En el artículo anterior hablamos en detalle del firewall
lógico, su implementación y casos de uso, así como también su funcionamiento.
En el artículo de hoy voy a describir las redes privadas virtuales o VPN, sus
tipos y las tareas que podremos llevar a cabo con ellas.
NSX Edge admite varios tipos de VPN. En primer lugar,
tenemos SSL VPN-Plus, que permite a los usuarios remotos acceder a aplicaciones
privadas dentro de la empresa. Luego está IPsec VPN, que ofrece conectividad de
sitio a sitio entre una instancia de NSX Edge y sitios remotos. Por último, la
VPN de Capa 2, que permite extender el data center permitiendo que las máquinas
virtuales conserven la conectividad de red más allá de los límites geográficos.
Ahora veremos en detalle como es el proceso.
Para poder utilizar las VPN, primero debemos tener una
instancia de NSX Edge operativa. Una vez que contemos con eso, veamos entonces
en detalle cada uno de los tipos de VPN:
SSL VPN-Plus
Con SSL VPN-Plus, los usuarios remotos pueden conectarse de
forma segura a redes privadas detrás de una puerta de enlace de NSX Edge. De
esta forma podrán acceder a servidores y aplicaciones que se encuentren
disponible en las redes privadas de la empresa.
Los sistemas operativos admitidos son los siguientes:
Las tareas que pueden realizarse con este tipo de VPN son
las siguientes:
- Configurar el acceso de red de SSL VPN-Plus
- Instalar el cliente SSL VPN-Plus
- Registros de SSL VPN-Plus
- Editar la configuración de cliente
- Editar configuración general
- Editar diseño del portal web
- Trabajar con grupos de direcciones IP para SSL VPN
- Trabajar con redes privadas
- Trabajar con paquetes de instalación
- Trabajar con usuarios
- Trabajar con scripts de inicio y cierre de sesión
IPsec VPN
NSX Edge admite IPsec VPN de sitio a sitio entre una
instancia de NSX Edge y sitios remotos. Se admiten la autenticación de
certificados, pre-shared key y el tráfico unicast de IP entre la instancia de
NSX Edge y los sitios VPN remotos.
A partir de NSX Data Center for vSphere 6.4.2, se puede
configurar el servicio de VPN IPSec basada en directivas y el servicio de VPN
IPSec basada en rutas. Sin embargo, solo es posible configurar, administrar y
editar los parámetros de la VPN IPSec basada en rutas usando las API REST, ya
que no podremos editar los parámetros de la VPN IPSec basada en rutas en
vSphere Web Client. En NSX Data Center for vSphere 6.4.1 o versiones
anteriores, solo se puede configurar el servicio VPN IPSec basado en
directivas.
Tareas principales que podremos realizar:
- Configurar VPN IPSec basada en directivas
- Configurar VPN IPSec basada en rutas
- Editar el sitio VPN IPSec
- Deshabilitar el servicio VPN IPSec
- Eliminar el sitio VPN IPSec
- Configurar Fase 1 y fase 2 de IKEv1
- Utilizar un ISR Cisco 2821
- Utilizar un Cisco ASA 5510
- Utilizar un dispositivo Cisco CSR 1000V
- Configurar WatchGuard Firebox X500
VPN de Capa 2
Con VPN de Capa 2, es posible ampliar varias redes lógicas
(tanto VLAN como VXLAN) en varios sitios geográficos. Además, podremos configurar
varios sitios en un servidor VPN de Capa 2.
Las máquinas virtuales permanecen en la misma subred cuando
se las traslada de un sitio a otro y sus direcciones IP no cambian. La
optimización del tráfico de egreso permite a Edge rutear cualquier paquete enviado
hacia la dirección IP de optimización de forma local y conectar todo lo demás
con un puente. Por lo tanto, con el servicio de VPN de Capa 2, se pueden migrar
sin problemas las cargas de trabajo entre sitios físicos diferentes y se pueden
ejecutar en redes basadas en VXLAN o en VLAN. Con respecto a los proveedores de
nube, la VPN de Capa 2 les proporciona un mecanismo para incorporar empresas
sin modificar las direcciones IP existentes de las cargas de trabajo y las
aplicaciones, lo que significa una gran ventaja.
Con NSX Data Center for vSphere 6.4.2, podemos configurar el
servicio de VPN de Capa 2 mediante túneles SSL e IPSec, pero solamente a través
de las API REST. Con NSX Data Center for vSphere 6.4.1 o anteriores, solo
podremos configurar el servicio VPN de Capa 2 mediante túneles SSL.
El servidor y el cliente de la VPN de Capa 2 conocen las
direcciones MAC de los sitios locales y remotos basándose en el tráfico que
fluye a través de ellos. La optimización del tráfico de egreso mantiene el
ruteo local, dado que la puerta de enlace predeterminada de todas las máquinas
virtuales siempre se resuelve en la puerta de enlace local que utiliza las
reglas de firewall. Las máquinas virtuales que se movieron al Sitio B también
pueden acceder a los segmentos L2 que no están ampliados al Sitio A.
Si alguno de los sitios no tiene NSX implementado, se puede
implementar en ese sitio una instancia de Edge independiente.
En el gráfico que vemos a continuación, la VPN de Capa 2
amplía la red VLAN 10 a VXLAN 5010 y VLAN 11 a VXLAN 5011. De esta menara, la máquina
virtual 1 con un puente a VLAN 10 puede acceder a las máquinas virtuales 2, 5 y
6.
Por último, las principales tareas que podremos realizar y
configurar en este tipo de VPN son:
- Configurar VPN de Capa 2 mediante SSL
- Configurar VPN de Capa 2 mediante IPSec
- Configurar Edge como cliente VPN de Capa 2
- Eliminar una VLAN ampliada
Y hasta aquí llegamos con el artículo dedicado a las redes
privadas virtuales. El próximo capítulo veremos los balanceadores de carga
lógicos o Logical Load Balancer, y será el artículo que culmine con esta serie
de diez publicaciones dedicada a NSX Data Center for vSphere 6.4.
Hasta la próxima
Guía de artículos
Parte 1: Introducción
Parte 2: NSX Edge
Parte 3: Servicios de NSX
Parte 4: Zonas de Transporte
Parte 5: Switches lógicos
Parte 6: Configurar una puerta de enlace de hardware
Parte 7: Puentes L2
Parte 8: Firewall lógico
Parte 9: Redes privadas virtuales (VPN)
Parte 10: Balanceador de carga lógico
0 comments:
Publicar un comentario