Categoría: VMware NSX

Default Rule NDP – VMware NSX.

Siguiendo con las pruebas de IPv6 en NSX, he notado que una vez tenemos el Manager corriendo y al menos un Controller, si vamos a Firewall -> General, tenemos tres reglas creadas por defecto. En mi caso me ha llamado la atención una llamada Default Rule NDP la cual tiene un Action = Allow.

 

 

Primero, que es NDP?

Es un protocolo usado en IPv6, este opera en el Network Layer (Capa 3 del modelo OSI). Una de las tareas importantes es que este protocolo es el encargado de encontrar (descubrir) otros nodos en el mismo segmento (link).

A mi entender esta es la razón del porque esta regla está en la parte de General cuando entramos a Firewall, la primera prueba que hice fue cambiar el Allow por Block y automáticamente la VM en el cluster que está preparado para NSX y al cual esta política le aplica dejo de alcanzar TODOS los demás host en el mismo link layer. Por ejemplo, si quisiera hacer lo mismo en IPv4 dentro de NSX tendría que crear una regla en la parte de Ethernet tal vez usando la MAC de la VM que no quiero que genere tráfico a ningún otro hosts.

Personalmente pienso que esto no debería ser una política creada por defecto y más bien una opción habilitada en el mismo servicio de Firewall, se puede dar el caso que por equivocación se coloque una regla que interfiera con la comunicación NDP más arriba de esta por defecto y automáticamente tendremos un mal día.

Enviando flow data desde vSphere vDS a flowAnalyzer.

Desde el punto de vista de los equipos de red físico estamos corriendo un PROBE y enviando esa información al COLLECTOR. Ahora le toca al ambiente virtual!

vSphere vDS (Distributed Switch) soporta la funcionalidad de NetFlow. Habilitando esta opción en nuestros vDS podremos ver información de red que posiblemente no paso por el PROBE que corre en el inter-vlan router o el router de borde. Por ejemplo, tráfico de una VM en 10.0.0.0/24 a otra VM en el mismo rango de red no llegara a los routers y por esto no lo veremos en en flowAnalyzer.

Así habilitamos Netflow en el vDS:

  1. habilitamos la funcionalidad en el vDS:

 

  1. habilitamos en cuales PortGroup queremos capturar trafico:

 

Inicialmente configure el probe para NetFlow 9, en la versión 5.1 en adelante soporta IPFIX. asi que cambie el puerto y pude ver el trafico llegando al colector.

Lamentablemente, el PROBE en vDS envía datos que el template en el colector no los tiene y esto hace que el proceso muera y reinicie, esto quiere decir que la información no llega al index de Kibana.

 

Investigare como puedo agregar los valores para inciar el proceso nuevamente. stay tunned!

NSX Controller – Instalación falla usando solo IPv6.

Siguiendo con la agenda de usar IPv6 en un entorno NSX, intente desplegar un controlador solo asignando dirección IPv6 al pool designado para este, lamentablemente el despliegue fallo y mis sospechas apuntan a que el Controller no pudo alcanzar el Manager en la dirección IPv6 asignada.

Al intentar desplegar nuevamente el Controller, esta vez usando una dirección IPv4 todo término como de esperarse.

Tendré que investigar más sobre el tema para determinar si es una limitante o fue un error en mi configuración.

Soporte IPv6 en NSX.

Desde hace tiempo quería crear una entrada con este tipo de información. recuerdo mi primer encuentro con IPv6 (2004?  Recuerdo tener un tunnel y conectar a freenode IRC!!) quede fascinado con la idea del punto-a-punto entre clientes y servidores (clientes a clientes!). Últimamente me he querido enfocar en la parte de redes de VMware, esto quiere decir que mi enfoque será NSX y la micro-segmentación.

Seria genial que NSX soportara IPv6 que tanto me gusta y que he estado desplegando en mi red local de maneras que no tienen sentido en la red del hogar de una persona. Virtualización + Redes es la combinación por la cual estoy apostando últimamente y esto quiere decir que estaré trabajando en recertificar VCP subiéndolo a versión 6 y prepararme para VCP6-NV.

 

Siguiendo en el tema, aquí les dejo una tabla del soporte actual de IPv6 en NSX y la cual estaré usando para validar su nivel de funcionalidad.

 

Detailed NSX IPv6 Support

Component Feature Support1 Notes
VM Addressing
Guest VM Addressing IPv4, IPv6, DS VXLAN encap packets are capable of carrying IPv6 payload. VMs can have only IPv6 static addresses. SLAAC (RA) and DHCPv6 (relay and server) are not supported
VXLAN Transport IPv4
NSX Manager
NSX Manager IP IPv4, IPv6, DS
NSX Controller
Management IP IPv4
NSX Edge
Management IP IPv4, IPv6 No DHCPv6 support
Syslog IPv4, IPv6 Export to IPv4 and IPv6 Syslog servers
Interface IP IPv4, IPv6, DS No DHCPv6 support
DNS IPv4
DHCP IPv4
Static Routing IPv4, IPv6
Dynamic Routing IPv4 No OSPFv3 or MP-BGP support
Firewall IPv4, IPv6
Load Balancer IPv4, IPv6 Transparent Mode
IPv4 VIP w/ IPv4 Pool (L4 & L7)
IPv6 VIP w/ IPv6 Pool (L4 & L7)

SNAT Mode
IPv4 VIP w/ IPv4 Pool
(L4 & L7)
IPv6 VIP w/ IPv6 Pool
(L4 TCP w/o HW accel only & L7)
IPv6 VIP w/ IPv4 Pool
(L4 TCP w/o HW accel only & L7)
IPv4 VIP w/ IPv6 Pool
(L4 TCP w/o HW accel only & L7)
NAT IPv4 NAT64, NAT 46 and NAT66 are not supported
IPSEC IPv4, IPv6 No IPv4 Peers with IPv6 internal subnet support
SSL VPN IPv4, IPv6 IPv4 and IPv6 can be used for outer packet (tunnel level) but IPv4 only for inner packet
L2VPN IPv4, IPv6 IPv4 and IPv6 can be used for outer packet (tunnel level) but IPv4 only for inner packet
NSX DLR
Management IP IPv4
Interface IP IPv4
Distributed Routing IPv4
NSX DFW
Distributed Firewall IPv4, IPv6
Virtual Distributed Switch
SNMP IPv4, IPv6, DS
LRO IPv4, IPv6
RSS IPv4, IPv6
DV Filters IPv4, IPv6
TSO IPv4, IPv6
SPAN IPv4, IPv6
RSPAN IPv4, IPv6
CDP & LLDP IPv4, IPv6
Statistics IPv4, IPv6
LACP IPv4, IPv6
IPFIX IPv4, IPv6
Traffic Filters IPv4, IPv6 No IPv6 Netflow collector can be configured

 

Esta información fue copiada de: https://www.vmbaggum.nl/2017/01/nsx-ipv6-support/

La información en la tabla proviene de la documentación oficial de NSX 6.2, la idea es actualizar la tabla usando NSX 6.3 y crear una nueva con los componentes que recibieron cambios.

Un artículo interesante que encontré mientras investigaba el soporte de IPv6 en NSX fue el uso de NSX Edge para transportar un /57 de direcciones IPv6 a una red local, comparando con la configuración actual que tengo en casa es el mismo resultado pero con implementación de software diferentes, si solo tuviera equipos en un datacenter donde pudiera correr NSX!!

https://www.vmguru.com/2016/12/using-nsx-for-ipv6-home/

 

El día de hoy desplegué el NSX Manager y asignado tanto dirección IPv4 como IPv6 en las opciones del OVF Template.

 

Más adelante posteare las actualizaciones relacionadas a las configuraciones realizadas que tengan IPv6.

NSX Controller en estado DEPLOYING permanente!

La razón del porque el despliegue del primer controlador de NSX fallara en mi LAB fue debido a que el disco en mi R710 se llenó. No creo que esto pase a menudo en producción.

En fin, después de levantar todo el AutoLab y que arrancaran las VM dentro de los Nested ESXi, veo que el estado del controller-1 es deploying y nunca paso de ahí. La gran idea fue detener el Manager, detener el controller-1 (la VM) y borrarla del inventario/disco. En vano, ya que cuando inicie el Manager este seguía con el objeto registrado y en el mismo estado.

Un poco de Google-fu me mostro que otros pasaron por lo mismo y que la solución propuesta es hacer un DELETE usando el API REST de NSX.

Ummmm API, con que se come eso?

Luego de intentar hacer el DELETE desde el navegador de forma normal, entendí que tenía que leer la documentación para saber cuál era la manera en que esto de REST funcionaba. La forma más efectiva para una persona del área de administración es instalando un add-on de Mozilla Firefox (en mi caso Firefox, si usas Chrome también existe un app).

Un documento importante para leer es el NSX API Guide (https://pubs.vmware.com/NSX-6/topic/com.vmware.ICbase/PDF/nsx_604_api.pdf), el cual en la página 25 tiene el siguiente texto:

 

Realizando una llamada API podríamos configurar todo un ambiente de conectividad basado en NSX pero lo que me extraña es que no exista la opción de un borrado forzoso desde Web Client en la sección de NSX.

No pude capturar imágenes realizando los pasos desde el RESTclient que instale en Firefox, si realizamos una búsqueda en Google uno de los enlaces que me llevaron a la solución fue https://communities.vmware.com/thread/522857?start=0&tstart=0 y la única diferencia es que este es el segundo controller desplegado.

Otro enlace con más información es http://blog.jgriffiths.org/?p=1198 en el cual tenemos imágenes usando el RESTclient.