • Aplicaciones que actúan como un enrutador

Si vSwitch se reinicia en modo a prueba de fallos y la controladora sigue sin estar disponible después de que se inicia vSwitch, se pierden todas las ACL y se deniega todo el tráfico. El vSwitch permanece en modo a prueba de fallos hasta que se restablezca la conexión con el Controller y el Controller empuja hacia abajo las ACL al conmutador vSwitch.

Advertencia:

Si se elimina un grupo de recursos de la administración de vSwitch Controller en modo a prueba de fallos, el vSwitch puede perder la conectividad de red y forzar una situación de restablecimiento de emergencia. Para evitar esta situación, quite sólo un fondo de recursos mientras su estado esté en verde.

También puede especificar las VLAN de destino disponibles para las directivas de configuración de puertos en esta página. Para obtener más información, consulte Configurar directivas de configuración de puertos.

Nivel de servidor

Para un servidor seleccionado, la página Estado presenta la siguiente información:

  • Estado del servidor: icono codificado por colores que muestra el estado actual del servidor.
  • Redes de servidor: número de redes en el fondo de recursos.
  • Dirección MAC: dirección MAC de la interfaz de administración del servidor.
  • Dirección IP: dirección IP de la interfaz de administración del servidor.
  • Versión de vSwitch: compilación y número de versión del vSwitch que se ejecuta en este HASH (0x2c1a078).
  • Redes de servidores: lista de todas las redes asociadas al servidor. Esta información incluye:
    • Número de máquinas virtuales en el servidor que utilizan esa red
    • La interacción física conexa,
    • La VLAN
    • El número de bytes transmitidos y recibidos
    • El número de errores
    • El estado
  • Máquinas virtuales de servidor: lista de todas las máquinas virtuales asociadas al servidor. Para cada VIF en la VM, esta información también incluye:
    • La dirección MAC
    • La red
    • La dirección IP
    • El total de bytes transmitidos y recibidos desde que se inició la máquina virtual
    • El estado

En esta página, también puede especificar las VLAN de destino disponibles para las directivas de configuración de puertos. Consulte Configurar directivas de configuración de puertos.

Nivel de red

La ficha Estado de las redes de todo el grupo muestra información resumida sobre cada red del fondo de recursos. La ficha Estado de una red individual muestra información sobre la propia red. La ficha incluye tablas hipervinculadas de información sobre las interfaces físicas y las interfaces de VM conectadas actualmente a la red.

El icono de estado se puede mostrar en los siguientes colores:

  • Verde si la red está activa y administrada correctamente por vSwitch Controller
  • Rojo si la red no tiene interfaces conectadas
  • Naranja si hay una condición de error. El texto asociado describe el error.

Para redes de todo el grupo, se muestra la siguiente información:

  • Nombre de la red: Red específica.
  • VM: número de máquinas virtuales asociadas a la red.
  • HASH (0x2c1a078): Servidor para la red.
  • Interfaz física: Interfaz de servidor para la red.
  • Transmitir (Tx) y recibir paquetes (Rx): Contadores agregados en todos los VIF de la red especificada.
  • Errores: contadores agregados en todos los VIF de la red especificada.
  • Estado: Icono codificado por colores que muestra la red actual.

Para una red seleccionada, se presenta la siguiente información:

  • Estado de la red: icono codificado por colores que muestra la red actual.
  • VM: número de máquinas virtuales asociadas a la red.
  • Interfaces físicas: lista de interfaces físicas, incluida la VLAN, número de bytes transmitidos y recibidos, errores y estado.
  • Conmutación de HASH (0x2c1a078) (solo presente en redes privadas entre servidores): especifica el host de conmutación activo actual para la red. Una red privada entre servidores permite la comunicación entre máquinas virtuales del mismo grupo de recursos, sin necesidad de ninguna configuración adicional de la red física. Las máquinas virtuales se pueden ejecutar en diferentes hosts. Esta capacidad se logra haciendo que un “host de conmutación” establezca túneles GRE a cada uno de los demás hosts del grupo. Los túneles GRE se configuran en una topología estelar. Los otros hosts tienen una máquina virtual activa ejecutándose en la red privada. Si un host de conmutación deja de estar disponible o se elimina, se selecciona automáticamente un nuevo host de conmutación y se configuran nuevos túneles GRE. ConsulteConexiónpara obtener más información sobre redes privadas entre servidores.
  • Interfaces de VM: lista de máquinas virtuales, incluida la dirección MAC, la dirección IP, el número de bytes transmitidos y recibidos y el estado.

En esta página, también puede especificar las VLAN de destino disponibles para las directivas de configuración de puertos. Para obtener más información, consulte Configurar directivas de configuración de puertos.

Nivel de máquina virtual (VM)

Se muestra la siguiente información para todas las máquinas virtuales:

  • Nombre de la máquina virtual: Nombre de la máquina virtual específica.
  • Dirección MAC: dirección MAC asignada a la máquina virtual.
  • Nombre de red: Red a la que está asignada la máquina virtual.
  • Dirección IP detectada: direcciones IP asignadas a la máquina virtual.
  • Transmitir (Tx) y recibir paquetes (Rx): contadores agregados en todos los VIF de la máquina virtual especificada.
  • Errores: contadores agregados en todos los VIF de la máquina virtual especificada.

Para una máquina virtual seleccionada, la página Estado muestra la siguiente información:

  • Estado: icono codificado por colores que muestra el estado actual de la máquina virtual.
  • Pool de recursos: grupo de recursos al que pertenece la máquina virtual.
  • Nombre del servidor: Nombre del servidor al que está asignada la máquina virtual. Esta información está vacía si la máquina virtual no se está ejecutando y no está vinculada a un servidor específico.
  • Membresía de Grupos de VM: Lista de grupos administrativos a los que está asignada la VM.
  • Interfaces de VM: Lista de los VIF en la VM. Esta información incluye:
    • Dirección MAC
    • Nombre de red
    • Dirección IP detectada
    • Transmitir y recibir bytes, paquetes y recuentos de errores
    • Estado
  • Eventos de red: lista de eventos de red que involucran a la máquina virtual, incluyendo prioridad, fecha/hora y descripción.

Nivel de interfaz virtual (VIF)

Para un VIF seleccionado, la página Estado presenta la siguiente información:

  • Estado: Icono codificado por colores que muestra el estado VIF actual.
  • Fondo de recursos: fondo de recursos al que pertenece el VIF.
  • Red: Red a la que pertenece el VIF.
  • Nombre de VM: VM a la que pertenece el VIF.
  • Dirección MAC: dirección MAC del VIF.
  • Dirección IP: Dirección IP del VIF.
  • Transmitir y recibir bytes, paquetes y errores: el tráfico cuenta para el VIF.
  • Estadísticas ACL del puerto del conmutador: a diferencia de los recuentos de transmisión y recepción, los recuentos de aciertos de ACL son estadísticas instantáneas leídas de las estadísticas de reglas ACL del vSwitch actual. Por lo tanto, los cambios de directiva y las acciones de VM, como la suspensión, cierre o migración, hacen que estas estadísticas se restablezcan. Las estadísticas de ACL de vSwitch requieren que se identifique una dirección IP en la red y que pueda recopilar estadísticas para protocolos basados en IP . Si descubre que no hay recuentos en las reglas basadas en IP, compruebe que se muestra una dirección IP en el campo Dirección IP.

Ver estadísticas de flujo

De forma predeterminada, el vSwitch en cada HASH administrado (0x2c1a078) envía datos de Netflow a vSwitch Controller, que utiliza estos datos para generar tablas y gráficos de estadísticas de flujo. vSwitch genera registros de Netflow para todos los flujos IPv4 después de cinco segundos sin actividad o 60 segundos de actividad total.

La velocidad de datos de un flujo se representa como el tráfico total del flujo promediado a lo largo de la duración del flujo. Por ejemplo, si un flujo dura 10 segundos con 900 KB enviados en el primer segundo y 10 KB enviados en cada uno de los nueve segundos restantes, los datos resultantes se trazan como si la velocidad fuera de 100 KB/segundo para todo el período de flujo.

Netflow utiliza datagramas UDP para transportar registros NetFlow entre un conmutador y un recopilador (por ejemplo, vSwitch Controller). Debido a que NetFlow utiliza datagramas UDP, por lo general no hay forma de que el recopilador sepa por qué no se recibió un registro de NetFlow. Los registros eliminados pueden generar datos no deterministas con tablas o gráficos de Estadísticas de flujo. Por ejemplo, supongamos que una red que genera 10 flujos por segundo tiene una única transferencia de archivos de 1 GB que dura 10 segundos. La red genera un total de 202 flujos (100 estímulos hping, 100 respuestas hping, 1 estímulo de transferencia de archivos y 1 respuesta de transferencia de archivos). Si se eliminan el 50% de los datagramas UDP, existe una probabilidad 50/50 de que el recopilador informe de 1 GB de datos o 2 KB.

Dado que cada vSwitch de un grupo genera registros de Netflow, los orígenes y los destinos se ejecutan en diferentes servidores HASH (0x2e68218) dan como resultado dos registros, duplicando los recuentos de estadísticas.

Deshabilite la visibilidad del flujo en implementaciones de más de 100 máquinas virtuales para evitar sobrecargar el dispositivo virtual de vSwitch Controller y la red utilizada para enviar registros de NetFlow.

La ficha Estadísticas de flujo muestra un gráfico y una tabla asociada para mostrar los flujos del nodo seleccionado.

Una captura de pantalla de las listas que dan las opciones descritas en la siguiente sección.

Utilice las listas de la parte superior de la página para especificar lo siguiente:

  • Dirección: bidireccional, hacia adentro, hacia afuera
  • Unidades: Bytes, Bits, Paquetes, Flujos
  • Los elementos superior o inferior (valores más altos o más bajos) de una de las siguientes agrupaciones:
    • VM: VM que residen dentro del fondo de recursos como origen/destinos para el tráfico
    • Direcciones IP: direcciones IP como origen o destino del tráfico
    • Protocolos: tráfico de protocolo IP como ICMP, TCP y UDP

      Nota:

      Los protocolos de capa Ethernet (como ARP) no se muestran debido a las limitaciones del protocolo Netflow utilizado para generar resultados.

    • Aplicación: tráfico de protocolo a nivel de “aplicación”, identificado por puerto TCP/UDP o tipo/código ICMP
  • Tráfico (por tipo): VM, Dirección IP, Protocolos, Aplicaciones (se muestra por tipo de protocolo y número de puerto, esta información puede permitirle inferir el servicio)
  • Intervalo de tiempo.

La tabla debajo del gráfico muestra parte o toda la información siguiente, dependiendo del tipo de elemento seleccionado en la lista:

  • VM
  • IP
  • Bytes entrantes
  • Velocidad de datos de entrada (Kbit/s)
  • Bytes salientes
  • Velocidad de datos de salida (Kbit/s)
  • Total de bytes
  • Tasa total de datos (bps)

Si NetFlow no se reenvía a vSwitch Controller, se muestra un texto de estado azul de advertencia en la pestaña Estadísticas de flujo:One or more selected pools are not configured to forward NetFlow records to vSwitch Controller

Para volver a configurar el reenvío, haga clic en el texto de estado azul para ver una lista de los grupos de recursos. Seleccione el fondo de recursos que desee de la lista para acceder a la página de estado de la agrupación. Desde la página de estado, puede configurar el reenvío de datos de NetFlow.

Administrar grupos de direcciones

Puede configurar grupos de direcciones para especificar las direcciones IP que se utilizarán como origen o destino para las ACL y para generar informes de estadísticas de flujo.

Para agregar un grupo de direcciones:

  1. En Visibilidad y control, seleccione Grupos de direccionesen el árbol de recursos (panel lateral) para abrir la página Estado para todos los grupos de direcciones.
  2. Haga clic en Crear grupo.
  3. Introduzca el nombre para identificar el grupo y una descripción opcional.
  4. Haga clic en Crear grupo. El nuevo grupo se agrega a la lista de grupos de direcciones.
  5. Seleccione el nuevo grupo en el árbol de recursos para abrir su página Estado .
  6. Haga clic en el botón Agregar miembros .
  7. En la ventana emergente, especifique una o varias direcciones IP o subredes (separadas por comas). Ejemplo: 192.168.12.5, 192.168.1.0/24
  8. Haga clic en Agregar. Continúe agregando más redes según sea necesario. Cada conjunto de direcciones se agrega como un nodo debajo de la red en la lista Grupos de direcciones.

El nuevo grupo de direcciones ya está disponible para las políticas de ACL y las estadísticas de flujo.

Puede quitar un grupo de direcciones existente haciendo clic en el vínculo Quitar de la fila Todos los grupos de direcciones de ese grupo de direcciones.

También puede actualizar el nombre o la descripción y el grupo de direcciones:

  1. Seleccione el nuevo grupo en el árbol de recursos para abrir su página Estado .
  2. Haga clic en el botón Modificar grupo .
  3. En el cuadro de diálogo que se abre, cambie el nombre y la descripción.
  4. Haga clic en el botón Modificar grupo para guardar los cambios.

Administrar grupos de máquinas virtuales

Un grupo de máquinas virtuales es un conjunto de máquinas virtuales que se identifican como un grupo para ver estadísticas de estado y flujo. Cada máquina virtual de un grupo de máquinas virtuales debe estar ya en un fondo de recursos. De lo contrario, los grupos son independientes de los grupos de recursos y servidores.

Para agregar un grupo de VM:

  1. En Visibilidad y control, seleccione Grupos de VMen el árbol de recursos (panel lateral) para abrir la página Estado de todos los grupos de VM.
  2. Haga clic en el botón Crear grupo.
  3. Introduzca el nombre para identificar el grupo y una descripción opcional.
  4. Haga clic en Crear grupo. El nuevo grupo se agrega a la lista de grupos de VM.
  5. Seleccione el nuevo grupo en el árbol de recursos para abrir su página Estado .
  6. Haga clic en Agregar miembro.
  7. En la ventana emergente, seleccione la máquina virtual de la lista.
  8. Haga clic en Agregar. Continúe agregando más máquinas virtuales según sea necesario. Cada máquina virtual se agrega como un subnodo bajo el grupo en la lista Grupos de máquinas virtuales.

Las siguientes opciones con el botón derecho del ratón están disponibles para cada grupo de máquinas virtuales:

  • Agregar VM al grupo: agregue un nuevo miembro del grupo.
  • Modificar nombre/descripción: cambie el nombre o la descripción.
  • Eliminar grupo: elimine el grupo.

Jerarquía de configuración de directivas de DVS

Utilice las fichas Control de acceso y Configuración de puertos de Visibilidad y Control para configurar las directivas de control de acceso, QoS y reflejo del tráfico dentro del entorno de red virtual. Mientras que todas las directivas se aplican en el nivel VIF, vSwitch Controller expone un modelo de política jerárquica que admite la declaración de políticas predeterminadas en una colección de VIF. El controlador vSwitch también proporciona una forma de anular esta directiva predeterminada mediante la creación de excepciones específicas cuando sea necesario. Por ejemplo, puede eximir a una máquina virtual determinada de la directiva de fondo de recursos predeterminada.

Similar a la jerarquía utilizada en el árbol de recursos, la jerarquía de políticas tiene los siguientes niveles:

  • Global (nivel más general): incluye todos los VIF en todos los grupos de recursos.
  • Grupos de recursos: todos los VIF de un fondo de recursos concreto.
  • Redes: Todos los VIF conectados a una red en particular.
  • VM: todos los VIFs conectados a una máquina virtual concreta
  • VIF (nivel más específico): Un único VIF.

Nota:

Los servidores HASH (0x2e68218) no están incluidos en la jerarquía de directivas, ya que las directivas deben aplicarse independientemente de qué HASH (0x2c1a078) en un fondo de recursos esté ejecutando una máquina virtual.

Configurar directivas de control de acceso

Seleccione la ficha Control de acceso para configurar directivas que permitan o deniegan el tráfico de VM en función de los atributos de paquete.

Una política ACL consta de un conjunto de reglas, cada una de las cuales incluye lo siguiente:

  • Acción: Indicación de si el tráfico que coincida con la regla está permitido (Permitir) o eliminado (Denegar).
  • Protocolo: Protocolo de red al que se aplica la regla. Puede aplicar la regla a todos los protocolos (Cualquiera), elegir entre una lista de protocolos existente o especificar un nuevo protocolo.
  • Dirección: Dirección del tráfico a la que se aplica la regla. Lea el texto de las reglas de izquierda a derecha: “to” significa tráfico saliente de la máquina virtual, mientras que “from” significa tráfico entrante a la máquina virtual.
  • Direcciones remotas: indica si la regla está limitada al tráfico desde/hacia un determinado conjunto de direcciones IP remotas.

La administración de las directivas de ACL sigue de cerca la jerarquía del árbol de recursos. Puede especificar directivas en cualquier nivel admitido de la jerarquía. En cada nivel, las reglas se organizan de la siguiente manera:

  • Reglas obligatorias: Estas reglas se evalúan antes que cualquier regla de directiva secundaria. Las únicas reglas que tienen prioridad sobre ellas son las reglas obligatorias de las directivas principales (menos específicas). Las reglas obligatorias se utilizan para especificar reglas que las directivas secundarias (más específicas) no pueden anular.
  • Reglas secundarias: el marcador de posición de directiva secundaria indica la ubicación en el orden de reglas en el que se evalúan las reglas de las directivas secundarias. Divide las reglas obligatorias de las reglas predeterminadas.
  • Reglas predeterminadas: estas reglas se evalúan en último lugar, después de todas las reglas obligatorias y todas las reglas predeterminadas de directivas secundarias. Solo tienen prioridad sobre las reglas predeterminadas de las directivas principales. Se utilizan para especificar el comportamiento que sólo se aplica si una directiva secundaria más específica no especifica un comportamiento conflictivo.

La ficha **Control de acceso** de un VIF.

Reglas de la lista global de control de acceso (ACL)

Para configurar reglas de ACL globales, haga clic en Todos los grupos de recursos en el árbol de recursos. La página muestra todas las reglas de ACL definidas en el nivel global.

Reglas de la lista de control de acceso del fondo de recursos (ACL)

Para configurar reglas de ACL para un fondo de recursos, seleccione el fondo de recursos en el árbol de recursos.

La página muestra una barra expandible para la directiva global y un área expandida para reglas de fondo de recursos. Si hace clic en el botón Expandir todo , puede ver cómo se incrustan las reglas del fondo de recursos en el marco de directivas global.

Reglas de la lista de control de acceso a la red (ACL)

Para configurar reglas de ACL en el nivel de red, haga clic en la red en el árbol de recursos.

La página muestra lo siguiente:

  • Una barra expandible para reglas globales
  • Una barra expandible para el fondo de recursos al que pertenece la red
  • Área expandida para reglas de red

Si hace clic en Expandir todo, puede ver cómo se incrustan las directivas de red en el marco de directivas de recursos y en el marco de directivas global.

Reglas de lista de control de acceso (ACL) de VM

Para configurar directivas en el nivel de VM, haga clic en la VM en el árbol de recursos.

La página muestra lo siguiente:

  • Una barra expandible para reglas globales
  • Barras expandibles para el fondo de recursos y la red a la que pertenece la máquina virtual
  • Un área expandida para reglas de VM

Si hace clic en el botón Expandir todo , puede ver cómo se incrustan las reglas de VM en la red, el fondo de recursos y el marco global.

Si una máquina virtual contiene VIF en varias redes, aparece un enlace “Cambiar red” en el lado derecho de la barra de ejemplo de la red. Este vínculo le permite ver las reglas para cada directiva de nivel de red que podría aplicarse a un VIF en esa máquina virtual.

Reglas de la lista de control de acceso (ACL) de VIF

Para configurar directivas en el nivel VIF, haga clic en el VIF en el árbol de recursos. Dado que las directivas se empaquetan y aplican sólo en el nivel VIF, debe mostrar las páginas VIF para ver el contexto completo de la política.

La página muestra lo siguiente:

  • Barras expansibles para reglas globales
  • Barras expandibles para el fondo de recursos, la red y la máquina virtual a la que pertenece el VIF
  • Un área ampliada para las reglas VIF

Si hace clic en el botón Expandir todo , puede ver cómo se incrustan las reglas VIF en la máquina virtual, la red, el fondo de recursos y el marco global.

Orden de aplicación de reglas de lista de control de acceso (ACL)

Aunque las ACL se pueden definir en diferentes niveles de la jerarquía de configuración de directivas, las ACL se aplican por VIF. Para la aplicación real, la jerarquía se combina en el orden descrito en esta sección y se aplica a cada VIF. Para ver las reglas aplicadas actualmente en un VIF y las estadísticas asociadas, seleccione el VIF en el árbol de recursos. Vea la lista ACL en la ficha Estado.

La orden de ejecución es la siguiente:

  1. Normas imperativas a nivel mundial
  2. Reglas obligatorias para el fondo de recursos que contiene el VIF
  3. Reglas obligatorias para la red que contiene el VIF
  4. Reglas obligatorias para la máquina virtual que contiene el VIF
  5. Reglas para el VIF que contiene el VIF
  6. Reglas predeterminadas para la máquina virtual que contiene el VIF
  7. Reglas predeterminadas para la red que contiene el VIF
  8. Reglas predeterminadas para el fondo de recursos que contiene el VIF
  9. Reglas predeterminadas para el global que contiene el VIF

Se ejecuta la primera regla que coincide y no se evalúan otras reglas.

Nota:

Cuando un controlador vSwitch no está disponible, el fondo de recursos aplica las reglas de control de acceso basadas en el modo de error configurado. Consulte la sección denominada “Nivel de fondo de recursos” en “Visualización del estado” para obtener más detalles sobre el modo de error de un fondo de recursos.

Definir reglas de lista de control de acceso (ACL)

Para definir una nueva regla ACL, utilice el árbol de recursos para elegir el nodo en el nivel apropiado de la jerarquía de configuración de directivas. Puede agregar reglas en cada nivel para ese nivel y para niveles superiores. Por ejemplo, si selecciona un fondo de recursos, puede agregar reglas para ese fondo de recursos y reglas globales.

Si elige un nodo de árbol de recursos que no corresponde a un nivel de la jerarquía de configuración de directivas, se mostrará un mensaje. El mensaje proporciona vínculos para elegir otros niveles.

Las nuevas reglas se pueden agregar de las siguientes maneras:

  • Para agregar una regla obligatoria, haga clic en el icono de engranaje de la barra de encabezado del nivel y elija Agregar nueva ACL obligatoria.
  • Para agregar una regla predeterminada, haga clic en el icono de engranaje de la barra de encabezado del nivel y elija Agregar nueva ACL predeterminada.
  • Para agregar una regla por encima de una entrada de regla existente, haga clic en el icono de engranaje de la entrada y elija Agregar nueva ACL anterior.
  • Para agregar una regla debajo de una entrada de regla existente, haga clic en el icono de engranaje de la entrada y elija Agregar nueva ACL a continuación.

La nueva regla se agrega a la página con la siguiente configuración predeterminada:

  • Acción: Permitir
  • Protocolo: Cualquiera
  • Dirección: A/Desde
  • Direcciones remotas: Cualquiera
  • Descripción: Ninguno

Para cambiar un campo concreto dentro de una regla, haga clic en el vínculo que representa el valor del campo actual y aplique los cambios tal como se describe en la lista siguiente. Cuando se aplica un cambio, la regla se actualiza para mostrar los valores.

  • Acción: Haga clic en el vínculo y elija Cambiar Acción para Denegar o Cambiar Acción para Permitir .
  • Protocolo: haga clic y elija una de estas opciones:
    • Elija Igualar Cualquier Protocolo para aplicar la regla a todos los protocolos.
    • Elija Usar un protocolo existente para especificar un protocolo. Seleccione el protocolo de la lista y haga clic en Usar protocolo.
    • Elija Usar un nuevo protocolo para especificar características de protocolo personalizadas. Especifique la siguiente información en la ventana emergente y haga clic en Guardar y usar:
      • Tipo de Ethertype: seleccione IP o introduzca otro tipo de Ethertype.
      • Protocolo IP: seleccione uno de los protocolos de la lista o escriba otro.
      • Puerto de destino (sólo TCP/UDP): introduzca un número de puerto o especifique Cualquiera.
      • Puerto de origen (sólo TCP/UDP): introduzca un número de puerto o especifique Cualquiera. Al definir una aplicación que utiliza un puerto de servidor conocido, defina ese puerto conocido como puerto de destino y deje el puerto de origen como Cualquiera. Por ejemplo, puede utilizar este enfoque para HTTP, que utiliza el puerto 80.
      • Tipo ICMP (sólo ICMP): Seleccione Cualquiera o introduzca un tipo ICMP específico de protocolo (ICMP).
      • Código ICMP (sólo ICMP): Seleccione Cualquiera o introduzca un código ICMP específico.
      • Coincidir tráfico de respuesta: indique si el tráfico de retorno se permite automáticamente como parte de la regla. Por ejemplo, si la regla permite el tráfico 7777 del puerto de destino UDP desde la máquina virtual a una dirección remota especificada y se selecciona Coincidir tráfico de respuesta, el tráfico UDP también se permite desde el puerto de origen 7777 de la dirección remota a la máquina virtual. Habilite esta opción para cualquier protocolo UDP que requiera comunicación bidireccional (la opción siempre está habilitada para TCP).
      • Uso único frente a Múltiples usos: Seleccione si desea utilizar este protocolo sólo para la regla actual o si desea agregarlo a la lista de protocolos del menú de protocolo.
    • Seleccione Ver/Modificar protocolo actual para modificar las características de un protocolo ya definido.
  • Dirección: Seleccione si la regla se aplica desde o a las direcciones remotas especificadas, o ambas.
  • Direcciones remotas: Para especificar las direcciones remotas:
    1. Haga clic en el enlace Cualquier para abrir una ventana emergente que muestre los grupos de direcciones disponibles.
    2. Seleccione uno o más grupos de direcciones y utilice las flechas para moverlos a la columna Seleccionados .
    3. Utilice los botones Todos para seleccionar o anular la selección de todos los grupos.
    4. Para especificar una dirección IP o una subred que no forme parte de un grupo de direcciones existente, escriba la dirección o subred (x.x.x.x o x.x.x.x/n). Haga clic en Agregar. Repita esta operación para agregar más direcciones.
    5. Haga clic en Listo.
  • Descripción: Para agregar una descripción de texto de la regla:
    1. Haga clic en el botón Descripción .
    2. Haga clic en la entrada (<Ninguno> si no hay una descripción actual). Se muestra un área de entrada de texto. Introduzca el texto y pulse Entra.
  • Detalles de Regla: Haga clic en el botón Detalles de Regla para mostrar un breve resumen de la regla.

Haga clic en Guardar cambios de directiva para aplicar las nuevas reglas. Al hacerlo, los cambios surtirán efecto inmediatamente dentro del entorno de red virtual. Si aún no ha guardado las reglas, puede hacer clic en Deshacer cambios para invertir los cambios que ha nombrado.

Cuando cambia una ACL, todas las actualizaciones en segundo plano para la GUI de vSwitch Controller se detienen. Si otro administrador modifica la directiva simultáneamente y confirma los cambios antes que usted, actualice la página para recuperar la nueva directiva desde el servidor. Vuelva a introducir los cambios.

Puede cambiar el orden de las reglas en un nivel haciendo clic en el icono de engranaje de la regla y eligiendo Subiro Bajar . No se puede mover una regla entre niveles de la jerarquía. Para eliminar una regla, haga clic en el icono de engranaje y elija Eliminar. Haga clic en el botón Descripción para mostrar la descripción de ACL. O bien, el botón Regla para mostrar la regla ACL que ha creado.

Las reglas de ACL siempre se interpretan desde el punto de vista de la interfaz virtual de la máquina virtual, incluso si se configuran más arriba en la jerarquía de directivas. Este comportamiento es importante cuando se piensa en el significado del campo Direcciones remotas en las reglas.

Por ejemplo, si una máquina virtual de un grupo tiene la dirección IP 10.1.1.1, puede esperar una regla en el grupo que especifique “denegar todos los protocolos a IP 10.1.1.1” para evitar que el tráfico llegue a la máquina virtual. Este comportamiento es el caso de todas las demás máquinas virtuales del fondo de recursos porque cada máquina virtual aplica la regla cuando la máquina virtual transmite. Sin embargo, las máquinas externas al fondo de recursos pueden comunicarse con la máquina virtual con la dirección IP 10.1.1.1. Este comportamiento se debe a que ninguna regla controla el comportamiento de transmisión de los equipos externos. También se debe a que el VIF de la máquina virtual con dirección IP 10.1.1.1 tiene una regla que elimina el tráfico de transmisión con esa dirección. Sin embargo, la regla no deja caer el tráfico de recepción con esa dirección.

Si el comportamiento de la directiva es inesperado, consulte la ficha Estado de la interfaz virtual donde se visualiza todo el conjunto de reglas de todos los niveles de directiva.

Configurar directivas de configuración de puertos

Utilice la ficha Configuración de puertos para configurar directivas que se aplican a los puertos VIF. Se admiten los siguientes tipos de directivas:

  • QoS: las políticas de calidad de servicio (QoS) controlan la velocidad máxima de transmisión de una máquina virtual conectada a un puerto DVS.
  • Reflejado de tráfico: las directivas de Remote Switched Port Analyzer (RSPAN) admiten la duplicación del tráfico enviado o recibido en un VIF a una VLAN para admitir aplicaciones de supervisión del tráfico.
  • Deshabilitar la comprobación de suplantación de direcciones MAC: las directivas de comprobación de suplantación de direcciones MAC controlan si la aplicación de direcciones MAC se realiza en el tráfico saliente de un VIF. Si vSwitch Controller detecta un paquete con una dirección MAC desconocida de un VIF, se descarta el paquete y todo el tráfico posterior del VIF. Las directivas de comprobación de suplantación de direcciones MAC están activadas de forma predeterminada. Deshabilite estas directivas en VIFs que ejecutan software como Equilibrio de carga de red en servidores Microsoft Windows.

Advertencia:

Habilitar RSPAN sin una configuración correcta de su red física y virtual puede causar una interrupción grave de la red. LeaConfigurar RSPANatentamente las instrucciones antes de activar esta función.

Puede configurar las directivas de puerto QoS y Traffic Mirroring en los niveles global, pool de recursos, red, VM y VIF. Al seleccionar un nodo en el árbol de recursos y seleccionar la ficha Configuración de puerto , se muestra la configuración de cada nivel principal de la jerarquía. Sin embargo, sólo se puede cambiar la configuración en el nivel de directiva seleccionado. Por ejemplo, si selecciona una máquina virtual, la ficha Configuración de puerto muestra los valores configurados en los niveles global, pool de recursos y red. La ficha le permite cambiar el valor en el nivel de VM.

Las configuraciones de QoS y Traffic Mirroring en un nivel dado anulan las configuraciones en los niveles superiores. Si se anula una configuración, la ficha Configuración del puerto muestra la configuración de nivel superior tachada. Por ejemplo, la siguiente figura muestra una configuración de QoS en el nivel de red que reemplaza la configuración en el nivel del fondo de recursos.

Captura de pantalla de la ficha **Configuración del puerto** .

Para configurar las directivas de puerto, elija el nodo en el árbol de recursos y elija la ficha Configuración de puerto . Si elige un nodo que no admite directivas de configuración de puertos, se muestra un mensaje con vínculos a nodos que sí admiten la configuración de puertos.

Configurar QoS

Para las directivas de QoS, elija una de las siguientes opciones:

  • Heredar la directiva QoS del padre (predeterminado): aplica la directiva desde el nivel de jerarquía superior (es decir, menos específico). Esta opción no existe a nivel global.
  • Deshabilitar la directiva QoS heredada: Ignora todas las directivas establecidas en niveles superiores (es decir, menos específicos), de modo que todas las VIF incluidas en este nivel de directiva no tengan configuración de QoS.
  • Aplicar un límite de QoS: seleccione un límite de velocidad (con unidades) y un tamaño de ráfaga (con unidades). El tráfico a todos los VIF incluidos en este nivel de directiva se limita a la velocidad especificada, con ráfagas individuales limitadas al número especificado de paquetes.

Advertencia:

Establecer un tamaño de ráfaga demasiado pequeño en relación con el límite de velocidad puede evitar que un VIF envíe suficiente tráfico para alcanzar el límite de velocidad. Este comportamiento es especialmente probable para los protocolos que realizan el control de congestión como TCP.

Como mínimo, la velocidad de ráfaga debe ser mayor que la unidad de transmisión máxima (MTU) de la red local.

Si se establece la QoS en una velocidad de ráfaga inapropiadamente baja en cualquier interfaz en la que se asienta el controlador vSwitch puede perder toda la comunicación con el controlador vSwitch. Esta pérdida de comunicación obliga a una situación de restablecimiento de emergencia.

Para evitar que se lleve a cabo cualquier aplicación heredada, deshabilite la directiva QoS en el nivel de VM.

Haga clic en Guardar cambios de configuración de puerto para implementar los cambios o haga clic en Deshacer cambios para eliminar los cambios no guardados. La política entra en vigor inmediatamente después de guardar.

Configurar RSPAN

Advertencia:

La configuración de RSPAN cuando el servidor está conectado a un conmutador que no comprende las VLAN o no está configurado correctamente para admitir la VLAN RSPAN puede causar duplicación de tráfico e interrupciones en la red. Revise la documentación y la configuración de los switches físicos antes de habilitar la función RSPAN. Esta revisión es especialmente importante en niveles superiores de la jerarquía donde pueden estar involucrados múltiples conmutadores físicos.

La habilitación de RSPAN requiere una serie de pasos, que se describen a continuación:

Identifique su VLAN RSPAN

Cuando RSPAN está habilitado en un VIF, vSwitch para ese VIF realiza una copia de cada paquete enviado hacia o desde ese VIF. El vSwitch transmite la copia de ese paquete etiquetado con el valor VLAN denominado VLAN de destino. A continuación, un administrador coloca un host que realiza la supervisión en el puerto del conmutador configurado para utilizar la VLAN de destino. Si la interfaz de host de supervisión utiliza el modo promiscuo, puede ver todo el tráfico que se envía hacia y desde los VIF configurados para usar RSPAN.

Configurar la red física con la VLAN de destino

É fundamental configurar a rede física corretamente para estar ciente do tráfego RSPAN para evitar cortes de rede. Habilite sólo RSPAN si la infraestructura de conmutación física que conecta todos los VIF habilitados para RSPAN se puede configurar para deshabilitar el aprendizaje en la VLAN de destino. Para obtener más información, consulte la documentación del fabricante del conmutador.

Además, el tráfico enviado en la VLAN de destino debe reenviarse desde cada uno de los conmutadores virtuales a los hosts de supervisión. Si su infraestructura física incluye muchos switches en una jerarquía, este reenvío requiere la conexión troncal de la VLAN de destino entre los diferentes switches. Para obtener más información, consulte la documentación del fabricante del conmutador.

Configurar vSwitch Controller con la VLAN de destino

Informe al controlador vSwitch acerca de cada VLAN de destino antes de utilizar ese ID de VLAN para la configuración del puerto RSPAN. Puede especificar los ID de VLAN de destino disponibles en el fondo de recursos, la red o el nivel de servidor. Las VLAN de destino agregadas en un nivel de la jerarquía están disponibles al configurar la configuración del puerto RSPAN en ese nivel y en todos los niveles inferiores de la jerarquía. El nivel correcto para especificar una VLAN de destino depende de la amplitud en que haya configurado su infraestructura física para tener en cuenta esa VLAN de destino.

Para especificar las VLAN de destino disponibles:

  1. En Visibilidad y control, abra la ficha Estadopara todos los grupos de recursos, un fondo de recursos específico, un servidor específico o una red específica.
  2. En el área Id. de VLAN de destino de RSPAN , haga clic en + e introduzca el ID de VLAN.
  3. Repita esta operación para agregar más ID de VLAN.
  4. Haga clic en Guardar cambio de VLAN de destino.

Las VLAN ya están disponibles para su selección en la ficha Configuración del puerto, tal y como se describe en esta sección.

Modificar la configuración del puerto para habilitar RSPAN para un conjunto de VIF

Para configurar directivas de RSPAN en la ficha Configuración de puertos , seleccione el nodo apropiado en el árbol de recursos y elija una de las siguientes opciones:

  • Heredar la directiva RSPAN del padre (predeterminado): aplica la directiva desde el siguiente nivel de jerarquía superior (es decir, menos específico).
  • Deshabilitar la directiva RSPAN heredada: Ignora todas las directivas que se establecen en niveles superiores (es decir, menos específicos), de modo que todos los VIF incluidos en este nivel de directiva no tengan configuración de RSPAN.
  • Tráfico RSPAN en VLAN: elija una VLAN de la lista de VLAN de destino. Las únicas VLAN de destino que aparecen en la lista son aquellas VLAN configuradas para niveles de directiva que contienen el nodo seleccionado actualmente.

Configurar la comprobación de suplantación de direcciones MAC

Para deshabilitar la aplicación de direcciones MAC, seleccione Comprobación de suplantación de direcciones MAC. La aplicación sólo se puede configurar por VIF y no hereda ni anula las configuraciones principales.

Guardar cambios

Haga clic en Guardar cambios de configuración de puerto para implementar los cambios o haga clic en Deshacer cambios para eliminar los cambios no guardados. La política entra en vigor inmediatamente después de guardar.