17 de julio de 2018
por Alex Mayer
Las máquinas virtuales se conectan a una red de forma muy similar a las físicas. La diferencia es que las VMs utilizan adaptadores de red virtuales y conmutadores virtuales para establecer conexiones con las redes físicas. Si ha utilizado máquinas virtuales que se ejecutan en VMware Workstation, puede estar familiarizado con tres redes virtuales predeterminadas. Cada una de ellas utiliza un conmutador virtual diferente:
- VMnet0 Bridged network – permite la conexión del adaptador de red virtual de una VM a la misma red que el adaptador de red del host físico.
- VMnet1 Host Only network – permite la conexión sólo con un host, utilizando una subred diferente.
- Red NAT de VMnet8 – utiliza una subred separada detrás del NAT, y permite la conexión del adaptador virtual de la VM a través del NAT a la misma red que el adaptador del host físico.
Los hosts de ESXi también tienen conmutadores virtuales, pero su configuración es diferente. La entrada del blog de hoy explora el uso de los conmutadores virtuales de VMware en los hosts VMware ESXi para las conexiones de red de las máquinas virtuales.
Definición de vSwitch
Un conmutador virtual es un programa de software – un tejido de conmutación lógico que emula un conmutador como dispositivo de red de capa 2. Un conmutador virtual garantiza las mismas funciones que un conmutador normal, con la excepción de algunas funcionalidades avanzadas. A saber, a diferencia de los conmutadores físicos, un conmutador virtual:
- No aprende las direcciones MAC del tráfico en tránsito de la red externa.
- No participa en los protocolos Spanning Tree.
- No puede crear un bucle de red para una conexión de red redundante.
Los conmutadores virtuales de VMware se denominan vSwitch. Los vSwitch se utilizan para garantizar las conexiones entre las máquinas virtuales, así como para conectar las redes virtuales y físicas. Un vSwitch utiliza un adaptador de red físico (también llamado NIC – Network Interface Controller) del host ESXi para la conexión a la red física. Es posible que desee crear una red independiente con un vSwitch y una NIC física por motivos de rendimiento y/o seguridad en los siguientes casos:
- Conectar el almacenamiento, como NAS o SAN, a los hosts ESXi.
- Red de vMotion para la migración en vivo de máquinas virtuales entre hosts ESXi.
- Red de registro de tolerancia a fallos.
Si un malhechor pudiera acceder a una de las máquinas virtuales de la red de un vSwitch, no podría acceder al almacenamiento compartido conectado a la red y al vSwitch separados, aunque residieran en el mismo host ESXi.
El esquema siguiente muestra las conexiones de red de las VM que residen en un host ESXi, los vSwitch, los switches físicos y el almacenamiento compartido.
Se puede hacer una red segmentada en un vSwitch existente creando grupos de puertos para diferentes grupos de VM. Este enfoque puede facilitar la gestión de grandes redes.
Un grupo de puertos es una agregación de múltiples puertos para la configuración común y la conexión de VM. Cada grupo de puertos tiene una etiqueta de red única. Por ejemplo, en la imagen de abajo, la «Red VM» creada por defecto es un grupo de puertos para las máquinas virtuales invitadas, mientras que la «Red de Gestión» es un grupo de puertos para el adaptador de red VMkernel del host EXSi, con el que se puede gestionar el ESXi. Para las redes de almacenamiento y vMotion, tendrá que conectar un adaptador VMkernel que puede tener una dirección IP diferente para cada red. Cada grupo de puertos puede tener un ID de VLAN.
El ID de VLAN es el identificador de una VLAN (red de área local virtual) que se utiliza para el etiquetado de VLAN. Los ID de VLAN pueden establecerse de 1 a 4094 (los valores 0 y 4095 están reservados). Con la VLAN se pueden dividir lógicamente las redes que existen en el mismo entorno físico. La VLAN se basa en el estándar IEEE 802.1q y funciona en la segunda capa del modelo OSI, cuya unidad de datos de protocolo (PDU) es la trama. A las tramas Ethernet se les añade una etiqueta especial de 4 bytes que las amplía de 1518 a 1522 bytes. La Unidad de Transmisión Máxima (MTU) es de 1500 bytes; esto representa el tamaño máximo de los paquetes IP encapsulados sin fragmentación. El enrutamiento entre redes IP se realiza en la tercera capa del modelo OSI. Véase el siguiente diagrama.
Cada puerto en un vSwitch puede tener un identificador de VLAN de puerto (PVID). Los puertos que tienen PVID se denominan «puertos etiquetados» o «puertos troncales». Un tronco es una conexión punto a punto entre dispositivos de red que puede transmitir los datos de múltiples VLANs. Los puertos sin PVID se denominan puertos no etiquetados: pueden transmitir los datos de una sola VLAN nativa. Los puertos no etiquetados suelen utilizarse entre los conmutadores y los dispositivos finales, como los adaptadores de red de los equipos de usuario. Los dispositivos finales normalmente no saben nada sobre las etiquetas VLAN, y operan con tramas normales sin etiquetar. (La excepción es si la máquina virtual tiene configurada la función «VMware Virtual Guest Tagging (VGT)», en cuyo caso se reconocen las etiquetas).
¿Busca una solución de protección de datos potente pero sencilla y asequible? NAKIVO Backup & Replicación ofrece un amplio conjunto de funciones de copia de seguridad, replicación y recuperación diversa de alta gama para entornos virtuales, físicos, de nube y SaaS. Ahora puede realizar copias de seguridad de VMware vSphere, configurar flujos de trabajo de recuperación de desastres personalizados, realizar copias de seguridad de cargas de trabajo de Office 365 e incluso probar sus copias de seguridad de Microsoft Hyper-V desde una interfaz web centralizada.
Tipos de conmutadores virtuales
Los vSwitches de VMware pueden dividirse en dos tipos: conmutadores virtuales estándar y conmutadores virtuales distribuidos.
Un vNetwork Standard Switch (vSwitch) es un conmutador virtual que puede configurarse en un único host ESXi. Por defecto, este vSwitch tiene 120 puertos. El número máximo de puertos por host ESXi es de 4096.
Características del vSwitch estándar:
El descubrimiento de enlaces es una característica que utiliza el protocolo de descubrimiento de Cisco (CDP) para recopilar y enviar información sobre los puertos de conmutación conectados que se puede utilizar para la solución de problemas de la red.
La configuración de seguridad permite establecer políticas de seguridad:
- Activar la opción de Modo Promiscuo permite al adaptador virtual invitado escuchar todo el tráfico, en lugar de sólo el tráfico de la propia dirección MAC del adaptador.
- Con la opción MAC Address Changes (Cambios de dirección MAC), se puede permitir o no el cambio de la dirección MAC del adaptador de red virtual de una VM.
- Con la opción Forged Transmits (Transmisiones falsificadas), se puede permitir o bloquear el envío de tramas de salida con direcciones MAC diferentes a la establecida para el adaptador de la VM.
NIC teaming. Dos o más adaptadores de red pueden unirse en un equipo y conectarse en enlace ascendente a un conmutador virtual. Esto aumenta el ancho de banda (agregación de enlaces) y proporciona una conmutación por error pasiva en caso de que uno de los adaptadores unidos se caiga. La configuración del equilibrio de carga le permite especificar un algoritmo para la distribución del tráfico entre las NIC del equipo. Puede establecer un orden de conmutación por error moviendo los adaptadores de red (que pueden estar en modo «activo» o «en espera») hacia arriba y hacia abajo en la lista. Un adaptador en espera se convierte en activo en caso de fallo del adaptador activo.
La conformación del tráfico limita el ancho de banda del tráfico saliente para cada adaptador de red virtual conectado al vSwitch. Puede establecer límites para el ancho de banda medio (Kb/s), el ancho de banda máximo (Kb/s) y el tamaño de la ráfaga (KB).
Las políticas del grupo de puertos, como la seguridad, la agrupación de NIC y la conformación del tráfico, se heredan de las políticas del vSwitch por defecto. Puede anular estas políticas configurándolas manualmente para los grupos de puertos.
Un vSwitch distribuido de vNetwork (dvSwitch) es un conmutador virtual que incluye características estándar de vSwitch a la vez que ofrece una interfaz de administración centralizada.Los dvSwitch sólo pueden configurarse en vCenter Server. Una vez configurado en vCenter, un dvSwitch tiene la misma configuración en todos los hosts ESXi definidos dentro del centro de datos, lo que facilita la gestión de grandes infraestructuras virtuales: no es necesario configurar manualmente los vSwitch estándar en cada host ESXi. Cuando se utiliza un dvSwitch, las máquinas virtuales mantienen sus estados de red y puertos de conmutación virtuales después de la migración entre hosts ESXi. La cantidad máxima de puertos por dvSwitch es de 60.000. El dvSwitch utiliza los adaptadores de red físicos del host ESXi en el que residen las máquinas virtuales para enlazarlas con la red externa. El VMware dvSwitch crea conmutadores proxy en cada host ESXi para representar la misma configuración. Nota: se requiere una licencia Enterprise Plus para utilizar la función dvSwitch.
En comparación con un vSwitch, el dvSwitch proporciona un conjunto más amplio de funciones:
- Gestión de red centralizada. Puede gestionar el dvSwitch para todos los hosts ESXi definidos simultáneamente con vCenter.
- Conformación del tráfico. A diferencia del vSwitch estándar, un dvSwitch admite la conformación del tráfico saliente y entrante.
- Bloqueo de grupos de puertos. Puede deshabilitar el envío y/o recepción de datos para grupos de puertos.
- Port mirroring. Esta función duplica cada paquete de un puerto a un puerto especial con un sistema SPAN (Switch Port Analyzer). Esto puede permitirle monitorear el tráfico y realizar diagnósticos de red.
- Política por puerto. Puede establecer políticas específicas para cada puerto, no sólo para grupos de puertos.
- Compatibilidad con el protocolo de descubrimiento de la capa de enlace (LLDP). LLDP es un protocolo no propietario de segunda capa que resulta útil para la supervisión de redes de múltiples proveedores.
- Soporte de Netflow. Esto le permite supervisar la información de tráfico IP en un conmutador distribuido, que puede ser útil para la solución de problemas.
Ahora que hemos explicado las características de los vSwitches estándar y distribuidos, vamos a discutir cómo implementarlos.
Cómo crear y configurar los vSwitches de VMware
Por defecto, hay un conmutador virtual en un host ESXi, con dos grupos de puertos – Red VM y Red de Gestión. Vamos a crear un nuevo vSwitch.
Añadir un vSwitch estándar
Conéctese al host ESXi con vSphere Web Client y haga lo siguiente:
- Vaya a Networking > Virtual switches.
- Haga clic en Añadir switch virtual estándar.
- Configure el Nombre del vSwitch («vSwitch2s», en nuestro caso) y otras opciones según sea necesario. A continuación, haga clic en el botón Añadir.
Nota: Si desea habilitar las tramas jumbo para reducir la fragmentación de los paquetes, puede establecer un valor de MTU (unidad de transmisión máxima) de 9.000 bytes.
Añadir un enlace ascendente
Añadir un enlace ascendente para asegurar la redundancia del enlace ascendente haciendo lo siguiente:
- Ir a Networking > el nombre de su vSwitch > Acciones > Añadir enlace ascendente.
- Seleccionar dos NIC.
- También puede configurar otras opciones aquí, como la detección de enlaces, la seguridad, la agrupación de NIC y la conformación del tráfico.
- Haga clic en el botón Guardar para finalizar.
Puede editar la configuración del vSwitch en cualquier momento haciendo clic en Editar configuración después de seleccionar su vSwitch en Redes > Conmutadores virtuales.
Añadir un grupo de puertos
Ahora que ha creado un vSwitch, puede crear un grupo de puertos. Para ello, siga estos pasos:
- Vaya a Redes >Grupos de puertos y haga clic en Añadir grupo de puertos.
- Establezca el nombre del grupo de puertos y el ID de la VLAN (si es necesario).
- Seleccione el conmutador virtual en el que se creará este grupo de puertos.
- También puede configurar aquí las opciones de seguridad si lo desea.
- Haga clic en el botón Añadir para finalizar.
Añadir una NIC del VMkernel
Si desea utilizar una red dedicada a la VM, una red de almacenamiento, una red de vMotion, una red de registro de tolerancia a fallos, etc., debe crear una NIC VMkernel para la gestión del grupo de puertos correspondiente. La capa de red del VMkernel gestiona el tráfico del sistema, así como la conexión de los hosts ESXi entre sí y con vCenter.
Para crear una NIC del VMkernel, siga estos pasos:
- Vaya a Networking > VMkernel NICs y haga clic en Add VMkernel NIC.
- Seleccione el grupo de puertos en el que desea crear la NIC de VMkernel.
- Configure la configuración y los servicios de red para esta NIC de VMkernel según se le solicite.
- Haga clic en el botón Guardar para finalizar.
Añadir un vSwitch distribuido
Para añadir un dvSwitch, inicie sesión en vCenter con su cliente web de vSphere y haga lo siguiente:
- Vaya a vCenter >su nombre de Datacenter.
- Haga clic con el botón derecho en su centro de datos y seleccione Nuevo conmutador distribuido. Aparece una ventana del asistente.
- Establezca el nombre y la ubicación de su dvSwitch. Haga clic en Siguiente.
- Seleccione la versión del dvSwitch que sea compatible con los hosts ESXi de su centro de datos. Haga clic en Siguiente.
- Edite la configuración. Especifique el número de puertos de enlace ascendente, el control de entrada/salida de red y el grupo de puertos por defecto. Haga clic en Siguiente.
- En la sección Listo para completar, haga clic en Finalizar.
Ahora puede configurar el dvSwitch que creó. Vaya a Inicio > Redes > el nombre de su Centro de Datos > el nombre de su dvSwitch y seleccione la pestaña Gestionar. La captura de pantalla muestra las características y opciones que puede configurar haciendo clic en ellas.
Primero, hay que añadir los hosts ESXi a su conmutador virtual distribuido:
- Haga clic en Acción > Añadir y administrar hosts. Se inicia una ventana del asistente.
- En la sección Seleccionar tarea, seleccione «Añadir hosts» y haga clic en Siguiente.
- Haga clic en Nuevo host y seleccione el(los) host(es) ESXi que desea añadir. Haga clic en Aceptar. Marque la casilla en la parte inferior de la ventana si desea habilitar el modo de plantilla. A continuación, haga clic en Siguiente.
- Si ha habilitado el modo de plantilla, seleccione un host de plantilla. La configuración de red del host de plantilla se aplicará a los demás hosts. Haga clic en Siguiente.
- Seleccione las tareas del adaptador de red marcando las casillas correspondientes. Puede añadir adaptadores de red físicos y/o adaptadores de red VMkernel. Haga clic en Siguiente cuando esté listo para continuar.
- Añada adaptadores de red físicos al dvSwitch y asigne los enlaces ascendentes. Haga clic en Aplicar a todos y luego en Siguiente.
- Administrar adaptadores de red VMkernel. Para crear un nuevo adaptador VMkernel, haga clic en Nuevo adaptador. A continuación, puede seleccionar un grupo de puertos, una dirección IP y otros ajustes. Después de completar este paso, haga clic en Siguiente.
- Se le presenta un análisis de impacto. Compruebe que todos los servicios de red dependientes funcionan correctamente y, si está satisfecho, haga clic en Siguiente.
- En la sección Listo para completar, revise la configuración que ha seleccionado y haga clic en el botón Finalizar si está satisfecho.
Para añadir un nuevo grupo de puertos distribuidos, siga estos pasos:
- Haga clic en Acciones > Nuevo grupo de puertos distribuidos.
- Establezca el nombre y la ubicación del grupo de puertos y, a continuación, haga clic en Siguiente.
- Configure los ajustes del grupo de puertos. En este paso, puede configurar la unión de puertos, la asignación de puertos, el número de puertos, el grupo de recursos de red y la VLAN. Haga clic en Next cuando esté listo.
- En la sección Ready to complete, revise las configuraciones que seleccionó y haga clic en el botón Finish si está satisfecho.
Ahora tiene lista su configuración básica del dvSwitch. Puede cambiar la configuración en cualquier momento con el fin de ajustarse a las demandas cambiantes.
Las ventajas de utilizar vSwitches
Habiendo considerado cómo configurar los conmutadores virtuales de VMware, vamos a resumir las ventajas de utilizarlos:
- Separación de redes con VLANs y routers, lo que le permite restringir el acceso de una red a otra.
- Seguridad mejorada.
- Gestión flexible de la red.
- Se necesitan menos adaptadores de red de hardware para la conexión de red redundante (en comparación con las máquinas físicas).
- Migración y despliegue más sencillos de las máquinas virtuales.
Conclusión
Los conmutadores virtuales permiten gestionar las conexiones de red de los grupos de máquinas virtuales, supervisarlas, mejorar la seguridad y facilitar la administración de los entornos virtuales de VMware vSphere. El conmutador virtual distribuido incluye más funciones que el conmutador virtual estándar y es preferible para una infraestructura virtual más grande con un elevado número de hosts ESXi.
Independientemente del tamaño de su entorno virtual, debe utilizar una solución de protección de datos que se integre perfectamente con VMware para garantizar la máxima fiabilidad. En NAKIVO, conocemos VMware por dentro y por fuera. Nuestro equipo de expertos ha diseñado NAKIVO Backup & Replicación específicamente para trabajar con vSphere y ESXi. Por eso puede esperar una copia de seguridad de VMware fluida, eficiente y fiable con nuestra solución.
Pruébelo usted mismo en su propio entorno VMware: descargue la prueba gratuita con todas las funciones.
5 (99.05%) 21 votos