Visibilidad y control de la red virtual

La sección Visibilidad y control le permite supervisar el comportamiento de la red y configurar la directiva de red. Para acceder a las páginas, seleccione el icono Visibilidad y control en la parte superior de la interfaz de vSwitch Controller.

Ver estado

La ficha Estado proporciona información detallada en forma de tabla sobre el nodo seleccionado en el árbol de recursos. El tipo de información que se presenta varía según el nodo seleccionado. La mayoría de las entradas de tabla individuales son vínculos. Puede hacer clic en estos vínculos para mostrar la página de estado que se aplica a esa entrada de tabla.

Todos los recuentos de bytes y de errores continúan acumulándose incluso cuando un servidor Citrix Hypervisor se reinicia o una VM se reinicia o migra. Los códigos de color siguen las mismas reglas que los códigos de color del panel lateral. Consulte Iconos codificados por colores.

Nivel mundial

A nivel global, la página Estado presenta una tabla en la que se enumeran todos los grupos de recursos con la siguiente información:

  • Fondo de recursos: nombre del fondo de recursos.
  • Número de servidores: Número de servidores en el grupo.
  • Número de redes: Número de redes en el grupo.
  • Número de VM: Número de VM en el grupo.
  • Estado: Icono codificado por colores que muestra el estado actual del grupo.

Al hacer clic en el icono de engranaje situado en el lado derecho de una fila, se proporcionan opciones para modificar el fondo de recursos.

En esta página, también puede especificar las VLAN de destino disponibles para las directivas de configuración de puertos. Consulte Configurar directivas de configuración de puertos.

Nivel de fondo de recursos

Para un fondo de recursos seleccionado, la página Estado presenta la siguiente información:

  • Estado: Icono codificado por colores que muestra el estado actual del grupo.
  • Maestro de grupo: dirección IP o nombre DNS del servidor maestro del grupo.
  • Redes de toda la agrupación: número de redes del grupo.
  • Citrix Hypervisor: Número de servidores en el grupo.
  • Todas las máquinas virtuales: número de máquinas virtuales del grupo.
  • Lista de servidores: lista de servidores del grupo, incluido el nombre del servidor, el número de redes, el número de máquinas virtuales y el estado.

Además de mostrar información de estado, puede configurar cómo los servidores Citrix Hypervisor del grupo reenvían los datos de Netflow. Select las siguientes casillas de verificación según corresponda y haga clic en Guardar configuración de Netflow:

  • vSwitch Controller (seleccionado de forma predeterminada): reenvía la información de Netflow al vSwitch Controller para que la utilice la sección Estadísticas de flujo de la GUI. Si desactiva esta casilla de verificación, los datos de Netflow no se envían al vSwitch Controller y las páginas Estadísticas de flujo no muestran datos.
  • Controller de Netflow externo: permite reenviar datos de Netflow a un recopilador de Netflow externo de terceros. Introduzca la dirección IP del recopilador externo.

Modo a prueba de fallos

Utilice la sección Fail Mode para configurar cómo un vSwitch aplica las reglas de control de acceso cuando no puede conectarse a su vSwitch Controller. Es importante mantener un alto nivel de disponibilidad de vSwitch Controller para evitar la pérdida de datos. Durante los momentos en que el vSwitch Controller no está disponible, se aplican los siguientes modos de error:

  • Fail-open: se permite todo el tráfico, las ACL definidas anteriormente ya no se aplican hasta que el VSwitch pueda volver a conectarse con el vSwitch Controller.
  • A prueba de fallos: las ACL existentes siguen aplicándose.

En funcionamiento normal, el vSwitch mantiene conexiones a su vSwitch Controller configurada para intercambiar información de estado y administración de red. Si vSwitch Controller deja de estar disponible, el vSwitch espera hasta un tiempo de espera de inactividad durante el cual se elimina el tráfico de red. Después del tiempo de espera de inactividad, el vSwitch entra en el modo de error configurado.

En el modo a prueba de fallos, las ACL existentes siguen aplicándose después de que el conmutador virtual pierda la conexión con su vSwitch Controller configurado. Se deniega el tráfico que no coincide con las ACL existentes. Todas las ACL, en cualquier nivel de la jerarquía de directivas presentada por Controller, se aplican como conjuntos de reglas en VIF en el conmutador virtual. Como resultado, los nuevos VIFs que aparecen en modo a prueba de fallos mientras el Controller no está disponible no pueden comunicarse hasta que el Controller vuelva a estar disponible. Los VIFs existentes que se desconectan y se vuelven a conectar tienen el mismo comportamiento que los VIFs nuevos. Esta situación se produce incluso si las reglas de directiva de ACL de nivel superior (global, por grupo de recursos, por red o por VM) que permiten la comunicación están presentes en VIFs existentes. Además, el vSwitch Controller puede definir ACL en función de las direcciones IP que haya aprendido. En el modo a prueba de fallos, se deniegan los paquetes enviados por una máquina virtual con una dirección IP que el Controller no ha asociado a la máquina virtual antes de que no estuviera disponible. Por ejemplo, una máquina virtual existente que utiliza una nueva dirección IP no puede comunicarse hasta que el Controller sea accesible de nuevo. Otros ejemplos en los que se deniega el tráfico mientras se encuentra en modo a prueba de fallos son:

  • VIFs recién conectados
  • Una nueva VM
  • Una VM migrada (por ejemplo, migración en vivo o equilibrio de carga de trabajo)
  • VM en hosts agregados a un grupo
  • Aplicaciones que actúan como un router

Si el conmutador virtual se reinicia en modo a prueba de fallos y el controlador aún no está disponible después de que se inicie el conmutador virtual, se pierden todas las ACL y se deniega todo el tráfico. El conmutador virtual permanece en modo a prueba de fallos hasta que se restablezca una conexión con el Controller y el controlador envía las ACL al conmutador virtual.

Advertencia:

La eliminación de un grupo de recursos de la administración de vSwitch Controller mientras está en modo a prueba de fallos puede provocar que el vSwitch pierda conectividad de red y obligue a una situación de restablecimiento de emergencia. Para evitar esta situación, quite sólo un fondo de recursos mientras su estado sea verde.

También puede especificar las VLAN de destino disponibles para las directivas de configuración de puertos en esta página. Para obtener más información, consulte Configurar directivas de configuración de puertos.

Nivel de servidor

Para un servidor seleccionado, la página Estado presenta la siguiente información:

  • Estado del servidor: icono con código de color que muestra el estado actual del servidor.
  • Redes de servidor: número de redes en el fondo de recursos.
  • Dirección MAC: dirección MAC de la interfaz de administración del servidor.
  • Dirección IP: dirección IP de la interfaz de administración del servidor.
  • Versión de vSwitch: compilación y número de versión del vSwitch que se ejecuta en este Citrix Hypervisor.
  • Redes de servidor: Lista de todas las redes asociadas al servidor. Esta información incluye:
    • El número de máquinas virtuales en el servidor que utiliza esa red
    • La interfaz física conexa,
    • La VLAN
    • El número de bytes transmitidos y recibidos
    • El número de errores
    • El estado
  • Máquinas virtuales de servidor: lista de todas las máquinas virtuales asociadas al servidor. Para cada VIF en la VM, esta información también incluye:
    • La dirección MAC
    • La red
    • La dirección IP
    • El total de bytes transmitidos y recibidos desde que se inició la VM
    • El estado

En esta página, también puede especificar las VLAN de destino disponibles para las directivas de configuración de puertos. Consulte Configurar directivas de configuración de puertos.

Nivel de red

La ficha Estado para redes de todo el grupo muestra información de resumen sobre cada red del fondo de recursos. La ficha Estado de una red individual muestra información sobre la propia red. La ficha incluye tablas hipervinculadas de información sobre las interfaces físicas y las interfaces de VM conectadas actualmente a la red.

El icono de estado se puede mostrar en los siguientes colores:

  • Verde si la red está activa y administrada correctamente por vSwitch Controller
  • Rojo si la red no tiene interfaces conectadas
  • Naranja si hay una condición de error. El texto asociado describe el error.

Para redes de toda la agrupación, se muestra la siguiente información:

  • Nombre de red: red específica.
  • Máquinas virtuales: número de máquinas virtuales asociadas a la red.
  • Citrix Hypervisor: Servidor para la red.
  • Interfaz física: Interfaz de servidor para la red.
  • Transmitir (Tx) y recibir (Rx) paquetes: contadores agregados a través de todos los VIF de la red especificada.
  • Errores: contadores agregados en todos los VIFs de la red especificada.
  • Estado: Icono codificado por colores que muestra la red actual.

Para una red seleccionada, se presenta la siguiente información:

  • Estado de la red: icono codificado por colores que muestra la red actual.
  • Máquinas virtuales: número de máquinas virtuales asociadas a la red.
  • Interfaces físicas: Lista de interfaces físicas, incluyendo VLAN, número de bytes transmitidos y recibidos, errores y estado.
  • Cambiar Citrix Hypervisor (presente sólo en redes privadas entre servidores): especifica el host de conmutación activo actual para la red. Una red privada entre servidores permite la comunicación entre máquinas virtuales del mismo grupo de recursos, sin necesidad de ninguna configuración adicional de la red física. Las máquinas virtuales se pueden ejecutar en diferentes hosts. Esta capacidad se logra al tener un «host de conmutación» que establezca túneles GRE para cada uno de los otros hosts del grupo. Los túneles GRE se configuran en una topología estelar. Los otros hosts tienen una VM activa ejecutándose en la red privada. Si un host de conmutación deja de estar disponible o se elimina, se selecciona automáticamente un nuevo host de conmutación y se configuran nuevos túneles GRE. ConsulteRedespara obtener más información sobre las redes privadas entre servidores.
  • Interfaces de VM: Lista de máquinas virtuales, incluida la dirección MAC, la dirección IP, el número de bytes transmitidos y recibidos y el estado.

En esta página, también puede especificar las VLAN de destino disponibles para las directivas de configuración de puertos. Para obtener más información, consulte Configurar directivas de configuración de puertos.

Nivel de máquina virtual (VM)

Se muestra la siguiente información para todas las máquinas virtuales:

  • Nombre de máquina virtual: nombre de la máquina virtual específica.
  • Dirección MAC: dirección MAC asignada a la VM.
  • Nombre de red: red a la que está asignada la máquina virtual.
  • Dirección IP detectada: direcciones IP asignadas a la VM.
  • Transmitir (Tx) y recibir (Rx) paquetes: contadores agregados a través de todos los VIF de la VM especificada.
  • Errores: contadores agregados en todos los VIFs de la máquina virtual especificada.

Para una máquina virtual seleccionada, la página Estado muestra la siguiente información:

  • Estado: Icono codificado por colores que muestra el estado actual de la VM.
  • Pool de recursos: grupo de recursos al que pertenece la VM.
  • Nombre del servidor: Nombre del servidor al que está asignada la máquina virtual. Esta información está en blanco si la máquina virtual no se está ejecutando y no está vinculada a un servidor específico.
  • Membresía de grupos de máquinas virtuales: lista de grupos administrativos a los que está asignada la máquina virtual.
  • Interfaces de VM: Lista de los VIFs de la VM. Esta información incluye:
    • Dirección MAC
    • Nombre de red
    • Dirección IP detectada
    • Transmitir y recibir bytes, paquetes y recuentos de errores
    • Estado
  • Eventos de red: Lista de eventos de red que involucran a la máquina virtual, incluyendo prioridad, fecha/hora y descripción.

Nivel de interfaz virtual (VIF)

Para un VIF seleccionado, la página Estado presenta la siguiente información:

  • Estado: Icono codificado por colores que muestra el estado actual del VIF.
  • Grupo de recursos: grupo de recursos al que pertenece el VIF.
  • Red: Red a la que pertenece el VIF.
  • Nombre de VM: VM a la que pertenece el VIF.
  • Dirección MAC: Dirección MAC del VIF.
  • Dirección IP: dirección IP del VIF.
  • Transmitir y recibir bytes, paquetes y errores: recuentos de tráfico para el VIF.
  • Estadísticas de ACL del puerto del conmutador: a diferencia de los recuentos de transmisión y recepción, los recuentos de aciertos de ACL son estadísticas instantáneas leídas de las estadísticas de regla de ACL del conmutador virtual actual. Por lo tanto, los cambios de directiva y las acciones de VM, como la suspensión, el cierre o la migración, hacen que estas estadísticas se restablezcan. Las estadísticas de ACL de vSwitch requieren que se identifique una dirección IP en la red y pueda recopilar estadísticas para protocolos basados en IP . Si descubre que no hay recuentos de reglas basadas en IP, compruebe que se muestra una dirección IP en el campo Dirección IP.

Ver estadísticas de flujo

De forma predeterminada, el vSwitch de cada Citrix Hypervisor administrado envía datos de Netflow al vSwitch Controller, que utiliza estos datos para generar tablas y gráficos de Estadísticas de flujo. El vSwitch genera registros de Netflow para todos los flujos IPv4 después de cinco segundos de ausencia de actividad o 60 segundos de actividad total.

La velocidad de datos de un flujo se representa como el tráfico total del flujo promediado a lo largo de la duración del flujo. Por ejemplo, si un flujo dura 10 segundos con 900 KB enviados en el primer segundo y 10 KB enviados en cada uno de los nueve segundos restantes, los datos resultantes se trazan como si la velocidad fuera 100 KB/segundo para todo el período de flujo.

Netflow utiliza datagramas UDP para transportar registros NetFlow entre un switch y un recopilador (por ejemplo, el vSwitch Controller). Debido a que NetFlow utiliza datagramas UDP, normalmente no hay forma de que el recopilador sepa por qué no se recibió un registro NetFlow. Los registros eliminados pueden dar lugar a datos no deterministas con tablas o gráficos de estadísticas de flujo. Por ejemplo, suponga que una red que genera 10 flujos por segundo tiene una única transferencia de archivos de 1 GB que dura 10 segundos. La red genera un total de 202 flujos (100 estímulos hping, 100 respuestas hping, 1 estímulo de transferencia de archivos y 1 respuesta de transferencia de archivos). Si se elimina el 50% de los datagramas UDP, existe una probabilidad 50/50 de que el recopilador informe de 1 GB de datos o 2 KB.

Dado que cada vSwitch de un grupo genera registros de Netflow, los orígenes y los destinos se ejecutan en diferentes servidores Citrix Hypervisor dan como resultado dos registros, duplicando los recuentos de estadísticas.

Deshabilite la visibilidad del flujo en implementaciones de más de 100 máquinas virtuales para evitar sobrecargar el dispositivo virtual vSwitch Controller y la red utilizada para enviar registros NetFlow.

La ficha Estadísticas de flujo muestra un gráfico y una tabla asociada para mostrar los flujos del nodo seleccionado.

Captura de pantalla de las listas que dan las opciones descritas en la siguiente sección.

Utilice las listas de la parte superior de la página para especificar lo siguiente:

  • Dirección: Bidireccional, hacia adentro, hacia afuera
  • Unidades: Bytes, Bits, Paquetes, Flujos
  • Los elementos superiores o inferiores (valores más altos o más bajos) de una de las siguientes agrupaciones:
    • VM: VM que residen dentro del fondo de recursos como origen/destinos para el tráfico
    • Direcciones IP: direcciones IP como origen o destino para el tráfico
    • Protocolos: tráfico de protocolo IP como ICMP, TCP y UDP

      Nota:

      Los protocolos de capa Ethernet (como ARP) no se muestran debido a las limitaciones del protocolo Netflow utilizado para generar resultados.

    • Aplicación: tráfico de protocolo de nivel de «aplicación», identificado por el puerto TCP/UDP o el tipo/código ICMP
  • Tráfico (por tipo): VM, dirección IP, protocolos, aplicaciones (se muestra por tipo de protocolo y número de puerto, esta información puede permitir inferir el servicio)
  • Intervalo de tiempo.

La tabla situada debajo del gráfico muestra parte o toda la información siguiente, dependiendo del tipo de elemento seleccionado en la lista:

  • VM
  • IP
  • Bytes entrantes
  • Velocidad de datos entrantes (Kbit/s)
  • Bytes salientes
  • Velocidad de datos salientes (Kbit/s)
  • Total de bytes
  • Tasa total de datos (bps)

Si NetFlow no se reenvía a vSwitch Controller, se muestra un texto de estado azul de advertencia en la pestaña Estadísticas de flujo:One or more selected pools are not configured to forward NetFlow records to vSwitch Controller

Para volver a configurar el reenvío, haga clic en el texto de estado azul para ver una lista de grupos de recursos. Select el fondo de recursos deseado de la lista para acceder a la página de estado del grupo. Desde la página de estado, puede configurar el reenvío de datos de NetFlow.

Administrar grupos de direcciones

Puede configurar grupos de direcciones para especificar las direcciones IP que se utilizarán como origen o destino para las ACL y para generar informes de estadísticas de flujo.

Para agregar un grupo de direcciones:

  1. En Visibilidad y control, seleccione Grupos de direccionesen el árbol de recursos (panel lateral) para abrir la página Estado para todos los grupos de direcciones.
  2. Haga clic en Crear grupo.
  3. Introduzca el nombre para identificar el grupo y una descripción opcional.
  4. Haga clic en Crear grupo. El nuevo grupo se agrega a la lista de grupos de direcciones.
  5. Select el nuevo grupo en el árbol de recursos para abrir su página Estado.
  6. Haga clic en el botón Agregar miembros .
  7. En la ventana emergente, especifique una o varias direcciones IP o subredes (separadas por comas). Ejemplo: 192.168.12.5, 192.168.1.0/24
  8. Haga clic en Agregar. Continúe agregando más redes según sea necesario. Cada conjunto de direcciones se agrega como un nodo debajo de la red en la lista Grupos de direcciones.

El nuevo grupo de direcciones ya está disponible para las políticas de ACL y las estadísticas de flujo.

Puede quitar un grupo de direcciones existente haciendo clic en el vínculo Quitar de la fila Todos los grupos de direcciones de ese grupo de direcciones.

También puede actualizar el nombre o la descripción y el grupo de direcciones:

  1. Select el nuevo grupo en el árbol de recursos para abrir su página Estado.
  2. Haga clic en el botón Modificar grupo .
  3. En el cuadro de diálogo que se abre, cambie el nombre y la descripción.
  4. Haga clic en el botón Modificar grupo para guardar los cambios.

Administrar grupos de máquinas virtuales

Un grupo de máquinas virtuales es un conjunto de máquinas virtuales que se identifican como un grupo para ver estadísticas de estado y flujo. Cada máquina virtual de un grupo de máquinas virtuales ya debe estar en un grupo de recursos. De lo contrario, los grupos son independientes de los grupos de recursos y los servidores.

Para agregar un grupo de VM:

  1. En Visibilidad y control, seleccione Grupos de VMen el árbol de recursos (panel lateral) para abrir la página Estado para todos los grupos de VM.
  2. Haga clic en el botón Crear grupo.
  3. Introduzca el nombre para identificar el grupo y una descripción opcional.
  4. Haga clic en Crear grupo. El nuevo grupo se agrega a la lista de grupos de VM.
  5. Select el nuevo grupo en el árbol de recursos para abrir su página Estado.
  6. Haga clic en Agregar miembro.
  7. En la ventana emergente, seleccione la VM de la lista.
  8. Haga clic en Agregar. Continúe agregando más máquinas virtuales según sea necesario. Cada VM se agrega como un subnodo bajo el grupo en la lista Grupos de VM.

Las siguientes opciones de clic derecho están disponibles para cada grupo de VM:

  • Agregar VM al grupo: agregue un nuevo miembro del grupo.
  • Modificar Nombre/Descripción: Cambie el nombre o la descripción.
  • Eliminar grupo: elimine el grupo.

Jerarquía de configuración de directivas de DVS

Utilice las fichas Control de acceso y Configuración de puertos de Visibilidad y control para configurar las directivas de control de acceso, QoS y reflejo de tráfico dentro del entorno de red virtual. Mientras que todas las directivas se aplican en el nivel VIF, vSwitch Controller expone un modelo de directivas jerárquicas que admite la declaración de directivas predeterminadas en una colección de VIF. El vSwitch Controller también proporciona una forma de anular esta directiva predeterminada mediante la creación de excepciones específicas cuando sea necesario. Por ejemplo, puede eximir a una máquina virtual determinada de la directiva de fondo de recursos predeterminada.

De forma similar a la jerarquía utilizada en el árbol de recursos, la jerarquía de políticas tiene los siguientes niveles:

  • Global (nivel más general): incluye todos los VIF de todos los grupos de recursos.
  • Grupos de recursos: todos los VIFs de un grupo de recursos concreto.
  • Redes: Todos los VIFs conectados a una red determinada.
  • VM: todos los VIFs conectados a una VM determinada
  • VIFs (nivel más específico): Un único VIF.

Nota:

Los servidores Citrix Hypervisor no se incluyen en la jerarquía de directivas, ya que las directivas deben aplicarse independientemente de lo que Citrix Hypervisor de un grupo de recursos esté ejecutando una máquina virtual.

Configurar directivas de control de acceso

Elija la ficha Control de acceso para configurar directivas que permitan o denieguen el tráfico de VM basado en atributos de paquete.

Una política de ACL consta de un conjunto de reglas, cada una de las cuales incluye lo siguiente:

  • Acción: Indicación de si el tráfico que coincide con la regla está permitido (Permitir) o eliminado (Denegar).
  • Protocolo: Protocolo de red al que se aplica la regla. Puede aplicar la regla a todos los protocolos (Cualquiera), elegir entre una lista de protocolos existente o especificar un protocolo nuevo.
  • Dirección: Dirección del tráfico a la que se aplica la regla. Lea el texto de las reglas de izquierda a derecha: «a» significa tráfico saliente desde la máquina virtual, mientras que «desde» significa tráfico entrante a la máquina virtual.
  • Direcciones remotas: Indica si la regla está limitada al tráfico hacia/desde un determinado conjunto de direcciones IP remotas.

La administración de las políticas de ACL sigue de cerca la jerarquía del árbol de recursos. Puede especificar directivas en cualquier nivel admitido de la jerarquía. En cada nivel, las reglas se organizan de la siguiente manera:

  • Reglas obligatorias: Estas reglas se evalúan antes que cualquier regla de política secundaria. Las únicas reglas que tienen prioridad sobre ellas son las reglas obligatorias de las directivas principales (menos específicas). Las reglas obligatorias se utilizan para especificar reglas que las directivas secundarias (más específicas) no pueden reemplazar.
  • Reglas secundarias: el marcador de posición de directiva secundaria indica la ubicación en el orden de regla en el que se evalúan las reglas de las directivas secundarias. Divide las reglas obligatorias de las reglas predeterminadas.
  • Reglas predeterminadas: estas reglas se evalúan en última instancia, después de todas las reglas obligatorias y todas las reglas predeterminadas de directivas secundarias. Solo tienen prioridad sobre las reglas predeterminadas de las directivas principales. Se utilizan para especificar un comportamiento que sólo se aplica si una directiva secundaria más específica no especifica un comportamiento conflictivo.

La ficha **Control de acceso** para un VIF.

Reglas de la lista global de control de acceso (ACL)

Para configurar reglas de ACL globales, haga clic en Todos los grupos de recursos en el árbol de recursos. La página muestra todas las reglas de ACL que se definen en el nivel global.

Reglas de lista de control de acceso (ACL) de grupos de recursos

Para configurar reglas de ACL para un fondo de recursos, seleccione el fondo de recursos en el árbol de recursos.

La página muestra una barra expandible para la política global y un área expandida para las reglas del fondo de recursos. Si hace clic en el botón Expandir todo , puede ver cómo se incrustan las reglas del fondo de recursos en el marco de directivas global.

Reglas de la lista de control de acceso a la red (ACL)

Para configurar reglas de ACL en el nivel de red, haga clic en la red en el árbol de recursos.

La página muestra lo siguiente:

  • Una barra expandible para reglas globales
  • Una barra expandible para el grupo de recursos al que pertenece la red
  • Un área expandida para reglas de red

Si hace clic en Expandir todo, puede ver cómo se incrustan las directivas de red en el marco de directivas de recursos y en el marco de directivas global.

Reglas de lista de control de acceso (ACL) de VM

Para configurar directivas en el nivel de VM, haga clic en la VM en el árbol de recursos.

La página muestra lo siguiente:

  • Una barra expandible para reglas globales
  • Barras ampliables para el grupo de recursos y la red a la que pertenece la VM
  • Un área ampliada para reglas de VM

Si hace clic en el botón Expandir todo , puede ver cómo se incrustan las reglas de VM en la red, el fondo de recursos y el marco global.

Si una máquina virtual contiene VIFs en varias redes, aparece un vínculo «Cambiar red» en el lado derecho de la barra de ejemplo para la red. Este vínculo le permite ver las reglas para cada directiva de nivel de red que podría aplicarse a un VIF en esa máquina virtual.

Reglas de la lista de control de acceso (ACL) de VIF

Para configurar políticas en el nivel VIF, haga clic en el VIF en el árbol de recursos. Dado que las directivas se empaquetan y aplican sólo en el nivel VIF, debe mostrar las páginas VIF para ver el contexto completo de la política.

La página muestra lo siguiente:

  • Barras ampliables para reglas globales
  • Barras ampliables para el grupo de recursos, la red y la máquina virtual a las que pertenece el VIF
  • Un área ampliada para las reglas de VIF

Si hace clic en el botón Expandir todo , puede ver cómo se incrustan las reglas VIF en la VM, la red, el grupo de recursos y el marco global.

Orden de aplicación de reglas de lista de control de acceso (ACL)

Aunque las ACL se pueden definir en diferentes niveles de la jerarquía de configuración de directivas, las ACL se aplican por VIF. Para la aplicación real, la jerarquía se combina en el orden descrito en esta sección y se aplica a cada VIF. Para ver las reglas aplicadas actualmente en un VIF y las estadísticas asociadas, seleccione el VIF en el árbol de recursos. Vea la lista ACL en la ficha Estado.

La orden de ejecución es la siguiente:

  1. Normas obligatorias a nivel mundial
  2. Reglas obligatorias para el fondo de recursos que contiene el VIF
  3. Reglas obligatorias para la red que contiene el VIF
  4. Reglas obligatorias para la máquina virtual que contiene el VIF
  5. Reglas para el VIF que contiene el VIF
  6. Reglas predeterminadas para la máquina virtual que contiene el VIF
  7. Reglas predeterminadas para la red que contiene el VIF
  8. Reglas predeterminadas para el grupo de recursos que contiene el VIF
  9. Reglas predeterminadas para el global que contiene el VIF

Se ejecuta la primera regla que coincide y no se evalúan otras reglas.

Nota:

Cuando un vSwitch Controller no está disponible, el grupo de recursos aplica reglas de control de acceso basadas en el modo de error configurado. Consulte la sección denominada «Nivel de fondo de recursos» en «Estado de visualización» para obtener más detalles sobre el modo de error de un fondo de recursos.

Definir reglas de lista de control de acceso (ACL)

Para definir una nueva regla de ACL, utilice el árbol de recursos para elegir el nodo en el nivel adecuado de la jerarquía de configuración de directivas. Puede agregar reglas en cada nivel para ese nivel y para niveles superiores. Por ejemplo, si selecciona un fondo de recursos, puede agregar reglas para ese fondo de recursos y reglas globales.

Si elige un nodo de árbol de recursos que no corresponde a un nivel de la jerarquía de configuración de directivas, se muestra un mensaje. El mensaje proporciona vínculos para elegir otros niveles.

Las nuevas reglas se pueden agregar de las siguientes maneras:

  • Para agregar una regla obligatoria, haga clic en el icono de engranaje en la barra de encabezado del nivel y elija Agregar nueva ACL obligatoria.
  • Para agregar una regla predeterminada, haga clic en el icono de engranaje en la barra de encabezado del nivel y elija Agregar nueva ACL predeterminada.
  • Para agregar una regla encima de una entrada de regla existente, haga clic en el icono de engranaje de la entrada y elija Agregar nueva ACL encima.
  • Para agregar una regla debajo de una entrada de regla existente, haga clic en el icono de engranaje de la entrada y elija Agregar nueva ACL debajo.

La nueva regla se agrega a la página con la siguiente configuración predeterminada:

  • Acción: Permitir
  • Protocolo: Cualquier
  • Dirección: A/Desde
  • Direcciones remotas: Cualquiera
  • Descripción: Ninguno

Para cambiar un campo concreto dentro de una regla, haga clic en el vínculo que representa el valor del campo actual y aplique los cambios que se describen en la lista siguiente. Cuando aplica un cambio, la regla se actualiza para mostrar los valores.

  • Acción: Haga clic en el enlace y elija Cambiar acción a Denegar o Cambiar acción a Permitir .
  • Protocolo: haga clic y elija una de estas opciones:
    • Elija Coincidir con cualquier protocolo para aplicar la regla a todos los protocolos.
    • Elija Usar un protocolo existente para especificar un protocolo. Select el protocolo de la lista y haga clic en Usar protocolo.
    • Elija Usar un nuevo protocolo para especificar las características del protocolo personalizado. Especifique la siguiente información en la ventana emergente y haga clic en Guardar y usar:
      • Ethertype: Select IP o escriba otro Ethertype.
      • Protocolo IP: Select uno de los protocolos enumerados o introduzca otro.
      • Puerto de destino (sólo TCP/UDP): Introduzca un número de puerto o especifique Cualquiera.
      • Puerto de origen (sólo TCP/UDP): Introduzca un número de puerto o especifique Cualquiera. Al definir una aplicación que utiliza un puerto de servidor conocido, defina ese puerto conocido como puerto de destino y deje el puerto de origen como Cualquiera. Por ejemplo, puede utilizar este enfoque para HTTP, que utiliza el puerto 80.
      • Tipo ICMP (sólo ICMP): Seleccione Cualquiera o introduzca un tipo de Protocolo de tipo ICMP (ICMP) específico.
      • Código ICMP (sólo ICMP): Seleccione Cualquiera o introduzca un código ICMP específico.
      • Confrontar tráfico de respuesta: indique si el tráfico de retorno se permite automáticamente como parte de la regla. Por ejemplo, si la regla permite el tráfico 7777 del puerto de destino UDP desde la máquina virtual a una dirección remota especificada y se selecciona Coincidir tráfico de respuesta, también se permite el tráfico UDP desde el puerto de origen 7777 de la dirección remota a la máquina virtual. Habilite esta opción para cualquier protocolo UDP que requiera comunicación bidireccional (la opción siempre está habilitada para TCP).
      • Uso único frente a Usos Múltiples: Select si desea utilizar este protocolo sólo para la regla actual o agregarlo a la lista de protocolos en el menú de protocolos.
    • Elija Ver/Modificar Protocolo actual para modificar las características de un protocolo ya definido.
  • Dirección: Seleccione si la regla se aplica desde o a las direcciones remotas especificadas, o ambas.
  • Direcciones remotas: Para especificar las direcciones remotas:
    1. Haga clic en el enlace Cualquier para abrir una ventana emergente que enumera los grupos de direcciones disponibles.
    2. Select uno o más grupos de direcciones y utilice las flechas para moverlos a la columna Seleccionados .
    3. Utilice los botones Todos para seleccionar o anular la selección de todos los grupos.
    4. Para especificar una dirección IP o una subred que no forme parte de un grupo de direcciones existente, escriba la dirección o subred (x.x.x o x.x.x.x/n). Haga clic en Agregar. Repita esta operación para agregar más direcciones.
    5. Haga clic en Listo.
  • Descripción: Para agregar una descripción de texto de la regla:
    1. Haga clic en el botón Descripción .
    2. Haga clic en la entrada (<Ninguno> si no hay una descripción actual). Se muestra un área de entrada de texto. Introduzca el texto y pulse Entra.
  • Detalles de Regla: Haga clic en el botón Detalles de Regla para mostrar un breve resumen de la regla.

Haga clic en Guardar cambios de directiva para aplicar las nuevas reglas. Al hacerlo, los cambios surten efecto inmediatamente en el entorno de red virtual. Si aún no ha guardado las reglas, puede hacer clic en Deshacer cambios para invertir los cambios que ha nombrado.

Cuando cambia una ACL, todas las actualizaciones en segundo plano de la GUI del vSwitch Controller se detienen. Si otro administrador modifica la directiva simultáneamente y confirma los cambios antes que usted, actualice la página para recuperar la nueva directiva del servidor. Vuelva a introducir los cambios.

Puede cambiar el orden de las reglas en un nivel haciendo clic en el icono de engranaje de la regla y eligiendo Subiro Bajar . No se puede mover una regla entre los niveles de la jerarquía. Para eliminar una regla, haga clic en el icono de engranaje y elija Eliminar. Haga clic en el botón Descripción para mostrar la descripción de ACL. O bien, el botón Regla para mostrar la regla ACL que ha creado.

Las reglas de ACL siempre se interpretan desde el punto de vista de la interfaz virtual de la máquina virtual, incluso si se configuran más arriba en la jerarquía de directivas. Este comportamiento es importante cuando se piensa en el significado del campo Direcciones remotas en las reglas.

Por ejemplo, si una máquina virtual de un grupo tiene la dirección IP 10.1.1.1, puede esperar una regla en el grupo que especifique «denegar todos los protocolos a IP 10.1.1.1” para evitar que el tráfico llegue a la máquina virtual. Este comportamiento es el caso de todas las demás máquinas virtuales del grupo de recursos porque cada máquina virtual aplica la regla cuando la máquina virtual transmite. Sin embargo, las máquinas externas al grupo de recursos pueden comunicarse con la máquina virtual con la dirección IP 10.1.1.1. Este comportamiento se debe a que ninguna regla controla el comportamiento de transmisión de las máquinas externas. También se debe a que el VIF de la máquina virtual con dirección IP 10.1.1.1 tiene una regla que elimina el tráfico de transmisión con esa dirección. Sin embargo, la regla no descarta el tráfico de recepción con esa dirección.

Si el comportamiento de la directiva es inesperado, consulte la ficha Estado de la interfaz virtual donde se visualiza todo el conjunto de reglas de todos los niveles de directiva.

Configurar directivas de configuración de puertos

Utilice la ficha Configuración de puertos para configurar las directivas que se aplican a los puertos VIF. Se admiten los siguientes tipos de directivas:

  • QoS: las políticas de calidad de servicio (QoS) controlan la velocidad máxima de transmisión para una máquina virtual conectada a un puerto DVS.
  • Duplicación de tráfico: las políticas de Remote Switched Port Analyzer (RSPAN) admiten la duplicación del tráfico enviado o recibido en un VIF a una VLAN para admitir aplicaciones de supervisión de tráfico.
  • Deshabilitar comprobación de suplantación de direcciones MAC: las directivas de comprobación de suplantación de direcciones MAC controlan si la aplicación de direcciones MAC se realiza en el tráfico saliente desde un VIF. Si vSwitch Controller detecta un paquete con una dirección MAC desconocida de un VIF, descarta el paquete y todo el tráfico posterior del VIF. Las directivas de comprobación de suplantación de direcciones MAC están activadas de forma predeterminada. Deshabilite estas directivas en VIFs que ejecutan software como Equilibrio de carga de red en servidores Microsoft Windows.

Advertencia:

Habilitar RSPAN sin una configuración correcta de su red física y virtual puede causar una interrupción grave de la red. LeaConfigurar RSPANatentamente las instrucciones antes de activar esta función.

Puede configurar directivas de puerto de QoS y Traffic Mirroring en los niveles global, de pool de recursos, de red, de VM y de VIF. Cuando selecciona un nodo en el árbol de recursos y elige la ficha Configuración de puerto , muestra la configuración para cada nivel principal de la jerarquía. Sin embargo, sólo se puede cambiar la configuración en el nivel de directiva seleccionado. Por ejemplo, si selecciona una máquina virtual, la ficha Configuración de puerto muestra los valores configurados en los niveles global, de fondo de recursos y de red. La ficha le permite cambiar el valor en el nivel de VM.

Las configuraciones de QoS y Traffic Mirroring en un nivel determinado anulan las configuraciones en los niveles superiores. Si se anula una configuración, la ficha Configuración de puerto muestra la configuración de nivel superior tachada. Por ejemplo, la siguiente figura muestra una configuración QoS en el nivel de red que anula la configuración en el nivel del fondo de recursos.

Captura de pantalla de la ficha **Configuración del puerto** .

Para configurar directivas de puerto, elija el nodo en el árbol de recursos y elija la ficha Configuración de puerto . Si elige un nodo que no admite directivas de configuración de puertos, se muestra un mensaje con vínculos a nodos que sí admiten la configuración de puertos.

Configurar QoS

Para las directivas QoS, elija una de las siguientes opciones:

  • Heredar directiva QoS del padre (predeterminado): aplica la directiva desde el nivel de jerarquía superior (es decir, menos específico). Esta opción no existe a nivel global.
  • Deshabilitar la directiva QoS heredada: ignora las directivas que se establecen en niveles superiores (es decir, menos específicos), de modo que todos los VIFs incluidos en este nivel de directiva no tengan configuración de QoS.
  • Aplicar un límite QoS: Select un límite de velocidad (con unidades) y un tamaño de ráfaga (con unidades). El tráfico a todos los VIF incluidos en este nivel de directiva está limitado a la velocidad especificada, con ráfagas individuales limitadas al número especificado de paquetes.

Advertencia:

Establecer un tamaño de ráfaga demasiado pequeño en relación con el límite de velocidad puede impedir que un VIF envíe suficiente tráfico para alcanzar el límite de velocidad. Este comportamiento es especialmente probable para los protocolos que realizan control de congestión como TCP.

Como mínimo, la velocidad de ráfaga debe ser mayor que la unidad de transmisión máxima (MTU) de la red local.

Establecer QoS a una velocidad de ráfaga inapropiadamente baja en cualquier interfaz en la que se encuentre el vSwitch Controller puede resultar en la pérdida de toda la comunicación con el controlador vSwitch. Esta pérdida de comunicación obliga a una situación de restablecimiento de emergencia.

Para evitar que se lleve a cabo cualquier aplicación heredada, deshabilite la directiva QoS en el nivel de VM.

Haga clic en Guardar cambios de configuración de puerto para implementar los cambios o haga clic en Deshacer cambios para eliminar los cambios que no se hayan guardado. La política entra en vigor inmediatamente después de guardar.

Configurar RSPAN

Advertencia:

La configuración de RSPAN cuando el servidor está conectado a un switch que no entiende las VLAN o no está configurado correctamente para admitir la VLAN RSPAN puede causar duplicación de tráfico y cortes de red. Revise la documentación y la configuración de los switches físicos antes de habilitar la función RSPAN. Esta revisión es especialmente importante en niveles superiores de la jerarquía en los que pueden estar involucrados múltiples conmutadores físicos.

La habilitación de RSPAN requiere una serie de pasos, que se describen a continuación:

Identifique su VLAN RSPAN

Cuando RSPAN está habilitado en un VIF, el conmutador virtual para ese VIF realiza una copia de cada paquete enviado a o desde ese VIF. El vSwitch transmite la copia de ese paquete etiquetado con el valor de VLAN denominado VLAN de destino. A continuación, un administrador coloca un host que realiza la supervisión en el puerto del conmutador configurado para utilizar la VLAN de destino. Si la interfaz de host de supervisión utiliza el modo promiscuo, puede ver todo el tráfico que se envía a y desde los VIF configurados para usar RSPAN.

Configurar la red física con la VLAN de destino

Es fundamental configurar la red física correctamente para tener en cuenta el tráfico RSPAN para evitar interrupciones en la red. Sólo habilite RSPAN si la infraestructura de conmutación física que conecta todos los VIFs habilitados para RSPan se puede configurar para deshabilitar el aprendizaje en la VLAN de destino. Para obtener más información, consulte la documentación del fabricante del conmutador.

Además, el tráfico enviado en la VLAN de destino debe reenviarse desde cada uno de los conmutadores virtuales a los hosts de supervisión. Si su infraestructura física incluye muchos switches en una jerarquía, este reenvío requiere la conexión troncal de la VLAN de destino entre los diferentes switches. Para obtener más información, consulte la documentación del fabricante del conmutador.

Configurar vSwitch Controller con la VLAN de destino

Informe al vSwitch Controller acerca de cada VLAN de destino antes de usar ese ID de VLAN para la configuración del puerto RSPAN. Puede especificar los ID de VLAN de destino disponibles en el grupo de recursos, la red o el nivel de servidor. Las VLAN de destino agregadas a un nivel de la jerarquía están disponibles al configurar la configuración del puerto RSPAN en ese nivel y en todos los niveles inferiores de la jerarquía. El nivel correcto para especificar una VLAN de destino depende de la amplitud con la que haya configurado la infraestructura física para que tenga en cuenta esa VLAN de destino.

Para especificar las VLAN de destino disponibles:

  1. En Visibilidad y control, abra la ficha Estadopara todos los grupos de recursos, un grupo de recursos específico, un servidor específico o una red específica.
  2. En el área de ID de VLAN de destino RSPAN , haga clic en + e introduzca el ID de VLAN.
  3. Repita esta operación para agregar más ID de VLAN.
  4. Haga clic en Guardar cambio de VLAN de destino.

Las VLAN están ahora disponibles para su selección en la ficha Configuración del puerto, tal y como se describe en esta sección.

Modificar la configuración del puerto para habilitar RSPAN para un conjunto de VIF

Para configurar directivas RSPAN en la ficha Configuración de puertos , seleccione el nodo apropiado en el árbol de recursos y elija una de las siguientes opciones:

  • Heredar la directiva RSPAN del padre (predeterminado): aplica la directiva desde el siguiente nivel de jerarquía superior (es decir, menos específico).
  • Deshabilitar la directiva RSPAN heredada: ignora las directivas establecidas en niveles superiores (es decir, menos específicos), de modo que todos los VIF incluidos en este nivel de directiva no tengan configuración de RSPAN.
  • Tráfico RSPAN en VLAN: elija una VLAN de la lista de VLAN de destino. Las únicas VLAN de destino que aparecen en la lista son aquellas VLAN configuradas para los niveles de directiva que contienen el nodo seleccionado actualmente.

Configurar la comprobación de suplantación de direcciones MAC

Para deshabilitar la aplicación de direcciones MAC, seleccione Comprobación de suplantación de direcciones MAC. La aplicación sólo se puede configurar por VIF y no hereda ni anula las configuraciones principales.

Guardar cambios

Haga clic en Guardar cambios de configuración de puerto para implementar los cambios o haga clic en Deshacer cambios para eliminar los cambios que no se hayan guardado. La política entra en vigor inmediatamente después de guardar.