You are on page 1of 423

HOL-1703-SDC-1-PT

Table of Contents
Viso geral do laboratrio - HOL-1703-SDC-1 - Tour de recursos do VMware NSX ............ 2
Orientao de laboratrio ....................................................................................... 3
Mdulo 1 - Passo a passo da instalao (15 minutos) ....................................................... 9
Introduo implantao do NSX ......................................................................... 10
Hands-on Labs Interactive Simulation: NSX Installation and Configuration .......... 12
Concluso do Mdulo 1 ......................................................................................... 13
Mdulo 2 - Switch lgico (30 minutos) ............................................................................ 15
Switch lgico - Viso geral do mdulo................................................................... 16
Switch lgico ......................................................................................................... 17
Escalabilidade/disponibilidade .............................................................................. 46
Concluso do Mdulo 2 ......................................................................................... 51
Mdulo 3 - Roteamento lgico (60 minutos) ................................................................... 53
Viso geral de roteamento .................................................................................... 54
Roteamento dinmico e distribudo ..................................................................... 56
Roteamento centralizado ...................................................................................... 92
ECMP e alta disponibilidade ................................................................................ 112
Antes de passar para o Mdulo 3 - conclua as etapas de limpeza a seguir ........ 162
Concluso do Mdulo 3 ....................................................................................... 167
Mdulo 4 - Edge Service Gateway - ESG (60 minutos) .................................................. 169
Introduo ao NSX Edge Services Gateway ........................................................ 170
Implantar o Edge Services Gateway como balanceador de carga....................... 171
Configurar o Edge Services Gateway como balanceador de carga ..................... 190
Balanceador de carga do Edge Services Gateway - verificar a configurao ...... 202
Firewall do Edge Services Gateway ..................................................................... 215
DHCP Relay ......................................................................................................... 226
Configurao do L2VPN....................................................................................... 254
Concluso do Mdulo 4 ....................................................................................... 317
Mdulo 5 - Bridge fsico-virtual (60 minutos) ................................................................ 319
VxLAN Bridge - Funcionalidade Nativa ................................................................ 320
Introduo ao HW VTEP com Arista..................................................................... 364
Simulao interativa do laboratrio prtico: VTEP de hardware com o Arista..... 371
Consideraes de design de Bridge .................................................................... 372
Concluso do Mdulo 5 ....................................................................................... 383
Mdulo 6 - Firewall distribudo (45 minutos) ................................................................. 385
Introduo ao Direwall Distribudo - DFW............................................................ 386
Confirme a ativao do DFW............................................................................... 388
Configure regras para o acesso ao Aplicativo Web ............................................. 391
Criao dos Security Groups - Grupos de Segurana .......................................... 401
Criao das Regras de Acesso ............................................................................ 405
Concluso do Mdulo 6 ....................................................................................... 421

HOL-1703-SDC-1-PT

Page 1

HOL-1703-SDC-1-PT

Viso geral do laboratrio


- HOL-1703-SDC-1 - Tour
de recursos do VMware
NSX

HOL-1703-SDC-1-PT

Page 2

HOL-1703-SDC-1-PT

Orientao de laboratrio
Observao: a concluso deste laboratrio levar mais de 90 minutos. Esperase que voc termine apenas de 2 a 3 mdulos durante o horrio disponvel
para voc. Os mdulos so independentes uns dos outros para que voc
possa comear do incio de cada mdulo e prosseguir de onde parou. Use o
ndice para acessar qualquer mdulo sua escolha.
Ele pode ser acessado no canto superior direito do Manual do laboratrio.
O VMware NSX a plataforma de virtualizao de rede do data center definido por
software (SDDC) e o principal foco deste laboratrio. Neste laboratrio, guiaremos voc
pelos recursos bsicos do NSX. Primeiro acompanharemos uma instalao tpica do NSX
e de todos os componentes necessrios. Em seguida, veremos a comutao e o
roteamento lgicos para que voc compreenda melhor esses conceitos. Depois
abordaremos o gateway de servios do Edge e como ele oferece servios comuns, como
DHCP, VPN, NAT, roteamento dinmico e balanceamento de carga. Por fim, abordaremos
como criar uma ponte entre uma VLAN fsica e uma VXLAN e ento o firewall distribudo.
A lista completa de mdulos de laboratrio mostrada abaixo e todos os mdulos so
totalmente independentes, de forma que voc possa se mover livremente entre eles.
Lista de mdulos de laboratrio:
Mdulo 1 - Passo a passo da instalao (30 minutos) - Bsico - este mdulo
acompanhar voc por uma instalao bsica do NSX, incluindo a implantao do
.ova, a configurao do NSX Manager, a implantao de controladores e a
preparao de hosts.
Mdulo 2 - Switch lgico (30 minutos) - Bsico - este mdulo acompanhar
voc pelas noes bsicas da criao de switches lgicos e da anexao de
mquinas virtuais a switches lgicos.
Mdulo 3 - Roteamento lgico (60 minutos) - Bsico - este mdulo nos
ajudar a compreender alguns dos recursos de roteamento com suporte na
plataforma NSX e tambm como utilizar esses recursos durante a implantao de
um aplicativo de trs camadas.
Mdulo 4 - Edge Services Gateway (ESG) (60 minutos) - Bsico - este mdulo
demonstrar os recursos do Edge Services Gateway(ESG) e como ele pode
oferecer servios comuns, como DHCP, VPN, NAT, roteamento dinmico e
balanceamento de carga.
Mdulo 5 - Bridge fsico virtual (30 minutos) - Bsico - este mdulo nos guiar
pela configurao de uma instncia de bridge L2 entre uma VLAN tradicional e
um switch lgico NSX. Tambm haver uma demonstrao off-line da integrao
do NSX com switches compatveis com VXLAN de hardware Arista.
Mdulo 6 - Firewall distribudo (45 minutos) - Bsico - este mdulo abordar o
firewall distribudo e a criao de regras de firewall entre um aplicativo de trs
camadas.

HOL-1703-SDC-1-PT

Page 3

HOL-1703-SDC-1-PT

Chefes do laboratrio:
Mdulo
Unido
Mdulo
Mdulo
Mdulo
Mdulo
Mdulo

1 - Michael Armstrong, engenheiro de sistemas snior, Reino


2
3
4
5
6

Mostafa Magdy, engenheiro de sistemas snior, Canad


Aaron Ramirez, engenheiro de sistemas da equipe, EUA
Chris Cousins, engenheiro de sistemas, EUA
Aaron Ramirez, engenheiro de sistemas da equipe, EUA
Brian Wilson, engenheiro de sistemas da equipe, EUA

Este manual de laboratrio pode ser obtido por download no site de Documentos do
laboratrio prtico que se encontra aqui:
[http://docs.hol.pub/HOL-2017]
Este laboratrio pode estar disponvel em outros idiomas. Para definir sua preferncia
de idioma e ter um manual localizado implantado com seu laboratrio, voc pode usar
este documento para orient-lo pelo processo:
http://docs.hol.vmware.com/announcements/nee-default-language.pdf

HOL-1703-SDC-1-PT

Page 4

HOL-1703-SDC-1-PT

Local do console principal


1. A rea dentro da caixa VERMELHA contm o console principal. O Manual do
laboratrio est na guia direita do console principal.
2. Um laboratrio especfico pode ter outros consoles em guias separadas na parte
superior esquerda. Se necessrio, voc ser direcionado para abrir outro console
especfico.
3. Seu laboratrio comea com 90 minutos no cronmetro. No possvel salvar o
laboratrio. Voc deve fazer todo o seu trabalho durante a sesso do laboratrio.
No entanto, possvel clicar em EXTEND para estender o tempo. Se voc estiver
em um evento da VMware, poder estender o tempo do laboratrio duas vezes,
por no mximo 30 minutos. Cada clique acrescenta 15 minutos. Fora de eventos
da VMware, voc pode estender o tempo do seu laboratrio por no mximo nove
horas e 30 minutos. Cada clique acrescenta uma hora.

Mtodos alternativos de entrada de dados por teclado


Durante este mdulo, digite o texto no console principal. Alm da digitao direta, h
dois mtodos muito prticos que facilitam a entrada de dados complexos.

HOL-1703-SDC-1-PT

Page 5

HOL-1703-SDC-1-PT

Clicar e arrastar contedo do manual do laboratrio para a


janela ativa do console
Voc pode tambm clicar e arrastar textos e comandos da interface de linha de
comando (CLI, Command Line Interface) diretamente do Manual do laboratrio para a
janela ativa no console principal.

Acesso ao teclado internacional on-line


Voc pode tambm usar o teclado internacional on-line do console principal.
1. Clique no cone de teclado que fica na barra de tarefas de Incio Rpido do
Windows.

Clicar uma vez na janela ativa do console


Neste exemplo, voc utilizar o teclado on-line para inserir o sinal "@" usado em
endereos de e-mail. Nos layouts de teclado US, pressione as teclas Shift+2 para inserir
o sinal "@".
1. Clique uma vez na janela ativa do console.
2. Clique na tecla Shift.

HOL-1703-SDC-1-PT

Page 6

HOL-1703-SDC-1-PT

Clicar na tecla @
1. Clique na tecla "@".
Observe o sinal @ inserido na janela ativa do console.

Observe a parte inferior direita da tela


Verifique se foram concludas todas as rotinas de inicializao do seu laboratrio e se
ele est pronto para voc comear. Se aparecer algo diferente de "Ready", aguarde
alguns minutos. Aps cinco minutos, se o laboratrio ainda no aparecer como
"Ready", pea ajuda.

HOL-1703-SDC-1-PT

Page 7

HOL-1703-SDC-1-PT

Solicitao ou marca d'gua de ativao


Quando voc iniciar o laboratrio pela primeira vez, talvez observe uma marca d'gua
na rea de trabalho, que indica que o Windows no est ativado.
Um dos principais benefcios da virtualizao que as mquinas virtuais podem ser
movidas e executadas em qualquer plataforma. Os laboratrios prticos utilizam esse
benefcio, e possvel execut-los em vrios data centers. No entanto, esses data
centers podem no ter processadores idnticos, o que aciona uma verificao de
ativao da Microsoft pela Internet.
A VMware e os laboratrios prticos esto em total conformidade com os requisitos de
licenciamento da Microsoft. O laboratrio que voc est usando um pod autocontido e
no tem acesso completo Internet, o que necessrio para que o Windows verifique a
ativao. Sem o acesso completo Internet, esse processo automatizado falha e essa
marca d'gua exibida.
Esse problema superficial no afeta seu laboratrio.

HOL-1703-SDC-1-PT

Page 8

HOL-1703-SDC-1-PT

Mdulo 1 - Passo a passo


da instalao (15
minutos)

HOL-1703-SDC-1-PT

Page 9

HOL-1703-SDC-1-PT

Introduo implantao do NSX


O VMware NSX a plataforma lder de virtualizao de redes que fornece o modelo
operacional de uma mquina virtual para a rede. Assim como a virtualizao de
servidores oferece controle extensvel de mquinas virtuais executadas em um pool de
hardware de servidor, a virtualizao de rede com o NSX oferece uma API centralizada
para aprovisionar e configurar vrias redes lgicas isoladas executadas em uma nica
rede fsica.
As redes lgicas separam a conectividade da mquina virtual e os servios de rede da
rede fsica, fornecendo aos provedores de nuvens e s empresas a flexibilidade de
posicionar mquinas virtuais em qualquer lugar do data center ou de migr-las para
qualquer lugar do data center oferecendo, ainda assim, suporte conectividade de
camada 2/camada 3 e a servios de rede de camada 4 a 7.
Neste mdulo, ns nos concentraremos em como executar a implantao real do NSX
em seu ambiente. No ambiente de laboratrio, a implantao real j foi concluda para
voc.
Este mdulo contm as seguintes lies:

Implantao do OVA do NSX Manager


Registro do NSX no vCenter
Configurao de backups do Syslog e do NSX Manager
Implantao de NSX Controllers
Preparao de um cluster para o NSX
Configurao e verificao de endpoints de tnel de VXLAN (VTEPs)
Criao de pools de identificadores de rede VXLAN(VXLAN Network Identifiers VNIs)
Criao de zonas de transporte(Transport Zones)
Dashboard do NSX Manager
Concluso

HOL-1703-SDC-1-PT

Page 10

HOL-1703-SDC-1-PT

Componentes do NSX
Neste laboratrio, voc acompanhar o processo necessrio para a instalao dos
diversos componentes, que incluem o NSX Manager, os NSX Controllers e depois a
instalao dos mdulos do kernel no hypervisor.

HOL-1703-SDC-1-PT

Page 11

HOL-1703-SDC-1-PT

Hands-on Labs Interactive Simulation:


NSX Installation and Configuration
This portion of the lab is presented as a Hands-on Labs - Interactive Simulation. This
simulation will walk you through the installation and configuration of NSX Manager.
1. Click here to open the interactive simulation. It will open in a new browser
window or tab.
2. When finished, click the "Return to the lab" link in the upper right hand corner
of the web browser window or close the window to continue with this tab.

HOL-1703-SDC-1-PT

Page 12

HOL-1703-SDC-1-PT

Concluso do Mdulo 1
Neste mdulo, mostramos a simplicidade na qual o NSX pode ser instalado e
configurado para comear a fornecer camada 2(L2) por meio de sete servios no
software.
Ns abordamos a instalao e a configurao do appliance do NSX Manager, que
incluem a implantao, a integrao com o vCenter e a configurao de registro em log
e de backups. Depois disso, abordamos a implantao de NSX Controllers como a
camada de controle e a instalao dos pacotes do VMware Infrastructure (vibs) que so
mdulos do kernel enviados por push para o hypervisor. Por fim, mostramos a
implantao automatizada de endpoints de tnel de VXLAN (VTEPs), a criao de um
pool de identificadores de rede de VXLAN (VNIs) e a criao de uma zona de transporte.

Voc terminou o Mdulo 1


Parabns por concluir o Mdulo 1.
Se voc estiver procurando informaes adicionais sobre a implantao do NSX, acesse
o centro de documentao do NSX 6.2 por meio do URL abaixo:
Acesse http://tinyurl.com/hkexfcl
Continue em qualquer mdulo abaixo que seja do seu interesse:
Lista de mdulos de laboratrio:
Mdulo 1 - Passo a passo da instalao (30 minutos) - Bsico - este mdulo
acompanhar voc por uma instalao bsica do NSX, incluindo a implantao do
.ova, a configurao do NSX Manager, a implantao de controladores e a
preparao de hosts.
Mdulo 2 - Switch lgico (30 minutos) - Bsico - este mdulo acompanhar
voc pelas noes bsicas da criao de switches lgicos e da anexao de
mquinas virtuais a switches lgicos.
Mdulo 3 - Roteamento lgico (60 minutos) - Bsico - este mdulo nos
ajudar a compreender alguns dos recursos de roteamento com suporte na
plataforma NSX e tambm como utilizar esses recursos durante a implantao de
um aplicativo de trs camadas.
Mdulo 4 - Edge Services Gateway (ESG) (60 minutos) - Bsico - este mdulo
demonstrar os recursos do Edge services gateway e como ele pode oferecer
servios comuns, como DHCP, VPN, NAT, roteamento dinmico e balanceamento
de carga.
Mdulo 5 - Bridge fsico virtual (30 minutos) - Bsico - este mdulo nos guiar
pela configurao de uma instncia de bridge L2 entre uma VLAN tradicional e
um switch lgico NSX. Tambm haver uma demonstrao off-line da integrao
do NSX com switches compatveis com VXLAN de hardware Arista.

HOL-1703-SDC-1-PT

Page 13

HOL-1703-SDC-1-PT

Mdulo 6 - Firewall distribudo (45 minutos) - Bsico - este mdulo abordar o


firewall distribudo e a criao de regras de firewall entre um aplicativo de trs
camadas.
Chefes do laboratrio:
Mdulo
Unido
Mdulo
Mdulo
Mdulo
Mdulo
Mdulo

1 - Michael Armstrong, engenheiro de sistemas snior, Reino


2
3
4
5
6

Mostafa Magdy, engenheiro de sistemas snior, Canad


Aaron Ramirez, engenheiro de sistemas da equipe, EUA
Chris Cousins, engenheiro de sistemas, EUA
Aaron Ramirez, engenheiro de sistemas da equipe, EUA
Brian Wilson, engenheiro de sistemas da equipe, EUA

Como encerrar o laboratrio


Para encerrar o laboratrio, clique no boto END.

HOL-1703-SDC-1-PT

Page 14

HOL-1703-SDC-1-PT

Mdulo 2 - Switch lgico


(30 minutos)

HOL-1703-SDC-1-PT

Page 15

HOL-1703-SDC-1-PT

Switch lgico - Viso geral do mdulo


Neste laboratrio, inicialmente voc analisar os principais componentes do VMware
NSX. H outros aspectos principais abordados neste mdulo:
1) A adio do cluster do NSX Controller eliminou o requerimento de suporte ao
protocolo multicast no ambiente fsico. O cluster de controllers oferece, entre outras
funes, resoluo de VTEP, IP e MAC.
2) Voc criar um switch lgico e ento anexar duas VMs ao switch lgico que criou.
3) Por fim, revisaremos o dimensionamento e a alta disponibilidade da plataforma NSX.

HOL-1703-SDC-1-PT

Page 16

HOL-1703-SDC-1-PT

Switch lgico
Nesta seo:
1.
2.
3.
4.
5.
6.

Confirmaremos que a configurao dos hosts est pronta.


Confirmaremos a preparao de rede lgica.
Criaremos um novo switch lgico.
Anexaremos o switch lgico ao Gateway do NSX Edge.
Adicionaremos VMs ao switch lgico.
Testaremos a conectividade entre as VMs.

Iniciar o Google Chrome


Abra um navegador clicando duas vezes no cone do Google Chrome na rea de
trabalho.

Fazer login no vSphere Web Client


Se voc ainda no tiver feito login no vSphere Web Client:
(A pgina inicial deve ser o vSphere Web Client. Caso contrrio, clique no cone da
Barra de tarefas do vSphere Web Client para o Google Chrome).
1. Faa login marcando a caixa "Use Windows Session Authentication".
2. Clique em Login.

HOL-1703-SDC-1-PT

Page 17

HOL-1703-SDC-1-PT

Navegue at a seo Networking & Security no Web Client


1. Clique na guia Networking & Security.

HOL-1703-SDC-1-PT

Page 18

HOL-1703-SDC-1-PT

Visualizar os componentes implementados


1. Clique em Installation.
2. Clique em Host Preparation.
Voc ver que os componentes do plano de dados, tambm chamados de virtualizao
de rede, so instalados nos hosts em nossos clusters. Esses componentes incluem o
seguinte:
mdulos de kernel no nvel do hypervisor para Port Security, VXLAN, firewall
distribudo(Distributed Firewall-DFW) e roteamento distribudo. As funes de Firewall e
VXLAN so configuradas e ativadas em cada cluster aps a instalao dos componentes
de virtualizao de rede. O mdulo de Port Security auxilia a funo VXLAN, enquanto o
mdulo de roteamento distribudo habilitado assim que a VM de controle de roteador
lgico(Logical Router Control) do NSX Edge configurada.

A topologia aps a preparao do host com os


componentes do Data Plane

Visualizar a configurao do VTEP


1. Clique na guia Logical Network Preparation.
2. Clique na guia VXLAN Transport.

HOL-1703-SDC-1-PT

Page 19

HOL-1703-SDC-1-PT

3. Clique no twistie para expandir os clusters.


A configurao da VXLAN pode ser dividida em trs etapas importantes:
Configure o endpoint de tnel virtual (VTEP) em cada host.
Configure o intervalo de IDs do segmento(Segment ID) para criar um pool de
redes lgicas. (Em algumas configuraes, esta etapa poder exigir a
configurao do endereo do grupo Multicast). No entanto, estamos utilizando o
modo Unicast e no precisaremos especificar um intervalo multicast neste
laboratrio.
Defina a extenso da rede lgica ao configurar a zona de transporte.
Como mostrado no diagrama, os hosts nos clusters de computao so configurados
com os mesmos endpoints de tnel de VXLAN, VTEP. O ambiente usa a subnet
192.168.130.0/24 para o pool VTEP.

A topologia aps a configurao dos VTEPs nos clusters


Um dos principais desafios que os clientes tinham com a implantao da VXLAN no
passado que o suporte ao protocolo multicast era necessrio nos dispositivos de rede
fsica. Esse desafio endereado na Plataforma NSX ao fornecer uma implementao de
VXLAN baseada em controller, removendo qualquer necessidade de configurao
multicast na rede fsica. Esse modo (Unicast) o modo padro, e os clientes no
precisam configurar qualquer endereo multicast enquanto definem o pool de redes
lgicas.
Se o modo de replicao multicast for escolhido por um determinado switch lgico, o
NSX confiar no recurso multicast L2/L3 nativo da rede fsica para garantir que o trfego
de vrios destinos encapsulados de VXLAN seja enviado para todos os VTEPs. Nesse
modo, um endereo IP multicast deve ser associado a cada segmento L2 VXLAN
definido (isto , o switch lgico). O recurso multicast L2 usado para replicar o trfego
para todos os VTEPs no segmento local (isto , endereos IP do VTEP que faam parte
da mesma subnet IP). Adicionalmente, IGMP snooping deve ser configurado nos
switches fsicos para otimizar a entrega de trfego multicast L2.

HOL-1703-SDC-1-PT

Page 20

HOL-1703-SDC-1-PT

O modo hbrido oferece uma simplicidade operacional semelhante ao modo unicast - a


configurao de roteamento de multicast IP no necessria na rede fsica - e aproveita
o recurso multicast L2 dos switches fsicos.
Dessa forma, os trs modos de configurao de camada de controle so:
Unicast: o plano de controle tratado por um NSX controller. Todo trfego
unicast aproveita a replicao headend. Nenhum endereo IP multicast ou
configurao de rede especial necessrio.
Multicast: os endereos IP multicast na rede fsica so usados para a camada de
controle. Este modo somente recomendado quando voc estiver atualizando
implantaes antigas de VXLAN. Exige PIM/IGMP na rede fsica.
Hybrid: o modo unicast otimizado. Transfere a replicao de trfego local para a
rede fsica (multicast L2). Requer IGMP snooping no primeiro switch do
percurso(primeiro hop), mas no exige PIM. Este primeiro switch cuida da
replicao de trfego para a subnet. O modo hbrido recomendado para
implantaes do NSX em larga escala.

HOL-1703-SDC-1-PT

Page 21

HOL-1703-SDC-1-PT

Configurao do ID do segmento e do endereo de grupo


multicast
1. Clique em Segment ID. Observe que a seo Multicast addresses acima est em
branco. Como mencionado acima, estamos usando o n unicast padro com uma
implementao de VXLAN baseada em controller.

Definio de configuraes da zona de transporte


1. Clique em Transport Zones.
2. Clique duas vezes em RegionA0_TZ.
Uma zona de transporte define a extenso de um switch lgico. As zonas de transporte
definem quais clusters podem participar do uso de uma rede lgica em particular.
medida que voc adicionar novos clusters ao seu datacenter, poder aumentar a zona
de transporte e, portanto, aumentar a extenso das redes lgicas. Uma vez que o
switch lgico estiver se estendendo por todos os clusters de computao, consegue-se
remover todas as barreiras de mobilidade que existiam antes por causa dos limites da
VLAN.

HOL-1703-SDC-1-PT

Page 22

HOL-1703-SDC-1-PT

Confirme os Clusters como membros da zona de


transporte local
Confirme se todos os trs clusters esto presentes na zona de transporte.
1. Clique na guia Manage para mostrar os clusters que fazem parte dessa zona de
transporte.

HOL-1703-SDC-1-PT

Page 23

HOL-1703-SDC-1-PT

A topologia aps a definio da zona de transporte


Depois de examinarmos os diferentes componentes NSX e a configurao relacionada
da VXLAN, agora percorreremos a criao de uma rede lgica, tambm conhecida como
switch lgico.

Volte para o menu Networking & Security


1. Clique no boto History back para voltar para a ltima janela; no seu caso, o
menu Networking & Security.
Se por acaso voc tiver clicado em outra opo depois de visualizar a zona de
transporte, volte para a seo Networking & Security do Web Client por meio do menu
Home como feito nas etapas anteriores.

HOL-1703-SDC-1-PT

Page 24

HOL-1703-SDC-1-PT

Criar um novo switch lgico


1.
2.
3.
4.

Clique em Logical Switches no lado esquerdo.


Clique no cone "+" Verde para criar um novo switch lgico.
D ao switch lgico o nome: Prod_Logical_Switch.
Verifique se RegionA0_TZ est selecionado como a zona de transporte
Observao: o modo unicast deveria estar selecionado automaticamente.
5. Unicast deve ser selecionado automaticamente.
6. Deixe a caixa Enable IP Discovery marcada.
A funo IP Discovery ativa a supresso ARP.
A seleo da funo IP Discovery ativa a supresso ARP (Address Resolution Protocol). O
ARP usado para determinar o endereo MAC (Media Access Controle) de destino de
um endereo IP por meio do envio de um broadcast em um segmento de camada 2. Se
o host ESXi com o NSX Virtual Switch receber trfego ARP de uma VM (Mquina Virtual)
ou de uma solicitao Ethernet, o host enviar a solicitao para o NSX Controller que
possui uma tabela ARP. Se a instncia do NSX Controller j tiver as informaes em sua
tabela ARP, elas sero retornadas ao host que responder mquina virtual.
7.

Clique em OK.

Anexe o novo switch lgico ao NSX Edge Services Gateway


para acesso externo
1. Destaque o switch lgico recm-criado.

HOL-1703-SDC-1-PT

Page 25

HOL-1703-SDC-1-PT

2. Clique com o boto direito do mouse em Prod_Logical_Switch e selecione


Connect NSX Edge.

HOL-1703-SDC-1-PT

Page 26

HOL-1703-SDC-1-PT

Conectar o switch lgico ao NSX Edge


O roteamento ser descrito em mais detalhes no prximo mdulo, mas, para obter
conectividade da nossa VM do console principal e/ou outras VMs em nosso laboratrio,
para as VMs em nosso novo switch lgico, precisaremos conect-las ao roteador. Como
mencionado na seo de componentes, o NSX Edge poder ser instalado de duas
formas diferentes: Roteador distribudo e Gateway de permetro.
O Edge Services Gateway chamado de "Perimeter-Gateway" oferece servios de
rede como DHCP, NAT, balanceador de carga, firewall e VPN, alm do recurso de
roteamento dinmico.
O "Distributed-Router" suporta roteamento distribudo e roteamento dinmico.
Neste exemplo, voc conectar o switch lgico ao NSX Edge Services Gateway
(Perimeter-Gateway).
1. Clique no boto de opo ao lado de Perimeter-Gateway.
2. Clique em Next.

Conectar o switch lgico ao NSX Edge


1. Clique no boto de opo ao lado de vnic7.

HOL-1703-SDC-1-PT

Page 27

HOL-1703-SDC-1-PT

2. Clique em Next.

D um nome Interface e configure o seu endereo IP


1. Nome da interface: Prod_Interface.
2. Selecione Connected.
3. Clique no sinal "+" para Configure subnets (deixe as outras configuraes
como esto)

HOL-1703-SDC-1-PT

Page 28

HOL-1703-SDC-1-PT

Atribuir um IP interface
1. Digite o endereo IP primrio 172.16.40.1 (deixe o endereo IP secundrio em
branco)
2. Digite 24 em Subnet Prefix Length.
3. Verifique se as configuraes esto corretas e clique em Next.

HOL-1703-SDC-1-PT

Page 29

HOL-1703-SDC-1-PT

Concluir o processo de edio da interface


1. Clique em Finish (voc ver o novo switch lgico mostrado na lista de switches
lgicos)

HOL-1703-SDC-1-PT

Page 30

HOL-1703-SDC-1-PT

A topologia aps a conexo de Prod_Logical_Switch ao NSX


Edge Services Gateway
Depois de configurar o switch lgico e de conceder acesso rede externa, ser o
momento de conectar as mquinas virtuais do aplicativo Web a esta rede.

HOL-1703-SDC-1-PT

Page 31

HOL-1703-SDC-1-PT

Acesse Hosts and Clusters


1. Clique no boto Home.
2. Clique em Hosts and Clusters.

HOL-1703-SDC-1-PT

Page 32

HOL-1703-SDC-1-PT

Conectar as VMs ao vDS


Para poder adicionar as VMs ao switch lgico que criamos, precisamos garantir que o
adaptador de rede das VMs esteja habilitado e conectado ao vDS correto.
1.
2.
3.
4.
5.
6.

Clique no boto Hosts & Clusters.


Expanda o twisty em RegionA01-COMP01.
Selecione Web-03a.
Selecione Manage.
Selecione Settings.
Selecione Edit.

HOL-1703-SDC-1-PT

Page 33

HOL-1703-SDC-1-PT

Conectar e ativar a interface de rede


1.
2.
3.
4.

Ao lado de Network Adaptor, clique no menu suspenso de interfaces.


Selecione VM-RegionA01-vDS-COMP (RegionA01-vDS-COMP)
Marque a caixa Connected ao lado dele.
Clique em OK.

Repita as mesmas etapas para Web-04a, que voc pode encontrar no cluster
RegionA01-COMP2.

HOL-1703-SDC-1-PT

Page 34

HOL-1703-SDC-1-PT

Anexe web-03a and web-04a ao Prod_Logical_Switch


recm-criado
1. Clique no boto home.

Voltar para Network Security


1. Clique em Networking & Security.

Selecione Logical Switches


1. Selecione a guia Logical Switches.

HOL-1703-SDC-1-PT

Page 35

HOL-1703-SDC-1-PT

Adicionar as VMs
1. Clique para realar o novo switch lgico criado.
2. Clique com o boto direito do mouse e selecione o item de menu Add VM.

HOL-1703-SDC-1-PT

Page 36

HOL-1703-SDC-1-PT

Adicionar Mquinas Virtuais a serem anexadas ao novo


switch lgico
1. Informe um filtro para localizar as VMs cujos nomes comecem com "web".
2. Destaque as VMs web-03a e web-04a.
3. Clique na seta para a direita para selecionar as VMs a serem adicionadas
ao switch lgico.
4. Clique em Next.

HOL-1703-SDC-1-PT

Page 37

HOL-1703-SDC-1-PT

Adicionar vNICs das VMs ao switch lgico


1. Selecione as vNiCs de duas VMs.
2. Clique em Next.

HOL-1703-SDC-1-PT

Page 38

HOL-1703-SDC-1-PT

Complete Add VMs to Logical Switch


1. Clique em Finish.

HOL-1703-SDC-1-PT

Page 39

HOL-1703-SDC-1-PT

Testaremos a conectividade entre Web-03a e Web-04a

Visualizao de hosts e clusters


1. Clique no boto Home.
2. Selecione Hosts and Clusters no menu suspenso.

HOL-1703-SDC-1-PT

Page 40

HOL-1703-SDC-1-PT

Expanda os clusters
Expanda as setas para ver as VMs que voc acabou de adicionar ao switch
lgico. Observe que as duas VMs adicionadas esto em clusters de
processamento diferentes.

HOL-1703-SDC-1-PT

Page 41

HOL-1703-SDC-1-PT

Abra o Putty
1. Clique em Iniciar.
2. Clique no cone do aplicativo Putty no Menu Start.
Voc est se conectando do MainConsole, que est na subnet 192.168.110.0/24. O
trfego passar pelo NSX Edge e ento pela Interface da Web.

HOL-1703-SDC-1-PT

Page 42

HOL-1703-SDC-1-PT

Abra uma sesso SSH para web-03a


1. Selecione web-03a.corp.local.
2. Clique em Open.
**Observao - se web-3a no for mostrando como uma opo por algum motivo, voc
tambm poder tentar colocar o endereo IP 172.16.40.11 na caixa Host Name.

HOL-1703-SDC-1-PT

Page 43

HOL-1703-SDC-1-PT

Fazer login na VM
Se solicitado, clique em Yes para aceitar a chave de host do servidor.
Se voc fizer login automaticamente, faa login como o usurio root e use a
senha VMware1!
Observao: se voc tiver dificuldade de se conectar a web-03a, revise suas etapas
anteriores e verifique se elas foram concludas corretamente.

HOL-1703-SDC-1-PT

Page 44

HOL-1703-SDC-1-PT

Faa ping no web server web-sv-04a para mostrar a


conectividade da camada 2
Lembre-se de usar a opo SEND TEXT para enviar este comando para o
console. (Consulte a Orientao de laboratrio)
Insira ping -c 2 web-04a para enviar somente 2 pings em vez de um ping contnuo.
OBSERVAO: web-04a tem o IP 172.16.40.12, voc poder fazer ping por IP em vez de
por nome, se necessrio.
ping -c 2

web-04a

***Observe que talvez voc veja pacotes duplicados. Isso se deve natureza do
ambiente de laboratrio da VMware que est sendo tambm virtualizado. Isso no
acontecer em um ambiente de produo.
****No feche sua sesso do Putty. Minimize a janela para uso posterior.

HOL-1703-SDC-1-PT

Page 45

HOL-1703-SDC-1-PT

Escalabilidade/disponibilidade
Nesta seo, voc examinar o dimensionamento e a disponibilidade dos Controllers. O
cluster de controllers na plataforma NSX o componente da camada de controle
responsvel pelo gerenciamento dos mdulos de switch e de roteamento nos
hypervisors. O cluster de controllers consiste em ns de controllers que gerenciam
switches lgicos especficos. O uso de um cluster de controllers no gerenciamento de
switches lgicas baseados em VXLAN elimina a necessidade de suporte multicast da
infraestrutura de rede fsica.
Para obter resilincia e desempenho, as implantaes de produo devem instalar um
cluster do controllers com vrios ns. O cluster do NSX controller representa um sistema
distribudo de dimensionamento horizontal(scale-out), onde cada N do controller
recebe um conjunto de funes que define o tipo de tarefas que o n poder
implementar. Os ns das controllers so implantados em nmeros mpares. A prtica
atual recomendada (e a nica configurao compatvel) que o clustertenha trs ns
de compartilhamento e redundncia de carga ativo-ativo-ativo.
Para aumentar as caractersticas de escalabilidade da arquitetura NSX, um mecanismo
de "fatiamento" utilizado para garantir que todos os ns das controlllers possam estar
ativos em um determinado momento.
Caso algum controller falhe, o trfego do plano de dados (VM) no ser afetado. O
trfego continuar fluindo. isso acontece porque as informaes da rede lgica foram
enviadas por push para os switches lgicos (o plano de dados). O que voc no pode
fazer adicionar/mover/alterar sem que a camada de controle (cluster do controller)
esteja intacto.

HOL-1703-SDC-1-PT

Page 46

HOL-1703-SDC-1-PT

Escalabilidade/Disponibilidade do NSX Controller


1. Passe o mouse sobre o cone Home.
2. Clique em Networking & Security.

HOL-1703-SDC-1-PT

Page 47

HOL-1703-SDC-1-PT

Verificar a configurao do controller existente


1. Clique em Installation.
2. Clique em Management.
Examine os ns do NSX Controller, onde ser possvel ver se h trs controllers
implantados. Os NSX Controllers so sempre implantados em nmeros mpares para
obteno de alta disponibilidade e dimensionamento.

HOL-1703-SDC-1-PT

Page 48

HOL-1703-SDC-1-PT

Visualize as VMs do NSX Controller


Para ver os NSX Controllers no ambiente virtual
1. Passe o mouse sobre ocone Home.
2. Clique em VMs and Templates.

HOL-1703-SDC-1-PT

Page 49

HOL-1703-SDC-1-PT

Voc ver os 3 NSX Controllers


1. Expanda o continer "RegioA01"
2. Destaque um dos NSX_Controllers
3. Selecione a guia Summary.
Observe o host ESX ao qual este controlador est conectado. Os outros controladores
podem estar em um host ESX diferente neste ambiente de laboratrio. Em um ambiente
de produo, cada controlador residiria em um host diferente no cluster com regras
antiafinidade do DRS definidas para evitar vrias falhas de controller devido
interrupo de um nico host.

HOL-1703-SDC-1-PT

Page 50

HOL-1703-SDC-1-PT

Concluso do Mdulo 2
Neste mdulo, demonstramos os principais benefcios da plataforma NSX.
A velocidade na qual voc pode aprovisionar switches lgicos e fazer a interface deles
com mquinas virtuais e redes externas.
A escalabilidade da plataforma demonstrada pela capacidade de aumentar a zona de
transporte bem com os ns dos controllers

Voc terminou o Mdulo 2


Parabns por concluir o Mdulo 2.
Se voc estiver procurando por informaes adicionais sobre switches lgicos, visite o
URL abaixo:
Acesse http://tinyurl.com/h8rx5vr
Continue em qualquer mdulo abaixo que seja do seu interesse:
Lista de mdulos de laboratrio:
Mdulo 1 - Passo a passo da instalao (30 minutos) - Bsico - este mdulo
acompanhar voc por uma instalao bsica do NSX, incluindo a implantao do
.ova, a configurao do NSX Manager, a implantao de controladores e a
preparao de hosts.
Mdulo 2 - Switch lgico (30 minutos) - Bsico - este mdulo acompanhar
voc pelas noes bsicas da criao de switches lgicos e da anexao de
mquinas virtuais a switches lgicos.
Mdulo 3 - Roteamento lgico (60 minutos) - Bsico - este mdulo nos
ajudar a compreender alguns dos recursos de roteamento com suporte na
plataforma NSX e tambm como utilizar esses recursos durante a implantao de
um aplicativo de trs camadas.
Mdulo 4 - Edge Services Gateway (ESG) (60 minutos) - Bsico - este mdulo
demonstrar os recursos do Edge Services Gateway e como ele pode oferecer
servios comuns, como DHCP, VPN, NAT, roteamento dinmico e balanceamento
de carga.
Mdulo 5 - Bridge fsico virtual (30 minutos) - Bsico - este mdulo nos guiar
pela configurao de uma instncia de bridge L2 entre uma VLAN tradicional e
um switch lgico NSX. Tambm haver uma demonstrao off-line da integrao
do NSX com switches compatveis com VXLAN de hardware Arista.
Mdulo 6 - Firewall distribudo (45 minutos) - Bsico - este mdulo abordar o
firewall distribudo e a criao de regras de firewall entre um aplicativo de trs
camadas.

HOL-1703-SDC-1-PT

Page 51

HOL-1703-SDC-1-PT

Chefes do laboratrio:
Mdulo
Unido
Mdulo
Mdulo
Mdulo
Mdulo
Mdulo

1 - Michael Armstrong, engenheiro de sistemas snior, Reino


2
3
4
5
6

Mostafa Magdy, engenheiro de sistemas snior, Canad


Aaron Ramirez, engenheiro de sistemas da equipe, EUA
Chris Cousins, engenheiro de sistemas, EUA
Aaron Ramirez, engenheiro de sistemas da equipe, EUA
Brian Wilson, engenheiro de sistemas da equipe, EUA

Como encerrar o laboratrio


Para encerrar o laboratrio, clique no boto END.

HOL-1703-SDC-1-PT

Page 52

HOL-1703-SDC-1-PT

Mdulo 3 - Roteamento
lgico (60 minutos)

HOL-1703-SDC-1-PT

Page 53

HOL-1703-SDC-1-PT

Viso geral de roteamento


Viso geral do mdulo de laboratrio
No mdulo anterior, voc viu que os usurios podem criar switches/redes lgicos
isolados com apenas alguns cliques. Para fornecer comunicao entre essas redes
lgicasisoladasde camada 2, o suporte de roteamento essencial. Na plataforma NSX, o
roteador lgico distribudo permite que voc roteie o trfego entre os switches lgicos.
Um dos principais recursos de diferenciao desse roteador lgico que a capacidade
de roteamento distribuda no hypervisor. Ao incorporarem esse componente de
roteamento lgico, os usurios podero reproduzir topologias de roteamento complexas
no espao lgico. Por exemplo, em um aplicativo de 3 camadas conectado a trs
switches lgicos, o roteamento entre as camadas tratado por esse roteador lgico
distribudo.
Neste mdulo, voc demonstrar o seguinte
1) Como o trfego flui quando o roteamento tratado por um roteador fsico externo ou
um NSX Edge Services Gateway.
2) Em seguida, percorreremos a configurao das Interfaces lgicas (LIFs) no roteador
lgico e ativaremos o roteamento entre as camadas de aplicativo e de banco de dados
do Aplicativo
3) Posteriormente, configuraremos protocolos de roteamento dinmico entre o roteador
lgico distribudo e o NSX Edge Services Gateway. Mostraremos como so controladas
as divulgaes de rotas internas para o roteador externo.
4) Por fim, ns veremos como os diversos protocolos de roteamento, como o ECMP
(Equal Cost Multipath Routing), podem ser usados para escalar e proteger o gateway de
servios do Edge.
Este mdulo nos ajudar a compreender alguns dos recursos de roteamento com
suporte na plataforma NSX e tambm como utilizar esses recursos durante a
implantao de um aplicativo de 3 camadas.

Instrues especiais para comandos da CLI


Em muitos dos mdulos, voc dever inserir comandos de linha na console (CLI,
Command Line Interface). H duas maneiras de enviar comandos da CLI para o
laboratrio.
A primeira enviar um comando da CLI para o console do laboratrio:
1. Destaque o comando da CLI no manual e use Control+c para copiar para a
rea de transferncia.

HOL-1703-SDC-1-PT

Page 54

HOL-1703-SDC-1-PT

2. Clique no item de menu do console SEND TEXT.


3. Pressione Control+v para colar da rea de transferncia para a janela.
4. Clique no boto SEND.
Na segunda, um arquivo de texto (README.txt) foi colocado na rea de trabalho do
ambiente, permitindo que voc copie e cole com facilidade comandos ou senhas
complexos nos utilitrios associados (CMD, Putty, console etc). Com frequncia,
determinados caracteres no esto presentes em teclados usados globalmente. Este
arquivo de texto tambm includo para layouts de teclado que no oferecem esses
caracteres.
O arquivo de texto chama-se README.txt e pode ser encontrado na rea de trabalho.

HOL-1703-SDC-1-PT

Page 55

HOL-1703-SDC-1-PT

Roteamento dinmico e distribudo


Primeiro, examine a configurao do roteamento distribudo e veja os benefcios do
roteamento no nvel do kernel.

HOL-1703-SDC-1-PT

Page 56

HOL-1703-SDC-1-PT

Uma viso da topologia atual e do fluxo de pacotes


Na imagem acima, observe que a VM do aplicativo e a VM do banco de dados residem
no mesmo host fsico, que o cenrio do laboratrio. Sem o roteamento distribudo,
para que essas duas VMs se comuniquem, podemos ver o fluxo do trfego apontado
pela seta vermelha nas etapas acima. Primeiro, vemos o trfego deixar a VM do
aplicativo e, como a VM do banco de dados no est na mesma subnet, o host fsico
enviar esse trfego para um dispositivo de camada 3. No ambiente, esse o NSX
Edge (permetro) que reside no Cluster de gerenciamento. Em seguida, o NSX Edge
envia o trfego de volta para o host onde ele finalmente atinge a VM do banco de
dados.
No final do laboratrio, ns visitaremos novamente um diagrama de fluxo de trfego
semelhante para vermos como alteramos esse comportamento aps a configurao do
roteamento distribudo.

HOL-1703-SDC-1-PT

Page 57

HOL-1703-SDC-1-PT

Acessar o vSphere Web Client


Abra o vSphere Web Client por meio do cone na rea de trabalho chamado
Google Chrome.

Fazer login no vSphere Web Client


Faa login no vSphere Web Client usando a autenticao de sesso do Windows.
1. Clique em Use Windows session authentication - isso preencher
automaticamente com as credenciais CORP\Administrator / VMware1!
2. Clique em Login

Confirme o funcionamento do aplicativo de camada 3


1. Abra uma nova guia do navegador
2. Clique no favorito chamado Customer DB App

Aplicativo Web retornando informaes do banco de dados


Antes de voc comear a configurar o Roteamento distribudo, vamos verificar se o
aplicativo Web de 3 camadas est funcionando corretamente. As trs camadas do
aplicativo (Web, aplicativo e banco de dados) esto em switches lgicos diferentes e o
NSX Edge fornece o roteamento entre as camadas.

HOL-1703-SDC-1-PT

Page 58

HOL-1703-SDC-1-PT

O servidor Web retornar uma pgina Web com as informaes do cliente


armazenadas no banco de dados.

HOL-1703-SDC-1-PT

Page 59

HOL-1703-SDC-1-PT

Remoo das interfaces do aplicativo e do banco de dados


do Edge de permetro.
Como voc viu na topologia anterior, os trs switches lgicos ou as 3 camadas do
aplicativo so terminados no Edge de permetro. O Edge de permetro fornece o
roteamento entre as 3 camadas. Vamos alterar essa topologia; primeiro remova as
interfaces do aplicativo e do banco de dados do Edge de permetro. Depois de
excluirmos as interfaces, as moveremos para o permetro distribudo. Para economizar
tempo de implantao de um componente, o roteador distribudo foi criado para voc.
Volte para a guia vSphere Web Client:
1. Clique no boto Networking & Security

HOL-1703-SDC-1-PT

Page 60

HOL-1703-SDC-1-PT

Selecione o NSX Edge


1. Clique em NSX Edges no painel de navegao esquerdo
2. Clique duas vezes em "edge-3 Perimeter-Gateway-01" para abrir a
configurao do Perimeter-Gateway

HOL-1703-SDC-1-PT

Page 61

HOL-1703-SDC-1-PT

Selecione interfaces na guia Settings para exibir as


interfaces atuais
1. Clique na guia Manage
2. Clique em Settings
3. Clique em Interfaces no painel de navegao Settings
Voc ver as interfaces atualmente configuradas e as propriedades delas. As
informaes incluem o nmero vNIC, o nome da interface, se a interface foi configurada
como interna ou como um uplink e qual o status atual, ativo ou desativado.

HOL-1703-SDC-1-PT

Page 62

HOL-1703-SDC-1-PT

Exclua a interface do aplicativo


1. Destaque a interface App_Tier. A barra Actions ser iluminada, oferecendo
opes especficas para a interface selecionada
2. Clique no X vermelho para excluir a interface selecionada do Edge de permetro.
Aparecer uma caixa de aviso solicitando a confirmao de que desejamos
excluir a interface
3. Clique em OK para confirmar a excluso

HOL-1703-SDC-1-PT

Page 63

HOL-1703-SDC-1-PT

Exclua a interface do banco de dados


1. Destaque a interface DB_Tier. A barra Actions ser iluminada, oferecendo
opes especficas para a interface selecionada
2. Clique no X vermelho para excluir a interface selecionada do permetro.
Aparecer uma caixa de aviso solicitando a confirmao de que desejamos
excluir a interface
3. Clique em OK para confirmar a excluso

HOL-1703-SDC-1-PT

Page 64

HOL-1703-SDC-1-PT

A topologia aps a remoo das interfaces do aplicativo e


do banco de dados do Edge de permetro

HOL-1703-SDC-1-PT

Page 65

HOL-1703-SDC-1-PT

Navegue de volta para a pgina inicial do NSX


Agora que voc removeu as interfaces do aplicativo e do banco de dados do Edge de
permetro, precisar navegar de volta para a tela do dispositivo de permetro para
acessar o permetro distribudo.
Clique no boto back de Networking & Security no canto superior esquerdo
para voltar tela principal Edge Services.

Adicione as interfaces do aplicativo e do banco de dados


ao roteador distribudo
Agora comearemos a configurar o roteamento distribudo ao adicionarmos a interface
do aplicativo e do banco de dados ao "roteador distribudo".
1. Clique duas vezes em edge-6 para configurar o roteador distribudo

Exiba as interfaces no roteador distribudo


1. Clique em Manage
2. Clique em Settings

HOL-1703-SDC-1-PT

Page 66

HOL-1703-SDC-1-PT

3. Clique em Interfaces para exibir todas as interfaces atualmente configuradas no


roteador distribudo

HOL-1703-SDC-1-PT

Page 67

HOL-1703-SDC-1-PT

Adicione as interfaces ao roteador distribudo


1. Clique no sinal "+" verde para adicionar uma nova interface
2. Nomeie a interface como App_Tier
3. Clique em Select na seo Connected To

HOL-1703-SDC-1-PT

Page 68

HOL-1703-SDC-1-PT

Especifique a rede
1. Selecione o boto de opo App_Tier_Logical_Switch que ser a rede em que
esta interface se comunicar
2. Clique em OK

HOL-1703-SDC-1-PT

Page 69

HOL-1703-SDC-1-PT

Adicione subnets
1.
2.
3.
4.

Clique no sinal "+" verde para Configure Subnets.


Clique na caixa Primary IP Address e digite 172.16.20.1 como o endereo IP
Digite 24 como o Subnet Prefix Length
Em seguida, clique em OK para concluir a adio da sub-rede

HOL-1703-SDC-1-PT

Page 70

HOL-1703-SDC-1-PT

Adicione a interface do banco de dados


Conclua as mesmas etapas das duas etapas anteriores para a interface da
camada de DB:
Nome DB_Tier
Conectar-se ao DB_Tier_Logical_Switch
Endereo IP 172.16.30.1 e um comprimento ode prefixo de sub-rede de 24
Assim que o sistema concluir a adio e a configurao da interface DB. Verifique se as
interfaces App_Tier e DB_Tier correspondem imagem acima.

HOL-1703-SDC-1-PT

Page 71

HOL-1703-SDC-1-PT

A nova topologia aps a mudana das interfaces do


aplicativo e do banco de dados para o roteador distribudo
Aps a configurao dessas interfaces no roteador distribudo, as configuraes de
interface sero automaticamente enviadas por push para cada host no ambiente. A
partir da, no Roteamento distribudo (DR) do host, o mdulo carregvel do Kernel
tratar o roteamento entre as interfaces do aplicativo e do banco de dados. Assim, se
duas VMs conectadas a duas subnets diferentes estiverem em execuo no mesmo host
com o qual querem se comunicar, o trfego utilizar um caminho ideal como mostrado
no diagrama de fluxo de trfego anterior.

Volte para a guia do navegador com o aplicativo Web de 3


camadas
Depois de fazer as alteraes, voc testar se o acesso ao aplicativo de 3 camadas
falha. O motivo da falha que enquanto configuramos o roteamento a ser tratado pelo
roteador distribudo, no h uma rota entre ele e o local onde os Servidores Web esto
localizados.
Clique na guia aberta anteriormente, HOL - Multi-Tier App

HOL-1703-SDC-1-PT

Page 72

HOL-1703-SDC-1-PT

Observao: caso voc tenha fechado a guia nas etapas anteriores, abra uma nova
guia do navegador e clique no bookmark favorito Customer DB App

Verifique se o aplicativo de trs camadas para de


funcionar
1. Clique em Refresh
O aplicativo levar alguns segundos para realmente atingir o tempo limite, talvez seja
necessrio selecionar o "x" vermelho para parar o navegador. Se voc realmente
observar os dados do cliente, talvez eles tenham sido obtidos do cache anteriormente e
talvez seja necessrio fechar e reabrir o navegador para corrig-los.
Feche a guia criada para testar a conectividade ao servidor Web. Em seguida, vamos
configurar o roteamento para restaurar o servio.
Observao: se voc tiver de reabrir o navegador, depois de verificar que o
aplicativo de 3 camadas no est funcionando, clique no marcador para o
vSphere Web Client no navegador e faa login novamente com as credenciais
"root" e senha "VMware1!". Em seguida, clique em Networking and Security,
Edge Appliances e, por fim, clique duas vezes em "Distributed-Router".

Configure o roteamento dinmico no roteador distribudo


Volte para a guia vSphere Web Client.
1. Clique na guia Routing
2. Clique em Global Configuration

HOL-1703-SDC-1-PT

Page 73

HOL-1703-SDC-1-PT

3. Clique no boto Edit ao lado de Dynamic Routing Configuration

HOL-1703-SDC-1-PT

Page 74

HOL-1703-SDC-1-PT

Edite a configurao do roteamento dinmico


1. Selecione a ID do roteador padro, que o endereo IP da interface Uplink, nesse
caso, Transit_Network_01 - 192.168.5.2
2. Clique em OK

Observao: o ID do roteador importante na operao do OSPF, j que indica


a identidade dos roteadores em um sistema autnomo. um identificador de
32 bits indicado como um endereo IP, mas pode ser especfico de subnets
relativas ao roteador especfico. Em nosso caso, estamos usando uma ID do
roteador igual ao endereo IP da interface de uplink no dispositivo de
permetro, o que aceitvel, porm desnecessrio. A tela voltar para a tela
principal "Global Configuration e a caixa de dilogo verde "Publish Changes" aparecer
novamente.

Publicar as alteraes
1. Clique no boto Publish Changes na caixa de dilogo novamente para enviar
por push a configurao atualizada para o dispositivo de permetro distribudo.

HOL-1703-SDC-1-PT

Page 75

HOL-1703-SDC-1-PT

Configure os parmetros especficos do OSPF


Usaremos o OSPF como o nosso protocolo de roteamento dinmico.
1. Selecione OSPF na rvore de navegao em Routing para abrir a pgina principal
de configurao do OSPF
2. Clique em Edit direita de OSPF Configuration para abrir a caixa de dilogo
OSPF Configuration

HOL-1703-SDC-1-PT

Page 76

HOL-1703-SDC-1-PT

Ative o OSPF
1.
2.
3.
4.
5.

Clique na caixa de dilogo Enable OSPF


Digite 192.168.5.3 na caixa Protocol Address
Digite 192.168.5.2 na caixa Forwarding Address
Verifique se a caixa de dilogo Enable Graceful Restart est marcada
Em seguida, clique em OK

Observao: para o roteador distribudo, o campo "Protocol Address" ser obrigatrio


para o envio do trfego de controle para a Mquina Virtual de controle do roteador
distribudo. O endereo de encaminhamento para onde todo o trfego do plano de
dados ser enviado. A tela voltar para a janela de configurao principal do "OSPF". A
caixa de dilogo verde "Publish Changes" ser exibida.
Observao: a separao do trfego da camada de controle e do plano de dados no
NSX cria a possibilidade da manuteno do recurso de encaminhamento de dados da
instncia de roteamento enquanto a funo de controle reiniciada ou recarregada.
Essa funo chamada de "Graceful Restart" ou de "Non-stop Forwarding".
NO PUBLIQUE AS ALTERAES AINDA!Em vez de publicar alteraes em todas as
etapas, continuaremos a percorrer as alteraes de configurao e as publicaremos
todas de uma vez.

Configurar a definio de rea


1. Clique no sinal "+" verde para abrir a caixa de dilogo New Area Definition
2. Digite 10 na caixa Area ID. Voc pode deixar as outras caixas de dilogo com as
configuraes padro
3. Clique em OK

HOL-1703-SDC-1-PT

Page 77

HOL-1703-SDC-1-PT

Observao: o ID da rea para o OSPF muito importante. Existem vrios


tipos de reas OSPF. Verifique a rea correta em que os dispositivos de
permetro devem estar para que funcionem corretamente com o resto da
configurao na rede.

HOL-1703-SDC-1-PT

Page 78

HOL-1703-SDC-1-PT

Mapeamento de rea para interface


1. Clique no sinal de mais verde na rea "Area to Interface Mapping" para abrir a
caixa de dilogo "New Area to Interface Mapping"
2. Selecione Transit_Network_01 como interface
3. Selecione 10 como a Area
4. Clique em OK

Publicar as alteraes
1. Clique no boto Publish Changes na caixa de dilogo novamente para enviar
por push a configurao atualizada para o dispositivo de permetro distribudo.

HOL-1703-SDC-1-PT

Page 79

HOL-1703-SDC-1-PT

Confirme se o roteamento OSPF est rodando no roteador


distribudo
Agora podemos confirmar que ativamos e configuramos o OSPF no permetro distribudo
Confirme se todas as informaes exibidas esto corretas.

Confirme a redistribuio de rota


Clique em Route Redistribution para abrir a pgina de configurao principal
da redistribuio de rota.

HOL-1703-SDC-1-PT

Page 80

HOL-1703-SDC-1-PT

Verifique a redistribuio de rota


Verifique se a caixa est selecioada ao lado do OSPF. Isso mostra que a
redistribuio de rota para OSPF est ativada.

Adicionar BGP tabela de redistribuio de rotas OSPF


1.
2.
3.
4.

Clique em OSPF da tabela Route Redistribution


Clique no cone de lpis para editar as configuraes de OSPF
Marque a caixa de BGP na lista Allow learning from
Clique em OK

HOL-1703-SDC-1-PT

Page 81

HOL-1703-SDC-1-PT

Publicar as alteraes
1. Clique no boto Publish Changes na caixa de dilogo novamente para enviar
por push a configurao atualizada para o dispositivo de permetro distribudo.

Configure o roteamento OSPF no Edge de permetro


Agora devemos configurar o roteamento dinmico no dispositivo Edge de permetro
para restaurar a conectividade para o nosso aplicativo de 3 camadas de teste.
Clicar no boto back de Networking & Security no canto superior esquerdo nos
leva de volta pgina EdgeServices.

HOL-1703-SDC-1-PT

Page 82

HOL-1703-SDC-1-PT

Selecione o Edge de permetro


Os nossos dispositivos de permetro configurados so exibidos na pgina principal NSX
Edges.
Clique duas vezes em Edge-3 (Perimeter-Gateway) para abrir novamente a
pgina de configurao principal desse dispositivo.

HOL-1703-SDC-1-PT

Page 83

HOL-1703-SDC-1-PT

Configurao global do Edge de permetro


1. Clique na guia de navegao Manage
2. Selecione o boto de navegao Routing para ir para a pgina de configurao
de roteamento do dispositivo
3. Clique em OSPF
4. Clique em Edit direita de OSPF Configuration para abrir a caixa de dilogo
OSPF Configuration
Voc observar que esse dispositivo Edge j foi configurado para roteamento dinmico
com BGP. Essa configurao de roteamento definida de forma que esse dispositivo
Edge possa comunicar e distribuir rotas para o roteador que esteja executando o
laboratrio geral. Agora prosseguiremos ao conectarmos esse dispositivo Edge ao
roteador distribudo lgico. Todas as configuraes globais de roteador e BGP j foram
concludas para o dispositivo Edge.

Ative o OSPF
1. Clique na caixa de dilogo Enable OSPF

HOL-1703-SDC-1-PT

Page 84

HOL-1703-SDC-1-PT

2. Verifique se a caixa de dilogo Enable Graceful Restart est marcada


3. Em seguida, clique em OK

Configurar a definio de rea


1. Clique no sinal "+" verde para abrir a caixa de dilogo New Area Definition
2. Digite 10 na caixa Area ID. Voc pode deixar as outras caixas de dilogo com as
configuraes padro
3. Clique em OK.

Observao: o ID da rea para o OSPF muito importante. Existem vrios


tipos de reas OSPF. Verifique a rea correta em que os dispositivos de
permetro devem estar para que funcionem corretamente com o resto da
configurao na rede.

HOL-1703-SDC-1-PT

Page 85

HOL-1703-SDC-1-PT

Adicione a interface de trnsito ao mapeamento de rea


para interface
Agora s precisamos direcionar o OSPF para a comunicao pela interface que se
comunicar com os roteadores distribudos.
1.
2.
3.
4.

Clique no sinal "+" verde ao lado de Area to Interface Mapping


Selecione Transit_Network_01 em vNIC
Selecione 10 em Area
Clique em OK

Publicar as alteraes
1. Clique no boto Publish Changes na caixa de dilogo novamente para enviar
por push a configurao atualizada para o dispositivo de permetro distribudo.

HOL-1703-SDC-1-PT

Page 86

HOL-1703-SDC-1-PT

Confirme se o roteamento OSPF est rodando no Edge de


permetro
Agora podemos confirmar que ativamos e configuramos o OSPF no perimeter-edge.
Confirme se todas as informaes exibidas esto corretas.

Configurar a redistribuio de rota


1. Clique em Route Redistribution para abrir a pgina de configurao principal
da redistribuio de rota.
2. Clique em Edit direita de Route Redistribution Status para abrir a caixa de
dilogo Change redistribution settings

HOL-1703-SDC-1-PT

Page 87

HOL-1703-SDC-1-PT

Alterar as configuraes de redistribuio


1. Clique na caixa de dilogo OSPF
2. Verifique se a caixa de dilogo BGP est marcada
3. Clique em OK
Observao: O BGP o protocolo de roteamento usado entre o Perimeter-Gateway-01
e o roteador vPod.

Editar os critrios de redistribuio de BGP


1.
2.
3.
4.

Destaque BGP na tabela Route Redistribution em Learner


Clique no cone de lpis para editar o Learner selecionado do permetro.
Clique na caixa de dilogo OSPF
Clique em OK

Configurar a redistribuio de rota OSPF


1. Clique no sinal "+" verde na tabela Route Redistribution
2. Selecione OSPF como Learner Protocol
3. Clique na caixa de dilogo BGP

HOL-1703-SDC-1-PT

Page 88

HOL-1703-SDC-1-PT

4. Clique na caixa de dilogo Connected


5. Clique em OK

Publicar as alteraes
1. Clique no boto Publish Changes na caixa de dilogo novamente para enviar
por push a configurao atualizada para o dispositivo de permetro distribudo.

HOL-1703-SDC-1-PT

Page 89

HOL-1703-SDC-1-PT

Revise a nova topologia


Examinando a configurao da topologia, voc pode ver como est ocorrendo o peering
de rota entre o roteador distribudo e o dispositivo Edge de permetro do NSX. Todas as
redes criadas sob o roteador distribudo agora sero distribudas at o permetro e,
nesse ponto, voc poder controlar a forma como ela roteado para a sua rede fsica.
A prxima seo abordar isso em mais detalhes.

Verifique a comunicao com o aplicativo de trs camadas


Agora vamos verificar se o roteamento est funcionando. As informaes de
roteamento do roteador distribudo para o Perimeter-Gateway esto sendo trocadas, o
que restaurou a conectividade ao aplicativo Web. Para verificar isso, testaremos
novamente o aplicativo Web.
1. Clique na guia que voc tinha aberto anteriormente para o aplicativo Web, que
talvez diga "503 Service Temp..." na guia do teste que falhou.
2. Atualize seu navegador para verificar se o aplicativo de 3 camadas funciona
novamente

HOL-1703-SDC-1-PT

Page 90

HOL-1703-SDC-1-PT

Observao: A propagao da rota pode levar um pouco por causa deste ambiente
virtualizado estar em outro virtualizado.

Roteamento distribudo e dinmico concludo


Isso conclui a seo sobre a configurao do roteamento dinmico e distribudo. Na
prxima seo, revisaremos o roteamento centralizado com o Edge de permetro.

HOL-1703-SDC-1-PT

Page 91

HOL-1703-SDC-1-PT

Roteamento centralizado
Nesta seo, examinaremos diversos elementos para vermos como o roteamento feito
em direo a sada a partir do permetro. Isso inclui a forma como o roteamento
dinmico OSPF controlado, atualizado e propagado pelo sistema. Verificaremos o
roteamento no appliance Edge de permetro at o appliance de roteamento virtual que
executa e roteia o laboratrio inteiro.
Observao especial: na rea de trabalho, voc encontrar um arquivo
chamado README.txt. Ele contm os comandos da CLI necessrios nos
exerccios do laboratrio. Se voc no conseguir digit-los, poder copi-los e
col-los nas sesses do putty. Caso voc veja um nmero com "chaves - {1}"
isso dir a voc para procurar o comando da CLI para este mdulo no arquivo
de texto.

HOL-1703-SDC-1-PT

Page 92

HOL-1703-SDC-1-PT

Topologia atual do laboratrio


Este diagrama a topologia atual do laboratrio, incluindo o link em direo a sada at
o roteador vPod. Voc pode observar que o OSPF est redistribuindo rotas do roteador
NSX Edge at o roteador lgico distribudo.

Examine o roteamento OSPF no Perimeter-Gateway.


Primeiro, confirmaremos se o aplicativo Web est funcionando, ento nos conectaremos
ao gateway de permetro do NSX para visualizarmos os vizinhos OSPF e vermos a
distribuio de rotas existente. Isso mostrar como o gateway de permetro est
aprendendo as rotas no s do roteador distribudo, mas tambm do roteador vPod que
est executando o laboratrio inteiro.

HOL-1703-SDC-1-PT

Page 93

HOL-1703-SDC-1-PT

Confirme a funcionalidade de aplicativo de camada 3


1. Abra uma nova guia do navegador
2. Clique no favorito chamado Customer DB App

HOL-1703-SDC-1-PT

Page 94

HOL-1703-SDC-1-PT

Aplicativo Web retornando informaes do banco de dados


Antes de voc comear a configurar o Roteamento distribudo, vamos verificar se o
aplicativo Web de 3 camadas est funcionando corretamente. As trs camadas do
aplicativo (Web, aplicativo e banco de dados) esto em switches lgicos diferentes e o
NSX Edge fornece o roteamento entre as camadas.
O servidor Web retornar uma pgina Web com as informaes do cliente
armazenadas no banco de dados.

HOL-1703-SDC-1-PT

Page 95

HOL-1703-SDC-1-PT

Navegue at a VM do Perimeter-Gateway
Selecione VMs and Templates

HOL-1703-SDC-1-PT

Page 96

HOL-1703-SDC-1-PT

Iniciar o console remoto


1.
2.
3.
4.

Expanda a pasta RegionalA01


Selecione Perimeter-Gateway-01-0
Selecione a guia Summary
Clique em Launch Remote Console

HOL-1703-SDC-1-PT

Page 97

HOL-1703-SDC-1-PT

Acessar o console remoto


Quando a janela VMRC abrir pela primeira vez, ela estar preta. Clique dentro da janela
e pressione Enter algumas vezes para fazer o console aparecer do protetor de tela.
***OBSERVAO*** Para liberar seu cursor da janela, pressione as teclas
Ctrl+Alt

Fazer login no gateway de permetro


Faa login no gateway de permetro com as credenciais a seguir. Observe que todos os
dispositivos Edge tm senhas complexas de 12 caracteres.
Nome de usurio:admin
Senha: VMware1!VMware1!

HOL-1703-SDC-1-PT

Page 98

HOL-1703-SDC-1-PT

Instrues especiais para comandos da CLI


Em muitos dos mdulos, voc dever inserir comandos da interface de linha
de comando (CLI, Command Line Interface). H duas maneiras de enviar
comandos da CLI para o laboratrio.
A primeira enviar um comando da CLI para o console do laboratrio:
1. Destaque o comando da CLI no manual e use Control+c para copiar para
a rea de transferncia.
2. Clique no item de menu do console SEND TEXT.
3. Pressione Control+v para colar da rea de transferncia para a janela.
4. Clique no boto SEND.
Na segunda, um arquivo de texto (README.txt) foi colocado na rea de
trabalho do ambiente, permitindo que voc copie e cole com facilidade
comandos ou senhas complexos nos utilitrios associados (CMD, Putty,
console etc). Com frequncia, determinados caracteres no esto presentes
em teclados usados no mundo. Este arquivo de texto tambm includo para
layouts de teclado que no oferecem esses caracteres.
O arquivo de texto chama-se README.txt e pode ser encontrado na rea de
trabalho.

Visualizar os vizinhos BGP


A primeira coisa que faremos examinar os vizinhos BGP at o Edge de permetro, que
est no meio da camada de roteamento do laboratrio.
OBSERVAO - a concluso da guia funciona em dispositivos Edge no NSX.

HOL-1703-SDC-1-PT

Page 99

HOL-1703-SDC-1-PT

Digite show ip bgp neighbor.


show ip bgp neighbor

Reviso das informaes sobre o vizinho BGP exibido


Agora, vamos revisar o contedo exibido e o seu significado.
1. BGP neighbor is 192.168.100.1 - a ID do roteador vPod dentro do ambiente
do NSX
2. Remote AS 65002 - mostra o nmero do sistema autnomo da rede externa do
roteador vPod
3. BGP state = Established, up - significa que a adjacncia do vizinho BGP est
completa e os roteadores BGP enviaro pacotes de atualizao para trocar
informaes de roteamento.

HOL-1703-SDC-1-PT

Page 100

HOL-1703-SDC-1-PT

Revise rotas no Edge de permetro e a origem delas


Digite show ip route
Pressione Enter
show ip route

Revise informaes sobre rota


Vamos revisar o contedo das rotas exibidas.
1. A primeira linha mostra a nossa rota default, que se origina no roteador vPod
(192.168.100.1) e o B no incio das linhas mostra que ela foi aprendida via BGP.
2. A linha 172.16.10.0/24 o switch lgico Web-Tier e sua interface. J que ele
est diretamente conectado ao Edge, h um C no incio da linha para demonstrar
isso.
3. A seo com um 3 compe as duas outras partes do nosso aplicativo Web, que
so os segmentos de rede para a camada do aplicativo e do banco de dados.
Como na linha 1, elas tm um O no incio da linha para denotar que foram
aprendidas via OSPF por meio do roteador distribudo (192.168.5.2).

Controle da distribuio de rotas BGP


Pode haver uma situao em que voc s desejar que as rotas BGP sejam distribudas
dentro do ambiente virtual, mas no para o ambiente fsico externo. Podemos controlar
essa distribuio de rotas com facilidade na interface do Edge.

HOL-1703-SDC-1-PT

Page 101

HOL-1703-SDC-1-PT

Navegue at o NSX no vSphere Web Client


**OBSERVAO** Voc precisa pressionar Ctrl+Alt para sair da janela VMRC do
Perimeter-Gateway
Volte ao vSphere Web Client
Clique no cone Home, ento selecione Networking and Security

Acesse o Perimeter-Gateway
1. Clique em NSX Edges
2. Clique duas vezes em edge-3

HOL-1703-SDC-1-PT

Page 102

HOL-1703-SDC-1-PT

Acesse a configurao do roteamento BGP


1. Selecione a guia Manage
2. Clique em Routing
3. Clique em BGP no painel esquerdo

Remover relacionamento de vizinhana BGP com o


roteador vPod
Agora, removeremos o mapeamento da rea BGP Local AS 65002. Ao fazermos isso, o
gateway de permetro e o roteador vPod no tero mais troca de rota.
1. Destaque o endereo IP do roteador vPod, 192.168.100.1, na seo Neighbors
2. Clique no X vermelho para excluir o relacionamento de vizinho selecionado.

HOL-1703-SDC-1-PT

Page 103

HOL-1703-SDC-1-PT

Confirme a excluso
Clique em Yes

Publicar a alterao
1. Clique no boto Publish Changes para enviar a alterao de configurao por
push.

Navegue at o VMRC do gateway de permetro


Selecione Perimeter-Gateway em sua barra de tarefas

Mostrar vizinhos BGP


**OBSERVAO** Assim que a janela aparecer, talvez seja necessrio clicar
dentro dela e pressionar a tecla Enter para fazer a tela aparecer
1. Digite show ip bgp neighbor e pressione Enter
show ip bgp neighbor

Voc ver que o roteador vPod (192.168.250.1) saiu da lista.

HOL-1703-SDC-1-PT

Page 104

HOL-1703-SDC-1-PT

Mostrar as rotas
1. Digite show ip route e pressione Enter
show ip route

Voc pode ver que as nicas rotas aprendidas via OSPF esto vindo do roteador
distribudo (192.168.5.2)

HOL-1703-SDC-1-PT

Page 105

HOL-1703-SDC-1-PT

Verifique se o aplicativo de trs camadas para de


funcionar
**OBSERVAO** Voc precisa pressionar Ctrl+Alt para sair da janela VMRC do
Perimeter-Gateway
Como no existem rotas entre o seu centro de controle e o ambiente de rede virtual, o
aplicativo Web dever falhar.
1. Clique na guia HOL - Multi-Tier App
2. Clique em Refresh.
O aplicativo poder levar alguns instantes para o timeout, talvez seja necessrio
selecionar o "x" vermelho para parar o navegador. Se voc observar os dados do
cliente, talvez eles tenham sido obtidos do cache anteriormente e talvez seja necessrio
fechar e reabrir o navegador para corrigi-los.

HOL-1703-SDC-1-PT

Page 106

HOL-1703-SDC-1-PT

Reestabelea o peering de rota


Agora vamos recriar o peering de rota entre o gateway de permetro e o roteador vPod.
Navegue de volta para o seu vSphere Web Client

HOL-1703-SDC-1-PT

Page 107

HOL-1703-SDC-1-PT

Adicionar novamente a configurao de vizinho BGP


1.
2.
3.
4.

Clique no cone "+" verde no painel Neighbors


Digite 192.168.100.1 em IP Address
Digite 65002 em Remote AS
Clique em OK

Publicar a alterao
1. Clique no boto Publish Changes para enviar a alterao de configurao por
push.

HOL-1703-SDC-1-PT

Page 108

HOL-1703-SDC-1-PT

Navegue at o VMRC do gateway de permetro


Selecione Perimeter-Gateway em sua barra de tarefas

Mostrar vizinhos BGP


**OBSERVAO** Assim que a janela aparecer, talvez seja necessrio clicar
dentro dela e pressionar a tecla Enter para fazer a tela aparecer
1. Digite show ip bgp neighbor e pressione Enter
show ip bgp neighbor

Voc ver que o roteador vPod (192.168.100.1) saiu da lista.

Revise rotas no Edge de permetro e a origem delas


Digite "show ip route"
show ip route

HOL-1703-SDC-1-PT

Page 109

HOL-1703-SDC-1-PT

Mostrar as rotas
A rota padro e a rede conectada do roteador vPod (192.168.100.1) voltaram para a
lista.

HOL-1703-SDC-1-PT

Page 110

HOL-1703-SDC-1-PT

Verifique se o aplicativo de trs camadas est funcionando


**OBSERVAO** Voc precisa pressionar Ctrl+Alt para sair da janela VMRC do
Perimeter-Gateway
Com as rotas novamente definidas, o aplicativo Web dever funcionar outra vez.
1. Clique na guia HOL - Multi-Tier App
2. Clique em Refresh.
Isso conclui esta seo do laboratrio e prosseguiremos para o ECMP e a alta
disponibilidade com os NSX Edges.

HOL-1703-SDC-1-PT

Page 111

HOL-1703-SDC-1-PT

ECMP e alta disponibilidade


Nesta seo, adicionaremos outro gateway de permetro rede e usaremos o ECMP
(Equal Cost Multipath Routing) para escalar horizontalmente a capacidade do Edge e
aumentar sua disponibilidade. Com o NSX, podemos executar uma adio de um
dispositivo Edge e ativar o ECMP.
O ECMP uma estratgia de roteamento que permite o encaminhamento de pacotes ao
prximo hop para um nico destino e pode ocorrer por vrios caminhos otimizados.
Esses caminhos otimizados podem ser adicionados estaticamente ou como resultado de
clculos de mtrica por protocolos de roteamento dinmico como OSPF ou BGP. O Edge
Services Gateway utiliza a implementao de pilha de rede do Linux, um algoritmo
round-robin com um componente de aleatoriedade. Depois que o prximo hop for
selecionado para um determinado par de endereos IP de origem e de destino, o cache
de rota armazena o prximo hop selecionado. Todos os pacotes para esse fluxo vo para
o prximo hop selecionado. O roteador lgico distribudo usa um algoritmo XOR para
determinar o prximo hop de uma lista de possveis prximos hops ECMP. Esse
algoritmo usa o endereo IP de origem e de destino no pacote de sada para que se
mantenha aleatoriedade na distribuio de pacotes.
Agora vamos configurar um novo gateway de permetro e estabelecer um cluster ECMP
entre os gateways de permetro para o roteador lgico distribudo para aproveitar a
capacidade e a disponibilidade aumentadas. Ns testaremos a disponibilidade
desligando um dos gateways de permetros e observando a alterao no caminho de
trfego.

HOL-1703-SDC-1-PT

Page 112

HOL-1703-SDC-1-PT

Navegue at o NSX no vSphere Web Client


**OBSERVAO** Voc precisa pressionar Ctrl+Alt para sair da janela VMRC do
Perimeter-Gateway
Volte ao vSphere Web Client.
1. Clique no cone Home
2. Clique em Networking & Security

HOL-1703-SDC-1-PT

Page 113

HOL-1703-SDC-1-PT

Adicione outro Edge de gateway de permetro


A nossa primeira etapa adicionar outro dispositivo Edge de permetro.
1. Clique em NSX Edges
2. Clique no sinal "+" verde

HOL-1703-SDC-1-PT

Page 114

HOL-1703-SDC-1-PT

Selecione e nomeie o Edge


1. Clique em Edge Services Gateway como Install Type
2. Digite Perimeter-Gateway-02 em Name
3. Clique em Next

Defina a senha
1.
2.
3.
4.

Insira a senha VMware1!VMware1!


Confirme a senha VMware1!VMware1!
Marque Enable SSH Access
Clique em Next

HOL-1703-SDC-1-PT

Page 115

HOL-1703-SDC-1-PT

OBSERVAO - todas as senhas de NSX Edges so senhas complexas de 12


caracteres.

HOL-1703-SDC-1-PT

Page 116

HOL-1703-SDC-1-PT

Adicione um appliance Edge


1. Clique no sinal "+" verde em NSX Appliances para fazer a caixa de dilogo Add
NSX Edge Appliance aparecer
2. Selecione RegionA01-MGMT01 como Cluster/Resource Pool
3. Selecione RegionA01-ISCSI01-MGMT01 como Datastore
4. Selecione esx-04a.corp.local como o host
5. Clique em OK

HOL-1703-SDC-1-PT

Page 117

HOL-1703-SDC-1-PT

Continue a implantao
1. Clique em Next

HOL-1703-SDC-1-PT

Page 118

HOL-1703-SDC-1-PT

Adicione a interface Uplink


1. Clique no sinal "+" verde para adicionar a primeira interface

HOL-1703-SDC-1-PT

Page 119

HOL-1703-SDC-1-PT

Selecione Switch Connected To


Ns escolhemos a interface do switch voltada para o norte para este permetro, que
um port group distribudas.
1.
2.
3.
4.

Clique em Select ao lado do campo Connected To


Clique em Distributed Portgroup
Selecione Uplink-RegionA01-vDS-MGMT
Clique em OK

Nomeie e adicione o IP
1.
2.
3.
4.

Insira Uplink em Name


Selecione Uplink em Type
Clique no sinal "+" verde
Digite 192.168.100.4 em Primary IP Address

HOL-1703-SDC-1-PT

Page 120

HOL-1703-SDC-1-PT

5. Insira 24 em Subnet Prefix Length


6. Clique em OK

HOL-1703-SDC-1-PT

Page 121

HOL-1703-SDC-1-PT

Adicione a interface Edge Transit


1. Clique no sinal "+" verde para adicionar a segunda interface

HOL-1703-SDC-1-PT

Page 122

HOL-1703-SDC-1-PT

Selecione Switch Connected To


Ns escolhemos a interface do switch voltada para o norte para este permetro, que
um switch lgico baseado em VXLAN.
1.
2.
3.
4.

Clique em Select ao lado do campo Connected To


Clique em Logical Switch
Selecione Transit_Network_01_5006
Clique em OK

Nomeie e adicione o IP
1. Insira Transit_Network_01 em Name
2. Selecione Internal em Type
3. Clique no sinal "+" verde

HOL-1703-SDC-1-PT

Page 123

HOL-1703-SDC-1-PT

4. Insira 192.168.5.4 em Primary IP Address


5. Insira 29 em Subnet Prefix Length
OBSERVAO - 29, no 24! Digite o nmero correto ou o laboratrio no
funcionar.
6. Clique em OK

HOL-1703-SDC-1-PT

Page 124

HOL-1703-SDC-1-PT

Continue a implantao
IMPORTANTE Antes de continuar, revise as informaes e se os nmeros de IP
Addresses e de Subnet Prefix esto corretos.
1. Clique em Next

Remova o gateway padro


Estamos removendo o gateway padro porque receberemos essa informao
via OSPF
1. DESMARQUE Configure Default gateway

HOL-1703-SDC-1-PT

Page 125

HOL-1703-SDC-1-PT

2. Clique em Next

HOL-1703-SDC-1-PT

Page 126

HOL-1703-SDC-1-PT

Configuraes padro de firewall


1. MARQUE Configure Firewall default policy
2. Selecione ACCEPT
3. Clique em Next

HOL-1703-SDC-1-PT

Page 127

HOL-1703-SDC-1-PT

Finalize a implantao
Clique em Finish para iniciar a implantao

Implantao do Edge
A implantao do Edge pode demorar alguns minutos.
1. Ns observaremos que o status do Edge-7 diz Busy e que tambm mostra 1
item installing. Isso significa que a implantao est em andamento.
2. Ns podemos clicar no cone de atualizao no cliente Web para acelerar a
atualizao automtica nessa tela.

HOL-1703-SDC-1-PT

Page 128

HOL-1703-SDC-1-PT

quando o status mostrar Deployed, voc poder seguir para a prxima etapa.
Observao: se o status do Edge-7 no puder ser visto, rolar at a janela direita
permitir que o status da implantao seja visualizado.

Configure o roteamento no novo Edge


Agora, voc deve configurar o OSPF no novo dispositivo Edge antes de podermos ativar
o ECMP.
1. Clique duas vezes no edge-7 recm-implantado

Configurao global de roteamento


Devemos definir a configurao base para identificarmos o roteador para a rede.
1.
2.
3.
4.
5.

Clique na guia Manage


Clique na guia Routing
Selecione Global Configuration no painel esquerdo
Clique em Edit ao lado de Dynamic Routing Configuration
Selecione Uplink -192.168.100.4 como Router ID

HOL-1703-SDC-1-PT

Page 129

HOL-1703-SDC-1-PT

6. Clique em OK

Publicar as alteraes
1. Clique no boto Publish Changes na caixa de dilogo novamente para enviar
por push a configurao atualizada para o dispositivo de permetro distribudo.

HOL-1703-SDC-1-PT

Page 130

HOL-1703-SDC-1-PT

Ative o OSPF
1.
2.
3.
4.

Selecione OSPF no painel esquerdo


Clique em Edit ao lado de OSPF Configuration
MARQUE Enable OSPF
Clique em OK

HOL-1703-SDC-1-PT

Page 131

HOL-1703-SDC-1-PT

Adicione uma nova rea


1. Clique no sinal "+" verde ao lado de Area Definitions
2. Insira 10 como Area ID
3. Clique em OK

HOL-1703-SDC-1-PT

Page 132

HOL-1703-SDC-1-PT

Adicione o mapeamento da interface Transit


Agora deve ser feito o mesmo para a interface downlink at o roteador distribudo
1.
2.
3.
4.

Clique no sinal "+" verde ao lado de Area to Interface Mapping


Selecione Transit_Network_01 como vNIC
Selecione 10 como Area
Clique em OK

HOL-1703-SDC-1-PT

Page 133

HOL-1703-SDC-1-PT

Publicar as alteraes
1. Clique no boto Publish Changes na caixa de dilogo novamente para enviar
por push a configurao atualizada para o dispositivo de permetro distribudo.

Ativar o BGP
1.
2.
3.
4.
5.

Selecione BGP no painel esquerdo


Clique em Edit ao lado de BGP Configuration
MARQUE Enable BGP
Insira 65001 como o Local AS
Clique em OK

HOL-1703-SDC-1-PT

Page 134

HOL-1703-SDC-1-PT

Adicionar novo vizinho


1.
2.
3.
4.

Clique no sinal "+ verde ao lado de Neighbors


Insira Digite 192.168.100.1 em IP Address
Insira 65002em Remote AS
Clique em OK

Publicar as alteraes
1. Clique no boto Publish Changes na caixa de dilogo novamente para enviar
por push a configurao atualizada para o dispositivo de permetro distribudo.

HOL-1703-SDC-1-PT

Page 135

HOL-1703-SDC-1-PT

Ative a distribuio de rota BGP e OSPF


Agora, devemos ativar a redistribuio de rotas BGP e OSPF para que as rotas possam
ser acessadas por meio deste permetro.
1.
2.
3.
4.
5.

Clique em Route Redistribution no painel esquerdo


Clique em Edit para Route Redistribution Status
Marque OSPF
Marque BGP
Marque OK

HOL-1703-SDC-1-PT

Page 136

HOL-1703-SDC-1-PT

Ativar a tabela de distribuio de rotas


1.
2.
3.
4.

Clique no sinal de mais verde em Route Redistribution Table


Marque BGP
Marque Connected
Clique em OK

HOL-1703-SDC-1-PT

Page 137

HOL-1703-SDC-1-PT

Tabela de distribuio de rotas BGP


1.
2.
3.
4.
5.

Clique no sinal "+" verde em Route Redistribution Table


Selecione BGP como Learner Protocol
Marque OSPF
Marque Connected
Clique em OK

HOL-1703-SDC-1-PT

Page 138

HOL-1703-SDC-1-PT

Publicar as alteraes
1. Clique no boto Publish Changes na caixa de dilogo novamente para enviar
por push a configurao atualizada para o dispositivo de permetro distribudo.

Ativar o ECMP
Vamos ativar o ECMP no roteador distribudo e nos gateways de permetro
1. Clique no boto back de Networking & Security no painel Navigator

HOL-1703-SDC-1-PT

Page 139

HOL-1703-SDC-1-PT

Ativar o ECMP no roteador distribudo


Primeiro ativaremos o ECMP no roteador distribudo
1. Clique em NSX Edges
2. Clique duas vezes em edge-6

Ativar o ECMP no DLR


1.
2.
3.
4.

Clique
Clique
Clique
Clique

na guia Manage
na guia Routing
em Global Configuration no painel esquerdo
no ENABLE Button ao lado de ECMP

HOL-1703-SDC-1-PT

Page 140

HOL-1703-SDC-1-PT

Publicar a alterao
1. Clique em Publish Changes para enviar a alterao de configurao por push.

Voltar para Edge Devices


1. Clique no boto back de Networking & Security para voltar para a pgina
anterior.

Acesse o gateway de permetro 01


1. Clique duas vezes em edge-3 (gateway de permetro 01)

HOL-1703-SDC-1-PT

Page 141

HOL-1703-SDC-1-PT

Ativar o ECMP no gateway de permetro 01


1.
2.
3.
4.

Clique
Clique
Clique
Clique

na guia Manage
na guia Routing
em Global Configuration no painel esquerdo
no boto Enable ao lado de ECMP

Publicar a alterao
1. Clique em Publish Changes para enviar a alterao de configurao por push.

Voltar para Edge Devices


Clique no boto back de Networking & Security para voltar para a pgina
anterior.

Acessar o gateway de permetro 02

HOL-1703-SDC-1-PT

Page 142

HOL-1703-SDC-1-PT

Clique duas vezes em Edge-7 - gateway de permetro 02

Ativar o ECMP no gateway de permetro 02


1.
2.
3.
4.

Clique
Clique
Clique
Clique

na guia Manage
na guia Routing
em Global Configuration no painel esquerdo
no ENABLE Button ao lado de ECMP

Publicar a alterao
1. Clique em Publish Changes para enviar a alterao de configurao por push.

HOL-1703-SDC-1-PT

Page 143

HOL-1703-SDC-1-PT

Viso geral da topologia


Neste estgio, esta a topologia do laboratrio. Ela inclui o novo gateway de permetro
adicionado, o roteamento configurado e o ECMP ativado.

Verificar a funcionalidade ECMP do roteador distribudo


Agora vamos acessar o roteador distribudo para garantirmos que o OSPF esteja se
comunicando e que o ECMP esteja funcionando.
1. Clique no cone Home
2. Selecione VMs and Templates

HOL-1703-SDC-1-PT

Page 144

HOL-1703-SDC-1-PT

Iniciar o console remoto


1.
2.
3.
4.
5.

Clique no cone Refresh


Expanda a pasta RegionA01
Selecione Distributed-Router-01-0
Selecione a guia Summary
Clique em Launch Remote Console

HOL-1703-SDC-1-PT

Page 145

HOL-1703-SDC-1-PT

Acessar o console remoto


Quando a janela VMRC abrir pela primeira vez, ela estar preta. Clique dentro da janela
e pressione Enter algumas vezes para fazer o console aparecer do protetor de tela.
Observao: para liberar seu cursor da janela, pressione as teclas Ctrl+Alt

Fazer login no gateway de permetro


Faa login no roteador distribudo com as credenciais a seguir
1. Nome de usurio: admin
2. Senha: VMware1!VMware1!

HOL-1703-SDC-1-PT

Page 146

HOL-1703-SDC-1-PT

Visualizar os vizinhos OSPF


A primeira ao que faremos examinar os vizinhos OSPF at o roteador distribudo.
1. Digite show ip ospf neighbors e pressione Enter. (Lembre-se de usar a
opo SEND TEXT).
show ip ospf neighbors

Isso nos mostra que agora o roteador distribudo tem dois vizinhos OSPF. Os vizinhos
so Perimeter-Gateway-1(192.168.100.3) e Perimeter-Gateway-2
(192.168.100.4).
Observao: a concluso da guia funciona em dispositivos Edge no NSX.

HOL-1703-SDC-1-PT

Page 147

HOL-1703-SDC-1-PT

Revisar rotas do roteador distribudo para Edges de


permetro
1. Insira show ip route e pressione Enter
show ip route

Observao: os segmentos de rede do roteador vPod e a rota padro so publicados


por meio de endereos de rede do gateway de permetro. As setas vermelhas acima
esto apontando para os endereos do Perimeter-Gateway-01 e do PerimeterGateway-02.
Deixe essa janela aberta para as prximas etapas.

Verificar a funcionalidade ECMP do roteador vPod


Observao: para liberar seu cursor da janela, pressione as teclas Ctrl+Alt
Agora examinaremos o ECMP do roteador vPod, que simula um roteador fsico em sua
rede.
1. Clique no cone PuTTY na Barra de Tarefas

HOL-1703-SDC-1-PT

Page 148

HOL-1703-SDC-1-PT

Abrir a sesso SSH para o roteador vPod


1. Usando a barra de rolagem, role para baixo e selecione vPod Router
2. Clique em Load
3. Clique em Open

Fazer login no roteador vPod


A sesso Putty deve fazer login automaticamente como o usurio root

HOL-1703-SDC-1-PT

Page 149

HOL-1703-SDC-1-PT

Acessar o mdulo BGP


Devemos fazer telnet no mdulo que controla o BGP no roteador vPod.
1. Insira telnet localhost 2605 e pressione Enter. (Lembre-se de usar a opo
SEND TEXT).
telnet localhost 2605

2. Insira a senha VMware1!

HOL-1703-SDC-1-PT

Page 150

HOL-1703-SDC-1-PT

Mostrar vizinhos BGP


Devemos fazer telnet no mdulo que controla o OSPF no roteador vPod.
1. Insira show ip bgp neighbors e pressione Enter
show ip bgp neighbors

2. Ns veremos Perimeter-Gateway-01 (192.168.100.3) como um vizinho BGP


com um estado BGP Established, up

Verificar o relacionamento de Perimeter-Gateway-02


1. Verifique na parte inferior da lista BGP Neighbors se vemos PerimeterGateway-02 (192.168.100.4) como um vizinho BGP com um estado BGP
Established, up

Mostrar as rotas
1. Insira show ip bgp e pressione Enter
show ip bgp

2. Nesta seo, voc observa que todas as redes tm dois roteadores de prximo hop
listados e isso acontece porque Perimeter-Gateway-01 (192.168.100.3) e

HOL-1703-SDC-1-PT

Page 151

HOL-1703-SDC-1-PT

Perimeter-Gateway-02 (192.168.100.4) so vizinhos estabelecidos para essas


redes.
Neste ponto, todo o trfego conectado ao roteador distribudo poder sair dos gateways
de permetro com ECMP.
Deixe essa janela aberta para as prximas etapas.

HOL-1703-SDC-1-PT

Page 152

HOL-1703-SDC-1-PT

Desligar o gateway de permetro 01


Simularemos um n ficando offline ao desligarmos o Perimeter-Gateway-01
Volte ao seu vSphere Web Client
1.
2.
3.
4.

Expanda as pastas RegionA01


Clique com o boto direito do mouse em Perimeter-Gateway-01-0
Clique em Power
Clique em Shut Down Guest OS

HOL-1703-SDC-1-PT

Page 153

HOL-1703-SDC-1-PT

Confirmar o desligamento
1. Clique em Yes

Testar a alta disponibilidade com ECMP


Com o ECMP, BGP e o OSPF no ambiente, podemos alterar as rotas dinamicamente no
caso de uma falha em um determinado caminho. Agora simularemos a queda de um
dos caminhos e a redistribuio da rota.
1. Clique no cone do Prompt de Comando na barra de tarefas

HOL-1703-SDC-1-PT

Page 154

HOL-1703-SDC-1-PT

Ping db-01a no servidor de banco de dados


1. Insira ping -t db-01a e pressione Enter
ping -t db-01a

Voc ver os pings do centro de controle para o servidor de banco de dados


(db-01a) comearem. Deixe essa janela aberta e em execuo enquanto prossegue
para a prxima etapa.

Acessar a console remoto do roteador distribudo


Acessar a console remoto para o roteador distribudo no desktop chamado
Distributed-Router-01-0

Verificar as rotas atuais


1. Insira show ip route e pressione Enter
show ip route

Observao: somente o Perimeter-Gateway-02 est disponvel para acessar os


segmentos de rede do roteador vPod.

HOL-1703-SDC-1-PT

Page 155

HOL-1703-SDC-1-PT

Deixe essa janela aberta para as prximas etapas.

HOL-1703-SDC-1-PT

Page 156

HOL-1703-SDC-1-PT

Ligar o gateway de permetro 01


Volte ao seu vSphere Web Client
1.
2.
3.
4.

Expanda as pastas RegionA01


Clique com o boto direito do mouse em Perimeter-Gateway-01-0
Clique em Power
Clique em Power On

HOL-1703-SDC-1-PT

Page 157

HOL-1703-SDC-1-PT

Verificar se Perimeter-Gateway-01 est online


Levar um minuto ou dois para que a VM seja ligada. Assim que ela mostrar que as
VMTools esto online no VM Summary, voc poder prosseguir para a prxima etapa.
1. Clique no cone Refresh para verificar se h atualizaes no status das VMTools.

Voltar para o teste de ping


Na barra de tarefas, volte para o prompt de comando que est executando o
teste de ping.

HOL-1703-SDC-1-PT

Page 158

HOL-1703-SDC-1-PT

Pareamento de vizinho BGP


Embora essa no seja uma representao clara do failover do Perimeter-Gateway-02
para o Perimeter-Gateway-01, o trfego de ping migraria do Perimeter-Gateway-02 para
o Perimeter-Gateway-01 com impacto mnimo caso o caminho ativo ficasse inativo.

Acessar a console remoto do roteador distribudo


Acessar a console remoto para o roteador distribudo no desktop chamado
Distributed-Router-01-0

HOL-1703-SDC-1-PT

Page 159

HOL-1703-SDC-1-PT

Mostrar as rotas
vamos verificar o status das rotas no Distributed Router 01 desde que ligamos o
Perimeter-Gateway-01b novamente.
1. Insira show ip route e pressione Enter
show ip route

Observao: agora devemos ver que todas as redes do roteador vPod voltaram
conectividade dupla.

Observao final sobre ECMP


Uma observao final sobre ECMP e HA neste laboratrio. Embora tenhamos feito voc
desligar o Perimeter-Gateway-01, o resultado de fazer isso no PerimeterGateway-02 seria o mesmo.
A nica ressalva que o Customer DB App no funcionar quando o PerimeterGateway-01 estiver offline, j que as VMs do servidor Web esto diretamente
conectadas a ele. Isso poderia ser resolvido movendo a camada da Web para o
Distributed-Router-01, como foi feito com as redes do banco de dados e do aplicativo na
seo Roteamento dinmico e distribudo deste laboratrio. Depois de concludo, o
Customer DB App funcionar caso o Perimeter Gateway 1 ou 2 esteja off-line.
importante observar que a execuo dessa migrao prejudicar os outros
mdulos deste laboratrio! Esse o motivo porque isso no ser feito como

HOL-1703-SDC-1-PT

Page 160

HOL-1703-SDC-1-PT

parte do manual. Se voc no for experimentar os outros mdulos, poder


executar essa migrao sem problemas.

HOL-1703-SDC-1-PT

Page 161

HOL-1703-SDC-1-PT

Antes de passar para o Mdulo 3 conclua as etapas de limpeza a seguir


Caso voc planeje prosseguir para qualquer outro mdulo deste laboratrio depois de
concluir o Mdulo 2, dever concluir as etapas a seguir ou o laboratrio no funcionar
adequadamente daqui em diante.

Exclua o segundo dispositivo Edge de permetro


1. Volte ao vSphere Web Client
2. Clique no cone Home, ento em Networking & Security

HOL-1703-SDC-1-PT

Page 162

HOL-1703-SDC-1-PT

Exclua o Edge-7
Precisamos excluir o Edge que acabamos de criar
1. Selecione NSX Edges
2. Selecione Edge-7
3. Clique no X vermelho para excluir

Confirme a excluso
1. Clique em Yes para confirmar a excluso.

HOL-1703-SDC-1-PT

Page 163

HOL-1703-SDC-1-PT

Desative o ECMP no DLR e o Perimeter Gateway-01


1. Clique duas vezes em Edge-6

Desative o ECMP no roteador distribudo


1.
2.
3.
4.

Clique
Clique
Clique
Clique

na guia Manage
na guia Routing
em Global Configuration no painel esquerdo
em DISABLE Button ao lado de ECMP

Publicar a alterao
1. Clique em Publish Changes para enviar a alterao de configurao por push.

HOL-1703-SDC-1-PT

Page 164

HOL-1703-SDC-1-PT

Voltar para Edge Devices


1. Clique no boto back de Networking & Security para voltar para a pgina
anterior.

Acesse o gateway de permetro 1


1. Clique duas vezes em Edge-3

HOL-1703-SDC-1-PT

Page 165

HOL-1703-SDC-1-PT

Desative o ECMP no gateway de permetro 1


1.
2.
3.
4.

Clique
Clique
Clique
Clique

na guia Manage
na guia Routing
em Global Configuration no painel esquerdo
em DISABLE Button ao lado de ECMP

Publicar a alterao
1. Clique em Publish Changes para enviar a alterao de configurao por push.

HOL-1703-SDC-1-PT

Page 166

HOL-1703-SDC-1-PT

Concluso do Mdulo 3
Neste mdulo, mostramos os recursos de roteamento do NSX para o servio de kernel
do hypervisor, o roteador lgico distribudo, bem como os recursos de servios
avanados dos NSX Edge Services Gateway.
Ns abordamos a migrao de switches lgicos do gateway de servios do Edge para o
roteador lgico distribudo (DLR), e a configurao de um protocolo de roteamento
dinmico entre o Edge e o DLR. Ns tambm revisamos os recursos de roteamento
centralizados do gateway de servios do Edge e as informaes de emparelhamento de
rota dinmica. Por fim, pudemos demonstrar a escalabilidade e a disponibilidade dos
gateways de servios do Edge em uma configurao de rota ECMP (vrios caminhos de
custo equivalente). Ns implantamos um novo gateway de servios do Edge e
estabelecemos o emparelhamento de rota com o DLR e o roteador vPod para aumentar
o throughput e a disponibilidade aproveitando o ECMP. Ns tambm limpamos nossa
configurao ECMP para nos prepararmos para outro mdulo deste ambiente de
laboratrio.

Voc terminou o Mdulo 3


Parabns por concluir o Mdulo 3.
Se voc estiver procurando por informaes adicionais sobre os recursos e a
configurao do roteamento do NSX e ento examine o centro de documentao do
NSX 6.2 por meio do URL abaixo:
Acesse http://tinyurl.com/hkexfcl
Continue em qualquer mdulo abaixo que seja do seu interesse:
Lista de mdulos de laboratrio:
Mdulo 1 - Passo a passo da instalao (30 minutos) - Bsico - este mdulo
acompanhar voc por uma instalao bsica do NSX, incluindo a implantao do
.ova, a configurao do NSX Manager, a implantao de controladores e a
preparao de hosts.
Mdulo 2 - Switch lgico (30 minutos) - Bsico - este mdulo acompanhar
voc pelas noes bsicas da criao de switches lgicos e da anexao de
mquinas virtuais a switches lgicos.
Mdulo 3 - Roteamento lgico (60 minutos) - Bsico - este mdulo nos
ajudar a compreender alguns dos recursos de roteamento com suporte na
plataforma NSX e tambm como utilizar esses recursos durante a implantao de
um aplicativo de trs camadas.
Mdulo 4 - Edge Services Gateway (ESG) (60 minutos) - Bsico - este mdulo
demonstrar os recursos do Edge Services Gateway e como ele pode oferecer

HOL-1703-SDC-1-PT

Page 167

HOL-1703-SDC-1-PT

servios comuns, como DHCP, VPN, NAT, roteamento dinmico e balanceamento


de carga.
Mdulo 5 - Bridge fsico virtual (30 minutos) - Bsico - este mdulo nos guiar
pela configurao de uma instncia de bridge L2 entre uma VLAN tradicional e
um switch lgico NSX. Tambm haver uma demonstrao off-line da integrao
do NSX com switches compatveis com VXLAN de hardware Arista.
Mdulo 6 - Firewall distribudo (45 minutos) - Bsico - este mdulo abordar o
firewall distribudo e a criao de regras de firewall entre um aplicativo de trs
camadas.
Chefes do laboratrio:
Mdulo
Unido
Mdulo
Mdulo
Mdulo
Mdulo
Mdulo

1 - Michael Armstrong, engenheiro de sistemas snior, Reino


2
3
4
5
6

Mostafa Magdy, engenheiro de sistemas snior, Canad


Aaron Ramirez, engenheiro de sistemas da equipe, EUA
Chris Cousins, engenheiro de sistemas, EUA
Aaron Ramirez, engenheiro de sistemas da equipe, EUA
Brian Wilson, engenheiro de sistemas da equipe, EUA

Como encerrar o laboratrio


Para encerrar o laboratrio, clique no boto END.

HOL-1703-SDC-1-PT

Page 168

HOL-1703-SDC-1-PT

Mdulo 4 - Edge Service


Gateway - ESG (60
minutos)

HOL-1703-SDC-1-PT

Page 169

HOL-1703-SDC-1-PT

Introduo ao NSX Edge Services


Gateway
O NSX Edge oferece servios de segurana e de gateway de permetro de rede para
isolar uma rede virtualizada. Voc pode instalar um NSX Edge como um roteador lgico
(distribudo) ou como um gateway de servios.
O roteador lgico (distribudo) do NSX Edge oferece roteamento distribudo Leste-Oeste
com isolamento para o intervlo de endereamento IP (multi-tenant) e do plano de
dados. As mquinas virtuais ou as cargas de trabalho que residem no mesmo host em
subnets diferentes podem se comunicar umas com as outras sem precisar atravessar
uma interface de roteamento tradicional.
O NSX Edge Services Gateway conecta redes stub isoladas a redes compartilhadas
(uplink) ao fornecer servios de gateway comuns, como DHCP, VPN, NAT, roteamento
dinmico e balanceamento de carga. As implantaes comuns de NSX Edges incluem os
ambientes de DMZ, VPN, Extranets e ambientes multi-tenant em nuvem, onde o NSX
Edge cria limites virtuais para cada tenant.
Este mdulo contm as seguintes lies:

Implantar o Edge Services Gateway


Configurar o Edge Services Gateway como balanceador de carga
Balanceador de carga Edge Services Gateway - verificar a configurao
Firewall do Edge Services Gateway
Transmisso DHCP
Configurao do L2VPN
Concluso

HOL-1703-SDC-1-PT

Page 170

HOL-1703-SDC-1-PT

Implantar o Edge Services Gateway


como balanceador de carga
O NSX Edge Services Gateway tambm pode oferecer a funcionalidade de
balanceamento de carga. Empregar um balanceador de carga vantajoso porque ele
leva a uma utilizao de recursos mais eficiente. Os exemplos podem incluir um uso
mais eficiente de throughput de rede, tempos de resposta mais curtos para aplicativos,
a capacidade de escalar e tambm pode fazer parte de uma estratgia para garantir a
redundncia e a disponibilidade de servio.
As solicitaes TCP, UDP, HTTP ou HTTPS podem ter sua carga equilibrada utilizando o
gateway de servios do NSX Edge. O gateway de servios do Edge pode fornecer
balanceamento de carga at a Camada 7 do modelo OSI (Open Systems
Interconnection).
Nesta seo, implantaremos e vamos configurar um novo appliance do NSX Edge como
um balanceador de carga em modo One-Armed.

Validar se o laboratrio est pronto


O status do laboratrio mostrado no desktop da VM Main Console do
Windows.
As verificaes de validao garantem que todos os componentes do laboratrio sejam
corretamente implantadas e, assim que a validao for concluda, o status ser
atualizado para Green/Ready. possvel ter uma falha de implantao de laboratrio
devido a restries de recursos do ambiente.

Fazer login no vSphere Web Client


Se voc ainda no tiver feito login no vSphere Web Client:

HOL-1703-SDC-1-PT

Page 171

HOL-1703-SDC-1-PT

Clique no cone do Google Chrome na Barra de Tarefas. A pgina inicial deve ser o
vSphere Web Client.
1. Marque a caixa Use Windows session authentication
2. Clique no boto Login

HOL-1703-SDC-1-PT

Page 172

HOL-1703-SDC-1-PT

Obtenha espao na tela ao recolher o painel direito de


tarefas
Clicar nos Push-Pins permitir que os painis de tarefa sejam recolhidos e forneam
mais espao de visualizao para o painel principal. Voc tambm pode recolher o
painel esquerdo para obter o mximo de espao.

HOL-1703-SDC-1-PT

Page 173

HOL-1703-SDC-1-PT

Abra Networking & Security


1. Clique em "Networking & Security"

Criao de um novo Edge Services Gateway


Ns vamos configurar o servio de balanceamento de carga em modo One-Armed em
um Edge Services Gateway. Para iniciar o processo de criao do Edge Services
Gateway, verifique se est na seo Networking & Security do vSphere Web Client:
1. Clique em NSX Edges
2. Clique no cone do sinal "+ verde (+)

Definio do nome e do tipo


Para o novo NSX Edge Services Gateway, defina as seguintes opes de configurao
1. Insira o nome: OneArm-LoadBalancer

HOL-1703-SDC-1-PT

Page 174

HOL-1703-SDC-1-PT

2. Clique no boto Next

HOL-1703-SDC-1-PT

Page 175

HOL-1703-SDC-1-PT

Configurao da conta do administrador


1. Defina a senha como: VMware1!VMware1!
2. Clique no boto Next

Definio do tamanho do Edge e do posicionamento da VM


Existem quatro tamanhos de appliance diferentes que podem ser escolhidos para o
Edge Services Gateway, com as seguintes especificaes (nmero de CPUs, memria):

Compact: 1 vCPU, 512 MB


Large: 2 vCPUs, 1024 MB
Quad Large: 4 vCPUs, 1024 MB
X-Large: 6 vCPUs, 8192 MB

Ns selecionaremos um Edge de tamanho compacto para este novo Edge Services


Gateway, mas vale a pena lembrar que esses Edge Services Gateway tambm podem
ser atualizados para um tamanho maior aps a implantao. Para continuar com a
criao do novo Gateway de servios do Edge:

HOL-1703-SDC-1-PT

Page 176

HOL-1703-SDC-1-PT

1. Clique no cone de sinal "+" verde para abrir a janela pop-up Add NSX Edge
Appliances.

HOL-1703-SDC-1-PT

Page 177

HOL-1703-SDC-1-PT

Posicionamento do cluster/datastore
1. Selecione RegionA01-MGMT01 como seu posicionamento de Cluster/Resource
Pool
2. Selecione RegionA01-ISCSI01-MGMT01 como posicionamento de Datastore
3. Selecione um host esx-05-a.corp.local
4. Clique em OK

HOL-1703-SDC-1-PT

Page 178

HOL-1703-SDC-1-PT

Configurar a implantao
1. Clique no boto Next

HOL-1703-SDC-1-PT

Page 179

HOL-1703-SDC-1-PT

Incluindo uma nova interface de rede no NSX Edge


J que ele um balanceador de carga em modo One-Armed, s precisar de uma
interface de rede. Nesta seo do processo do novo NSX Edge, daremos a esse Edge
um novo adaptador de rede e vamos configur-lo.
1. Clique no cone do sinal "+" verde.

HOL-1703-SDC-1-PT

Page 180

HOL-1703-SDC-1-PT

Configurao da nova interface de rede do NSX Edge


Este o local onde vamos configurar a primeira interface de rede para o novo NSX
Edge.
1. D nova interface o nome WebNetwork
2. Marque Internal como um tipo
3. Clicando no link Select

HOL-1703-SDC-1-PT

Page 181

HOL-1703-SDC-1-PT

Seleo de rede para nova interface do Edge


Essa interface do balanceador de carga em modo One-Armed precisar estar na mesma
rede que os dois servidores da Web para os quais este Edge fornecer servios de
balanceamento de carga.
1. Selecione a guia Logical Switch
2. Selecione o boto de opo de Web_Tier_Logical_Switch (5000)
3. Clique no boto OK

HOL-1703-SDC-1-PT

Page 182

HOL-1703-SDC-1-PT

Configurao das Subnets


1. Em seguida, vamos configurar um endereo IP para esta interface. Clique no
pequeno cone de sinal "+" verde.

HOL-1703-SDC-1-PT

Page 183

HOL-1703-SDC-1-PT

Configurao do pop-up Subnets


Para adicionar um novo endereo IP a esta interface:
1. Insira um endereo IP 172.16.10.10
2. Insira um comprimento de prefixo de sub-rede 24
3. Clique em OK

HOL-1703-SDC-1-PT

Page 184

HOL-1703-SDC-1-PT

Confirme a lista de interfaces


Examinar configuraes/selees
1. Clique no boto Next para continuar

HOL-1703-SDC-1-PT

Page 185

HOL-1703-SDC-1-PT

Configurao do Default Gateway


Nesta prxima seo de aprovisionamento, um novo Edge nos permitir configurar o
Default Gateway para este Edge Services Gateway. Para configurar o gateway:
1. Insira um IP de gateway 172.16.10.1
2. Clique no boto Next

HOL-1703-SDC-1-PT

Page 186

HOL-1703-SDC-1-PT

Configurao de opes de firewall e de HA


Para economizar tempo depois, podemos configurar algumas opes padro do firewall,
bem como ativar um Edge Services Gateway a ser executado em modo de alta
disponibilidade (HA). Nenhum recurso relevante para esta seo em particular do
mdulo e, portanto, para continuar, configure o seguinte:
1. Marque a caixa de seleo Configure Firewall default policy
2. Selecione Accept as the Default Traffic Policy
3. Clique em Next

HOL-1703-SDC-1-PT

Page 187

HOL-1703-SDC-1-PT

Reviso da configurao geral e Finalize


Confirme se a configurao se parece com esta captura de tela.
1. Clique em Finish.

HOL-1703-SDC-1-PT

Page 188

HOL-1703-SDC-1-PT

Monitoramento da implantao
Para monitorar a implantao do Gateway de servios do Edge:
1. Clique no boto Installing enquanto o Edge estiver sendo implantado para ver o
andamento das etapas da instalao.
Depois disso, veremos o andamento da implantao do Edge.

HOL-1703-SDC-1-PT

Page 189

HOL-1703-SDC-1-PT

Configurar o Edge Services Gateway


como balanceador de carga
Agora que o Edge Services Gateway foi implantado, vamos configurar os servios de
balanceamento de carga.

Configure o servio do balanceador de carga


Acima, representada a topologia eventual que teremos para o servio do balanceador
de carga fornecido pelo NSX Edge Services Gateway que acabamos de implantar. Para
comear, na rea NSX Edges do plug-in Networking & Security para o vSphere Web
Client, clique duas vezes no Edge em cuja pgina de manuteno acabamos de entrar.

HOL-1703-SDC-1-PT

Page 190

HOL-1703-SDC-1-PT

Configure o recurso de balanceamento de carga no


balanceador de carga em modo One-Armed
1. Clique duas vezes em edge-7 (OneArm-LoadBalancer)

Navegando at a pgina de gerenciamento do novo Edge


1.
2.
3.
4.

Clique na guia Manage (se ela ainda no tiver sido selecionada)


Clique na subguia Load Balancer
Clique em Global Configuration (se ela ainda no tiver sido selecionada)
Clique no boto Edit para ir para a janela pop-up de configurao global Edit
Load Balancer

HOL-1703-SDC-1-PT

Page 191

HOL-1703-SDC-1-PT

Edite a Configurao global do Balanceador de carga


Para ativar o servio do balanceador de carga;
1. Marque a caixa de seleo Enable Load Balancer
2. Clique no boto OK

HOL-1703-SDC-1-PT

Page 192

HOL-1703-SDC-1-PT

Criao de um novo perfil de aplicativo


Um perfil de aplicativo como ns definimos o comportamento de um tipo de trfego
de rede tpico. Esses perfis so ento aplicados a um servidor virtual (VIP) que tratar
do trfego com base nos valores especificados no perfil de aplicativo.
A utilizao de perfis pode tornar as tarefas de gerenciamento de trfego menos
propensas a erro e mais eficientes.
1. Clique em Application Profiles
2. Clique no cone de sinal "+" para abrir a janela pop-up New Profile

HOL-1703-SDC-1-PT

Page 193

HOL-1703-SDC-1-PT

Configurao do HTTPS de um novo perfil de aplicativo


Para o novo perfil de aplicativo, configure as seguintes opes:
1. Nome: OneArmWeb-01
2. Tipo: HTTPS
3. Marque a caixa de seleo Enable SSL Passthrough. Isso permitir que o
HTTPS seja encerrado no servidor do pool.
4. Clique no boto OK quando terminar

HOL-1703-SDC-1-PT

Page 194

HOL-1703-SDC-1-PT

Modifique o monitor padro de HTTPS


Os monitores garantem que os membros do pool que atendem aos servidores virtuais
estejam prontos e funcionando. O monitor HTTPS padro simplesmente far um "GET"
em "/". Modificaremos o monitor padro para fazermos uma verificao de integridade
no URL especfico do aplicativo. Isso ajudar a determinar que no s os servidores
membros do pool esto prontos e funcionando, mas que o aplicativo tambm est.
1.
2.
3.
4.
5.

Clique em Service Monitoring


Clique e realce default_https_monitor
Clique no cone de lpis
Digite "/cgi-bin/hol.cgi" como URL
Clique em OK

HOL-1703-SDC-1-PT

Page 195

HOL-1703-SDC-1-PT

Crie um novo pool


Um grupo de servidores de Pool a entidade que representa os ns para os quais est
sendo feito o balanceamento de carga do trfego. Ns adicionaremos os dois servidores
da Web web-01a e web-02a a um novo pool. Para criar o novo pool, primeiro:
1. Clique em Pools
2. Clique no cone de sinal "+" verde para abrir a janela pop-up Edit Pool

HOL-1703-SDC-1-PT

Page 196

HOL-1703-SDC-1-PT

Configurao do novo pool


Para as configuraes neste novo pool, configure o seguinte:
1. Nome: Web-Tier-Pool-01
2. Monitores: default_https_monitor
3. Clique no sinal "+" verde

HOL-1703-SDC-1-PT

Page 197

HOL-1703-SDC-1-PT

Adicione membros ao pool


1.
2.
3.
4.
5.

Insira web-01a como Name


Insira 172.16.10.11 como IP Address
Insira 443 em Port
Insira 443 em Monitor Port
Clique em OK

Repita o processo acima para adicionar mais um membro do pool usando as


informaes a seguir

Nome: web-02a
Endereo IP: 172.16.10.12
Porta: 443
Porta de monitoramento: 443

HOL-1703-SDC-1-PT

Page 198

HOL-1703-SDC-1-PT

Salve as configuraes do pool


1. Clique em OK

HOL-1703-SDC-1-PT

Page 199

HOL-1703-SDC-1-PT

Crie um novo servidor virtual


Um servidor virtual a entidade que aceita o trfego do "front-end" de uma
configurao de servio com balanceamento de carga. O trfego do usurio
direcionado para o endereo IP representado pelo servidor virtual e ento redistribudo
para ns no "back-end" do balanceador de carga. Para configurar um novo servidor
virtual neste Gateway de servios do Edge, primeiro
1. Clique em Virtual Servers
2. Clique no cone de sinal "+" verde pequeno para abrir a janela pop-up New
Virtual Server

HOL-1703-SDC-1-PT

Page 200

HOL-1703-SDC-1-PT

Configure o novo servidor virtual


Configure as opes a seguir para o novo servidor virtual:
1.
2.
3.
4.
5.

Nomeie este servidor virtual como Web-Tier-VIP-01.


Insira 172.16.10.10 como IP address.
Selecione HTTPS como Protocol.
Selecione Web-Tier-Pool-01
Clique no boto OK para concluir a criao deste novo servidor virtual

HOL-1703-SDC-1-PT

Page 201

HOL-1703-SDC-1-PT

Balanceador de carga do Edge Services


Gateway - verificar a configurao
Agora que configuramos os servios de balanceamento de carga, verificaremos a
configurao.

Teste o acesso ao servidor virtual


1. Clique em uma guia em branco do navegador
2. Clique no marcador de favoritos para 1-Arm LB Customer DB
3. Clique em Advanced

HOL-1703-SDC-1-PT

Page 202

HOL-1703-SDC-1-PT

Ignore o erro de SSL


1. Clique em Proceed to 172.16.10.10 (unsafe)

HOL-1703-SDC-1-PT

Page 203

HOL-1703-SDC-1-PT

Teste o acesso ao servidor virtual


Neste momento, devemos obter xito ao acessar o balanceador de carga em modo
One-Armed que acabamos de configurar!
1. Clicar no boto de atualizao de pgina permitir a voc ver o acesso
alternado(Round-Robin) nos dois membros do pool.
Talvez seja necessrio clicar algumas vezes para atualizar o navegador sem
utilizar o cache do navegador.

HOL-1703-SDC-1-PT

Page 204

HOL-1703-SDC-1-PT

Mostre as estatsticas do pool


Clique na guia do navegador do vSphere Web Client
Para ver o status dos membros individuais do pool:
1. Clique em Pools
2. Clique em Show Pool Statistics.
3. Clique em "pool-1"
Ns veremos o status atual de todos os membros.
4. Feche a janela clicando no X.

Aprimoramento de resposta do monitor (Health Check)


Para auxiliar na soluo de problemas, agora o comando "show ...pool" do balanceador
de carga do NSX 6.2 gerar uma descrio informativa para falhas de membro do pool.
Ns criaremos duas falhas diferentes e examinaremos a resposta usando comandos
show no Edge Gateway do balanceador de carga.
Clique na guia do navegador vSphere Web Client.
1. Digite "LoadBalancer" no canto superior direito da caixa de pesquisa do
vSphere Web Client.

HOL-1703-SDC-1-PT

Page 205

HOL-1703-SDC-1-PT

2. Clique em "OneArm-LoadBalancer-0".

Abra o console do balanceador de carga


1. Clique na guia Summary
2. Clique em Launch Remote Console
Observao: o console ser aberto em uma nova guia do navegador

HOL-1703-SDC-1-PT

Page 206

HOL-1703-SDC-1-PT

Faa login no OneArm-LoadBalancer-0


1. Faa login usando usurio: admin e senha: VMware1!VMware1!

HOL-1703-SDC-1-PT

Page 207

HOL-1703-SDC-1-PT

Instrues especiais para comandos da CLI


Em muitos dos mdulos, ns teremos de inserir comandos da interface (CLI, Command
Line Interface). H duas maneiras de enviar comandos da CLI para o laboratrio.
A primeira enviar um comando da CLI para o console do laboratrio:
1. Destaque o comando da CLI no manual e use Control+c para copiar para a
rea de transferncia.
2. Clique no item de menu do console SEND TEXT.
3. Pressione Control+v para colar da rea de transferncia para a janela.
4. Clique no boto SEND.
Na segunda, um arquivo de texto (README.txt) foi colocado na rea de trabalho do
ambiente, fornecendo a voc todas as contas e senhas de usurio para o ambiente.

HOL-1703-SDC-1-PT

Page 208

HOL-1703-SDC-1-PT

Examine o status do pool antes da falha


Faa login com o nome de usurio "admin" e a senha "VMware1!VMware1!"
Digite show service loadbalancer pool (lembre-se de usar a opo SEND TEXT).
show service loadbalancer pool

Observao: o status do membro do pool web-sv-01a mostrado como "UP"

Inicie o PuTTY
1. Clique no atalho PuTTY na Barra de Incio do Windows.

HOL-1703-SDC-1-PT

Page 209

HOL-1703-SDC-1-PT

SSH para web-01a.corp.local


1.
2.
3.
4.

Role para baixo at Web-01a.corp.local


Selecione Web-01a.corp.local
Clique em Load
Clique em Open

Desligue o HTTPD
Ns desligaremos o HTTPD para simular a primeira condio de falha
1. Digite service httpd stop para desligar o HTTPD.
service httpd stop

Console do balanceador de carga


Digite show service loadbalancer pool

HOL-1703-SDC-1-PT

Page 210

HOL-1703-SDC-1-PT

show service loadbalancer pool

Como o servio est inativo, o detalhe da falha mostrar que o cliente no conseguiu
estabelecer a sesso SSL.

HOL-1703-SDC-1-PT

Page 211

HOL-1703-SDC-1-PT

Reinicie o servio HTTPD


Volte para a sesso SSH do Putty para web-01a
1. Digite service httpd start
service httpd start

Desligue web-01a
Navegue de volta para o navegador Chrome e o vSphere Web Client.
1. No canto superior direito da caixa de pesquisa do vSphere Web Client, digite
"web-01a"
2. Clique em web-01a

Desligue web-01a
1. Clique em Actions

HOL-1703-SDC-1-PT

Page 212

HOL-1703-SDC-1-PT

2. Clique em Power
3. Clique em Power Off
Clique em Yes para confirmar.

Verifique o status do pool


Digite show service loadbalancer pool
show service loadbalancer pool

Como agora a VM est inativa, o detalhe da falha mostrar que o cliente no conseguiu
estabelecer a conexo L4, ao contrrio da conexo L7 (SSL) da etapa anterior.

Ligue web-01a
Clique novamente na guia vSphere Web Client do navegador

HOL-1703-SDC-1-PT

Page 213

HOL-1703-SDC-1-PT

1. Clique em Actions.
2. Clique em Power
3. Clique em Power On

Concluso
Neste laboratrio, implantamos e configuramos um novo Edge Services Gateway e
ativamos os servios de balanceamento de carga para o aplicativo 1-Arm LB
Customer DB.
Isso conclui a lio sobre o balanceador de carga do gateway de servios do Edge. Em
seguida, saberemos mais sobre o firewall do Edge Services Gateway.

HOL-1703-SDC-1-PT

Page 214

HOL-1703-SDC-1-PT

Firewall do Edge Services Gateway


O firewall do NSX Edge monitora o trfego Norte-Sul para fornecer a funcionalidade de
segurana de permetro, incluindo firewall, NAT (Network Address Translation), bem
como a funcionalidade IPSec site-to-site e VPN SSL. As configuraes do firewall se
aplicam ao trfego que no corresponde a nenhuma regra de firewall definida pelo
usurio. A poltica de firewall do Edge padro bloqueia todo o trfego de entrada.

Trabalhando com regras do firewall do NSX Edge


Podemos navegar at um NSX Edge para ver as regras de firewall que se aplicam a ele.
As regras de firewall aplicadas a um roteador lgico s protegem o trfego da camada
de controle de e para a mquina virtual do roteador lgico de controle. Elas no impem
qualquer proteo ao plano de dados. Para proteger o trfego do plano de dados, crie
regras do firewall lgico para proteo Leste-Oeste no nvel do Edge Services Gateway
para a proteo Norte-Sul.
As regras criadas na interface do usurio do firewall aplicvel a este NSX Edge so
exibidas em um modo somente leitura. As regras so exibidas e impostas na seguinte
ordem:
1. As regras definidas pelo usurio atravs da interface do usurio do firewall
(somente leitura).
2. Regras autoconectadas (regras que permitem que o trfego de controle flua para
servios do Edge).
3. As regras definidas pelo usurio atravs da interface do usurio do firewall do
NSX Edge.
4. Regra padro(default).

HOL-1703-SDC-1-PT

Page 215

HOL-1703-SDC-1-PT

Clique em Networking & Security


1. Clique em Networking & Security

Abrir um NSX Edge


1. Selecione NSX Edges
2. Clique duas vezes em Perimeter Gateway-01

HOL-1703-SDC-1-PT

Page 216

HOL-1703-SDC-1-PT

Abrir a guia Manage


1. Selecione a guia Manage
2. Selecione Firewall
3. Selecione a Default Rule, que a ltima regra na tabela do firewall.

Edite a ao de regra de firewall


1. Aponte o mouse para a clula Action da regra e clique
2. Clique no menu suspenso Action e selecione Deny

HOL-1703-SDC-1-PT

Page 217

HOL-1703-SDC-1-PT

Publique as alteraes
Ns no faremos alteraes permanentes na configurao do firewall do gateway de
servios do Edge.
1. Selecione Revert para reverter as alteraes.

Adicionando uma regra no firewall do Edge Services


Gateway
Agora que j conhecemos a edio de uma regra de firewall do Edge Service Gateway,
adicionaremos uma nova regra de firewall do Edge que bloquear o acesso do Control
Center ao Customer DB App.
1. Selecione o smbolo verde (+) para adicionar uma nova regra de firewall.
2. Passe o mouse sobre o canto superior direito da coluna Name e selecione o
smbolo (+)
3. Insira o nome da regra: Main Console FW Rule
4. Clique em OK.

HOL-1703-SDC-1-PT

Page 218

HOL-1703-SDC-1-PT

Especifique a origem
Passe o mouse sobre o canto superior direito do campo Source e selecione o smbolo (+)
1.
2.
3.
4.
5.

Clique no menu suspenso Object Type e selecione IP Sets


Clique no link New IP Set...
Digite Main Console na caixa de texto IP Set Name
Digite o endereo IP do Control Center: 192.168.110.10
Clique em OK

HOL-1703-SDC-1-PT

Page 219

HOL-1703-SDC-1-PT

Confirme a origem
1. Confirme se Main Console est em Selected Objects
2. Clique em OK

HOL-1703-SDC-1-PT

Page 220

HOL-1703-SDC-1-PT

Especifique o Destino
Passe o mouse sobre o canto superior direito da coluna Destination e selecione o
smbolo (+)
1. Clique no menu suspenso Object Type e selecione Logical Switch
2. Clique em Web_Tier_Logical_Switch
3. Clique na seta para a direita para mover Web_Tier_Logical_Switch para
Selected Objects
4. Clique em OK

Configurar ao
1. No canto superior direito da coluna Action, clique no cone (+)
2. Clique no menu suspenso Action e selecione Deny
3. Clique em OK.

HOL-1703-SDC-1-PT

Page 221

HOL-1703-SDC-1-PT

Publique as alteraes
1. Clique em Publish Changes

Testar nova regra de firewall


Agora que j configuramos uma nova regra de firewall que bloquear o acesso do
Control Center ao switch lgico da camada Web, vamos executar um teste rpido:
1. Abra uma nova guia do navegador Chrome
2. Clique no bookmark favorito chamado Customer DB App
3. Verifique se Main Console no pode acessar o Customer DB App
Depois de alguns instantes, devemos ver uma pgina do navegador declarando que o
site no pode ser acessado. Agora, vamos modificar a regra de firewall para permitir
que o Main Console acesse o Customer DB App.

Alterar a regra Main Console FW para Accept


Volte para a guia vSphere Web Client.

HOL-1703-SDC-1-PT

Page 222

HOL-1703-SDC-1-PT

1. Clique no smbolo (+) no canto superior direito da coluna Action da regra Main
Console FW
2. Clique no menu suspenso Action e selecione a opo Accept
3. Clique em OK.

Publicar as alteraes
1. Clique em Publish Changes

HOL-1703-SDC-1-PT

Page 223

HOL-1703-SDC-1-PT

Confirmar acesso ao Customer DB App


Agora que a regra Main Console FW foi alterada para "Accept", o Main Console pode
acessar o Customer DB App

HOL-1703-SDC-1-PT

Page 224

HOL-1703-SDC-1-PT

Excluir a regra Main Console FW


1. Selecione a linha Main Console FW Rule
2. Clique no cone (x) vermelho para excluir a regra de firewall
3. Clique em OK para confirmar a excluso

Publicar as alteraes
1. Clique em Publish Changes

Concluso
Neste laboratrio, aprendemos a modificar uma regra de firewall do Edge Services
Gateway existente e a configurar uma nova regra de firewall do Edge que bloqueia o
acesso externo ao Customer DB App.
Isso conclui a lio sobre o firewall do Edge Services Gateway. Em seguida, saberemos
mais sobre como o gateway de servios do Edge pode gerenciar servios DHCP.

HOL-1703-SDC-1-PT

Page 225

HOL-1703-SDC-1-PT

DHCP Relay
Em uma rede onde houver o mesmo segmento de rede, os clientes DHCP podero se
comunicar diretamente com o servidor DHCP. Os servidores DHCP tambm podem
fornecer endereos IP para vrias redes, mesmo aquelas que no estiverem nos
mesmos segmentos deles. Entretanto, quando eles estiverem servindo endereos IP
para intervalos IP fora do seu prprio, no podero se comunicar diretamente com esses
clientes. Isso acontece porque os clientes no tm um endereo IP rotevel ou um
gateway do qual estejam cientes.
Nessas situaes, ser necessrio um agente de DHCP Relay para transmitir o que foi
recebido de clientes DHCP e enviar para o servidor DHCP em unicast. O servidor DHCP
selecionar um escopo DHCP com base no intervalo de onde o unicast est vindo,
retornando-o ao endereo de agente que ento ser transmitido de volta rede original
e para o cliente.
reas tratadas neste laboratrio:
Criar um novo segmento de rede no NSX
Ative o agente DHCP Relay no novo segmento de rede
A utilizao de um escopo DHCP pr-criado em um servidor DHCP que esteja em
outro segmento de rede exige a comunicao de camada 3
Em seguida, inicialize uma VM em branco pela rede (PXE) por meio de opes do
escopo DHCP
Neste laboratrio, os itens a seguir foram pr-configurados
Servidor DHCP baseado no Windows Server com o escopo DHCP e o conjunto de
opes de escopo configurados
Servidor TFTP para os arquivos de inicializao PXE: esse servidor foi instalado,
configurado, e os arquivos do sistema operacional foram carregados.

HOL-1703-SDC-1-PT

Page 226

HOL-1703-SDC-1-PT

Topologia do laboratrio
Este diagrama mostra um layout da topologia final que ser criada e usada neste
mdulo do laboratrio.

Acesse o NSX por meio do Web Client


Acesse a seo Networking & Security do Web Client
1. Clique em Networking & Security no painel esquerdo.

Crie um novo switch lgico


Primeiro, devemos criar um novo switch lgico, que ser a nossa nova rede 172.16.50.0/
24.

HOL-1703-SDC-1-PT

Page 227

HOL-1703-SDC-1-PT

1. Selecione Logical Switches


2. Clique no sinal "+" verde para criar um novo switch lgico

Informe os novos parmetros do switch


Para configurar o switch lgico, devemos definir o nome e a zona de transporte.
1. Transport Zone, clique em Change

HOL-1703-SDC-1-PT

Page 228

HOL-1703-SDC-1-PT

Selecione Transport Zone


1. Selecione RegionA0_TZ
2. Clique em OK

HOL-1703-SDC-1-PT

Page 229

HOL-1703-SDC-1-PT

Informe os novos parmetros do switch


O nome no importa especificamente, mas usado para ajudar na identificao do
switch.
1. Nome = DHCP-Relay
2. Clique em OK

Conecte o switch lgico ao gateway de permetro


Agora, conectaremos o switch lgico a uma interface no gateway de permetro. Essa
interface ser o default gateway para a rede 172.16.50.0/24 como endereo
172.16.50.1.
1. Clique em NSX Edges no painel esquerdo.
2. Clique duas vezes em edge-3, que o Perimeter-Gateway neste laboratrio.

HOL-1703-SDC-1-PT

Page 230

HOL-1703-SDC-1-PT

Adicione uma interface


Esta seo conectar o switch lgico a uma interface no gateway de permetro.
1.
2.
3.
4.
5.

Clique em Manage
Clique em Settings
Clique em Interfaces
Selecione vnic9
Clique no cone de lpis para editar a interface

HOL-1703-SDC-1-PT

Page 231

HOL-1703-SDC-1-PT

Selecione a qual switch lgico a interface est conectada


Selecionaremos a qual switch lgico a interface est conectada.
1. Clique em Select

Selecione o switch lgico recm-criado


Selecione o novo switch lgico que acabamos de criar nas etapas anteriores.
1. Selecione DHCP-Relay Logical Switch
2. Clique em OK

HOL-1703-SDC-1-PT

Page 232

HOL-1703-SDC-1-PT

Adicione um endereo IP interface


Adicionaremos um novo endereo IP.
1. Clique no sinal "+" verde

Configure o endereo IP da interface


Atribuiremos um endereo IP nova interface.
1. Primary IP address = 172.16.50.1
2. Subnet Prefix Length = 24

HOL-1703-SDC-1-PT

Page 233

HOL-1703-SDC-1-PT

Conclua a configurao da interface


Verifique todas as informaes e conclua a configurao
1. Altere o nome de vnic9 para DHCP Relay para facilitar a identificao
posteriormente.
2. Clique em OK

HOL-1703-SDC-1-PT

Page 234

HOL-1703-SDC-1-PT

Configure o DHCP Relay


Permanecendo no gateway de permetro, voc dever fazer a configurao global do
DHCP Relay.
1.
2.
3.
4.

Agora clique na guia Manage


Clique no boto DHCP
Clique na seo Relay no painel esquerdo
Clique em Edit

Configurao global do DHCP


Na configurao global do DHCP, ns selecionamos os servidores DHCP que
respondero a solicitaes de DHCP das nossas VMs guest.
H trs mtodos pelos quais ns podemos definir IPs de servidores DHCP:
Conjuntos de IPs

HOL-1703-SDC-1-PT

Page 235

HOL-1703-SDC-1-PT

Os conjuntos de IPs so configurados em Global Configuration, no NSX Manager, e


permitem que especifiquemos um subconjunto de servidores DHCP ao criar um
agrupamento nomeado.
Endereos IP
possvel especificar manualmente os endereos IP de servidores DHCP neste mtodo.
Nomes de domnio
Esse mtodo permite especificar um nome DNS, que pode ser um ou vrios endereos
de servidor DHCP.

Neste laboratrio, usaremos um endereo IP nico.


1. IP Addresses = 192.168.110.10 o IP do servidor DHCP.
2. Clique em OK

Configure o agente de DHCP Relay


O agente de DHCP Relay transmitir todas as solicitaes DHCP do endereo do
gateway no switch lgico para os servidores DHCP configurados. Devemos adicionar
um agente ao switch lgico/segmento criado em 172.16.50.0/24.

HOL-1703-SDC-1-PT

Page 236

HOL-1703-SDC-1-PT

1. Clique no sinal de mais verde na seo DHCP Relay Agents

Selecione a interface do gateway de permetro


Selecione qual interface do gateway de permetro ter o agente de transmisso.
1. Clique na lista suspensa vNIC, selecione a interface criada anteriormente, DHCP
Relay Internal
2. Clique em OK

Publique configuraes nas configuraes do DHCP Relay


Agora precisamos publicar todas essas alteraes para o roteador distribudo.
1. Clique em Publish Changes

HOL-1703-SDC-1-PT

Page 237

HOL-1703-SDC-1-PT

Crie uma VM em branco para a inicializao PXE


Agora criaremos uma VM em branco que inicializar por PXE do servidor DHCP para
onde estamos transmitindo.
1. Clique no cone Home
2. Clique em Hosts and Clusters

Crie uma nova VM


1.
2.
3.
4.

Expanda RegionA01-COMP01
Selecione esx-02a.corp.local
Selecione o menu suspenso Actions
Em seguida, clique em New Virtual Machine and New Virtual Machine

HOL-1703-SDC-1-PT

Page 238

HOL-1703-SDC-1-PT

Configure a nova VM
1. Selecione Create a New Virtual Machine
2. Clique em Next

HOL-1703-SDC-1-PT

Page 239

HOL-1703-SDC-1-PT

Nomeie a VM
1. Name = PXE VM
2. Clique em Next

HOL-1703-SDC-1-PT

Page 240

HOL-1703-SDC-1-PT

Selecione Host
1. Clique em Next

HOL-1703-SDC-1-PT

Page 241

HOL-1703-SDC-1-PT

Selecionar o armazenamento
Deixe com o valor padro
1. Clique em Next

HOL-1703-SDC-1-PT

Page 242

HOL-1703-SDC-1-PT

Selecione Compatibility
Deixe com o valor default
1. Clique em Next

HOL-1703-SDC-1-PT

Page 243

HOL-1703-SDC-1-PT

Selecione Guest OS
Deixe com o valor default
1. Selecione Linux em Guest OS Family
2. Selecione Other Linux (64-bit) em Guest OS Version
3. Clique em Next

HOL-1703-SDC-1-PT

Page 244

HOL-1703-SDC-1-PT

Especificar o hardware - remover o disco rgido


Precisamos excluir o disco rgido default. Como estamos inicializando da rede, o disco
rgido no ser necessrio. Isso acontece porque a imagem PXE est inicializando e
sendo executada totalmente na RAM.
1. Mova o cursor sobre New Hard Disk e o X aparecer direita. Clique nesse X
para remover o disco rgido.

HOL-1703-SDC-1-PT

Page 245

HOL-1703-SDC-1-PT

Especificar o hardware - escolher a rede


Agora selecionaremos o switch lgico baseado em VXLAN criado anteriormente, DHCPRelay. Ns podemos selecion-lo aqui ou, como alternativa, atribuir a VM ao switch
lgico. Isso feito por meio do menu NSX Logical Switch selecionando o switch lgico e
clicando em add.
1. Selecione a rede que mostra as palavras DHCP Relay. O UUID inteiro do switch
lgico poder variar da captura de tela acima, mas somente um ter DHCPRelay escrito nele. Se voc no conseguir ver a rede listada, clique em "show
more networks".
2. Clique em Next

HOL-1703-SDC-1-PT

Page 246

HOL-1703-SDC-1-PT

Concluir a criao da VM
1. Clique em Finish.

HOL-1703-SDC-1-PT

Page 247

HOL-1703-SDC-1-PT

Acesse a VM recm-criada
Em seguida, abriremos um console para essa VM e a ligaremos e veremos sua
inicializao da imagem PXE. Ela recebe essas informaes por meio do servidor DHCP
remoto configurado anteriormente.
1. Selecione PXE VM no painel esquerdo
2. Selecione a guia Summary
3. Clique em Launch Remote Console

Ligue a VM
Ligue a nova VM.
1. Clique no boto Play

HOL-1703-SDC-1-PT

Page 248

HOL-1703-SDC-1-PT

Obtendo o DHCP de um servidor remoto


Observe que a VM agora est tentando inicializar e obter um endereo DHCP.

HOL-1703-SDC-1-PT

Page 249

HOL-1703-SDC-1-PT

Inicializao da imagem
Esta tela aparecer assim que a VM tiver um endereo DHCP e estiver fazendo
download da imagem PXE do servidor de inicializao. Esta tela levar cerca de 1 a 2
minutos, prossiga para a prxima etapa.

Verifique o fornecimento de IP pelo DHCP


Enquanto aguardamos a inicializao da VM, podemos verificar o endereo usado no
DHCP Lease.
1. V para o desktop do Main Console e clique duas vezes no cone DHCP.

Visualize os endereos
Podemos examinar qual endereo a VM obteve do servidor DHCP.
1. Expanda as sees clicando nas setas

HOL-1703-SDC-1-PT

Page 250

HOL-1703-SDC-1-PT

2. Selecione Address Leases


3. Voc ver o endereo 172.16.50.10, que est no intervalo criado anteriormente

Visualize as opes
Tambm podemos ver as opes de escopo usadas para inicializar a imagem PXE
1. Selecione Scope Options
2. Voc observar que as opes 66 e 67 foram usadas
Agora voc pode fechar o DHCP.

Acesse a VM inicializada
1. Volte para o console PXE VM selecionando-o na barra de tarefas.

HOL-1703-SDC-1-PT

Page 251

HOL-1703-SDC-1-PT

Verifique o endereo e a conectividade


O widget no canto superior direito da VM mostrar as estatsticas, alm do IP da VM.
Ele deve corresponder ao IP mostrado no DHCP anteriormente.

HOL-1703-SDC-1-PT

Page 252

HOL-1703-SDC-1-PT

Verifique a conectividade
Como o roteamento dinmico j est pronto na rede virtual, temos conectividade com a
VM em sua criao. Podemos verificar isso executando ping na VM do Main Console.
1. Clique no cone do Prompt de Comando na barra de tarefas.
2.
Digite ping 172.16.50.10 e pressione enter.
SEND TEXT).

(Lembre-se de usar a opo

ping 172.16.50.10

Voc ver ento uma resposta de ping da VM. Agora a janela de comando pode ser
fechada.

Concluso
Neste laboratrio, conclumos a criao de um novo segmento de rede, ento
transmitimos as solicitaes de DHCP da rede para um servidor DHCP externo. Ao
fazermos isso, pudemos acessar outras opes de inicializao desse servidor DHCP
externo e PXE em um SO Linux.
Este laboratrio foi concludo. Em seguida, vamos explorar os servios L2VPN do
gateway de servios do Edge.

HOL-1703-SDC-1-PT

Page 253

HOL-1703-SDC-1-PT

Configurao do L2VPN
Neste mdulo, utilizaremos os recursos L2VPN do NSX Edge Gateway para estender
umos limites L2 entre dois clusters vSphere separados. Para demonstrar um caso de uso
baseado nessa capacidade, implantaremos um servidor L2VPN do NSX Edge no cluster
RegionA01-MGMT01 e um cliente L2VPN do NSX Edge no cluster RegionA01-COMP01 e
por fim testaremos o status do tnel para verificar uma configurao bem-sucedida.

Abrir o Google Chrome e navegar at o vSphere Web


Client
1. Abra um navegador Google Chrome do desktop (se ainda no estiver aberto).

Navegar at a seo Networking & Security do vSphere


Web Client
1. Clique em Networking & Security.

HOL-1703-SDC-1-PT

Page 254

HOL-1703-SDC-1-PT

Criao do NSX Edge Gateway para o L2VPN-Server


Para criar o servio L2VPN Server, primeiro devemos implantar um NSX Edge Gateway
em que esse servio ser executado.
1. Clique em NSX Edges.
2. Clique no sinal "+" verde para criar um novo Edge.

HOL-1703-SDC-1-PT

Page 255

HOL-1703-SDC-1-PT

Configurao de um novo NSX Edge Gateway: L2VPNServer


O assistente New NSX Edge aparecer com a primeira seo, "Name and Description",
exibida. Insira os valores a seguir, correspondentes aos nmeros seguintes. Deixe os
outros campos em branco ou com seus valores padro.
1. Insira L2VPN-Server em Name.
2. Clique em Next.

HOL-1703-SDC-1-PT

Page 256

HOL-1703-SDC-1-PT

Definir configuraes para o novo NSX Edge Gateway:


L2VPN-Server
Na seo Settings do assistente New NSX Edge, execute estas aes:
1. Insira"VMware1!VMware1!" nos campos Password e Confirm Password e deixe
todas as outras opes com seus padres.
2. Clique no boto Next para continuar.

HOL-1703-SDC-1-PT

Page 257

HOL-1703-SDC-1-PT

Adio do novo appliance do NSX Edge: L2VPN-Server


Na janela pop-up modal "Add NSX Edge Appliance" exibida, insira os seguintes
valores:
1.
2.
3.
4.
5.
6.

Clique no sinal "+" verde para criar um novo NSX Edge Appliance.
Defina Cluster/Resource Pool: RegionA01-MGMT01.
Defina Datastore: RegionA01-ISCSI01-MGMT01.
Defina Host: esx-05a.corp.local.
Defina Folder: mquina virtual descoberta.
Clique no boto OK para enviar esta configurao.

HOL-1703-SDC-1-PT

Page 258

HOL-1703-SDC-1-PT

Voltar para Configure Deployment do novo NSX Edge


Gateway: L2VPN-Server
1. Clique no boto Next para continuar.

Adicione uma interface


1. Clique no sinal "+" verde para adicionar a interface.

HOL-1703-SDC-1-PT

Page 259

HOL-1703-SDC-1-PT

Adio de uma nova interface ao NSX Edge Gateway:


L2VPN-Server
1. Insira L2VPNServer-Uplink no campo Name.
2. Selecione Uplink para o tipo.
3. Clique no cone de sinal "+" verde para listar os campos para um novo Primary
IP Address.
4. Insira 192.168.5.5 como o endereo IP.
5. Insira 29 em Subnet Prefix Length. Verifique se o comprimento inserido
29 e NO 24
6. Click no link rotulado como Select ao lado da caixa de texto chamada
Connected To.

HOL-1703-SDC-1-PT

Page 260

HOL-1703-SDC-1-PT

Conexo da nova interface a um switch lgico


Verifique se a guia Logical Switch est selecionada e execute as seguintes aes:
1. Clique no boto de opo do switch lgico chamado Transit_Network_01 5006.
2. Clique no boto OK para continuar.

HOL-1703-SDC-1-PT

Page 261

HOL-1703-SDC-1-PT

Confirmao da nova configurao de interface: L2VPNServer


Antes de continuar, examine estas configuraes:
1. Clique em OK para concluir a configurao.

HOL-1703-SDC-1-PT

Page 262

HOL-1703-SDC-1-PT

Continuao da nova configurao do NSX Edge Gateway:


L2VPN-Server
1. Clique no boto Next para continuar.

HOL-1703-SDC-1-PT

Page 263

HOL-1703-SDC-1-PT

Definir configuraes de gateway padro para o novo NSX


Edge Gateway: L2VPN-Server
1. Insira Digite 192.168.5.1 em Gateway IP.
2. Clique em Next.

HOL-1703-SDC-1-PT

Page 264

HOL-1703-SDC-1-PT

Definir configuraes de firewall e HA para o novo NSX


Edge Gateway: L2VPN-Server
Para a seo Firewall and HA, configure estas propriedades:
1. Clique na caixa de seleo Configure Firewall default policy.
2. Defina a configurao Default Traffic Policy como Accept.
3. Clique no boto Next para continuar.

HOL-1703-SDC-1-PT

Page 265

HOL-1703-SDC-1-PT

Examinar a nova implantao do NSX Edge Gateway e


concluir: L2VPN-Server
1. Clique no boto Finish para comear a implantar o NSX Edge.

Preparao do NSX Edge L2VPN-Server para conexes


L2VPN
Antes de configurarmos o NSX Edge recm-implantado para conexes L2VPN, algumas
etapas preparatrias sero necessrias, incluindo:
1.) Adio de uma interface trunking ao NSX Edge Gateway L2VPN-Server.
2.) Adio de uma subinterface ao NSX Edge Gateway L2VPN-Server.
3.) Configurao do roteamento dinmico (OSPF) no Edge Gateway L2VPN-Server.

HOL-1703-SDC-1-PT

Page 266

HOL-1703-SDC-1-PT

Configurao do NSX Edge L2VPN-Server


1. Clique duas vezes no NSX Edge Gateway que criamos anteriormente, chamado
"L2VPN-Server" para entrar em sua rea de configurao.

Adio da interface trunking


1.
2.
3.
4.

Clique na guia Manage.


Clique na guia Settings.
Clique em Interfaces
Selecione a vNIC com o nmero"1" e o nome"vnic1" como mostrado na
captura de tela.
5. Clique no cone de lpis para abrir o assistente Edit NSX Edge Interface.

Configurao da interface trunking


Na janela Edit NSX Edge Interface que aparecer, insira os seguintes valores:
1. Insira L2VPN-Server-Trunk como o nome.
2. Defina Type: Trunk

HOL-1703-SDC-1-PT

Page 267

HOL-1703-SDC-1-PT

3. Click no link Select ao lado da caixa de texto Connected To.

Seleo do port group de tronco


No pop-up "Connect NSX Edge to a Network", execute estas aes:
1. Clique em Distributed Portgroup.
2. Clique no boto de opo de Trunk-Network-regionA0-vDS-MGMT.
3. Clique no boto OK.

HOL-1703-SDC-1-PT

Page 268

HOL-1703-SDC-1-PT

Adio de uma subinterface interface trunking


1. Clique no cone de sinal "+" verde abaixo do rtulo Sub Interfaces.

HOL-1703-SDC-1-PT

Page 269

HOL-1703-SDC-1-PT

Configurao da subinterface
No pop-up "Add Sub Interface", insira os valores a seguir.
1.
2.
3.
4.
5.
6.
7.

Name: L2VPN-Server-SubInterface
Tunnel Id: 1
Backing Type: Network
Clique no cone de sinal "+" verde.
Insira 172.16.10.1 no campo Primary IP Address
Insira 24 em Subnet Prefix Length.
Click no link Select ao lado da caixa de texto Connected To.

HOL-1703-SDC-1-PT

Page 270

HOL-1703-SDC-1-PT

Conexo da subinterface a um switch lgico


1. Verifique se a guia Logical Switch est selecionada.
2. Clique no boto de opo de Web_Tier_Logical_Switch (5000).
3. Clique no boto OK.

HOL-1703-SDC-1-PT

Page 271

HOL-1703-SDC-1-PT

Confirmao da configurao da nova interface do NSX


Edge
1. Deixe as outras propriedades como os padres no pop-up Edit NSX Edge
Interface e clique no boto OK.

HOL-1703-SDC-1-PT

Page 272

HOL-1703-SDC-1-PT

Configurao do ID do roteador para este NSX Edge


Em seguida, vamos configurar o roteamento dinmico neste Edge Gateway.
1. Clique na subguia Routing deste Edge Gateway,
2. Clique em Global Configuration na barra de navegao esquerda.
3. Clique no boto Edit na seo Dynamic Routing Configuration Isso mostrar
uma janela pop-up onde podemos configurar a Router ID.

Adicionar L2VPNServer-Uplink
1. Clique em OK.

HOL-1703-SDC-1-PT

Page 273

HOL-1703-SDC-1-PT

Publicar as alteraes para definir Router ID


1. Clique no boto Publish Changes para enviar a alterao de configurao para
este Edge Gateway.

HOL-1703-SDC-1-PT

Page 274

HOL-1703-SDC-1-PT

Configurao de OSPF no NSX Edge L2VPN-Server


Fique na subguia Routing e
1. Clique no item OSPF na barra de navegao esquerda.
2. Clique no cone de sinal "+" verde abaixo da seo Area to Interface
Mapping.

HOL-1703-SDC-1-PT

Page 275

HOL-1703-SDC-1-PT

Configurao do mapeamento de rea para a interface


No pop-up "New Area to Interface Mapping", configure os seguintes valores:
1. vNIC: L2VPNServer-Uplink (caso ainda no esteja selecionada)
2. Area: 0
3. Clique no boto OK.

HOL-1703-SDC-1-PT

Page 276

HOL-1703-SDC-1-PT

Ativar o OSPF no NSX Edge L2VPN-Server


1. Para ativar a configurao OSPF neste Edge Gateway, clique no boto Edit na
seo OSPF Configuration.
2. Marque a caixa de seleo Enable OSPF.
3. Clique no boto OK.

Publicar as alteraes do NSX Edge L2VPN-Server


1. Clique no boto Publish Changes para enviar a alterao de configurao para
este Edge Gateway.

HOL-1703-SDC-1-PT

Page 277

HOL-1703-SDC-1-PT

Ativar o OSPF Route Redistribution


1.
2.
3.
4.

Clique em Route Redistribution.


Clique no boto Edit para o status Route Redistribution.
Caixa de seleo OSPF para ativar o OSPF.
Clique no boto OK.

HOL-1703-SDC-1-PT

Page 278

HOL-1703-SDC-1-PT

Adicionar BGP tabela de redistribuio de rotas OSPF


1. Em seguida, clique no cone de sinal "+" verde abaixo da seo da tabela
Route Redistribution.

HOL-1703-SDC-1-PT

Page 279

HOL-1703-SDC-1-PT

Configurar a entrada da tabela Route Redistribution


No pop-up "New Redistribution criteria", configure os seguintes valores:
1. Clique na caixa de seleo Connected e deixe todas as outras caixas de seleo
desmarcadas.
2. Clique no boto OK.

Publicar as alteraes
1. Clique no boto Publish Changes.
Uma vez concludo, todos os pr-requisitos foram executados para o prosseguimento da
configurao do servio L2VPN neste Edge Gateway.

Configurao do servio L2VPN no NSX Edge L2VPN-Server


Agora que o endereo 172.16.10.1 pertence ao Edge Gateway L2VPN-Server e ele est
distribuindo suas rotas dinamicamente via OSPF, comearemos a configurar o servio
L2VPN neste Edge Gateway para que o Edge aja como um "Servidor" no L2VPN.

Navegao at a rea de servios de VPN no NSX Edge


Gateway L2VPN-Server
1. Clique na guia VPN.

HOL-1703-SDC-1-PT

Page 280

HOL-1703-SDC-1-PT

2. Clique na seleo L2 VPN na barra de navegao esquerda.


3. Clique no boto Change como mostrado na captura de tela.

Definio das configuraes do servidor L2VPN


Nas definies do servidor L2 VPN, configure os seguintes valores:
1. Defina Encryption Algorithm: ECDHE-RSA-AES256-GCM-SHA384
2. Clique no boto OK para continuar.

HOL-1703-SDC-1-PT

Page 281

HOL-1703-SDC-1-PT

Adicionar uma nova configurao de site


1. Clique no cone do sinal "+" verde.

HOL-1703-SDC-1-PT

Page 282

HOL-1703-SDC-1-PT

Configurao de um novo site L2VPN


1.
2.
3.
4.
5.

Marque a caixa de seleo Enable Peer Site.


Insira HOLSite1 no campo de nome.
User ID: siteadmin
Password: VMware1!
Clique no link Select Sub Interfaces

HOL-1703-SDC-1-PT

Page 283

HOL-1703-SDC-1-PT

Seleo de uma subinterface


No pop-up "Select Object", execute estas aes:
1. Selecione o objeto L2VPN-Server-SubInterface.
2. Clique na seta para a direita para mov-lo para a lista Selected Objects.
3. Clique no boto OK.

HOL-1703-SDC-1-PT

Page 284

HOL-1703-SDC-1-PT

Confirmao da configurao do novo site


1. Clique no boto OK para continuar.

HOL-1703-SDC-1-PT

Page 285

HOL-1703-SDC-1-PT

Publicar as alteraes para a configurao L2VPN


1. Antes de clicar no boto Publish Changes, verifique se L2VPN Mode est
definido como "Server."
2. Clique no boto Publish Changes para enviar a configurao do servidor L2
VPN.

HOL-1703-SDC-1-PT

Page 286

HOL-1703-SDC-1-PT

Ativar o servio do servidor L2VPN


1. Por fim, para ativar o servio do servidor L2 VPN, clique no boto Enable como
mostrado na captura de tela.
2. Clique em Publish Changes.

Isso conclui a configurao do servidor L2 VPN. Em seguida, implantaremos outro NSX


Edge Gateway novo, que agir como o cliente L2 VPN.

Implantao do NSX Edge Gateway L2VPN-Client


Agora que o lado servidor do L2VPN est configurado, prosseguiremos com a
implantao de outro NSX Edge Gateway para agir como o cliente L2 VPN. Antes de
implantar o NSX Edge Gateway L2VPN Client, precisamos configurar o Uplink e Trunk
port groups distribudos no switch virtual distribudo.

Configurar o Uplink e os Trunk port groups


1. Volte para a tela inicial do vSphere Web Client e selecione Networking

HOL-1703-SDC-1-PT

Page 287

HOL-1703-SDC-1-PT

Configurar o port group distribudo Uplink


1. Selecione RegionA01-vDS-COMP
2. Clique em Create a new port group

HOL-1703-SDC-1-PT

Page 288

HOL-1703-SDC-1-PT

Nomear o novo port group distribudo


1. Entre no Uplink-RegionA01-vDS-COMP
2. Clique em Next

HOL-1703-SDC-1-PT

Page 289

HOL-1703-SDC-1-PT

Definir configuraes
1. Mantenha as configuraes padro e clique em Next

HOL-1703-SDC-1-PT

Page 290

HOL-1703-SDC-1-PT

Pronto para concluir


1. Clique em Finish.
Repita as etapas anteriores para configurar Trunk-Network-RegionA01-vDS-COMP

HOL-1703-SDC-1-PT

Page 291

HOL-1703-SDC-1-PT

Configurao vDS concluda


1. Quando concludo, voc dever ver os port groups distribudos recm-criados.
2. Clique em Home.

Volte para Networking & Security


1. Clique em Networking & Security

HOL-1703-SDC-1-PT

Page 292

HOL-1703-SDC-1-PT

NSX Edges
1. Selecione NSX Edges

Criao do novo NSX Edge Gateway para ser o L2VPNClient


1. Clique nocone de sinal de mais verde (+) para abrir o assistente New NSX
Edge.

HOL-1703-SDC-1-PT

Page 293

HOL-1703-SDC-1-PT

Nome e descrio do NSX Edge L2VPN-Client


Para as opes aqui, selecione os seguintes valores:
1. Install Type: Edge Services Gateway
2. Name: L2VPN-Client
3. Verifique se"Deploy NSX Edge" est marcado e clique no boto Next.

HOL-1703-SDC-1-PT

Page 294

HOL-1703-SDC-1-PT

Definio das configuraes do NSX Edge


Para a seo Settings, configure os seguintes valores:
1. User Name: admin
2. Password e confirm password: VMware1!VMware1!
3. Clique no boto Next para continuar.

HOL-1703-SDC-1-PT

Page 295

HOL-1703-SDC-1-PT

Configurar o posicionamento do NSX Edge


No pop-up "Add NSX Edge Appliance", configure os seguintes valores:
1.
2.
3.
4.
5.
6.

Clique no sinal "+" verde para criar o NSX Edge Appliance.


Cluster/Resource Pool: RegionA01-COMP01.
Datastore: RegionA01-ISCSI01-COMP01.
Host: esx-03a.corp.local.
Folder: mquina virtual descoberta.
Clique no boto OK para enviar esta configurao de posicionamento de VM do
Edge.

HOL-1703-SDC-1-PT

Page 296

HOL-1703-SDC-1-PT

Confirmar a implantao do NSX Edge


1. Confirme se a configurao parece com a captura de tela mostrada aqui e clique
no boto Next para continuar.

Configurar interfaces para o NSX Edge L2VPN-Client


1. Na seo Configure interfaces do assistente, clique nocone do sinal de mais
verde (+).

HOL-1703-SDC-1-PT

Page 297

HOL-1703-SDC-1-PT

Adicionar nova interface


Para os parmetros nesta interface, insira os seguintes valores:
1.
2.
3.
4.
5.
6.

Name: L2VPN-Client-Uplink
Type: Uplink
Clique no sinal "+" verde para adicionar um novo endereo IP.
Insira 192.168.200.5 em Primary IP Address.
Insira 24 em Subnet Prefix Length.
Clique no link Select ao lado da caixa de texto "Connected To" para abrir a lista
de redes para escolher a que esta interface estar conectada.

HOL-1703-SDC-1-PT

Page 298

HOL-1703-SDC-1-PT

Conectar a interface ao port group distribudo


No pop-up "Connect NSX Edge to a Network", execute estas aes:
1. Clique na guia Distributed Portgroup.
2. Clique no boto de opo de Uplink-RegionA01-vDS-COMP.
3. Clique no boto OK para continuar.

HOL-1703-SDC-1-PT

Page 299

HOL-1703-SDC-1-PT

Confirmar a configurao da interface


1. Clique em OK para confirmar a nova interface.

HOL-1703-SDC-1-PT

Page 300

HOL-1703-SDC-1-PT

Clique em Next
1. Clique em Next

HOL-1703-SDC-1-PT

Page 301

HOL-1703-SDC-1-PT

Configurar o Default gateway


Na seo Default Gateway Settings, configure os seguintes valores:
1. Gateway IP: 192.168.200.1
2. Clique no boto Next para continuar.

HOL-1703-SDC-1-PT

Page 302

HOL-1703-SDC-1-PT

Configuraes de firewall e HA
Na seo "Firewall e HA", execute estas aes:
1. Marque a caixa de seleo Configure Firewall default policy.
2. Clique no boto de opo de Accept for "Default Traffic Policy.
3. Clique no boto Next para continuar.

HOL-1703-SDC-1-PT

Page 303

HOL-1703-SDC-1-PT

Confirmar a nova configurao do NSX Edge


1. Clique no boto Finish para enviar a nova configurao do Edge Gateway e
iniciar o processo de implantao.

Configurao do NSX Edge Gateway L2VPN-Client


1. Clique duas vezes na entrada do Edge recm-criado para entrar em sua
rea de gerenciamento.

HOL-1703-SDC-1-PT

Page 304

HOL-1703-SDC-1-PT

Adio da Trunk Interface


Assim como o Edge Gateway L2VPN-Server, tambm h uma necessidade de adicionar
uma Trunk interface nesse Edge. Para abrir a janela de configurao da nova interface,
execute estas aes:
1.
2.
3.
4.
5.

Clique na guia Manage.


Clique na subguia Settings.
Clique na seleo Interfaces na barra de navegao esquerda.
Selecione a interface chamada vnic1 sob a coluna Name.
Clique nocone de lpis para abrir a rea de configurao dessa interface.

HOL-1703-SDC-1-PT

Page 305

HOL-1703-SDC-1-PT

Configurao da Trunk interface


No pop-up Edit NSX Edge Interface, insira os seguintes valores:
1. Name: L2PVN-Client-Trunk
2. Type: Trunk
3. Clique no link Select ao lado da caixa de texto "Connected To" para abrir a lista
de redes do vSphere disponveis s quais essa interface ser conectada.

Conectando ao Trunk port group distribudo


1. Clique na guia Distributed Portgroup.
2. Selecione o boto de opo de Trunk-Network-RegionA01-vDS-COMP.
3. Clique no boto OK.

Configurao da subinterface
Configure a subinterface com os seguintes valores:
1. Clique no sinal "+" verde para adicionar a subinterface.

HOL-1703-SDC-1-PT

Page 306

HOL-1703-SDC-1-PT

2.
3.
4.
5.
6.
7.
8.

Name: L2VPN-Client-SubInterface.
Tunnel ID: 1
Backing Type: Network
Clique no cone do sinal "+" verde
Insira 172.16.10.1 em Primary IP Address.
Insira 24 em Subnet Prefix Length.
Clique no link Select ao lado da caixa de texto Network para abrir a lista de
redes disponveis s quais essa subinterface ser conectada.

HOL-1703-SDC-1-PT

Page 307

HOL-1703-SDC-1-PT

Conectar a subinterface rede de VMs


1. Selecione a guia Distributed Portgroup.
2. Marque o boto de opo de VM-RegionA01-vDS-COMP.
3. Clique no boto OK.

HOL-1703-SDC-1-PT

Page 308

HOL-1703-SDC-1-PT

Confirmar a configurao da subinterface


1. Confirme se a configurao da Subinterface se parece com a captura de tela
mostrada aqui e clique no boto OK para continuar.

HOL-1703-SDC-1-PT

Page 309

HOL-1703-SDC-1-PT

Confirmar a adio do trunk e da subinterface


1. Confirme se a configurao da Subinterface se parece com a captura de tela
mostrada aqui e clique no boto OK para continuar a configurar o servio de
cliente L2 VPN.

HOL-1703-SDC-1-PT

Page 310

HOL-1703-SDC-1-PT

Configurar servios do cliente L2VPN


Para iniciar a configurao do cliente L2VPN, execute estas aes:
1.
2.
3.
4.

Clique
Clique
Clique
Clique

na
na
no
no

HOL-1703-SDC-1-PT

subguia VPN.
seleo L2 VPN na barra de navegao esquerda.
boto de opo de Client na rea L2VPN Mode.
boto Change na rea Global Configuration Details.

Page 311

HOL-1703-SDC-1-PT

Configuraes do cliente L2VPN


Para as configuraes de cliente insira os seguintes valores:
1.
2.
3.
4.
5.

Server Address: 192.168.5.5


Encryption algorithm: ECDHE-RSA-AES256-GCM-SHA384
Para os detalhes do usurio, insira siteadmin em User ID,
Insira VMware1! nos campos Password and Confirm Password.
Clique no link Select Sub Interfaces ao lado da lista de subinterfaces
disponveis s quais o servio ser conectado.

Adicionar subinterface
Para adicionar uma nova subinterface ao servio L2 VPN, execute as seguintes aes:
1. Selecione o objeto L2VPN-Client-SubInterface da lista de objetos disponveis
esquerda.

HOL-1703-SDC-1-PT

Page 312

HOL-1703-SDC-1-PT

2. Clique na seta para a direita para mover o objeto para a lista Selected
Objects.
3. Clique no boto OK.

HOL-1703-SDC-1-PT

Page 313

HOL-1703-SDC-1-PT

Confirmar as configuraes do cliente L2VPN


1. Confirme se a configurao parece com a captura de tela aqui e clique no boto
OK para continuar.

HOL-1703-SDC-1-PT

Page 314

HOL-1703-SDC-1-PT

Ativar o servio do cliente L2VPN


1. Para ativar o servio do cliente L2 VPN, clique no boto Enable como mostrado
na captura de tela.

Publicar as alteraes
1. Clique em Publish Changes.

Buscar o status de L2VPN


1. Uma vez ativado, clique no boto chamado Fetch Status. Talvez seja necessrio
clicar nisso algumas vezes aps a ativao do servio.
2. Expanda Tunnel Status.
3. Verifique se o Status Up como visto na captura de tela acima.
Parabns! Ns configuramos com sucesso o servio NSX L2VPN.

HOL-1703-SDC-1-PT

Page 315

HOL-1703-SDC-1-PT

Isso conclui a lio sobre a configurao dos servios L2VPN do Edge Services Gateway.

HOL-1703-SDC-1-PT

Page 316

HOL-1703-SDC-1-PT

Concluso do Mdulo 4
Isso conclui o Mdulo 4 - Gateway de servios do Edge: Esperamos que voc tenha
aproveitado o laboratrio! No se esquea de preencher a pesquisa quando terminar.
Se voc estiver procurando informaes adicionais sobre a implantao do NSX, acesse
o centro de documentao do NSX 6.2 por meio do URL abaixo:
Acesse https://pubs.vmware.com/NSX-62/index.jsp
Caso tenha tempo sobrando, confira a lista dos outros mdulos que fazem parte deste
laboratrio e o tempo estimado para concluir cada um.
Clique no boto "ndice" para ir rapidamente para um mdulo no manual
Lista de mdulos de laboratrio:
Mdulo 1 - Passo a passo da instalao (30 minutos) - Bsico - este mdulo
acompanhar voc por uma instalao bsica do NSX, incluindo a implantao do
.ova, a configurao do NSX Manager, a implantao de controladores e a
preparao de hosts.
Mdulo 2 - Switch lgico (30 minutos) - Bsico - este mdulo acompanhar
voc pelas noes bsicas da criao de switches lgicos e da anexao de
mquinas virtuais a switches lgicos.
Mdulo 3 - Roteamento lgico (60 minutos) - Bsico - este mdulo nos
ajudar a compreender alguns dos recursos de roteamento com suporte na
plataforma NSX e tambm como utilizar esses recursos durante a implantao de
um aplicativo de trs camadas.
Mdulo 4 - Edge Services Gateway (ESG) (60 minutos) - Bsico - este mdulo
demonstrar os recursos do Edge Services Gateway e como ele pode oferecer
servios comuns, como DHCP, VPN, NAT, roteamento dinmico e balanceamento
de carga.
Mdulo 5 - Bridge fsico virtual (30 minutos) - Bsico - este mdulo nos guiar
pela configurao de uma instncia de bridge L2 entre uma VLAN tradicional e
um switch lgico NSX. Tambm haver uma demonstrao off-line da integrao
do NSX com switches compatveis com VXLAN de hardware Arista.
Mdulo 6 - Firewall distribudo (45 minutos) - Bsico - este mdulo abordar o
firewall distribudo e a criao de regras de firewall entre um aplicativo de trs
camadas.
Chefes do laboratrio:
Mdulo 1 - Michael Armstrong, engenheiro de sistemas snior, Reino
Unido
Mdulo 2 - Mostafa Magdy, engenheiro de sistemas snior, Canad
Mdulo 3 - Aaron Ramirez, engenheiro de sistemas da equipe, EUA

HOL-1703-SDC-1-PT

Page 317

HOL-1703-SDC-1-PT

Mdulo 4 - Chris Cousins, engenheiro de sistemas, EUA


Mdulo 5 - Aaron Ramirez, engenheiro de sistemas da equipe, EUA
Mdulo 6 - Brian Wilson, engenheiro de sistemas da equipe, EUA

HOL-1703-SDC-1-PT

Page 318

HOL-1703-SDC-1-PT

Mdulo 5 - Bridge fsicovirtual (60 minutos)

HOL-1703-SDC-1-PT

Page 319

HOL-1703-SDC-1-PT

VxLAN Bridge - Funcionalidade Nativa


O NSX oferece recursos de Bridge L2 (VxLAN Bridge) em software atravs do kernel, o
que permite que as organizaes conectem diretamente as cargas de trabalho
tradicionais e VLANs redes virtualizadas VxLAN. A VxLAN Bridge amplamente usada
em ambientes existentes para simplificar a adoo da virtualizao de redes, bem como
de outros cenrios que envolvam sistemas fsicos que exijam conectividade L2 s
mquinas virtuais.
Os roteadores lgicos distribudos podem oferecer a funcionalidade de bridge L2 entre
as redes lgicas VxLAN do NSX e as VLANs das redes fsicas. Isso permite a criao de
uma Bridge L2 entre um Logical Switch e uma VLAN, permitindo assim a migrao de
dispositivos fsicos para cargas de trabalho virtuais sem afetar os endereos IP. Ao criar
uma Bridge entre o domnio de broadcast do Logical Switch para o domnio de broadcast
da VLAN, a rede lgica VxLAN pode aproveitar um gateway L3 existente e acessar os
recursos de segurana existentes nas redes fsicas. No NSX-V 6.2, essa funo foi
aprimorada, permitindo agora que as Bridges VxLAN sejam conectadas diretamente a
Logical Switches que utilizam Roteadores Lgicos Distribudos (DLR) como Default
Gateway. Esta operao no era permitida em verses anteriores do NSX.
Este mdulo nos guiar pela configurao de uma instncia de Bridge L2 entre uma
VLAN tradicional e um Logical Switch do NSX.

HOL-1703-SDC-1-PT

Page 320

HOL-1703-SDC-1-PT

Introduo
A imagem acima mostra as melhorias de Bridge L2 fornecidas no NSX 6.2:
No NSX 6.0 e 6.1, no era possvel criar uma Bridge em um Logical Switch
conectado a um Roteador Lgico Distribudo: para esse cenrio, era necessrio
conectar o Logical Switch diretamente um Edge Services Gateway (ESG).
No NSX 6.2, essa configurao agora possvel e permite a otimizao do trfego
Leste-Oeste.
Agora voc vai configurar a Bridge L2 do NSX com o NSX 6.2 utilizando a configurao
recm-suportada.

Instrues especiais para comandos da CLI


Em muitos dos mdulos, voc dever inserir comandos da interface de linha
de comando (CLI, Command Line Interface). H duas maneiras de enviar
comandos da CLI para o laboratrio.
A primeira enviar um comando da CLI para o console do laboratrio:
1. Destaque o comando da CLI no manual e use Control+c para copiar para
a rea de transferncia.
2. Clique no item de menu do console SEND TEXT.
3. Pressione Control+v para colar da rea de transferncia para a janela.
4. Clique no boto SEND.
Na segunda, um arquivo de texto (README.txt) foi colocado na rea de
trabalho do ambiente, permitindo que voc copie e cole com facilidade
comandos ou senhas complexos nos utilitrios associados (CMD, Putty,

HOL-1703-SDC-1-PT

Page 321

HOL-1703-SDC-1-PT

console etc). Com frequncia, determinados caracteres no esto presentes


em teclados usados no mundo. Este arquivo de texto tambm includo para
layouts de teclado que no oferecem esses caracteres.
O arquivo de texto chama-se README.txt e pode ser encontrado na rea de
trabalho.

Acesse o vSphere Web Client


Abra o vSphere Web Client por meio do cone do Chrome na rea de trabalho.

HOL-1703-SDC-1-PT

Page 322

HOL-1703-SDC-1-PT

Faa login no vSphere Web Client


Faa login no vSphere Web Client usando a autenticao de sesso do Windows.
1. Clique em Use Windows session authentication - isso preencher
automaticamente com as credenciais administrator@corp.local / VMware1!
2. Clique em Login

Verifique a configurao inicial


Agora voc pode verificar a configurao inicial. O ambiente vem com um Port Group no
Cluster Management & Edge, chamado "Bridged-Net-RegionA0-vDS-MGMT" (Bridge-Net).
As VMs correspondentes aos servidores Web so chamadas "web-01a" e "web-02a"
esto conectadas ao switch lgico Web-Tier-01 no momento e esto isoladas do Port
Group "Bridged-Net". A imagem mostra a topologia.

HOL-1703-SDC-1-PT

Page 323

HOL-1703-SDC-1-PT

Acesse a configurao de rede do vSphere


1. Clique no cone Home
2. Clique em "Networking" para acessar a interface de configurao de rede do
vSphere.

Acesse o Port Group


1. Expanda a rvore de objetos ("vcsa-01a.corp.local", "RegionA01",
"RegionA01-vDS-MGMT")
2. Clique no port group "Bridged-Net-RegionA0-vDS-MGMT" presente na lista

Edite as Configuraes
1. Clique em Actions.

HOL-1703-SDC-1-PT

Page 324

HOL-1703-SDC-1-PT

2. Clique em Edit Settings.


Observao: vamos definir a VLAN para permitir a apresentao do Port Group
"Bridged-Net" para o Roteador Distribudo criar a Bridge L2.

HOL-1703-SDC-1-PT

Page 325

HOL-1703-SDC-1-PT

Edite as Configuraes de VLAN


1. Clique em VLAN na lista Edit Settings.
2. Clique na lista suspensa VLAN type.
3. Selecione VLAN.

HOL-1703-SDC-1-PT

Page 326

HOL-1703-SDC-1-PT

Adicione a VLAN 101 ao Port Group "Bridge-Net


1. Adicione "101" ao campo VLAN ID.
2. Clique em OK.

HOL-1703-SDC-1-PT

Page 327

HOL-1703-SDC-1-PT

Verifique o ID da VLAN
1. Clique na guia "Summary".
2. Verifique se o Port Group est configurado com a VLAN ID 101.

HOL-1703-SDC-1-PT

Page 328

HOL-1703-SDC-1-PT

Migre a VM web-01a para o cluster RegionA01-MGMT01


1. Clique no cone Home
2. Selecione VMs and Templates

HOL-1703-SDC-1-PT

Page 329

HOL-1703-SDC-1-PT

Migre a VM web-01a
1.
2.
3.
4.

Expanda a lista suspensa vcsa-01a.corp.local vCenter.


Expanda a lista suspensa RegionA01data center.
Clique com o boto direito do mouse em web-01a.corp.local.
Clique em Migrate.

HOL-1703-SDC-1-PT

Page 330

HOL-1703-SDC-1-PT

Selecione o tipo de migrao


1. Selecione Change both compute resources and storage.
2. Selecione a opo Select compute resource first.
3. Clique em Next.

HOL-1703-SDC-1-PT

Page 331

HOL-1703-SDC-1-PT

Selecione o recurso de processamento


1.
2.
3.
4.
5.

Expanda a lista suspensa vcsa-01a.corp.local vCenter.


Expanda a lista suspensa RegionA01data center.
Expanda o cluster RegionA01-MGMT01.
Selecione esx-04a.corp.local.
Clique em Next.

HOL-1703-SDC-1-PT

Page 332

HOL-1703-SDC-1-PT

Selecione o armazenamento
1. Selecione o armazenamento RegionA01-ISCSI01-MGMT01.
2. Clique em Next.

HOL-1703-SDC-1-PT

Page 333

HOL-1703-SDC-1-PT

Selecione a rede de destino


1. Clique no menu suspenso na coluna Destination Network.
2. Selecione Browse.

HOL-1703-SDC-1-PT

Page 334

HOL-1703-SDC-1-PT

Selecione Bridged-Net-RegionA0-vDS-MGMT
1. Selecione a rede Bridged-Net-RegionA0-vDS-MGMT.
2. Clique em OK.

HOL-1703-SDC-1-PT

Page 335

HOL-1703-SDC-1-PT

Verifique a rede de destino e clique Next


1. Clique em Next.

HOL-1703-SDC-1-PT

Page 336

HOL-1703-SDC-1-PT

Selecione a prioridade do vMotion


1. Selecione Schedule vMotion with high priority (recommended)
2. Clique em Next.

HOL-1703-SDC-1-PT

Page 337

HOL-1703-SDC-1-PT

Clique em Finish
1. Clique em Finish.

Visualize as VMs conectadas


1. Clique no boto Back para ir para Networking.

Visualize os objetos relacionados ao Port Group "BridgedNet"


1. Selecione o port group Bridged-Net-RegionA0-vDS-MGMT.

HOL-1703-SDC-1-PT

Page 338

HOL-1703-SDC-1-PT

2. Selecione a guia Related Objects.


3. Selecione a visualizao Virtual Machines.
Observao: a VM web-01a.corp.local dever estar listada agora. Caso necessrio
clique no boto "Refresh" para atualizar o status
4.

Clique em web-01a.corp.local.

Abra o console da VM web-01a


1. Clique na guia Summary e verifique se a VM tem um endereo IP 172.16.10.11.
2. Clique em Launch Remote Console.

HOL-1703-SDC-1-PT

Page 339

HOL-1703-SDC-1-PT

Verifique se a VM est isolada


Assim que a janela do console estiver aberta, clique no meio da tela e pressione
"Enter" para que algo aparea nela.
1. Faa login como root com a senha VMware1!
2. Digite ping -c 3 172.16.10.1
(lembre-se de usar a ferramenta SEND TEXT)
ping -c 3 172.16.10.1

Aguarde at o ping atingir o tempo limite: voc acabou de verificar que a VM est
isolada, j que no h outros dispositivos na VLAN 101 e a Bridge L2 ainda no est
configurada.

HOL-1703-SDC-1-PT

Page 340

HOL-1703-SDC-1-PT

Migre o Web_Tier_Logical_Switch para o Roteador Lgico


Distribudo
1. Clique no cone Home.
2. Selecione Network & Security.

Remova Web_Tier do roteador Perimeter Gateway


1. Clique em NSX Edges.
2. Clique duas vezes em edge-3 Perimeter-Gateway-01.

HOL-1703-SDC-1-PT

Page 341

HOL-1703-SDC-1-PT

Remova a interface vNIC da camada Web


1.
2.
3.
4.
5.

Clique na aba Manage.


Clique na aba Settings.
Selecione Interfaces.
Selecione a interface com nome Web_Tier.
Exclua o Logical Switch Web_Tier do ESG.

Clique em OK
Clique em OK.

Volte para o menu "Edges


1. Clique no boto Back de Networking & Security para voltar para o menu
"Edges.

HOL-1703-SDC-1-PT

Page 342

HOL-1703-SDC-1-PT

Selecione o Distributed-Router-01
1. Clique duas vezes em Distributed-Router-01.

Conecte o Logical Switch da camada Web


1.
2.
3.
4.

Clique em Manage.
Clique em Settings.
Selecione Interfaces no menu esquerdo.
Clique no "sinal de mais verde" para adicionar o Logical Switch da camada
Web.

HOL-1703-SDC-1-PT

Page 343

HOL-1703-SDC-1-PT

Conecte o Logical Switch da camada Web


1. Insira Web-Tier no campo Name.
2. Clique em Select ao lado do campo Connected To.

HOL-1703-SDC-1-PT

Page 344

HOL-1703-SDC-1-PT

Selecione o Logical Switch da camada Web


1. Selecione Web_Tier_Logical_Switch.
2. Clique em OK.

HOL-1703-SDC-1-PT

Page 345

HOL-1703-SDC-1-PT

Adicione o Endereo IP Primrio


1. Clique no "sinal de mais verde" para configurar o endereo IP primrio da subrede.
2. Insira "172.16.10.1" em Primary IP Address.
3. Insira "24" em Subnet Prefix Length.
4. Clique em OK.

HOL-1703-SDC-1-PT

Page 346

HOL-1703-SDC-1-PT

Confirmar a adio do Logical Switch ao Roteador Lgico


Distribudo
Confirme se o Logical Switch da camada Web foi implantado com xito.

Configurar a Bridge L2 do NSX


Agora voc poder ativar a Bridge L2 do NSX entre a VLAN 101 e o Logical Switch WebTier-01, para que a VM "web-01a" consiga se comunicar com o restante da rede. Com o
NSX-V 6.2, agora possvel ter uma Bridge L2 e um Roteador Lgico Distribudo
conectado ao mesmo Logical Switch. Isso representa uma melhoria importante, j que
simplifica a integrao do NSX ambientes existentes, bem como a migrao da rede
fsica para a rede virtual.

HOL-1703-SDC-1-PT

Page 347

HOL-1703-SDC-1-PT

Criando uma nova Bridge L2


1. Clique na guia "Bridging".
2. Verifique se no h instncias de Bridge configuradas na lista, ento clique no
cone de "sinal de mais verde" para adicionar uma.

Insira o nome da Bridge


1. Insira Bridge-01 no campo de entrada "Name".
2. Em seguida, clique no cone para selecionar um Logical Switch ao qual nossa
Bridge ser conectada.

HOL-1703-SDC-1-PT

Page 348

HOL-1703-SDC-1-PT

Selecione o Logical Switch


1. Selecione Web_Tier_Logical_Switch.
2. Clique em OK.

Abra a caixa de dilogo de seleo do Port Group


Distribudo
Clique no cone Distributed Port Group para abrir a caixa de dilogo de
seleo.

Selecione o Port Group Distribudo


1. Selecione o Port Group Distribudo Bridged-Net-RegionA0-vDA-MGMT

HOL-1703-SDC-1-PT

Page 349

HOL-1703-SDC-1-PT

2. Clique em OK

Confirme a configurao da Bridge


Verifique a configurao da Bridge L2 na caixa de dilogo e clique em OK.

HOL-1703-SDC-1-PT

Page 350

HOL-1703-SDC-1-PT

Publique as alteraes
Para ativar a Bridge L2, clique no boto Publish Changes e aguarde at a
pgina ser atualizada.

Verifique se o roteamento est ativado


Verifique a configurao publicada. Voc notar a mensagem "Routing Enabled": ela
significa que esta Bridge L2 tambm est conectada a um Roteador Lgico Distribudo,
que uma melhoria do NSX-V 6.2.

Verifique a Bridge L2
A Bridge L2 do NSX foi configurada. Agora voc verificar a conectividade L2 entre a VM
"web-01a" conectada VLAN 101 e as mquinas conectadas ao Logical Switch "WebTier-01"

Verifique a conectividade do Default Gateway


1. Abra a guia do console web-01a na barra de tarefas e tente executar um ping
com default gateway novamente
2. Realize um ping -c 3 172.16.10.1

HOL-1703-SDC-1-PT

Page 351

HOL-1703-SDC-1-PT

ping -c 3 172.16.10.1

Agora, o ping foi bem-sucedido: voc verificou a conectividade entre uma VM conectada
VLAN 101 e ao Roteador Lgico Distribudo que o Default Gateway da rede, por meio
de uma Brisge L2 fornecida pelo NSX!
Observao: talvez voc experimente pings "duplicados" durante este teste (as
respostas aparecem como DUP!): isso se deve natureza do ambiente dos laboratrios
prticos e no acontecer em um cenrio real.

Excluso da Bridge L2 criada no mdulo


Se voc quiser prosseguir para os outros mdulos deste laboratrio prtico, siga as
prximas etapas para desativar a Bridge L2, j que a configurao de exemplo realizada
neste ambiente especfico poderia entrar em conflito com outras sees, como L2VPN.

HOL-1703-SDC-1-PT

Page 352

HOL-1703-SDC-1-PT

Volte ao vSphere Web Client


1. Clique na guia vSphere Web Client no navegador.

Acesse a Menu de configurao do NSX


1. Clique no cone Home.
2. Clique em"Networking & Security"no menu.

HOL-1703-SDC-1-PT

Page 353

HOL-1703-SDC-1-PT

Abra a seo de configurao do Roteador Lgico


1. No menu Navigator esquerda, clique em "NSX Edges" e aguarde at a lista
de NSX Edges ser carregada.
2. Clique duas vezes no edge-6 chamado "Distributed-Router-01" para acessar
sua pgina de configurao.

Exclua a instncia de Bridge


1. Clique na guia "Manage" se ela ainda no tiver sido selecionada.
2. Em seguida, clique na guia "Bridging" se ela ainda no tiver sido selecionada.
Observao: ns devemos ver somente a instncia "Bridge-01" criada anteriormente,
que destacada por padro.
3.

Clique no cone Delete para destru-la.

HOL-1703-SDC-1-PT

Page 354

HOL-1703-SDC-1-PT

Publique as alteraes
1. Clique no boto "Publish Changes" para confirmar a configurao.

Verifique a excluso da Bridge


Verifique se a instncia da Bridge foi excluda.

HOL-1703-SDC-1-PT

Page 355

HOL-1703-SDC-1-PT

Migre a VM web-01a de volta ao cluster


RegionA01-COMP01
1. Clique no cone Home.
2. Selecione VMs and Templates.

HOL-1703-SDC-1-PT

Page 356

HOL-1703-SDC-1-PT

Migre web-01a
1.
2.
3.
4.

Expanda a lista suspensa vcsa-01a.corp.local vCenter.


Expanda a lista suspensa RegionA01data center.
Clique com o boto direito do mouse em web-01a.corp.local.
Clique em Migrate.

HOL-1703-SDC-1-PT

Page 357

HOL-1703-SDC-1-PT

Selecione o tipo de migrao


1. Selecione Change both compute resources and storage.
2. Selecione a opo Select compute resource first.
3. Clique em Next.

HOL-1703-SDC-1-PT

Page 358

HOL-1703-SDC-1-PT

Selecione o recurso de processamento


1.
2.
3.
4.
5.

Expanda a lista suspensa vcsa-01a.corp.local vCenter.


Expanda a lista suspensa RegionA01data center.
Expanda o cluster RegionA01-COMP01.
Selecione esx-01a.corp.local.
Clique em Next.

HOL-1703-SDC-1-PT

Page 359

HOL-1703-SDC-1-PT

Selecionar o armazenamento
1. Selecione o armazenamento RegionA01-ISCSI01-COMP01.
2. Clique em Next.

HOL-1703-SDC-1-PT

Page 360

HOL-1703-SDC-1-PT

Selecionar a rede de destino


1. Clique no menu suspenso em Destination Network.
2. Selecione vxm-dvs-43-virtualwire-1-sid-5000-Web_Tier_Logical_Switch.

HOL-1703-SDC-1-PT

Page 361

HOL-1703-SDC-1-PT

Selecione a prioridade do vMotion


1. Selecione Schedule vMotion with high priority (recommended)
2. Clique em Next.

HOL-1703-SDC-1-PT

Page 362

HOL-1703-SDC-1-PT

Clique em Finish
Clique em Finish.

Concluso
Parabns, voc concluiu o mdulo Bridge Fsco-Virtual do NSX! Neste mdulo,
configuramos e testamos a Bridge entre uma VLAN de um Port Group e uma VxLAN de
um Logical Switch do NSX.

HOL-1703-SDC-1-PT

Page 363

HOL-1703-SDC-1-PT

Introduo ao HW VTEP com Arista


As sees do mdulo a seguir relacionadas a Hardware VTEP so informativas. Se voc
quiser pular diretamente para o trabalho de laboratrio, avance para o Mdulo 6 Firewall Distribudo.
Em vrios data centers, algumas cargas de trabalho no foram virtualizadas ou no
podem ser virtualizadas. Para integr-las arquitetura do SDDC, o NSX oferece a
capacidade de estender a rede virtual para a fsica por meio de Gateways de Camada 2
ou de Camada 3. Esta seo se concentrar no recurso de Gateway de Camada 2, como
ele pode ser utilizado nativamente em um host que executa o NSX, ou tambm por
meio de um dispositivo de hardware de terceiros, como o switch de rede da Arista que
ainda pode ser controlado pelo NSX. Como uma plataforma, o NSX oferece aos parceiros
a capacidade de integrar e criar solues e baseado nas funcionalidades existentes. O
NSX tambm permite que haja uma infraestrutura base gil para ambientes de nuvem
pblica e privada.
O NSX como uma plataforma opera de forma eficiente, usando uma camada de
"hypervisor de rede" distribuda entre todos os hosts. No entanto, em alguns casos,
determinados hosts na rede no so virtualizados e no podem implementar
nativamente os componentes do NSX. O NSX oferece a capacidade de criar uma Bridge
ou de rotear para redes no virtualizadas externas. Novamente, ao nos concentramos
na soluo de Brigde, ns mostraremos como um Gateway de Camada 2 estende uma
rede lgica L2 para uma rede fsica L2.

HOL-1703-SDC-1-PT

Page 364

HOL-1703-SDC-1-PT

Informaes de direitos autorais do guia de design da


Arista e crdito da demonstrao off-line
Esta seo do mdulo do laboratrio foi usada, e o material modificado do Guia de
design da Arista para o NSXfor vSphere com Arista CloudVision, Verso 1.0,
agosto de 2015.
Ns tambm gostaramos de agradecer Francois Tallet, gerente de produtos
tcnicos snior da unidade de negcios de rede e segurana da VMware nos
EUA, por nos conduzir por este laboratrio para fornecer a demonstrao off-line da
prxima seo do mdulo.

HOL-1703-SDC-1-PT

Page 365

HOL-1703-SDC-1-PT

Reviso do caso de uso


O NSX opera de forma eficiente, usando uma camada de "hypervisor de rede"
distribuda entre todos os hosts. No entanto, em alguns casos, determinados hosts na
rede no so virtualizados e no podem implementar nativamente os componentes do
NSX. O NSX oferece a capacidade de criar uma Bridge ou de Rotear para redes no
virtualizadas externas. Este mdulo se concentra mais especificamente na soluo de
Bridge, onde um Gateway de Camada 2 estende uma rede lgica de Camada 2 para
uma rede fsica de Camada 2.
A funcionalidade principal de um gateway de Camada 2 :
Mapear um Logical Switch do NSX para uma VLAN. A configurao e o gerenciamento
do gateway de Camada 2 so incorporados ao NSX.
O trfego recebido no Logical Switch do NSX por meio de um tnel desencapsulado e
encaminhado para a porta/VLAN apropriada na rede fsica. Da mesma forma, o trfego
da VLAN na outra direo encapsulado e encaminhado de forma apropriada no Logical
Switch do NSX.
O NSX inclui de forma nativa uma verso em software da funcionalidade de Gateway da
Camada 2 com um plano de dados inteiramente implementado no kernel do Hypervisor,
para desempenho mximo. Alm dessa funcionalidade, o NSX como uma plataforma
permite ainda a integrao de componentes de terceiros para obter a funcionalidade do
gateway de camada 2 em hardware.

HOL-1703-SDC-1-PT

Page 366

HOL-1703-SDC-1-PT

Viso geral dos componentes


Vrios componentes esto envolvidos na conexo do gateway de hardware ao NSX. Eles
so representados na figura acima.
O NSX controller responsvel por lidar com a interao com o gateway em hardware.
Para essa finalidade, uma conexo estabelecida entre o NSX controller e um software
dedicado chamado de Hardware Switch Controller (HSC). O HSC pode ser
incorporado no gateway em hardware ou pode ser executado como um appliance
autnomo separado. O HSC pode controlar um ou vrios gateways de hardware. A Arista,
por exemplo, aproveita a plataforma CloudVision como um HSC, que age como um
nico ponto de integrao para o NSX para vrios gateways em hardware Arista. O HSC
executa um servidor OVSDB (Open vSwitch Database), e o NSX conectado como
um cliente OVSDB. O OVSDB o protocolo Open vSwitch Database Management
detalhado na RFC 7047. um projeto de cdigo aberto que oferece a capacidade de
gerenciamento remoto de um banco de dados.
O NSX controller enviar a associao configurada pelo administrador entre o Lgical
Switch e o switch/porta/VLAN fsico para o gateway em hardware por meio do HSC. O
NSX Controller tambm publicar uma lista de Replication Service Nodes (RSNs) que o
gateway em hardware aproveitar para encaminhar trfego de "broadcast", "unknown
unicast" ou de "multicast" (BUM). O NSX Controller publicar no HSC a lista de VTEPs do
Hypervisor relevantes aos Logical Switches configurados no gateway em hardware. O
NSX Controller tambm publicar no HSC a associao entre o endereo MAC das VMs
na rede virtual e o VTEP por meio do qual elas podero ser acessadas.
Observao: pode haver vrios NSX controllers em uma implantao do NSX,
fornecendo redundncia e dimensionamento horizontal. As tarefas mencionadas como
executadas pelo NSX Controller so, na verdade, compartilhadas entre todos os NSX
Controllers na rede. O HSC se conectar a todos os controllers.

HOL-1703-SDC-1-PT

Page 367

HOL-1703-SDC-1-PT

HOL-1703-SDC-1-PT

Page 368

HOL-1703-SDC-1-PT

Integrao do NSX com o Arista CloudVision e o gateway


em hardware
A plataforma Arista CloudVision oferece visibilidade de toda a rede e um nico ponto de
integrao ao NSX.
A fundao do CloudVision um servio de infraestrutura, compartilhando e agregando
o estado de trabalho de switches fsicos que estejam executando o Arista EOS para
fornecer visibilidade de rede e uma coordenao central. O estado de cada n EOS fsico
participante registrado no CloudVision usando a mesma arquitetura de publicao/
assinatura do banco de dados do sistema do EOS (SysDB). Como um exemplo, o VCS
(VXLAN Control Service) do CloudVision agrega o estado da VXLAN de toda a rede para
integrao e orquestrao com o VMware NSX. O CloudVision tambm fornece gateways
L2 em hardware redundante para NSX como MLAG com funcionalidade de VXLAN. MLAG
com VXLAN em switches Arista oferece encaminhamento ativo-ativo sem bloqueio e
redundncia com failover sem ocorrncia em caso de falha de switch. Alm disso, o
Arista CloudVision e os switches Top of Rack executam o VCS internamente, que cada
VTEP de hardware usa para compartilhar o estado uns com os outros para
estabelecerem tneis de VXLAN sem a necessidade de uma camada de controle
multicast.

Ponto de integrao operacional


Na operao, o Arista CloudVision se registrar no NSX controller e usar o protocolo
OVSDB para sincronizar as informaes de topologia, MAC para endpoints de VXLAN e
associaes de ID de VXLAN com o NSX. O CloudVision programar apropriadamente o
switch Arista ou pares de switches MLAG (Multi-Chassis Link Aggregation) como o
gateway de hardware do NSX. Essa integrao de gateway de hardware permite uma
sincronizao quase que instantnea do estado entre endpoints de tnel de VXLAN
virtuais e fsicos durante qualquer alterao de rede ou evento de modificao de carga
de trabalho.

HOL-1703-SDC-1-PT

Page 369

HOL-1703-SDC-1-PT

O NSX Manager da VMware tem como front-end a plataforma de virtualizao de rede


inteira do NSX. Os usurios tambm podem gerenciar e operar cargas de trabalho que
se estendem por sistemas virtuais e no virtualizados do NSX como um painel nico.
A plataforma CloudVision da Arista oferece um conjunto de servios que simplifica o
gerenciamento do monitoramento e a integrao do NSX com switches Arista no data
center virtualizado. Os usurios podem aprovisionar VTEPs Arista como ns de gateway
por meio da interface do usurio do NSX Manager. Isso acelera a entrega de servio e
ajuda as empresas a atender melhor s necessidades de uma forma programtica e
automatizada nos data centers.
A implantao da plataforma CloudVision da Arista exige duas etapas:
1. Ativar o VXLAN Control Service (VCS) em switches ToR Arista e no CloudVision.
2. Ativar o servio Hardware Switch Controller (HSC) no CloudVision.

HOL-1703-SDC-1-PT

Page 370

HOL-1703-SDC-1-PT

Simulao interativa do laboratrio


prtico: VTEP de hardware com o
Arista
Esta parte do laboratrio apresentada como um laboratrio prtico - simulao
interativa. Essa simulao permitir que voc navegue pela interface do software como
se estivesse interagindo com um ambiente dinmico.
1. Clique aqui para abrir a simulao interativa. Ela ser aberta em uma nova janela
ou guia do navegador.
2. Quando terminar, clique no link "Return to the lab" no canto superior direito da
janela do navegador da Web ou feche a janela para continuar nessa guia.

HOL-1703-SDC-1-PT

Page 371

HOL-1703-SDC-1-PT

Consideraes de design de Bridge


H algumas diferenas significativas entre os gateways em hardware e em software:
Um Switch Lgico s pode ter uma instncia de ponte ativa por vez (gateway em
software).
Por outro lado, pode haver vrios gateways em hardware estendendo o mesmo
switch lgico.
Isso afeta a redundncia e o escopo da Camada 2 na rede. Esta seo do mdulo
consiste em consideraes de design durante a implementao de uma arquitetura de
gateway de hardware com as consideraes mencionadas anteriormente. As prticas
recomendadas sero mencionadas, mas aconselhvel que os usurios que estejam
planejando a implementao de gateways em hardware com o NSX consultem um
profissional da VMware para obter consideraes especficas de seu prprio ambiente.

Informaes de direitos autorais do guia de design da


Arista
Esta seo do mdulo do laboratrio foi obtida, e seu material modificado, do Guia de
design da Arista para o NSXfor vSphere com Arista CloudVision, Verso 1.0,
agosto de 2015.

Alta disponibilidade com MLAG


A Arista d suporte a MLAG por meio do processamento e de VXLAN juntos em sua
ampla variedade de switches, o que oferece redundncia de gateway L2 em hardware
para o NSX. MLAG com VXLAN em switches Arista oferece encaminhamento ativo-ativo
sem bloqueio e redundncia com failover sem ocorrncia em caso de falha de switch. O
Arista CloudVision abstrai os detalhes de Multi-Chassis LAG (MLAG) e apresenta um par
de switches MLAG como um nico VTEP.
O fato de que vrios gateways de hardware podem estar ativos ao mesmo tempo
tambm pode influenciar o design da rede. Normalmente, um switch lgico estendido
para uma VLAN para fornecer conectividade para algum servio que no possa ser

HOL-1703-SDC-1-PT

Page 372

HOL-1703-SDC-1-PT

virtualizado. Normalmente, esse servio redundante, o que significa que sua


implementao fsica s estende por vrios racks diferentes no data center.

HOL-1703-SDC-1-PT

Page 373

HOL-1703-SDC-1-PT

Impacto no escopo de Camada 2 na rede


Se voc examinar o lado esquerdo da figura acima, algumas mquinas virtuais esto
anexadas a um Logical Switch e acessam servidores fsicos por meio de um Gateway
em software (Edge Services Gateway). Todo o trfego do switch lgico para a VLAN 10,
onde os servidores fsicos esto localizados, precisa passar por uma nica instncia de
ponte. Isso significa que a VLAN 10 precisa ser estendida entre os racks para acessar
todos os servidores fsicos necessrios.
A tendncia nas redes de data center nos ltimos anos tem sido tentar reduzir o
mximo possvel a extenso da conectividade de Camada 2 para minimizar seus riscos
e limitaes associadas. A figura no lado direito da imagem acima mostra como isso
pode obtido aproveitando um gateway em hardware ativo separado. Nesse design
alternativo, cada rack que hospeda servidores fsicos configurado com um gateway de
hardware. Graas a esse modelo, no h necessidade de estender a conectividade de
Camada 2 entre os racks, j que os switches lgicos podem se estender diretamente at
o gateway de hardware relevante ao acessarem os servidores fsicos.
Observao: as VLANs definidas nos racks tm significado local (o exemplo est
mostrando que o switch lgico estendido para a VLAN 10 em um rack e para a VLAN
20 no outro).

Componentes do NSX e conectividade de cluster


As funes e a operao de componente do NSX so definidas no Guia de design de
virtualizao de rede do VMware NSX for vSphere verso 3.0 (disponvel em
https://communities.vmware.com/docs/DOC-27683). altamente recomendvel que o
leitor consulte esse documento para seguir a lgica relacionada conectividade com a
rede fsica. As funes e a organizao dos componentes do NSX so mapeadas para o
cluster apropriado. O Guia de design de virtualizao de rede do VMware NSX for
vSphere solicita a organizao dos componentes, do processamento e do
gerenciamento do ambiente virtualizado do NSX.
O Guia de design de virtualizao de rede do VMware NSX for vSphere recomenda a
criao de trs tipos de clusters diferentes do vSphere. A figura acima mostra um

HOL-1703-SDC-1-PT

Page 374

HOL-1703-SDC-1-PT

exemplo de componentes lgicos de design de cluster para o posicionamento do rack


fsico.
Observao: as configuraes ainda menores em um nico rack podem ser usadas
para oferecer conectividade para o cluster de permetro e o de gerenciamento. O
conceito fundamental que a configurao do cluster de permetro seja localizada em
um par de switches ToR para reduzir a extenso dos requisitos de camada 2; isso
tambm ajuda a localizar a configurao de roteamento de sada para um par de
switches ToR. A localizao de componentes de permetro tambm permite a
flexibilidade na seleo do hardware apropriado (CPU, memria e NIC) e recursos
baseados nas funcionalidades centradas na rede, como firewall, NetFlow, NAT e
roteamento ECMP.

Switches Arista e roteamento do NSX


O NSX Edge Services Gateway oferece roteamento baseado em ECMP (Equal Cost Multipath), que permite at oito VMs apresentem encaminhamento de trfego bidirecional de
8 vias do domnio lgico do NSX para o core do DC da empresa ou para a Internet. Isso
representa at 80 Gbps (8x10 interfaces GE) de trfego que podem ser oferecidos do
domnio virtual do NSX para a rede externa em ambas as direes. dimensionvel por
"Tenant" e, portanto, a quantidade de largura de banda elstica, j que cargas de
trabalho sob demanda e/ou "multi-tenant" se expandem ou se contraem. Os requisitos
de configurao para dar suporte ao Edge Gateway ECMP NSX para o roteamento NorteSul so os seguintes:
Poltica de agrupamento de uplink VDS e sua interao com a configurao de
ToR.
Exige duas VLANs externas por par de ToR.
Pareamento de rotas com switches Arista.

HOL-1703-SDC-1-PT

Page 375

HOL-1703-SDC-1-PT

Design de uplink VDS com host ESXi no cluster Edge


O rack de permetro tem vrios requisitos de conectividade de trfego. Primeiro, ele
oferece conectividade para trfego leste-oeste para o domnio da VXLAN via VTEP;
depois, oferece uma funo centralizada para usurio/trfego externo que acessam
cargas de trabalho no domnio do NSX via Port Groups suportados por VLANs dedicadas.
Essa ltima conectividade obtida por meio do estabelecimento de adjacncias de
roteamento com os dispositivos L3 no prximo "hop". A figura acima representa dois
tipos de conectividade de uplink do host que utilizam comunicao ECMP atravs da
Edge VM de permetro.

Vizinhana ECMP do Edge e VLAN design


Assim que o modo de "Teaming" e "Failover" dos uplinks for determinado, a prxima
etapa ser fornecer diretrizes de design para a configurao da VLAN e o mapeamento
para o uplink, bem como as configuraes de vizinhana com os switches Arista. A
primeira deciso quantos uplinks lgicos devero ser implantados em cada NSX Edge.
A opo de design recomendada sempre mapear o nmero de uplinks lgicos para o
nmero de dvUplinks do VDS definidos nos NSX Edges disponveis hospedados nos
servidores ESXi. Isso significa sempre mapear uma VLAN (port group) para um dvUplink
do VDS, que ento sero mapeados para um link fsico no host ESXi que se conecta ao
switch Arista por meio de um ESG que forma a vizinhana de roteamento com o switch
Arista.
No exemplo mostrado acima, as VMs ECMP do NSX Edge (E1 a E8) so implantadas em
hosts ESXi com dois uplinks fsicos conectados aos switches ToR Arista. Dessa forma, a
recomendao implantar dois uplinks lgicos em cada NSX edge. Como um uplink
lgico do NSX edge est conectado a um port grupo suportado por VLAN, necessrio
usar dois segmentos de VLAN externos para conectar aos roteadores fsicos e
estabelecer adjacncias de protocolo de roteamento. Como mostrado na figura acima,
cada n ECMP pareado com suas respectivas VLANs externas para exatamente um
roteador Arista. Cada VLAN externa definida somente em um uplink ESXi (na figura
acima, a VLAN 10 externa ativada no uplink em direo a R1, quanto a VLAN 20

HOL-1703-SDC-1-PT

Page 376

HOL-1703-SDC-1-PT

externa no uplink para R2). Isso feita de forma que, sob circunstncias normais,
ambos os uplinks ESXi possam ser utilizados de forma concomitante para enviar e
receber trfego norte-sul, mesmo sem exigir a criao de um canal de porta entre o
host ESXi e os dispositivos ToR.
Alm disso, com esse modelo, uma falha fsica de uma NIC ESXi corresponderia a uma
falha de uplink lgico para o NSX edge em execuo no host, e o Edge continuaria a
enviar e a receber trfego ao aproveitar o segundo uplink lgico (a segunda interface
NIC ESXi fsica).

Recomendaes de temporizador de protocolo de


roteamento do NSX Edge
O roteador lgico NSX edge permite o roteamento dinmico e o esttico. A
recomendao usar um protocolo de roteamento dinmico para parear com switches
Arista para reduzir a sobrecarga da definio de rotas estticas sempre que a rede
lgica for definida. Os roteadores lgicos NSX edge do suporte aos protocolos de
roteamento OSPF e BGP. A configurao do modo ECMP do NSX edge d suporte
reduo do temporizador "hello and hold" do protocolo de roteamento para melhorar a
recuperao de falhas de trfego no caso de falha de n ou de link. O temporizador
mnimo recomendado para OSPF e BGP mostrado na tabela acima.

HOL-1703-SDC-1-PT

Page 377

HOL-1703-SDC-1-PT

Benefcios da arquitetura do NSX com a infraestrutura da


Arista
O NSX permite que os usurios criem servios lgicos para rede e segurana sem
precisar fazer alteraes de configurao na infraestrutura fsica. Nesse caso, assim que
os switches Arista estiverem configurados para fornecer conectividade IP e a
configurao de roteamento for aprovisionada, poderemos continuar a implantar novos
servios com o NSX.

Conectividade de camada lgica


As opes de conectividade de camada lgica para servidores na infraestrutura fsica
permite que eles estejam em sub-redes diferentes, mais uma rede base permite que as
VMs fiquem na mesma sub-rede e na camada 2 adjacente, fornecendo essencialmente
conectividade independente de topologia e mobilidade alm da limitao da topologia
estruturada imposta pela rede fsica.

HOL-1703-SDC-1-PT

Page 378

HOL-1703-SDC-1-PT

Roteamento para infraestrutura fsica


Para roteador da rede lgica para a rede fsica, o NSX pode aprender e trocar rotas com
a infraestrutura fsica para acessar recursos como um servidor de banco de dados ou
um aplicativo no virtualizado, que poderia estar em uma sub-rede diferente em uma
rede fsica.
O NSX oferece uma arquitetura de roteamento de dimensionamento horizontal com o
uso de ECMP entre o roteador distribudo NSX e as instncias de roteamento do NSX
Edge como mostrado na figura acima. Os NSX Edges podem parear usando protocolos
de roteamento dinmico (OSPF ou BGP) com os roteadores fsicos e fornecer largura de
banda dimensionvel. No caso de uma infraestrutura de switch Arista, o par de
roteamento poderia ser qualquer ToR Arista.

Operao e dimensionamento simplificados


A soluo CloudVision da Arista simplifica a integrao de ambientes fsicos e virtuais. O
CloudVision aproveita um banco de dados de rede, que coleta o 'estado' da rede fsica
inteira e apresenta uma nica interface aberta para o VMware NSX integrar rede
fsica. Usar o CloudVision como o ponto de integrao permite que os detalhes da rede
fsica sejam abstrados dos orquestradores de nuvem e dos controllers base. Alm disso,
o CloudVision simplifica o esforo de integrao do NSX porque o NSX s precisa se
integrar ao prprio CloudVision. Isso permite que os clientes evitem a complicao de
certificar o NSX com as diversas combinaes de verses de hardware e de software.
Por sua vez, o CloudVision fornece o estado agregado da rede fsica para a

HOL-1703-SDC-1-PT

Page 379

HOL-1703-SDC-1-PT

sincronizao fsica para virtual mais efetiva. Isso oferece uma abordagem mais simples
e mais dimensionvel para a integrao do controller rede fsica.
Observao: o CloudVision foi criado sobre APIs abertas, incluindo OVSDB e JSON, o
que oferece uma abordagem baseada em padres para essa integrao.

Visibilidade de rede lgica e fsica com o Arista VM Tracer


O recurso VM Tracer da Arista para NSX nativamente integrado ao Arista EOS. Ele
automatiza a descoberta de infraestrutura virtual diretamente conectada, simplificando
o aprovisionamento dinmico de VLANs relacionadas e perfis de porta na rede. Os
switches Arista utilizam as APIs do VMware vCenter e do NSX Manager para coletar
informaes de aprovisionamento. O VM Tracer ento combina essas informaes aos
dados do banco de dados do switch para fornecer um mapeamento claro e conciso da
rede virtual para fsica. Os clientes podem obter um rastreamento em tempo real de
switches lgicos e VMs de uma nica CLI em qualquer switch Arista na rede.

Segurana com firewall distribudo


Por padro, o NSX permite o firewall distribudo em cada VM no nvel da vNIC. O firewall
sempre est no caminho do trfego entrando e saindo da VM. O principal benefcio

HOL-1703-SDC-1-PT

Page 380

HOL-1703-SDC-1-PT

que ele pode reduzir a exposio de segurana na raiz para o trfego leste-oeste e no
no local centralizado. Os benefcios adicionais do firewall distribudo incluem:
Eliminao do nmero de saltos (ajuda a reduzir o consumo de largura de banda
de e para o ToR) para aplicativos que atravessa para um firewall centralizado.
Conjuntos de regras flexveis (os conjuntos de regras podem ser aplicados
dinamicamente, usando vrios objetos disponveis no vSphere, como SW lgico,
cluster e DC).
Permitir que os estados da poltica e da conexo sejam movidos com o VM
vMotion.
Desenvolvimento de um fluxo de trabalho automatizado com aplicao de
poltica de segurana programtica no momento da implantao da VM via
plataforma de gerenciamento de nuvem, com base nos critrios de exposio
como camadas de nveis de segurana por cliente ou por zona de aplicativo.

Dimensionamento flexvel de aplicativos com o


balanceador de carga virtualizado
O dimensionamento elstico da carga de trabalho de aplicativo um dos requisitos
crticos no data center de hoje. O dimensionamento de aplicativos com um balanceador
de carga fsico pode no ser suficiente, dada a natureza dinmica das cargas de
trabalho de TI de autoatendimento e do estilo DevOps. A funcionalidade de
balanceamento de carga com suporte nativo no gateway de servios do NSX Edge
aborda a maioria dos requisitos prticos encontrados em implantaes. Ela pode ser
implantada programaticamente com base em requisitos de aplicativo dimensionamento
e recursos apropriados. O nvel de suporte a escala e ao aplicativo determina se o
balanceador de carga poder ser configurado com servios de camada 4 ou de camada
7. O balanceador de carga ciente da topologia pode ser implantado em modo em linha
ou brao nico. O modo selecionado com base em requisitos especficos do aplicativo,
mas o design brao nico oferece extensa flexibilidade, j que pode ser implantado
prximo ao segmento do aplicativo e pode ser automatizado com a implantao do
aplicativo.
A figura acima mostra o poder de um balanceador de carga baseado em software no
qual vrias instncias do balanceador de carga servem vrios aplicativos ou segmentos.
Cada instncia do balanceador de carga um appliance de permetro que pode ser
dinamicamente definido via uma API como necessrio e implantado em um modo de
alta disponibilidade. Como alternativa, o balanceador de carga pode ser implantado em
um modo em linha, que pode ser o domnio lgico inteiro. O balanceador de carga em
linha pode dimensionar por meio da ativao de permetro de vrias camadas por

HOL-1703-SDC-1-PT

Page 381

HOL-1703-SDC-1-PT

aplicativo, j que cada aplicativo e um domnio dedicado para o qual o permetro de


primeira camada um gateway para um aplicativo, o permetro de segunda camada
pode ser um gateway ECMP para fornecer a largura de banda norte-sul dimensionvel.

Concluso
A soluo de Virtualizao de Redesda VMware enderea os desafios atuais da
infraestrutura computacional e da rede fsica, trazendo flexibilidade, agilidade e
escalabilidade por meio de redes lgicas baseadas em VxLAN. Juntamente com a
capacidade de criao de redes lgicas sob demandas usando VxLAN, o NSX Edge
Gateway ajuda os usurios a implantar diversos servios de redes como firewall, DHCP e
NAT. Isso possvel devido sua capacidade de dissociar a rede virtual da rede fsica e
ento reproduzir as propriedades e os servios necessrios no ambiente virtual.
Concluindo, a Arista e a VMware esto entregando a primeira e melhor soluo
dimensionvel do setor para Virtualizao de Redes no Data Center Definido por
Software. Os provedores de nuvem, as empresas e os clientes da Web podero acelerar
drasticamente seus servios de negcios, reduzir a complexidade operacional e os
custos. Tudo isso est disponvel agora, em uma soluo SDDC totalmente
automatizada e programtica que cria a ponte entre a infraestrutura virtual e fsica.

HOL-1703-SDC-1-PT

Page 382

HOL-1703-SDC-1-PT

Concluso do Mdulo 5
Neste mdulo, mostramos a capacidade do NSX de criar uma Bridge entre redes VLAN e
redes lgicas VXLAN. Ns realizamos a configurao de uma Bridge no Roteador Lgico
Distribudo do NSX para mapear uma VLAN para uma VXLAN. Tambm realizamos uma
migrao de uma VM de um Logical Switch para um dvPortGroup configurado com uma
VLAN para simular a comunicao entre as VMs. Por fim, clicamos na demonstrao offline da integrao do NSX com um VTEP em hardware Arista para mostrar a extenso de
um gateway L2 um switch.

Voc terminou o Mdulo 5


Parabns por concluir o Mdulo 5.
Se voc estiver procurando informaes adicionais sobre a implantao do NSX, acesse
o centro de documentao do NSX 6.2 por meio do URL abaixo:
Acesse http://tinyurl.com/hkexfcl
Continue em qualquer mdulo abaixo que seja do seu interesse:
Lista de mdulos de laboratrio:
Mdulo 1 - Passo a passo da instalao (30 minutos) - Bsico - este mdulo
acompanhar voc por uma instalao bsica do NSX, incluindo a implantao do
.ova, a configurao do NSX Manager, a implantao de controladores e a
preparao de hosts.
Mdulo 2 - Switch lgico (30 minutos) - Bsico - este mdulo acompanhar
voc pelas noes bsicas da criao de switches lgicos e da anexao de
mquinas virtuais a switches lgicos.
Mdulo 3 - Roteamento lgico (60 minutos) - Bsico - este mdulo nos
ajudar a compreender alguns dos recursos de roteamento com suporte na
plataforma NSX e tambm como utilizar esses recursos durante a implantao de
um aplicativo de trs camadas.
Mdulo 4 - Edge Services Gateway (ESG) (60 minutos) - Bsico - este mdulo
demonstrar os recursos do Edge Services Gateway e como ele pode oferecer
servios comuns, como DHCP, VPN, NAT, roteamento dinmico e balanceamento
de carga.
Mdulo 5 - Bridge fsico virtual (30 minutos) - Bsico - este mdulo nos guiar
pela configurao de uma instncia de bridge L2 entre uma VLAN tradicional e
um switch lgico NSX. Tambm haver uma demonstrao off-line da integrao
do NSX com switches compatveis com VXLAN de hardware Arista.
Mdulo 6 - Firewall distribudo (45 minutos) - Bsico - este mdulo abordar o
firewall distribudo e a criao de regras de firewall entre um aplicativo de trs
camadas.

HOL-1703-SDC-1-PT

Page 383

HOL-1703-SDC-1-PT

Chefes do laboratrio:
Mdulo
Unido
Mdulo
Mdulo
Mdulo
Mdulo
Mdulo

1 - Michael Armstrong, engenheiro de sistemas snior, Reino


2
3
4
5
6

Mostafa Magdy, engenheiro de sistemas snior, Canad


Aaron Ramirez, engenheiro de sistemas da equipe, EUA
Chris Cousins, engenheiro de sistemas, EUA
Aaron Ramirez, engenheiro de sistemas da equipe, EUA
Brian Wilson, engenheiro de sistemas da equipe, EUA

Como encerrar o laboratrio


Para encerrar o laboratrio, clique no boto END.

HOL-1703-SDC-1-PT

Page 384

HOL-1703-SDC-1-PT

Mdulo 6 - Firewall
distribudo (45 minutos)

HOL-1703-SDC-1-PT

Page 385

HOL-1703-SDC-1-PT

Introduo ao Direwall Distribudo DFW


Firewall Distribudo do NSX (DFW - Distributed Firewall). Um dos componentes
do NSX o mdulo de firewall distribudo que opera diretamente no kernel do ESXi. O
DFW instalado em todos os hosts de um mesmo cluster vSphere que precisam dessa
funcionalidade ativa. O DFW opera com performance prxima velocidade wire-speed e
possui toda a resilincia da plataforma vSphere. O DFW tambm permite a criao de
regras de acordo com o reconhecimento da identidade do usurio (Identify Firewall)
alm de oferecer ferramentas exclusivas para monitoramento e auditoria das atividades
em uma determinada VM (Activity Monitoring).
Neste mdulo, voc vai explorar como o DFW ajuda a proteger um Aplicativo de 3
camadas. As tradicionais regras de firewall baseadas em endereo IP impem limites
rgidos sobre a mobilidade das VMs e reduzem a flexibilidade da utilizao dos pools de
recursos (Resource Pools). Ao invez das tradicionais regras de firewall baseadas em
endereos IP, aqui ser demonstrado o processo de criao dessas mesmas regras
agora baseadas em Grupos de Segurana (Security Groups - SG) e em identidades
(Identity Firewall). Este mdulo basea-se em quatro guest VMs que compem um
Aplicativo de 3 camadas comum. A camada de Apresentao (Web) possui dois
servidores Web (web-01a and web-02a). A camada de Apresentao se comunica
com uma VM chamada app-01a, que executa um software correspondente a sua
camada de Aplicao. A VM da camada de Aplicao, por sua vez, se comunica com
uma VM chamada db-01a, que est executando o MySQL na camada de Banco de
Dados. A aplicao da regras de segurana para a filtragem de acesso entre as
camadas realizada pelo DFW do NSX.
Abaixo esto descritas brevemente as atividades referentes a esse mdulo:
Firewall Distribudo - DFW
Verifique o status do firewall distribudo nos hosts vSphere.
Verifique se possvel estabelecer a comunicao com todas as VMs do
Aplicativo de 3 camadas.
Bloqueie o acesso ao Aplicativo de 3 camadas e verifique.
Crie um Grupo de Segurana para a camada de Apresentao (Web).
Crie regras de firewall para permitir o acesso seguro ao Aplicativo.
Inicie o mdulo do seu desktop. O desktop o jumpbox do seu Control Center no
ambiente virtual. Desse desktop, voc acessar o vCenter Server Appliance
implantado em seu data center virtual.
Observao especial: na rea de trabalho, voc encontrar um arquivo
chamado README.txt. Ele contm os comandos da CLI necessrios nos
exerccios do laboratrio. Se voc no conseguir digit-los, poder copi-los e

HOL-1703-SDC-1-PT

Page 386

HOL-1703-SDC-1-PT

col-los nas sesses do putty. Caso voc veja um nmero com "chaves - {1}"
isso dir a voc para procurar o comando da CLI para este mdulo no arquivo
de texto.

HOL-1703-SDC-1-PT

Page 387

HOL-1703-SDC-1-PT

Confirme a ativao do DFW


Use o vCenter Web Client para confirmar se o DFW est instalado e ativado.

Inicie o navegador Google Chrome


1. Clique no cone do navegador Chrome na barra de tarefas ou na rea de
trabalho do console principal.

Realize o login do vSphere Web Client


Se voc ainda no tiver feito login no vSphere Web Client.
1. Faa login marcando a caixa "Use Windows Session Authentication".
2. Ou alternativamente utilize o User name: administrator@vsphere.local e o
Password: VMware1!

HOL-1703-SDC-1-PT

Page 388

HOL-1703-SDC-1-PT

Obtenha espao na tela ao recolher os Paineis de Tarefas


do lado direito
Clique nos Push-Pins para que os painis de tarefa sejam recolhidos e forneam
mais espao de visualizao para o painel principal. Voc tambm pode recolher
o painel esquerdo da mesma forma para obter ainda mais espao de
visualizao.

HOL-1703-SDC-1-PT

Page 389

HOL-1703-SDC-1-PT

Explorando o Novo Firewall Distribudo do NSX


1. Clique em Networking & Security.

Verifique a Instalao
1. Primeiro, clique em Installation.
2. Clique na guia Host Preparation. A tabela mostrar os clusters no data center
virtual.
Voc ver se o mdulo de firewall est ativo para cada cluster.
O NSX est instalado a nvel de Cluster, o que significa que a instalao, a
remoo e as atualizaes so uma definio sempre por Cluster vSphere. Se um
novo host fsico for adicionado posteriormente a um Cluster vSphere com NSX,
esse novo host receber de forma automtica o NSX. Esse comportamento
oferece os servios de rede e segurana de forma uniforme por host evitando
problemas ou as preocupaes de mover uma VM para um host sem NSX.

HOL-1703-SDC-1-PT

Page 390

HOL-1703-SDC-1-PT

Configure regras para o acesso ao


Aplicativo Web
Agora voc vai configurar o Firewall Distribudo para proteger o acesso ao aplicativo de
3 camadas (Customer DB-app). O aplicativo tem dois servidores Web, um servidor de
aplicao e outro de banco de dados. Tambm h um balanceador de carga atendendo
os dois servidores Web.

Testar a conectividade entre as VMs do Customer DB-app


usando o PuTTY
Em seguida, voc testar a comunicao e o acesso entre os segmentos de rede e as
guests VMs que compem o Aplicativo de 3 camadas. Seu primeiro teste ser abrir uma
console para web-01a.corp.local e realizar um ping nos outros membros.
1. Clique no atalho do PuTTY na barra de tarefas do desktop

HOL-1703-SDC-1-PT

Page 391

HOL-1703-SDC-1-PT

Abrir uma sesso SSH para web-01a


1. Localize e clique em web-01a.corp.local na lista Saved Sessions
2. Clique em Open para conectar a sesso SSH web-01a.

Realize o ping da web-01a para outros membros do


Aplicativo de 3 camadas
1. Primeiro, voc vai se assegurar que a web-01a pode realizar um ping para a
web-02a:
ping -c 2 172.16.10.12

2. Agora ping app-01a.


3. Teste o ping em db-01a.
ping -c 2 172.16.20.11

ping -c 2 172.16.30.11

HOL-1703-SDC-1-PT

Page 392

HOL-1703-SDC-1-PT

(Observao: Talvez voc veja DUP! no final de uma linha de ping. Isso se deve
natureza do ambiente do laboratrio virtual usando uma arquitetura Nested e o modo
promscuo nos roteadores virtuais. Voc no ver isso nos ambientes em produo.
No feche a janela, basta minimiz-la para uso posterior.

Demonstre o Customer DB-App usando um navegador web


Usando um navegador, voc acessar o aplicativo de 3 camadas para demonstrar a
funo entre as 3 partes.
1. Abra uma nova guia do navegador
2. Clique no favorito "Customer DB-app"

HOL-1703-SDC-1-PT

Page 393

HOL-1703-SDC-1-PT

Demonstre o Customer DB-App usando um navegador web


(cont.)
Voc deve receber a resposta dos dados requisitados pela camada Web para a VM
app-01a e, por fim, consultados na VM db-01a.
A. Observe a conexo HTTPS camada Web.
B. Observe a conexo TCP na porta 8443 para a camada de Aplicao.
C. Observe a conexo TCP na porta 3306 para a camada de Banco de Dados.
Observe que o servidor Web real que responde pode ser diferente do mostrado.

HOL-1703-SDC-1-PT

Page 394

HOL-1703-SDC-1-PT

Altere a poltica de firewall padro de Allow para Block


Nesta seo, voc mudar a regra padro Allow para Block e mostrar a interrupo na
comunicao com o Aplicativo Customer DB App de 3 camadas. Depois disso, voc
criar novas regras de acesso para restabelecer a comunicao em um mtodo seguro.
1. Clique novamente na guia do vSphere Web Client.
2. Selecione Firewall esquerda.
Voc verna seo General o Default Section Layer3.

HOL-1703-SDC-1-PT

Page 395

HOL-1703-SDC-1-PT

Examine as regras padro


1. Expanda a seo usando o "twistie".
Observe se as regras tm marcas verdes de verificao. Isso significa que uma regra
est ativada. As regras so incorporadas da maneira tpica com os campos de origem,
de destino e de servio. Os servios so uma combinao de protocolos e de portas.
A ltima Default Rule uma permisso bsica de todos para todos ("any-to-anyallow").

HOL-1703-SDC-1-PT

Page 396

HOL-1703-SDC-1-PT

Explore a ltima regra padro


Role at a direita para poder ver as opes de ao (Action) para a regra padro e
posicione o cursor no campo Action:Allow. Isso mostrar um sinal de lpis, que
permite voc ver as opes deste campo.
1. Passe o mouse e Clique no sinal de lpis.

Altere a ao ltima regra padro (Default Rule) de Allow


para Block
1. Selecione a opo de ao Block.
2. Clique em Save.

HOL-1703-SDC-1-PT

Page 397

HOL-1703-SDC-1-PT

Publicar as alteraes da ltima regra padro (Default


Rule)
Voc observar uma barra verde anunciando que agora necessrio escolher entre
"Publish Changes", "Revert Changes" ou "Save Changes". "Publish" envia as alteraes
para o DFW. "Revert" cancela as suas edies. E por fim "Save Changes" permite que
voc salve e publique mais tarde.
1. Selecione Publish Change para salvar sua regra de bloqueio.

Reabra a sesso PuTTY


1. Clique em sua sesso PuTTY para web-01a na barra de tarefas.

HOL-1703-SDC-1-PT

Page 398

HOL-1703-SDC-1-PT

Verifique se a alterao da regra bloqueia a comunicao


Para testar a regra de bloqueio usando suas sesses anteriores do PuTTY e do
navegador
PuTTY: em alguns instantes aps abrir o PuTTY, um aviso mostrar que ele no est
mais ativo, isso ocorre devido regra padro, que agora bloqueia tudo, incluindo SSH.
Minimize o console novamente.

HOL-1703-SDC-1-PT

Page 399

HOL-1703-SDC-1-PT

Verifique se o acesso ao navegador negado


1. Clique na guia referente webapp.corp.local.
2. Clique no boto Refresh.
O site atingir o tempo limite em alguns segundos, isso mostrar que o acesso est
bloqueado pela regra padro definida como Block.

HOL-1703-SDC-1-PT

Page 400

HOL-1703-SDC-1-PT

Criao dos Security Groups - Grupos


de Segurana
Agora criaremos os Security Groups (Grupos de Segurana). Os Security Groups nos
permitem criar contineres reutilizveis de VMs para os quais podemos aplicar polticas.
A associao dos objetos aos grupos pode ser estabelecida de forma esttica e/ou
dinmica.

Crie Security Groups para as 3 camadas do Aplicativo Web


1. Clique na guia do navegador referente ao vSphere Web Client.
2. Clique em Service Composer.
O Service Composer define um novo modelo para o consumo de servios de rede e de
segurana para ambientes virtuais e em nuvem. As polticas so aplicadas atravs da
visualizao dos servios internos ou solues de terceiros e seu simples consumo.
Essas mesmas polticas podem ser reaproveitadas facilmente por meio de recursos de
exportao/importao, o que poderia facilitar a implantao ou recuperao de um
ambiente em caso de um problema. Um desses objetos de uso repetitivo "Security
Group".

HOL-1703-SDC-1-PT

Page 401

HOL-1703-SDC-1-PT

Adicionando um Security Group


1. Selecione Security Groups. Observao: pode ser necessrio o uso de Security
Groups existentes de outros mdulos do laboratrio
2. Para adicionar um novo Security Group, clique no cone New Security Group

Novo Security Group - Web


1. Nomeie este primeiro grupo de Web-tier
2. Clique na seo "Select objects to include"

HOL-1703-SDC-1-PT

Page 402

HOL-1703-SDC-1-PT

Selecione os objetos que devem ser includos


1.
2.
3.
4.

Expanda o menu Object Types e selecione Virtual Machines.


Voc pode filtrardigitando web na janela de pesquisa.
Selecione web-01a.corp.local.
Clique na "seta para a direita" para enviar a VM para a janela Selected
Objects.
5. Repita para web-02a.corp.local.
6. Clique em Finish.
Observao: como atalho, voc pode clicar duas vezes nas VMs esquerda e elas se
movero para a direita nesta etapa.

HOL-1703-SDC-1-PT

Page 403

HOL-1703-SDC-1-PT

Verifique a criao do Security Group


Voc criou um Security Group chamado Web-tier com 2 VMs atribudas a ele.
Observe o Security Group Web-tier.
Observe o nmero de VMs includas no Security Group.

HOL-1703-SDC-1-PT

Page 404

HOL-1703-SDC-1-PT

Criao das Regras de Acesso


Crie Regras de Acesso para as 3 camadas do aplicativo Customer DB.

Criando as Regras de Acesso de 3 camadas


Em seguida, voc adicionar novas regras para permitir o acesso s VMs da camada
Web e depois configurar o acesso entre as camadas.
1. No menu esquerda, escolha Firewall.

HOL-1703-SDC-1-PT

Page 405

HOL-1703-SDC-1-PT

Adicione uma nova seo para as regras do Aplicativo de 3


camadas
1. Na extremidade direita da linha "Flow Monitoring & Trace Flow Rules-Disabled by
Default (Rule1)", clique no boto Add Section, que se parece com uma pasta.
2. Nomeie a seo como "Customer DB-app".
3. Clique em Save.

Adicione uma nova regra nova seo


1. Na linha da nova seo "Customer DB-app", clique no cone Add rule, que um
"sinal de mais" verde.

HOL-1703-SDC-1-PT

Page 406

HOL-1703-SDC-1-PT

Edite a nova regra


1. Clique no "twistie" para abrir a regra.
2. Passe o mouse sobre o canto superior direito do campo "Name" at um "cone
de lpis aparecer, ento clique no lpis.
3. Insira "EXT to Web" como o nome.
4. Clique em Save.

Defina a origem e o destino da regra


Origem:deixe "Rule Source" (Origem) definido como "any" (qualquer).
1. Passe o ponteiro do mouse sobre o campo Destination (Destino) e selecione o
"sinal de lpis" do Destination.

HOL-1703-SDC-1-PT

Page 407

HOL-1703-SDC-1-PT

Defina os valores do Security Group


Especifique o destino (Destination):
1.
2.
3.
4.

Expanda o menu "Object Type" e role para baixo at encontrar Security Group.
Clique em Web-tier.
Clique na seta superior para mover o objeto para a direita.
Clique em OK.

Definindo um servio
1. Passe o mouse clique no "lpis"do campo "Service".

HOL-1703-SDC-1-PT

Page 408

HOL-1703-SDC-1-PT

Defina o servio da regra


Passe o mouse no campo Service e clique no sinal de lpis.
1. No campo de pesquisa, voc pode pesquisar pelos servios padro
correspondentes. Digite "https"e pressione Enter para ver todos os servios
associados ao https do nome.
2. Selecione o servio HTTPS simples.
3. Clique na seta superior.
4. Observao: repita as etapas 1 a 3 acima para localizar e adicionar o
servio SSH. (Voc ver posteriormente no mdulo que precisaremos de SSH).
5. Clique em OK.

HOL-1703-SDC-1-PT

Page 409

HOL-1703-SDC-1-PT

Crie uma regra para permitir o acesso do Security Group


Web ao Switch Lgico App_Tier
Agora voc adicionar uma segunda regra para permitir que o Security Group Web
acesse a camada de Aplicao por meio da porta correspondente.
1. Comece abrindo o "sinal de lpis.
2. Voc deseja que esta regra seja processada depois da regra anterior, portanto
escolha "Add Below" na caixa suspensa.

Crie os campos Nome e Origem da Segunda Regra


1. Como feito anteriormente, passe o mouse sobre o campo Name e clique no "sinal
de mais". Digite "Web to App" como nome.
2. Escolha o Security Group Object Type: Web-tier no campo Source.

HOL-1703-SDC-1-PT

Page 410

HOL-1703-SDC-1-PT

Defina o destino
1. Passe o mouse e clique no lpis na coluna Destination.

HOL-1703-SDC-1-PT

Page 411

HOL-1703-SDC-1-PT

Crie o campo Destino da Segunda Regra: escolha Logical


Switch
Na primeira regra, voc usou o Security Group Web-tier como destino. Voc poderia
prosseguir com as regras restantes da mesma maneira. Mas, como voc pode ver na
lista suspensa, ser possvel usar diversos objetos do vCenter j definidos. A integrao
do vSphere com as funes de segurana do NSX permitem que voc economize tempo,
permitindo a utilizao de objetos existentes no datacenter virtual em suas regras em
vez de comear do zero. Aqui, voc usar um switch lgico de VXLAN como o destino.
Isso permite que voc crie uma regra a ser aplicada a todas as VMs conectadas a esta
rede.
1. Role para baixo na lista suspensa Object Type e clique na opo Logical
Switch.
2. Selecione App_Tier_Logical_Switch.
3. Clique na seta superior para mover o objeto para a direita.
4. Clique em OK.

HOL-1703-SDC-1-PT

Page 412

HOL-1703-SDC-1-PT

Definindo um servio
1. Passe o mouse e clique no "lpis"da coluna Service.

HOL-1703-SDC-1-PT

Page 413

HOL-1703-SDC-1-PT

Crie o Servio da Segunda Regra: New Service


O Aplicativo de 3 camadas usa a porta tcp 8443 entre as camadas da Web e Aplicao.
Voc criar um novo servio chamado MyApp para ser o servio permitido.
Clique no "cone de lpis"no campo Service.
1.
2.
3.
4.
5.

Clique em New Service.


Digite MyApp como o nome do novo servio.
Selecione TCP como o protocolo.
Digite 8443 como o nmero da porta.
Clique em OK.

HOL-1703-SDC-1-PT

Page 414

HOL-1703-SDC-1-PT

Clique em OK
1. Clique em OK.

HOL-1703-SDC-1-PT

Page 415

HOL-1703-SDC-1-PT

Crie a Terceira Regra: Permitir que Logical Switch App_Tier


acesse Logical Switch DB_Tier
Repetindo as etapas: por conta prpria, crie a terceira e ltima regra permitindo o
acesso entre a camada de Aplicao (App_Tier) e a camada de Banco de Dados
(DB_Tier).
1. Crie a regra final que permite ao Logical Switch deAplicao se
comunicar com o Logical Switch deBanco de Dados por meio do servio
predefinido para o MySQL. O servio predefinido, portanto, voc s precisar
pesquis-lo em vez de cri-lo.
2. Publicar as alteraes. Clique em "Publish Changes".

HOL-1703-SDC-1-PT

Page 416

HOL-1703-SDC-1-PT

Verifique se as novas regras permitem a comunicao com


o Customer DB App
1. Abra seu navegador e volte para a guia usada anteriormente para o
Aplicativo Web.
2. Atualize o navegador para mostrar que voc est obtendo os dados por meio
do Customer DB App.
OBSERVAO: se uma guia ainda no estiver aberta ou caso voc tenha fechado a
anterior. Use o favorito "Customer DB-App Direct Connect" na barra de favoritos.

HOL-1703-SDC-1-PT

Page 417

HOL-1703-SDC-1-PT

Reinicie a sesso do PuTTY para web-01a


1. Clique no cone Session no canto superior esquerdo
2. Clique em Restart Session.

Teste de ping entre camadas


Experimente executar o ping entre as guest VMs do aplicativo de 3 camadas.
Observao: lembre-se de usar a opo SEND TEXT.
1. Ping web-02a
ping -c 2 172.16.10.12

2. Ping app-01a.
ping -c 2 172.16.20.11

3. Ping db-01a.
ping -c 2 172.16.30.11

Os pings no so permitidos e falharo porque o ICMP no permitido entre camadas


ou entre os membros de uma mesma camada em suas regras. Sem permitir o ICMP
entre as camadas, agora a regra padro bloquear todos os outros trfegos.

HOL-1703-SDC-1-PT

Page 418

HOL-1703-SDC-1-PT

Minimize a sesso do PuTTY para web-01a.

HOL-1703-SDC-1-PT

Page 419

HOL-1703-SDC-1-PT

Topologia aps a adio de regras do firewall distribudo


para o aplicativo Customer DB de 3 camadas.
O diagrama mostra o ponto de controle e segurana referente ao firewall no nvel das
vNICs. Embora o DFW seja um mdulo carregvel no kernel do Host ESXi do vSphere
(Kernel Loadable Module - KLM), as regras so aplicadas na vNIC da guest VM. Esta
proteo acompanha a VM durante o vMotion para fornecer proteo completa e
ininterrupta, no permitindo assim que haja uma "janela de oportunidade" durante a
qual a VM fica suscetvel a ataques.

HOL-1703-SDC-1-PT

Page 420

HOL-1703-SDC-1-PT

Concluso do Mdulo 6
Neste mdulo, usamos o recurso Firewall Distribudo (DFW) do NSX para fornecer
polticas de segurana para um Aplicativo tpico de 3 camadas. Este mdulo ilustra
como possvel fornecer um pequeno conjunto de regras que podem ser aplicadas
um grande nmero de VMs. Podemos usar a microssegmentao para proteger milhares
de VMs em nossos ambientes com interveno administrativa mnima.

Voc terminou o Mdulo 6


Parabns por concluir o Mdulo 6!
Se voc estiver procurando informaes adicionais sobre a implementao do NSX,
acesse o centro de documentao do NSX 6.2 por meio do URL abaixo:
Acesse http://tinyurl.com/hkexfcl
Continue em qualquer mdulo abaixo que seja do seu interesse:
Lista de mdulos de laboratrio:
Mdulo 1 - Passo a passo da instalao (30 minutos) - Bsico - este mdulo
acompanhar voc por uma instalao bsica do NSX, incluindo a implantao do
.ova, a configurao do NSX Manager, a implantao de controladores e a
preparao de hosts.
Mdulo 2 - Switch lgico (30 minutos) - Bsico - este mdulo acompanhar
voc pelas noes bsicas da criao de switches lgicos e da anexao de
mquinas virtuais a switches lgicos.
Mdulo 3 - Roteamento lgico (60 minutos) - Bsico - este mdulo nos
ajudar a compreender alguns dos recursos de roteamento com suporte na
plataforma NSX e tambm como utilizar esses recursos durante a implantao de
um aplicativo de trs camadas.
Mdulo 4 - Edge Services Gateway (ESG) (60 minutos) - Bsico - este mdulo
demonstrar os recursos do Edge Services Gateway e como ele pode oferecer
servios comuns, como DHCP, VPN, NAT, roteamento dinmico e balanceamento
de carga.
Mdulo 5 - Bridge fsico virtual (30 minutos) - Bsico - este mdulo nos guiar
pela configurao de uma instncia de bridge L2 entre uma VLAN tradicional e
um switch lgico NSX. Tambm haver uma demonstrao off-line da integrao
do NSX com switches compatveis com VXLAN de hardware Arista.
Mdulo 6 - Firewall distribudo (45 minutos) - Bsico - este mdulo abordar o
firewall distribudo e a criao de regras de firewall entre um aplicativo de trs
camadas.
Chefes do laboratrio:

HOL-1703-SDC-1-PT

Page 421

HOL-1703-SDC-1-PT

Mdulo
Unido
Mdulo
Mdulo
Mdulo
Mdulo
Mdulo

1 - Michael Armstrong, engenheiro de sistemas snior, Reino


2
3
4
5
6

Mostafa Magdy, engenheiro de sistemas snior, Canad


Aaron Ramirez, engenheiro de sistemas da equipe, EUA
Chris Cousins, engenheiro de sistemas, EUA
Aaron Ramirez, engenheiro de sistemas da equipe, EUA
Brian Wilson, engenheiro de sistemas da equipe, EUA

Como encerrar o laboratrio


Para encerrar o laboratrio, clique no boto END.

HOL-1703-SDC-1-PT

Page 422

HOL-1703-SDC-1-PT

Conclusion
Thank you for participating in the VMware Hands-on Labs. Be sure to visit
http://hol.vmware.com/ to continue your lab experience online.
Lab SKU: HOL-1703-SDC-1-PT
Version: 20161016-085946

HOL-1703-SDC-1-PT

Page 423