{"id":2747,"date":"2017-07-21T15:56:37","date_gmt":"2017-07-21T19:56:37","guid":{"rendered":"http:\/\/arielantigua.com\/weblog\/?p=2747"},"modified":"2017-07-21T16:34:41","modified_gmt":"2017-07-21T20:34:41","slug":"default-rule-ndp-vmware-nsx","status":"publish","type":"post","link":"https:\/\/arielantigua.com\/weblog\/2017\/07\/default-rule-ndp-vmware-nsx\/","title":{"rendered":"Default Rule NDP \u2013 VMware NSX."},"content":{"rendered":"

Siguiendo con las pruebas de IPv6 en NSX, he notado que una vez tenemos el Manager corriendo y al menos un Controller, si vamos a Firewall -> General, tenemos tres reglas creadas por defecto. En mi caso me ha llamado la atenci\u00f3n una llamada Default Rule NDP la cual tiene un Action = Allow.<\/p>\n

 <\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

Primero, que es NDP?<\/a><\/p>\n

Es un protocolo usado en IPv6, este opera en el Network Layer (Capa 3 del modelo OSI). Una de las tareas importantes es que este protocolo es el encargado de encontrar (descubrir) otros nodos en el mismo segmento (link).<\/p>\n

A mi entender esta es la raz\u00f3n del porque esta regla est\u00e1 en la parte de General cuando entramos a Firewall, la primera prueba que hice fue cambiar el Allow por Block y autom\u00e1ticamente la VM en el cluster que est\u00e1 preparado para NSX y al cual esta pol\u00edtica le aplica dejo de alcanzar TODOS los dem\u00e1s host en el mismo link layer. Por ejemplo, si quisiera hacer lo mismo en IPv4 dentro de NSX tendr\u00eda que crear una regla en la parte de Ethernet tal vez usando la MAC de la VM que no quiero que genere tr\u00e1fico a ning\u00fan otro hosts.<\/p>\n

<\/a><\/p>\n

Personalmente pienso que esto no deber\u00eda ser una pol\u00edtica creada por defecto y m\u00e1s bien una opci\u00f3n habilitada en el mismo servicio de Firewall, se puede dar el caso que por equivocaci\u00f3n se coloque una regla que interfiera con la comunicaci\u00f3n NDP m\u00e1s arriba de esta por defecto y autom\u00e1ticamente tendremos un mal d\u00eda.<\/p>\n","protected":false},"excerpt":{"rendered":"

Siguiendo con las pruebas de IPv6 en NSX, he notado que una vez tenemos el Manager corriendo y al menos un Controller, si vamos a Firewall -> General, tenemos tres reglas creadas por defecto. En mi caso me ha llamado la atenci\u00f3n una llamada Default Rule NDP la cual tiene un Action = Allow.   […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[33,34,19,20,103],"tags":[],"class_list":["post-2747","post","type-post","status-publish","format-standard","hentry","category-ipv6","category-networking","category-virtualizacion","category-vmware","category-vmware-nsx"],"_links":{"self":[{"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/posts\/2747","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/comments?post=2747"}],"version-history":[{"count":0,"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/posts\/2747\/revisions"}],"wp:attachment":[{"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/media?parent=2747"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/categories?post=2747"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/tags?post=2747"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}